Auteur Sujet: http 2.0: vers un chiffrement de tout le Web?  (Lu 6205 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
http 2.0: vers un chiffrement de tout le Web?
« Réponse #12 le: 08 juin 2014 à 22:38:46 »
MODÉRATION :

La discussion concernant les contenus vidéos sur les sites vidéos HTTPS a été déplacée :

Vidéo en ligne chiffrée

corrector

  • Invité
Opportunisme
« Réponse #13 le: 12 juin 2014 à 01:34:46 »
- Forcer l'usage du chiffrement sur l'ensemble des URL http:// sans forcer l'authentification du serveur (TLS)
C'est ce qu'on appelle le chiffrement "opportuniste" : si le client et le serveur sont d'accord, on va chiffrer; sinon, non. Il n'y a rien d'indiqué dans l'URL donc aucune garantie, et l'utilisateur n'est pas informé.

En pratique, je ne vois pas comment on peut faire ça avec un protocole comme HTTP!

vivien

  • Administrateur
  • *
  • Messages: 28 328
    • Twitter LaFibre.info
HTTP/2 : vers un chiffrement de tout le Web?
« Réponse #14 le: 25 février 2015 à 13:30:28 »
HTTP/2 est disponible sur Firefox 36

Chrome va proposer HTTP/2 dans la version qui sort dans quelques jour.

Le nouveau navigateur de Microsoft intégré à Windows 10, "Spartan", sera lui aussi compatible http 2.0


Au niveau des serveurs web, pour l'instant seul un petit serveur alternatif "OpenLiteSpeed" supporte HTTP/2 draft 16.
Les prochaines version des serveurs web supporteront HTTP/2. C'est le cas de IIS qui sera livré avec Windows Server 2016 (qui sortira à la fin de l'année 2015).

Polynesia

  • Client Orange Fibre
  • *
  • Messages: 1 113
  • FTTH 100/100 - Alençon (61)
    • Développeur web en devenir (en construction)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #15 le: 26 février 2015 à 00:24:03 »
Donc on ne pourra l'utiliser quand 2016 minimum voir 2017 ?

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 071
  • FTTH 1Gb/s sur Paris (75)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #16 le: 26 février 2015 à 01:14:17 »
Donc on ne pourra l'utiliser quand 2016 minimum voir 2017 ?
Non des maintenant, c'est deja en place dans certains navigateurs (chrome notamment).

Ca dépend principalement du serveur et ca n'est pas global donc il y aura une (tres) longue période de transition.

Il faut changer le code des serveur web ou le mettre a jour ainsi que le code de certaines applications web.

Il y a un site pour tester son navigateur de suite: https://http2.golang.org/ (ca marche avec Chrome 40+ et FF 36+).

vivien

  • Administrateur
  • *
  • Messages: 28 328
    • Twitter LaFibre.info
http 2.0: vers un chiffrement de tout le Web?
« Réponse #17 le: 26 février 2015 à 08:44:13 »
Chrome c'est pas la version 41 qui supporte HTTP/2 ?

Pour le test https://http2.golang.org/ :
- Chromium 40 (sous Ubuntu 14.10) : Unfortunately, you're not using HTTP/2 right now.
- Firefox 35.0.1 (sous Ubuntu 14.10) : Congratulations, you're using HTTP/2 right now.
- Firefox 36.0 (sous Ubuntu 14.10) : Congratulations, you're using HTTP/2 right now.
- Firefox 35.0.1 (sous Windows 8.1) : Congratulations, you're using HTTP/2 right now.
- Firefox 36.0 (sous Windows 8.1) : Congratulations, you're using HTTP/2 right now.
- Internet explorer 11.0.9600 (sous Windows 8.1) : Unfortunately, you're not using HTTP/2 right now.
- Chrome 40.0.2214.111 64bits (sous Windows 8.1) : Congratulations, you're using HTTP/2 right now.
- Chrome 40.0.2214.115 64bits (sous Windows 8.1) : Congratulations, you're using HTTP/2 right now.
Donc je suis un peu étonné.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 071
  • FTTH 1Gb/s sur Paris (75)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #18 le: 26 février 2015 à 09:19:06 »
Effectivement sous Windows ca marche avec chrome mais pas sous Linux ...

Il y un flag pour l'activer: chrome://flags/#enable-spdy4 (ca marche sous Linux).

Sous Windows ca fait rien et reste actif par défaut. Peut-être un bug.

vivien

  • Administrateur
  • *
  • Messages: 28 328
    • Twitter LaFibre.info
http 2.0: vers un chiffrement de tout le Web?
« Réponse #19 le: 26 février 2015 à 09:28:32 »
J'ai complété mes test, Firefox 35.0.1 dit être ok en HTTP 2 sous Ubuntu comme sous Windows 8.1

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 071
  • FTTH 1Gb/s sur Paris (75)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #20 le: 26 février 2015 à 09:47:12 »
c'est tout 'frais' tout ca et comme il y a avait pas mal de systèmes qui fonctionnaient avec la version 'draft-x' il se peut qu'il reste ici ou la des oublis ou des retards de bascule en version 'final' (voir : https://github.com/http2/http2-spec/wiki/Implementations )

Par exemple twitter.com est en HTTP/2 'final' mais sous chrome ca passe encore en HTTP 1.1 alors que sous FF c'est bien négocier en 2.0 (du moins sur mon PC j'ai pas testé plus).

Twitter avec Firefox:



Il faut laissé un peu de temps que le 'final' se répande un peu partout.


En pratique comme l'exemple de twitter.com le montre c'est complétement transparent pour l'utilisateur.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 071
  • FTTH 1Gb/s sur Paris (75)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #21 le: 26 février 2015 à 10:13:15 »
Il y a une extension pour Chrome qui affiche le protocole négocié de la page en cours: SPDY Indicator

Ca gère toutes les versions de SPDY, HTTP/2 et QUIC.

On voit que google.com est en HTTP/2 (draft-14)
mais twitter.com est toujours en spdy 3.1 avec Chrome.

L'extension équivalente pour FF ne donne pas le détail de la version (mais est utile quand même).

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 071
  • FTTH 1Gb/s sur Paris (75)
http 2.0: vers un chiffrement de tout le Web?
« Réponse #22 le: 03 mars 2015 à 11:27:50 »
Il semblerait qu'avec Chrome la plupart des services Google dont Youtube soient maintenant basculés en QUIC par défaut (je n'avais pas fait attention a cela avant et j'ai pas vu de news a ce sujet).
Conséquence première c'est de l'UDP crypté qui circule maintenant. Les FAI qui font du throttling vont être contents :)
J'ai pas vérifié si c'étais le cas sur Linux ou Mac et en mobile.

miky01

  • Expert. Réseau RESO-LIAin (01)
  • Client K-Net
  • *
  • Messages: 3 999
  • Farges (01)
Anonymat lors du surf : témoin HTTP, adresse IP
« Réponse #23 le: 03 mars 2015 à 12:10:36 »
Bien sûr, c'est une pseudonyme sous le contrôle par l'utilisateur, mais beaucoup de personne n'effacent pas les cookies.

Les problématiques d'anonymat lors du surf me semblent donc assez éloignées de HTTP/S vs. HTTP, même s'il y a parfois des recoupements.

Presque tous les navigateurs te propose l'option d'effacer les cookies quand tu le ferme.

C'est bien une question d'éducation des gens, et pas de bridage pour te protéger...

 

Mobile View