La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: corrector le 30 mai 2015 à 01:11:53
-
L'usage de HTTP Strict Transport Security sur un site permet d'éviter un souci de sécurité assez subtil.
Selon vous, quel est ce souci?
Déplacé ailleurs : https://lafibre.info/cryptographie/devinette-redirection-auto-http-gt-https-un-avantage-assez-subtil/
-
Il évite le mitm actif où le 302 de redirection http => https n'est pas transmis au client.
Au passage, le cookie d'auth n'est pas transmis en clair.
-
Oui mais pas seulement.
Quand l'utilisateur entre directement l'adresse du site en HTTPS, il évite ... quoi?
-
Cela empêche l'utilisateur de passer outre une erreur de certificat.
-
En principe... mais en fait rien dans la norme ne l'impose. C'est de l'ordre de la suggestion.
-
Cela empêche l'utilisateur de passer outre une erreur de certificat.
La notion d'erreur de certificat n'est pas bien définie. Il y a des messages d'erreurs de certificat, mais ce qui est considéré comme un certificat acceptable dépend de la subjectivité du navigateur.
Introduire une telle close dans la norme (*) montre à quel point l'esprit critique se fait rare!
Le navigateur pourrait très bien demander à l'utilisateur :
Ce certificat n'est pas considéré comme valide a priori. Voulez-vous que le navigateur génère une erreur de certificat (qui sera fatale) ou voulez-vous accepter ce certificat?
Je cherche d'ailleurs un moyen d'obtenir ce comportement dans un navigateur.
Bref cette histoire de passer outre est une arnaque intellectuelle qui fait que je rejette viscéralement HTTP Strict Transport Security.
(*) même comme non normatif(sic) : pourquoi encombrer une norme avec du non-normatif?
-
Les navigateurs sont conçus pour Mme michu et quand un état fait l'Attaque de l'homme du milieu (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu), il est bon que le navigateur bloque le site en question, pour ne pas laisser fuir le mot de passe de Mme michu (qui a tendance a clique sur accepter a n'importe quel message, faute de formation pour aller sur Internet)
-
Définis "logiciel libre".
C'est un logiciel qui libère, ou bien?
-
Si tu as envie de recompiler Firefox pour virer cette restriction, tu peut. C'est un logiciel libre.
-
Je n'ai envie de recompiler aucun de ces bousins à coté desquels un diplodocus passe pour un nain!
-
C'est ce que je craignais.
Je voulais VRAIMENT pas évoquer cet aspect là du comportement des navigateurs. Téléportation demandée.
-
Téléportation acceptée.
À bientôt pour de nouvelles aventures.
-
Les navigateurs sont conçus pour Mme michu et quand un état fait l'Attaque de l'homme du milieu (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu), il est bon que le navigateur bloque le site en question, pour ne pas laisser fuir le mot de passe de Mme michu (qui a tendance a clique sur accepter a n'importe quel message, faute de formation pour aller sur Internet)
Tu crois que les mdp sont le plus volés par ce moyen?
Et pour les spyware, tu fais quoi? Interdiction d'installer une extension du navigateur non validée? Ah mince c'est fait. Interdiction d'installer un logiciel non approuvé? C'est fait sur iMachin.
Et après, interdiction d'entrer un mdp soi-même? Où va-t-on?
-
On va à la neuneu-isation des logiciels.
Mais c'est normal, comme on a fournis des bombes atomiques à des enfants, c'est la seule voie de sortie possible pour éviter la fin du monde.
-
Tout a été fait à l'envers :
- les OS auraient dû prendre la voie de l'isolation maximum des composants non fondamentaux avec limitation de l'accès aux périphériques, à la Android, mais en version intelligible (ainsi même une faille grave dans un composant logiciel de confiance a un impact limité)
- le Web aurait dû être en HTTPS par défaut pour tout site personnalisé, un serveur HTTP ne pouvant donc pas recevoir ni placer un témoin (HTTP cookie)
- le mdp auraient dû être manipulés localement par le navigateur sans être jamais envoyés en clair (même sur un lien chiffré)
- Wifi "ouvert" (accès libre) chiffré par défaut (sans authentification initiale, façon TOFU)
-
Il évite le mitm actif où le 302 de redirection http => https n'est pas transmis au client.
Au passage, le cookie d'auth n'est pas transmis en clair.
En principe ce témoin n'est jamais transmis en clair, parce qu'il est "secure".
C'est quasiment toujours le cas, seuls les sites les plus moisis (*) arrivent à oublier ça.
(*) mettons ceux de l'administration
-
La discussion ayant dérivé, j'ouvre un autre topic en réexpliquant ma question!
https://lafibre.info/cryptographie/devinette-redirection-auto-http-gt-https-un-avantage-assez-subtil/
-
On va à la neuneu-isation des logiciels.
Mais c'est normal, comme on a fournis des bombes atomiques à des enfants, c'est la seule voie de sortie possible pour éviter la fin du monde.
Je trouve cette évolution de l'informatique consternante.