Auteur Sujet: HTTP Strict Transport Security  (Lu 60976 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #36 le: 17 avril 2015 à 14:36:40 »
non quand les navigateurs tenteront d’accéder en 1er a "https://domain.com" quand on tape 'domain.com'...
Qu'est-ce qui empêche de lancer deux connect(2) à la fois?

quitte à  faire attendre l'utilisateur si le site n'est pas dispo en https...ca forcera peut-etre les éditeurs de site a se bouger.
Comme ça l'utilisateur trouvera le navigateur lent et changera de navigateur! :D

En pratique de toute façon ca passe (trop) souvent par le moteur de recherche (Google principalement donc): la plupart des gens tapent un nom puis plutôt qu'un domaine.
Tu arrives à te souvenir de machin.com vs. truc.fr vs. bidule.info ?

Par exemple pour accéder a la BNP, je tape 'bnp' dans la barre de mon navigateur et ensuite je clique sur la 1ere réponse que Google me fournit: https://www.secure.bnpparibas.net (c'est une réponse personnalisée si je fréquente souvent cette url et c'est donc ok car c'est directement en https).
Pour accéder à ma banque, je tape le début du nom dans l'omnibarre et l'historique retrouve l'URL.

Si je tape bnp.fr ou bnp.com ca mene nulle part de toute facon , la BNP n'a pas les moyens de se payer ses domaines...
Ben oui, c'est la crise, on l'a suffisamment répété.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 678
  • La Madeleine (59)
HTTP Strict Transport Security
« Réponse #37 le: 17 avril 2015 à 14:49:56 »
Citer
- ou bien tu ne comprends à pas ce qu'est la sécurité du transport, à quoi sert HTTPS et à quoi sert la crypto en général.
Et toi,  tu n'as pas compris que le transport n'est pas l'applicatif.
La sécurité au niveau 7 n'est pas modifiée par ton transport.

Quand mon serveur web refuse de servir du http (niveau 7), tu peux modifier ce que tu veux dans ton paquet TCP .. cela ne changera rien.

Citer
- ou bien tu joues sur les mots ou tu as une terminologie très très particulière
Ben non,.
Tu vas demandé à n'importe qui : quand il se prend une erreur 500 sur google.fr, il ne va pas dire "ha c'est bon, j'suis sur le site de google.fr !".
Quand tu lui dit "il n'y a personne dans cette maison", il ne va pas se demande de qui je parle.
Si tu confonds négation et nom .. tristesse.

[message modéré]
« Modifié: 17 avril 2015 à 15:22:43 par butler_fr »

corrector

  • Invité
Navigateur en mode HTTPS par défaut : utile?
« Réponse #38 le: 17 avril 2015 à 14:57:42 »
non quand les navigateurs tenteront d’accéder en 1er a "https://domain.com" quand on tape 'domain.com'...quitte à  faire attendre l'utilisateur si le site n'est pas dispo en https...ca forcera peut-etre les éditeurs de site a se bouger.
Très, très mauvaise idée.

Pour différentes raisons :
  • Ralentissement sur la plupart des sites sauf si tu fais deux connexions à la fois.
    Augmentation du volume à télécharger et donc ralentissement potentiel si tu télécharges les deux objets HTTP à la fois.
    C'est un souci si l'utilisateur se détourne de ce navigateur et préfère un autre qui n'a eu cette "idée géniale"!
  • https://example.com ne donne pas forcèment accès au même site (contenu) que http://example.com (assez rare, mais ça existe)
  • Problèmes de certificat du serveur TLS : https://example.com peut avoir un certificat
    - intrinsèquement invalide sémantiquement : contrainte non remplie
    - intrinsèquement invalide sémantiquement pour ce site (le nom de domaine ne correspond pas, très fréquent)
    - invalide pour une raison triviale (expiré depuis 2 h)
    - ou valide sémantiquement mais invérifiable et inacceptable par le navigateur : l'autorité n'est pas reconnue
    tu fais quoi dans ce cas? (Accepter temporairement un certificat invalide conduit à un risque subtil que très peu de gens comprennent.)
  • https://example.com est accessible, le certificat est valide, mais tous les liens internes (a href) au site sont en http: et non en relatif; est-ce que tu transformes les liens?
  • https://example.com ne répond pas : tu fais quoi dans ce cas?
Est-ce que tu peux répondre à ces trois questions?

« Modifié: 17 avril 2015 à 15:18:14 par corrector »

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 151
  • Paris (75)
Navigateur en mode HTTPS par défaut : utile?
« Réponse #39 le: 17 avril 2015 à 15:14:00 »
Très, très mauvaise idée.

Pour différentes raisons :
  • Ralentissement sur la plupart des sites sauf si tu fais deux connexions à la fois. Augmentation du volume à télécharger et donc ralentissement potentiel si tu télécharges les deux objets HTTP à la fois.
  • https://example.com ne donne pas forcèment accès au même site (contenu) que http://example.com (assez rare, mais ça existe)
  • https://example.com peut ne pas avoir un certificat intrinsèquement valide pour le site (le nom de domaine ne correspond pas) ou acceptable pour le navigateur : tu fais quoi dans ce cas? (Accepter temporairement un certificat invalide conduit à un risque subtil que très peu de gens comprennent.)
  • https://example.com ne répond pas : tu fais quoi dans ce cas?
Est-ce que tu peux répondre à ces trois questions?

je ferais comme ca:
1. l'utilisateur tape 'example.com'
2. tentative d'acces a https://example.com. si ok et certificat ok j'affiche.
3. si echec immédiat (refus nego, port fermé, etc) ou si ca ne répond pas apres le timeout usuel : une page s'affiche qui indique a l'utilisateur que le site ne répond pas en crypté (ou refuse un acces en crypté) et demande si l'utilisateur veut tenter d'y acceder en non crypté. si l'utilisateur clique 'oui' ca tente d'acceder a http://example.com

s'il le certificat n'est pas valide je présente la même question qu'en 2 en changeant le message.

Si ca concernent des sous-éléments d'une page (images, scripts, iframe, etc) je les refuse s'ils ne sont pas en HTTPS de toute facon.

Chaque fois que l'utilisateur click sur un lien non https ou saisi lui meme un url complet non https il voit l'avertissement et la question s'afficher aussi.



corrector

  • Invité
Navigateur en mode HTTPS par défaut : utile?
« Réponse #40 le: 17 avril 2015 à 15:25:53 »
Si ca concernent des sous-éléments d'une page (images, scripts, iframe, etc) je les refuse s'ils ne sont pas en HTTPS de toute facon.

Chaque fois que l'utilisateur click sur un lien non https ou saisi lui meme un url complet non https il voit l'avertissement et la question s'afficher aussi.
Super l'ergonomie!

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 151
  • Paris (75)
Navigateur en mode HTTPS par défaut : utile?
« Réponse #41 le: 17 avril 2015 à 15:34:24 »
Super l'ergonomie!

C'est bien pour ca qu'ils ne le font pas et inventent des trucs complexes comme HSTS et mettent en 'dur' leur sites dans le navigateur ...car sinon le quidam moyen va retourner sur IE ;D

Maintenant si tout les navigateurs faisaient cela... mais la c'est au autre débat.

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #42 le: 17 avril 2015 à 15:36:32 »
C'est bien pour ca qu'ils ne le font pas et inventent des trucs complexes comme HSTS et mettent en 'dur' leur sites dans le navigateur ...car sinon le quidam moyen va retourner sur IE ;D

Maintenant si tout les navigateurs faisaient cela... mais la c'est au autre débat.
Ben les gens (y compris Mme Michu) récupéreraient une ancienne version (bourrée de failles connues) qui n'aurait pas ce comportement.

Ne jamais sous-estimer la faculté des utilisateurs à contourner les obstacles.

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #43 le: 22 avril 2015 à 02:38:33 »
Je suis évidemment d'accord sur le principe : n'importe quel site qui traite de données personnelles (n'importe quel site qui demande ne serait-ce que l'adresse email traite de données personnelles) DOIT absolument être sécurisé de bout-en-bout et donc DOIT être en HTTPS.

Ce serait peut être le cas si les freins juridiques n'avaient pas été aussi forts, en considérant la crypto comme un technologie militaire.

corrector

  • Invité
HTTP Strict Transport Security vs. Google Safe Browsing
« Réponse #44 le: 01 juin 2015 à 03:01:19 »
Il me semble que Firefox a pris la décision de pré-embarquer une grande liste de sites HTST.

N'importe qui peut demander à être inclus dans la liste, j'ai peur que sa taille soit importante.

Google de son coté a une liste de taille réduite avec les sites Google et des sites à risques.
Je ne comprends par pourquoi le système de la liste noire de Google Safe Browsing n'a pas été utilisée pour cela.