2009/6/30 Emilie Laffray <[email protected]> > > > 2009/6/30 David MENTRE <[email protected]> > >> Salut Vincent, >> >> Le 30 juin 2009 12:21, Vincent MEURISSE<[email protected]> a écrit >> : >> > Sinon c'est quoi l'intérêt de https pour toi ? >> >> Je pense que *tout* le trafic web devrait être en HTTPS : banque, >> achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter >> que mon employeur, mon ISP[1], le gouvernement ou mon voisin de >> hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que >> j'achète. >> > > Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors, > parce que utiliser https n'est pas gratuit. A la limite, tu peux acheter un > serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même > prix. De plus, récemment, il y a eus des attaques man in the middle sur SSL > lie a la fonction de hash. >
Oui enfin un exploit sur md5... ça fait qq années qu'on sait qu'il y a mieux... et quand tu génères un ca aujourd'hui, tu ne le fais pas avec md5. > > Le proxy que j'utilise au boulot est capable justement d'intercepter le > https et de signer avec son propre certificat. C'est hyper pratique pour > debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se > généralise. Tu sauras juste que le certificat est remplace. De plus, avec la > loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes > les différentes administrations) demandent la clé pour déchiffrer ce qu'ils > veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre > ça, ils pourront s'ils en font la demande au site. > Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe > quoi. Ils seront toujours capables de savoir ce que tu lis. Il existe une > chose nommée url qui généralement donne beaucoup d'information sur le site > sur lequel on va même si c'est en https...... > Je pense que ce qu'il sous-entendais là c'était chiffrer la partie login pour commenter un billet, pas vraiment la lecture d'un post. Sachant que 98% des utilisateurs mettent le même passwd partout, je ne trouve pas ça si déconnant... > > > >> >> Partiellement d'accord. Oui les certificats auto-signés c'est pas la >> panacée. Mais c'est mieux que de tout passer en clair. C'est quand >> même incroyable qu'il soit plus facile de passer un mot de passe en >> clair (l'authentification dans OSM par exemple) qu'avec une connexion >> chiffrée avec un certificat auto-signé ! > > > Il est clair que le fait qu'OSM n'utilise pas un certificat pour se logger > est léger. > > >> >> Et si ta banque a un certificat auto-signé, change de banque. ;-) >> (même si, sur le fond, je ne trouve pas un certificat Verisign >> beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié >> l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y >> comprend que dalle et ne fait même pas la distinction entre HTTP et >> HTTPS. > > > Tout dépend de la fonction de Hash que tu utilises :) Firefox a un > mechanisme pour détecter certaines incohérences sur les certificats qui a > tendance a repérer certains certificats auto signes. > Je ne suis pas tout à fait d'accord :) Mde Michu a appris à regarder le petit cadenas et la barre d'URL jaune lorsqu'elle fait ses achats en ligne je pense. Ce qui se cache derriere, effectivement elle n'a pas à le savoir. Aujourd'hui on va plus loin en affichant l'autorité avec les CA SSL E. > > > >> >> Sur le fond, la bonne solution sera peut-être d'authentifier les >> certificats par le DNS, une fois que DNSSEC sera répandu. >> > > On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou > PGP) distribues par le DNS :) D'ailleurs il va falloir que je trouve un > script pour rajouter le support GPG sur gmail. > FireGPG. Mais, ne l'utilise que de puis un client en IMAP... car FireGPG chiffre et signe à l'envoie, donc ton mail est en clair dans la partie Draft et autosaved de gmail. > > > >> >> [1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et >> analysent quelques connexions IP noyées dans un flux au gigabit. >> > > Le DPI est la parmi nous pour y rester. > > Emilie Laffray > > _______________________________________________ > Talk-fr mailing list > [email protected] > http://lists.openstreetmap.org/listinfo/talk-fr > > -- Steven Le Roux Jabber-ID : [email protected] 0x39494CCB <[email protected]> 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
_______________________________________________ Talk-fr mailing list [email protected] http://lists.openstreetmap.org/listinfo/talk-fr
