Suivi - Autres Support de HSTS

#437 Posté par . État de l'entrée : invalide
Tags : aucun
2
26
avr.
2011

Serait-il possible de gérer HSTS sur linuxfr afin de ne plus avoir à vérifier que l'on utilise bien la version sécurisé même sans l'extension de "HTTPS Everywhere" de Firefox ?

  • # Non

    Posté par (page perso) . Évalué à 4 (+0/-0).

    Non, ce n'est pas possible. D'une part, nous ne voulons pas forcer tous nos utilisateurs à passer en HTTPS, d'autre part, cela pose de sérieux problèmes.

    Nous utilisons un certificat CaCert, qui n'est pas reconnu par défaut par la plupart des navigateurs. Avec HSTS, quand un navigateur voit un certificat qui ne lui semble pas valide, il affiche une page blanche au lieu de la page d'avertissement qui permet d'ajouter le certificat !

    À la place, nous utilisons une technique à base de cookies. Quand quelqu'un se connecte depuis la version HTTPS du site, ses cookies sont en mode secure. Cela veut dire qu'ils ne sont envoyés que quand on se connecte en HTTPS, pas en HTTP. Un autre cookie https, pas _secure celui-là, est également ajouté. Quand ce cookie est présent et que l'utilisateur demande une page en HTTP, il est automatiquement redirigé vers la page équivalent en HTTPS.

    Ainsi une personne qui s'est connecté en HTTPS peut utiliser le site normalement sans que son cookie de session ne circule en clair. Cela n'apporte pas autant les mêmes gages de sécurité que HSTS, mais est bien moins contraignant à mettre en place.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.