Auteur Sujet: Pb https barré en rouge (Chrome 42 sous Win7) (Lu 34228 fois)

kgersen · « **Réponse #48 le:** 19 avril 2015 à 17:45:37 »

on sait depuis 2005 que SHA-1 est cassé.

on sait que vers 2018 il tombera pour pas trop cher, voir même avant.

Son utilisation sur Internet est considéré comme obsolète depuis 2011 par le "CA/Browser Forum", entité qui réuni les CA, dont Startcom, et les éditeurs de navigateur (Chrmoe, IE, Safari, FF,etc).

En septembre 2014: Google annonce qu'ils vont progressivement arreter le support de SHA-1.
Les premiers phases seront juste visuelles et n'empecheront en rien le fonctionnement des sites:

Ce plan a même été décalé d'une version puisque la phase 'rouge' arrive avec Chrome 42 au lieu de 41.

On est avril 2015, les sites fonctionnement toujours, l'utilisateur n'est pas gêné (c'est uniquement visuel: Chrome 42 affiche du "rouge" mais ne bloque pas le site)
Ceux qui ont des SHA-1 a durée de vie courte ne sont pas impactés (par exemple: google.com est en SHA-1 a durée de vie de 3 mois)

Il faut quoi de plus ? franchement on peut pas en vouloir aux devs de Chrome dans cette histoire.

En plus la on en parle parce que c'est arrivé avec lafibre.info qui dépend d'un certif de Starcom. Si ce dernier avait correctement fait son job de CA on ne s'en serait même pas aperçu...et on en parlerai pas ici.

Le probleme est toujours le même: tout le monde sait qu'il faut agir mais quasi personne agit sauf sous la contrainte. L'objectif de Google est de forcer les CA a agir et a part certains comme Starcom ca a globalement marché avant d'arriver a la phase rouge. La phase rouge permet aux utilisateurs d'agir sur les sites qui agiront sur les CA. C'est hélas le seul moyen pour forcer certains a agir: attendre que l'utilisateur final se rend compte de quelque chose.

corrector · « **Réponse #49 le:** 19 avril 2015 à 18:21:20 »

Non.

Encore une fois, il n'y a PAS de problème ici.

Google ne fait PAS son job avec un logiciel à l'interface effrayante qui donne des signaux contradictoires.

turold · « **Réponse #50 le:** 19 avril 2015 à 18:23:31 »

Mozilla compte faire la même chose, mais un peu plus tard, dans Firefox.

Citer

We plan to implement these warnings in the next few weeks, so they should be appearing in released versions of Firefox in early 2015. We may implement additional UI indicators later. For instance, after January 1, 2016, we plan to show the “Untrusted Connection” error whenever a newly issued SHA-1 certificate is encountered in Firefox. After January 1, 2017, we plan to show the “Untrusted Connection” error whenever a SHA-1 certificate is encountered in Firefox.

https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

corrector · « **Réponse #51 le:** 19 avril 2015 à 18:37:37 »

Citation de: kgersen le 19 avril 2015 à 17:45:37

On est avril 2015, les sites fonctionnement toujours, l'utilisateur n'est pas gêné (c'est uniquement visuel: Chrome 42 affiche du "rouge" mais ne bloque pas le site)

Ben si, moi ça me gène.

J'ai même essayé de revenir en release 41, mais je n'avais plus accès à certaines données enregistrées.

Citation de: kgersen le 19 avril 2015 à 17:45:37

Ceux qui ont des SHA-1 a durée de vie courte ne sont pas impactés (par exemple: google.com est en SHA-1 a durée de vie de 3 mois)

Donc :
- la connexion potentiellement vulnérable à certains sites est présentée comme sûre
- la connexion sûre à lafibre est présentée comme vulnérable

Bel exploit!

kgersen · « **Réponse #52 le:** 19 avril 2015 à 19:39:41 »

Citation de: corrector le 19 avril 2015 à 18:37:37

Donc :
- la connexion potentiellement vulnérable à certains sites est présentée comme sûre
- la connexion sûre à lafibre est présentée comme vulnérable

Bel exploit!

C'est autant potentiellement vulnérable l'un que l'autre du moment qu'un sha-1 est dans le chemin.
La date courte/longue est justement le point clé de l'opération.
Le probleme de lafibre.info vient de Startcom et de Windows et pas de Chrome. D'ailleurs Chrome a permis de voir qu'il y avait un probleme: la possibilité d'un chemin terminant par un sha-2 avec un sha-1 en intermédiaire.

corrector · « **Réponse #53 le:** 19 avril 2015 à 19:56:10 »

Pourquoi est-ce que la limite pathlen n'est pas généralisée?

kgersen · « **Réponse #54 le:** 20 avril 2015 à 17:04:54 »

Un truc qui m'a fait sourire:

butler_fr · « **Réponse #55 le:** 20 avril 2015 à 17:46:01 »

le problème de tout ça c'est que l'utilisateur classique risque de s’habituer à voir du rouge dans la barre d’adresse !
et c'est pas bon du tout!

est qu'il n'y avait pas un autre moyen de faire ça ? (genre popup ou autre en laissant en orange ? )

corrector · « **Réponse #56 le:** 20 avril 2015 à 23:00:10 »

Mettre en rouge, c'est de l'activisme et c'est condamnable!

Macharius · « **Réponse #57 le:** 21 avril 2015 à 09:21:08 »

Ouais de toute façon les choix faits pour les navigateurs y'a toujours des trucs qui font chier...

J'ai hérité d'un framework un peu ancien qui utilisait la fonction showModalDialog... Elle n'existait que sur IE à l'origine mais elle avait été implèmenté par FF et Chrome jusqu'à ce qu'ils reviennent en arrière, m'obligeant à repenser toute cette partie du framework historique pour que mon appli continue de fonctionner.

Maintenant, je me retrouve à essayer de faire développer un plugin d'impression en Silverlight (je fais du raw printing) et je me heurte à NPAPI qui est annoncé comme supprimé de Chrome en septembre 2015. Du coup il faut que je trouve encore une autre solution pour remplacer ma solution Silverlight.

Bref, ils aiment bien pousser les développeurs d'applications Web à devoir changer constamment leurs solutions en oubliant un peu que tout cela a un coup et qu'il n'est pas toujours supportable !

Si ça continue je vais revenir à du client lourd... Au moins, les évolutions sont un peu moins fréquentes et il est plus facile de s'adapter...

kgersen · « **Réponse #58 le:** 21 avril 2015 à 14:32:55 »

Citation de: Macharius le 21 avril 2015 à 09:21:08

Ouais de toute façon les choix faits pour les navigateurs y'a toujours des trucs qui font chier...

J'ai hérité d'un framework un peu ancien qui utilisait la fonction showModalDialog... Elle n'existait que sur IE à l'origine mais elle avait été implèmenté par FF et Chrome jusqu'à ce qu'ils reviennent en arrière, m'obligeant à repenser toute cette partie du framework historique pour que mon appli continue de fonctionner.

Maintenant, je me retrouve à essayer de faire développer un plugin d'impression en Silverlight (je fais du raw printing) et je me heurte à NPAPI qui est annoncé comme supprimé de Chrome en septembre 2015. Du coup il faut que je trouve encore une autre solution pour remplacer ma solution Silverlight.

Bref, ils aiment bien pousser les développeurs d'applications Web à devoir changer constamment leurs solutions en oubliant un peu que tout cela a un coup et qu'il n'est pas toujours supportable !

Si ça continue je vais revenir à du client lourd... Au moins, les évolutions sont un peu moins fréquentes et il est plus facile de s'adapter...

Dans ton cas et pour tes 2 exemples le fautif est Microsoft.
Depuis que le web a été inventé, Microsoft a toujours essayé de le tuer. C'est son ennemi naturel qui menace son modèle: du client lourd sur un OS payant.
IE a été crée pour tuer Netscape et a réussi. Cela a conduit a une longue période de stagnation ("les années IE 6") avant que Chrome fasse bouger les choses a nouveau.
Silverlight a été crée pour tuer Java et Flash et a échoué donc MS l'abandonne.

Dans les 2 cas tu as choisi des produits 'web' fait par une boite donc le but est de tuer le 'web'... faut pas s'étonner.
conclusion: pour faire du web, ne jamais choisir de solutions qui dépendent de Microsoft.

Macharius · « **Réponse #59 le:** 21 avril 2015 à 15:12:47 »

Ouais enfin faut pas pousser non plus ASP.NET ils continuent de le faire vivre et ils vont même le rendre open source pour améliorer la compatibilité avec les plateformes du monde libre !

Après encore une fois, si quelqu'un est capable de me faire du raw printing sans utiliser Java ou Silverlight et qui soit crossbrowser (sous Windows au moins, nous ne garantissons pas la compatibilité sur les autres OS), je prends ! Mais pour avoir creuser un peu le sujet, il n'y a pas 50 possibilités ! Quand ton serveur génère des instructions à envoyer en l'état à une imprimante connectée au poste utilisateur, ça devient galère !

Pourquoi abandonné le support de quelque chose qui est encore largement utilisé ? Même Oracle pousse ses utilisateurs à changer de navigateur... de la à penser qu'ils n'ont pas l'intention de porter Java en NAtive Client il n'y a qu'un pas que j'ose franchir : https://java.com/en/download/faq/chrome.xml

Bref c'est une décision à la con de la part de Google qui veut exactement faire la même chose que celle que tu reproches à Microsoft à savoir tuer le marché avec ses propres outils (Native Client et/ou PPAPI en l'occurrence bien que je ne sois pas certain qu'on puisse faire exactement la même chose qu'avec NPAPI).

Conclusion : Pour faire du Web, vaut mieux qu'on ai pas trop besoin de 2.0 parce que c'est très très très très vite le bordel pour la compatibilité (et j'oublie certainement des très)

Conclusion 2 : Oui je suis remonté à cause de ce problème... Toutes les boîtes n'ont pas les moyens de Google et ne peuvent pas se permettre de changer de façon de faire tous les 3 mois quand l'envie prend à l'un ou l'autre des browsers de changer/supprimer une fonctionnalité de leur navigateur.