<br><br><div class="gmail_quote">2009/6/30 Emilie Laffray <span dir="ltr"><<a href="mailto:emilie.laffray@gmail.com">emilie.laffray@gmail.com</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><br><div class="gmail_quote">2009/6/30 David MENTRE <span dir="ltr"><<a href="mailto:dmentre@linux-france.org" target="_blank">dmentre@linux-france.org</a>></span><div class="im"><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Salut Vincent,<br>
<br>
Le 30 juin 2009 12:21, Vincent MEURISSE<<a href="mailto:osm-talk-fr@meurisse.org" target="_blank">osm-talk-fr@meurisse.org</a>> a écrit :<br>
> Sinon c'est quoi l'intérêt de https pour toi ?<br>
<br>
Je pense que *tout* le trafic web devrait être en HTTPS : banque,<br>
achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter<br>
que mon employeur, mon ISP[1], le gouvernement ou mon voisin de<br>
hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que<br>
j'achète.<br>
</blockquote></div><div><br>Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors, parce que utiliser https n'est pas gratuit. A la limite, tu peux acheter un serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même prix. De plus, récemment, il y a eus des attaques man in the middle sur SSL lie a la fonction de hash.</div>
</div></blockquote><div><br>Oui enfin un exploit sur md5... ça fait qq années qu'on sait qu'il y a mieux... et quand tu génères un ca aujourd'hui, tu ne le fais pas avec md5.<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="gmail_quote"><div><br>
Le proxy que j'utilise au boulot est capable justement d'intercepter le https et de signer avec son propre certificat. C'est hyper pratique pour debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se généralise. Tu sauras juste que le certificat est remplace. De plus, avec la loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes les différentes administrations) demandent la clé pour déchiffrer ce qu'ils veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre ça, ils pourront s'ils en font la demande au site.<br>
Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe quoi. Ils seront toujours capables de savoir ce que tu lis. Il existe une chose nommée url qui généralement donne beaucoup d'information sur le site sur lequel on va même si c'est en https......</div>
</div></blockquote><div><br><br>Je pense que ce qu'il sous-entendais là c'était chiffrer la partie login pour commenter un billet, pas vraiment la lecture d'un post.<br>Sachant que 98% des utilisateurs mettent le même passwd partout, je ne trouve pas ça si déconnant...<br>
<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="gmail_quote"><div><br>
</div><div class="im"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
Partiellement d'accord. Oui les certificats auto-signés c'est pas la<br>
panacée. Mais c'est mieux que de tout passer en clair. C'est quand<br>
même incroyable qu'il soit plus facile de passer un mot de passe en<br>
clair (l'authentification dans OSM par exemple) qu'avec une connexion<br>
chiffrée avec un certificat auto-signé !</blockquote></div><div><br>Il est clair que le fait qu'OSM n'utilise pas un certificat pour se logger est léger.<br> </div><div class="im"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
Et si ta banque a un certificat auto-signé, change de banque. ;-)<br>
(même si, sur le fond, je ne trouve pas un certificat Verisign<br>
beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié<br>
l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y<br>
comprend que dalle et ne fait même pas la distinction entre HTTP et<br>
HTTPS.</blockquote></div><div><br>Tout dépend de la fonction de Hash que tu utilises :) Firefox a un mechanisme pour détecter certaines incohérences sur les certificats qui a tendance a repérer certains certificats auto signes.</div>
</div></blockquote><div><br>Je ne suis pas tout à fait d'accord :)<br>Mde Michu a appris à regarder le petit cadenas et la barre d'URL jaune lorsqu'elle fait ses achats en ligne je pense. Ce qui se cache derriere, effectivement elle n'a pas à le savoir. Aujourd'hui on va plus loin en affichant l'autorité avec les CA SSL E.<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="gmail_quote"><div><br>
</div><div class="im"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
Sur le fond, la bonne solution sera peut-être d'authentifier les<br>
certificats par le DNS, une fois que DNSSEC sera répandu.<br>
</blockquote></div><div><br>On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou PGP) distribues par le DNS :) D'ailleurs il va falloir que je trouve un script pour rajouter le support GPG sur gmail.</div>
</div></blockquote><div> </div><div>FireGPG.<br><br>Mais, ne l'utilise que de puis un client en IMAP... car FireGPG chiffre et signe à l'envoie, donc ton mail est en clair dans la partie Draft et autosaved de gmail.<br>
<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="gmail_quote"><div><br>
</div><div class="im"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>[1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et<br>
analysent quelques connexions IP noyées dans un flux au gigabit.<br>
</blockquote></div></div><br>Le DPI est la parmi nous pour y rester.<br><font color="#888888"><br>Emilie Laffray<br>
</font><br>_______________________________________________<br>
Talk-fr mailing list<br>
<a href="mailto:Talk-fr@openstreetmap.org">Talk-fr@openstreetmap.org</a><br>
<a href="http://lists.openstreetmap.org/listinfo/talk-fr" target="_blank">http://lists.openstreetmap.org/listinfo/talk-fr</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Steven Le Roux<br>Jabber-ID : <a href="mailto:Steven@jabber.fr">Steven@jabber.fr</a><br>0x39494CCB <<a href="mailto:steven@le-roux.info">steven@le-roux.info</a>><br>
2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB<br>