Auteur Sujet: HTTP Strict Transport Security (Lu 60490 fois)

jack · « **Réponse #24 le:** 16 avril 2015 à 00:01:43 »

Nah, franchement ?

jack · « **Réponse #25 le:** 16 avril 2015 à 09:30:58 »

personne n'est pas un nom, c'est une négation. Il y a un n'. Ne pas, ne plus, ne personne.
Est-ce qu'un site est une socket ? Ben, non, je ne laisse pas trainer mes sockets sales sur mes serveurs. J'ai un placard pour le linge.

Ou alors, tu parlais d'un socket, auquel cas, c'est tout aussi non. Cf couches OSI, il faut au moins du L7. Et un code HTTP 200, tant qu'à faire.

Est-ce que c'est un contenu ? Non. Si j'enregistre la page google.fr que je place sur bob.org, ce n'est pas le même site. L'un appartient à google, l'autre à moi.

Est-ce que tu peux obtenir un 200, avec un GET, sur http://k-net.fr ?

jack · « **Réponse #26 le:** 16 avril 2015 à 15:32:12 »

http://www.lepointdufle.net/ressources_fle/negation_regle.htm

Citation de: corrector

Non.

Et donc?

Citation de: jack

Je peux t'assurer, et te garantir que personne, personne n'ira sur mon serveur, en HTTP, consulter k-net.fr.
Jamais, personne, c'est impossible.

corrector · « **Réponse #27 le:** 16 avril 2015 à 15:41:09 »

Ce n'est pas le sujet.

Le sujet est :

HTTP n'est PAS sécurisé.

vivien · « **Réponse #28 le:** 16 avril 2015 à 16:07:35 »

Mme michu ne met pas https quand elle va visiter un site web.

En temps normal : C'est la redirection mis sur ton site qui va forcer le https

Je vais maintenant imaginer une histoire tordue pour expliquer. Si l'opérateur XXXXXX au lieu de rediriger k-net.fr vers la bonne IP, redirige vers un site identique avec des prix 20€/mois plus cher, histoire de décourager les personnes de s'abonner à K-Net.

=> Sans HTTP Strict Transport Security, même michu, qui n'a pas mis https, verra les fausses offres proposées par XXXXXX.

=> Avec HTTP Strict Transport Security, si elle a déjà été visiter le site K-Net dans le passé, elle sera redirigé en https qui va afficher une alerte de sécurité qui va l'encourager à appeler K-Net plutôt que de regarder son site. Si elle n'a jamais visité le site, elle sera en http donc sans alerte.

=> Avec la liste pré-enregistrée dans Firefox de sites HTTP STS, même si Mme michu n'a pas été visiter le site K-Net, elle sera forcée en https.

Dans le cas de man in the middle, si 20% des personnes vont sur un site sans mettre https, tu peux facilement les berner.

kgersen · « **Réponse #29 le:** 16 avril 2015 à 16:26:16 »

Quand/si les navigateurs utiliseront HTTPS par défaut ca ira mieux non ?

Curieusement (et sauf erreur de ma part), quand je tape 'google.com' dans la barre de Chrome, ca va directement chercher "https://www.google.com" alors que quand je tape "lafibre.info" ca va chercher "https://lafibre.info/" qui fait un redirect 307 sur https://lafibre.info (on peut voir ca sous F12 notamment).
Ils ont 'codé en dur" pour google.com ou un truc m’échappe ? (ou c'est un effet de bord de HTTP/2 et QUIC?).

corrector · « **Réponse #30 le:** 17 avril 2015 à 14:06:47 »

Citation de: kgersen le 16 avril 2015 à 16:26:16

Quand/si les navigateurs utiliseront HTTPS par défaut ca ira mieux non ?

Quand une grande majorité de sites seront 100 % en HTTPS tu veux dire?

On risque d'attendre encore une peu.

Même des banques n'y sont pas!

vivien · « **Réponse #31 le:** 17 avril 2015 à 14:13:26 »

Les listes de Google sont traitées spécifiquement des chrome (avec information remontée si l'autorité de certification du site n'est pas la bonne)

Il faudrait tester avec d'autres sites comme twitter, pour voir si c'est lié à la liste de sites HTTP Strict Transport Security codé dans le navigateur. (J'imagine que Twitter y est)

corrector · « **Réponse #32 le:** 17 avril 2015 à 14:18:15 »

La liste de Google Chrome contient plus de 2200 noms de domaine :

https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json&l=180

Citation de: vivien le 17 avril 2015 à 14:13:26

(J'imagine que Twitter y est)

Code: [Sélectionner]

    { "name": "twitter.com", "mode": "force-https", "pins": "twitterCom" },
    { "name": "www.twitter.com", "include_subdomains": true, "mode": "force-https", "pins": "twitterCom" },
    { "name": "api.twitter.com", "include_subdomains": true, "pins": "twitterCDN" },
    { "name": "oauth.twitter.com", "include_subdomains": true, "pins": "twitterCom" },
    { "name": "mobile.twitter.com", "include_subdomains": true, "pins": "twitterCom" },
    { "name": "dev.twitter.com", "include_subdomains": true, "pins": "twitterCom" },
    { "name": "business.twitter.com", "include_subdomains": true, "pins": "twitterCom" },
    { "name": "platform.twitter.com", "include_subdomains": true, "pins": "twitterCDN" },
    { "name": "twimg.com", "include_subdomains": true, "pins": "twitterCDN" },

kgersen · « **Réponse #33 le:** 17 avril 2015 à 14:21:05 »

Citation de: corrector le 17 avril 2015 à 14:06:47

Quand une grande majorité de sites seront 100 % en HTTPS tu veux dire?

On risque d'attendre encore une peu.

Même des banques n'y sont pas!

non quand les navigateurs tenteront d’accéder en 1er a "https://domain.com" quand on tape 'domain.com'...quitte à faire attendre l'utilisateur si le site n'est pas dispo en https...ca forcera peut-etre les éditeurs de site a se bouger.

En pratique de toute façon ca passe (trop) souvent par le moteur de recherche (Google principalement donc): la plupart des gens tapent un nom puis plutôt qu'un domaine. Par exemple pour accéder a la BNP, je tape 'bnp' dans la barre de mon navigateur et ensuite je clique sur la 1ere réponse que Google me fournit: https://www.secure.bnpparibas.net (c'est une réponse personnalisée si je fréquente souvent cette url et c'est donc ok car c'est directement en https). Si je tape bnp.fr ou bnp.com ca mene nulle part de toute facon , la BNP n'a pas les moyens de se payer ses domaines...
si je tape "lcl.fr" ca fait un redirection http->https. la c'est pas good.

kgersen · « **Réponse #34 le:** 17 avril 2015 à 14:25:35 »

Citation de: vivien le 17 avril 2015 à 14:13:26

Les listes de Google sont traité spécifiquement des chrome (avec information remontée si l'autorité de certification du site n'est pas la bonne)

Il faudrait tester avec d'autres sites comme twitter, pour voir si c'est lié à la liste de sites HTTP Strict Transport Security codé dans le navigateur. (J'imagine que Twitter y est)

oui saisir "twitter.com" amène directement a https://twitter.com/ sans passer par la redirection.

corrector · « **Réponse #35 le:** 17 avril 2015 à 14:26:28 »

Citation de: jack le 16 avril 2015 à 00:01:43

Nah, franchement ?

Il y avait deux alternatives :
- ou bien tu joues sur les mots ou tu as une terminologie très très particulière
- ou bien tu ne comprends à pas ce qu'est la sécurité du transport, à quoi sert HTTPS et à quoi sert la crypto en général.

J'ai parié sur la première, mais en fait c'était la seconde.