On Tue, 21 Aug 2001, Marc Mongenet wrote:
> Et le probl�me ne se situe pas au niveau du transfert de l'information.
> C'est la conservation de l'information qui est le point le plus critique,
> le moins bien prot�g� et le plus pass� sous silence.
Oui, je suis d'accord: un piratage d'un serveur de transaction suffit pour
avoir plein de num�ros de cartes de cr�dit: effort plus simple que de
pirater des machines invididuelles (sauf avec un worm/virus,
�ventuellement, comme l'avait montr� il y a d�j� longtemps le
CCC/Allemagne avec Microsoft + Money).
> > -> la seule fa�on est de v�rifier le `fingerprint' de la cl� SSL
> > du serveur
>
> Mais comment v�rifier cette empreinte ? Il n'y a pas de bouton v�rifier
> dans la fen�tre du certificat de Navigator.
Ben lorsque tu re�ois ton code d'acc�s au compte, tu re�ois aussi la
fingerprint � v�rifier manuellement (Netscape te la donne si tu la
demandes). Bien s�r quelle banque fait cela ? Aucune � ma connaissance,
ils se contentent de se faire certifier par une autorit� de certification
support�e par Netscape (donc pas de warning).
Depuis le certificat microsoft.com d�livr� incorrectement par VeriSign, on
a des raisons d'avoir des doutes.
> > Netscape permet de v�rifier ce fingerprint,
>
> Comment ?
Pardon: vocabulaire, Netscape permet de l'afficher. La v�rification c'est
toi.
> As-tu d�j� observ� un cas r�el ?
oui, j'ai chang� la cl� de search.alphanet.ch et Netscape a effectivement
relanc� le bastringue `nouvelle cl�'. Mais peut-�tre est-ce parce que ma
cl� n'est pas certifi�e [par Verisign et.al ]
> Donc il faut noter l'empreinte sur un papier et la v�rifier � chaque fois ?
C'est juste. Et d'ici 8-9 mois elle expire.
> Certes Yellownet aurait p� l'envoyer par lettre, mais bon, l'int�r�t du
> Web �tant de pouvoir se passer du papier...
ben ils envoient les codes sur papier.
> Ce que je regrette �norm�ment en revanche, c'est de ne pas avoir de re�u
> imm�diat (informatique) de mes op�rations Yellownet.
Qu'entends-tu par l� ?
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
