<br><br><div class="gmail_quote">2009/6/30 David MENTRE <span dir="ltr"><<a href="mailto:dmentre@linux-france.org">dmentre@linux-france.org</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Salut Vincent,<br>
<br>
Le 30 juin 2009 12:21, Vincent MEURISSE<<a href="mailto:osm-talk-fr@meurisse.org">osm-talk-fr@meurisse.org</a>> a écrit :<br>
> Sinon c'est quoi l'intérêt de https pour toi ?<br>
<br>
Je pense que *tout* le trafic web devrait être en HTTPS : banque,<br>
achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter<br>
que mon employeur, mon ISP[1], le gouvernement ou mon voisin de<br>
hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que<br>
j'achète.<br>
</blockquote><div><br>Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors, parce que utiliser https n'est pas gratuit. A la limite, tu peux acheter un serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même prix. De plus, récemment, il y a eus des attaques man in the middle sur SSL lie a la fonction de hash.<br>
Le proxy que j'utilise au boulot est capable justement d'intercepter le https et de signer avec son propre certificat. C'est hyper pratique pour debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se généralise. Tu sauras juste que le certificat est remplace. De plus, avec la loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes les différentes administrations) demandent la clé pour déchiffrer ce qu'ils veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre ça, ils pourront s'ils en font la demande au site.<br>
Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe quoi. Ils seront toujours capables de savoir ce que tu lis. Il existe une chose nommée url qui généralement donne beaucoup d'information sur le site sur lequel on va même si c'est en https......<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
Partiellement d'accord. Oui les certificats auto-signés c'est pas la<br>
panacée. Mais c'est mieux que de tout passer en clair. C'est quand<br>
même incroyable qu'il soit plus facile de passer un mot de passe en<br>
clair (l'authentification dans OSM par exemple) qu'avec une connexion<br>
chiffrée avec un certificat auto-signé !</blockquote><div><br>Il est clair que le fait qu'OSM n'utilise pas un certificat pour se logger est léger.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
Et si ta banque a un certificat auto-signé, change de banque. ;-)<br>
(même si, sur le fond, je ne trouve pas un certificat Verisign<br>
beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié<br>
l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y<br>
comprend que dalle et ne fait même pas la distinction entre HTTP et<br>
HTTPS.</blockquote><div><br>Tout dépend de la fonction de Hash que tu utilises :) Firefox a un mechanisme pour détecter certaines incohérences sur les certificats qui a tendance a repérer certains certificats auto signes.<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
Sur le fond, la bonne solution sera peut-être d'authentifier les<br>
certificats par le DNS, une fois que DNSSEC sera répandu.<br>
</blockquote><div><br>On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou PGP) distribues par le DNS :) D'ailleurs il va falloir que je trouve un script pour rajouter le support GPG sur gmail.<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>[1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et<br>
analysent quelques connexions IP noyées dans un flux au gigabit.<br>
</blockquote></div><br>Le DPI est la parmi nous pour y rester.<br><br>Emilie Laffray<br>