Journal CloudFlare au milieu

Posté par (page perso) . Licence CC by-sa
57
6
oct.
2015

Cela faisait quelque temps que je voulais écrire à propos de CloudFlare, une boîte américaine qui est de plus en plus omniprésente sur Internet. Deux événements récents m'ont finalement fait m'atteler à la tâche :

  1. La consultation publique du gouvernement sur la loi sur le numérique, https://republique-numerique.fr qui pour je ne sais quelle raison, a décidé de passer par CloudFlare
  2. Le fait que Google, Microsoft, Qualcomm et Baidu aient investit $110 millions

CloudFlare, c'est quoi ?

CloudFlare, c'est une boîte américaine (...)

CVE-2014-3566 — Vulnérabilité POODLE

32
17
oct.
2014
Sécurité

Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

Journal Des trusted proxies dans HTTP/2.0

Posté par . Licence CC by-sa
32
25
fév.
2014

Ericsson et AT&T travaillent avec zèle au développement d'un web meilleur, d'un web plus sûr, d'un web avec des "proxies de confiance" capables de désencapsuler le trafic de connexions HTTPS des clients qu'ils servent. Les mauvaises langues qualifient déjà leur dernier draft commun de proposition dangereuse pour l'introduction de man-in-the-middle dans HTTP/2.0, mais ce sont de mauvaises langues… Les auteurs ont d'ailleurs consacré une section entière du document (section 7) aux problèmes soulevés en terme de vie privée.

https://tools.ietf.org/html/draft-loreto-httpbis-trusted-proxy20-01