Journal HTTPS Everywhere

Posté par .
Tags : aucun
13
21
juin
2010
The Tor Project et l’Electronic Frontier Foundation ont créés une extension qui chiffre les connexions entre vous et les sites que vous visitez : HTTPS Everywhere.

Comment ça marche : En fait l'extension a une liste de sites ayant une interface HTTPS, et utilise cette interface à la place d'une connexion en claire, quand c'est possible.

C'est donc une extension qui permet d'utiliser HTTPS par défaut sur les sites qui le proposent.

Pour le moment ça fonctionne sur
  • Google Search
  • Wikipedia
  • Twitter
  • Facebook
  • The New York Times
  • The Washington Post
  • Paypal
  • EFF
  • Tor
  • Ixquick

et plein d'autres sites (d'après la page de l'extension).

Mais on peut ajouter ses propres règles, comme expliqué ici : https://www.eff.org/https-everywhere/rulesets

Personnellement j'ai ajouté celle-ci, pour que ça marche aussi sur Google.fr :

<ruleset name="GoogleFr">
<rule from="^http://(www\.)?google\.fr" to="https://google.fr"/>
</ruleset>


Et celle-ci, pour que ça marche sur LinuxFr:

<ruleset name="LinuxFr">
<rule from="^http://(www\.)?linuxfr\.org" to="https://linuxfr.org"/>
</ruleset>


Ces règles sont à placer dans les fichiers googlefr.xml et linuxfr.xml, dans le dossier HTTPSEverywhereUserRules de votre profile Firefox. Je suppose que l'extension s'améliorera sur ce point dans le futur.

La page de l'extension : https://www.eff.org/https-everywhere (ce journal en est une traduction partielle).
  • # Google

    Posté par (page perso) . Évalué à  8 .

    le https de Google redirige vers le http, pas super utile ...
    • [^] # Re: Google

      Posté par . Évalué à  6 .

      Pas chez moi. Google n'accepte les connexions HTTPS que depuis récemment, et comme d'habitude il commence par le .com pour les utilisateurs d'Amérique du nord, puis étend la fonctionnalité aux autres régions. C'est possible que Google n'accepte pas encore l'HTTPS chez toi ou que tu tombes sur un serveur pas synchro. Je ne vois pas d'autre explication :)
  • # Et les pseudo proxy ??

    Posté par (page perso) . Évalué à  1 .

    ça va m'empécher d'utiliser le script nph-proxy.pl qui me permet de surfer sur la toile depuis un poste bridé en entreprise :'(

    Non c'est définitive, je peux pas l'utiliser ;-)
    • [^] # Re: Et les pseudo proxy ??

      Posté par (page perso) . Évalué à  8 .

      Ça sera toujours utile à mon avis…

      Je viens de tester ici (au boulot )le https:// chez google : firefox m'alerte que le certificat n'est pas valide ! wtf ??

      En regardant le détail du certificat, je vois que celui-ci est émis par le logiciel proxy de l'entreprise : génial, une Attaque_de_l'homme_du_milieu au boulot !

      Je vais garder mon tunnel ssh en fait ! ^^
      • [^] # Re: Et les pseudo proxy ??

        Posté par . Évalué à  -6 .

        le fait qu'un proxy d'entreprise decode le flux SSL a la place du poste de travail me parait au contraire une bonne idée...
        En effet un poste de travail est plus facile a modifier qu'un serveur proxy, surtout a cause de l'interface chaise/clavier.
        Je serais donc pour laisser le proxy d'entreprise savoir quels sont les certificats valide et de n'installer qu'une seule autorité sur le poste.

        Autour de moi, les personnes qui ne connaissent pas Cacert ne se pose aucune questions quand je leur dit d'installer le certificat Cacert pour acceder a Dlfp en SSL !
        • [^] # Re: Et les pseudo proxy ??

          Posté par (page perso) . Évalué à  5 .

          ben comme ça tu as toujours une erreur SSL ... ça aide les utilisateurs à prendre l'habitude de cliquer "oui" les yeux fermés sur ces erreurs.

          Et comment l'utilisateur sait qu'il peut faire confiance au site ? Il a de toute façon une erreur. Qu'il soit sur le site de sa banque ou sur le site d'un criminel quelconque.

          Je crois que c'est le contraire d'une bonne idée, ça détruit complètement la sécurité ce système.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Et les pseudo proxy ??

            Posté par . Évalué à  2 .

            ben comme ça tu as toujours une erreur SSL

            Ca c'est quand c'est mal fait. quand c'est bien fait, le proxy genere à la volée un certificat signé par une autorité déployé par avance sur tout les postes.
            • [^] # Re: Et les pseudo proxy ??

              Posté par . Évalué à  1 .

              ben comme ça tu as toujours une erreur SSL

              Ca c'est quand c'est mal fait. quand c'est bien fait, le proxy genere à la volée un certificat signé par une autorité déployé par avance sur tout les postes.


              Ça oblige à déployer une autorité pirate sur tous les postes et à générer des faux certificats pour chaque site web visitable. Autant installer une version modifiée de Firefox qui ne vérifie plus la validité des certificats, ça sera moins fatiguant qu'organiser une telle fraude !
  • # regex

    Posté par . Évalué à  5 .

    Le véritable avantage de cette extension sur d'autres proposant des fonctionnalités équivalentes (ForceTLS ou le trop bedonnant NoScript), c'est de ne pas se limiter à transformer http et https dans les urls concernées. L'exemple des sites liés à wikimedia est très informatif à ce sujet:

    #cat Wikipedia.xml
    <!-- www.wikisomething.org is generally a valid
    domain containing general information on a project and is
    simply not available at all in HTTPS. Everything with a /wiki
    suffix, however, is a language-specific page that is available in
    HTTPS. Hence these rules avoid redirecting www.wikisomething.org,
    while redirecting all language-specific subdomains. If you
    navigate first to the WWW page, you could be vulnerable to SSL
    stripping, but if you succeed in submitting a query from there
    in a specific language without interference, you'll subsequently
    be protected. -->

    <ruleset name="Wikipedia">
    <exclusion pattern="^http://www\.wik(ipedia|inews|isource|ibooks|iquote|iversity)\.org/"/>
    <rule from="^http://([^@:/]+)\.wik(ipedia|inews|isource|ibooks|iquote|iversity|tionary)\.org/wiki/"
    to="https://secure.wikimedia.org/wik$2/$1/wiki/"/>
    <rule from="^http://([^@:/]+)\.wik(ipedia|inews|isource|ibooks|iquote|iversity|tionary)\.org/?$"
    to="https://secure.wikimedia.org/wik$2/$1/wiki/"/>
    <rule from="^http://(meta|commons|incubator|species|outreach|strategy|usability|wikimania|test|survey)\.wikimedia\.org/wiki/"
    to="https://secure.wikimedia.org/wikipedia/$1/wiki/"/>
    </ruleset>


    • [^] # Re: regex

      Posté par . Évalué à  2 .

      NoScript ? tu pensais pas plutot à GreaseMonkey ?
      • [^] # Re: regex

        Posté par . Évalué à  2 .

        non: dans l'onglet advanced et la rubrique https, tu peux également mettre en place une liste de domaine à accéder uniquement via https
        les scripts utilisés via greasemonkey ne sont pas efficaces en la matière puisque, si je ne me trompe pas, celui-ci charge d'abord la page non sécurisée avant d'executer ces scripts
        • [^] # Re: regex

          Posté par . Évalué à  3 .

          > non: dans l'onglet advanced et la rubrique https, tu peux également mettre en place une liste de domaine à accéder uniquement via https

          il est de plus en plus bloated, ce con. enfin bref.

          > les scripts utilisés via greasemonkey ne sont pas efficaces en la matière puisque, si je ne me trompe pas, celui-ci charge d'abord la page non sécurisée avant d'executer ces scripts

          en effet, la premiere serait en clair si elle est en http, mais les suivantes verraient tout leurs liens http reecrits en https.

          (enfin bon, je trouve tout cela assez overkill comparé à mon usage)
  • # Et chrom(e|ium) ?

    Posté par . Évalué à  -10 .

    A quand la même chose mais pour Chrome/Chromium ? :)

    Pacque, bon, c'est pas que Firefox soit lent et me bouffe toute ma RAM, mais presque.
    • [^] # Re: Et chrom(e|ium) ?

      Posté par . Évalué à  6 .

      Et les autres ? Epiphany, surtout ?

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Et chrom(e|ium) ?

      Posté par . Évalué à  2 .

      Je sais pas si c'est possible. Le principe de cette extension de protéger ta vie privée. Or, le but de chrome est de la violer [http://en.wikipedia.org/w/index.php?title=Google_Chrome&(...)]. Je rappelle aussi, que les problèmes de performances de Firefox seront bientôt résolus [https://wiki.mozilla.org/JaegerMonkey].

      Trêve de troll, la page de l'EFF précise :
      « There is a Chrome extension called KB SSL Enforcer which attempts to take that approach, but it does not appear to be implemented securely; when we tested it, it seemed to always use http before https, which means that your surfing habits and authentication cookies are not protected (this may be a limitation of the Chrome Extensions framework). »
      pour les anglophobes, voici ma traduction pourrie :
      « Il existe une extension Chrome appelée KB SSL Enforcer qui essaie d'avoir cette approche, mais elle ne semble pas être implémenté de façon sécurisée ; quand nous l'avons testée, il semblerait qu'elle utilise à chaque fois le HTTP avant HTTPS, ce qui signifie que vos habitudes de surf et les cookies d'authentifications ne sont pas protégés (ceci doit être une limitation du framework d'extensions Chrome [NdT¹ : comme quoi Chrome n'est vraiment pas fait pour protéger ta vie privée]). »

      ¹ Note du Trolleur

      Knowing the syntax of Java does not make someone a software engineer.

      • [^] # Re: Et chrom(e|ium) ?

        Posté par . Évalué à  1 .

        par contre Iron (navigateur basé sur chromium sans les espions google) , lui, protège la vie privée.
        [http://www.srware.net/en/software_srware_iron_chrome_vs_iron(...)]
        • [^] # Re: Et chrom(e|ium) ?

          Posté par . Évalué à  7 .

          Oui, enfin sauf que Iron il a commencé par ne pas fournir ses sources, et que encore aujourd'hui si tu les veux c'est par petits paquets sur Rapidshare. Pas tout à fait l'idée qu'on se fait d'un projet libre digne de ce nom.
        • [^] # Re: Et chrom(e|ium) ?

          Posté par (page perso) . Évalué à  4 .

          >Iron (navigateur basé sur chromium sans les espions google)

          Je pensais naivement que chrome = chromium + "les espions de google".

          .... et donc que chromium était clean de ce coté là.
          Ou pas?
      • [^] # Re: Et chrom(e|ium) ?

        Posté par . Évalué à  -1 .

        Chromium ne viole pas ta vie privée, contrairement à Chrome... et il protège ta RAM aussi :) (on est pas vendredi, ok, mais j'ai envie de croire que demain sera samedi)
      • [^] # Re: Et chrom(e|ium) ?

        Posté par . Évalué à  8 .

        Chrome ne viole pas ta vie privée puisque ses conditions d'utilisation stipulent que Google aura le droit de lui faire subir les derniers outrages.

        Google et la vie privée, c'est peut-être une belle histoire de consentement à l'insu de son plein gré mais certainement jamais du viol.

        BeOS le faisait il y a 15 ans !

    • [^] # Re: Et chrom(e|ium) ?

      Posté par (page perso) . Évalué à  2 .

      J'aurais tendance à dire que ça arriveras quand quelqu'un l'écriras, tout betement.

      La réponse des developpeurs du projet tor au sujet du projet TorButton a toujours été "nous n'avons pas les ressources pour auditer plusieurs navigateurs contre les problèmes d'anonymat, mais nous acceptons les contributions et nous sommes prêt à aider un peu".
  • # L'extension ne chiffre pas

    Posté par (page perso) . Évalué à  8 .

    une extension qui chiffre les connexions entre vous et les sites que vous visitez

    N'importe quoi. Cette extension ne chiffre rien du tout, elle force l'utilisation d'une connexion chiffrée lorsque c'est possible. Merci d'ailleurs de l'avoir expliqué, parce que dans les articles qui en parlent, tout comme sur la page dédiée, on ne comprend rien à ce que fait vraiment cette extension, ce qui est très ennuyeux lorsqu'il s'agit de logiciels de sécurité.
    • [^] # Re: L'extension ne chiffre pas

      Posté par . Évalué à  -2 .

      Oh, arrête de faire ton connard amer STP

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: L'extension ne chiffre pas

      Posté par . Évalué à  3 .

      Ça c'était la première phrase du journal et comme tu le fais remarquer j'explique ensuite ce que fait vraiment l'extension.

      J'ai effectivement vu plusieurs dépêches sur d'autres sites qui ne donnaient pas beaucoup de précisions à ce sujet.

      La page de l'extension explique aussi ce qu'elle fait vraiment, mais il faut lire jusqu'au deuxième paragraphe, et même jusqu'au troisième ! :)

      Many sites on the web offer some limited support for encryption over HTTPS, but make it difficult to use. For instance, they may default to unencrypted HTTP, or fill encrypted pages with links that go back to the unencrypted site.

      The HTTPS Everywhere extension fixes these problems by rewriting all requests to these sites to HTTPS.
      • [^] # Re: L'extension ne chiffre pas

        Posté par (page perso) . Évalué à  3 .

        Ça c'était la première phrase du journal et comme tu le fais remarquer j'explique ensuite ce que fait vraiment l'extension.

        Oui, c'est une bonne chose. Mais il eût été préférable de mettre en accroche une phrase seulement approximative comme « cette extension permet de chiffrer les communications… » plutôt qu'une phrase franchement fausse et trompeuse comme « cette extension chiffre ».

        Fausse, parce que l'extension ne chiffre pas. Et trompeuse, parce qu'elle donne l'impression qu'elle ajoute une couche de chiffrement entre son navigateur et Dieu sait qui, genre un proxy SSL externe, ce qui serait une drôle de centralisation.
  • # Enregistrement des recherches

    Posté par . Évalué à  2 .

    Ça tombe bien, une directive européenne risque d'imposer l'enregistrement de toutes les recherches sur les moteurs de recherche.

    La cible de cette directive, dont l'application a été étendue, sont bien évidement les pédophiles et les auteurs de harcèlements sexuelles.

    http://pro.clubic.com/legislation-loi-internet/actualite-348(...)

    The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

    • [^] # Re: Enregistrement des recherches

      Posté par . Évalué à  4 .

      Chiffrer l'échange de données entre ton ordinateur et le serveur n'empêchera pas ce dernier de voir les données en clair: si c'était le cas, il aurait du mal à répondre aux requêtes de ton navigateur.
      moralité: ne pas confondre sécurité et protection de la vie privée
      • [^] # Re: Enregistrement des recherches

        Posté par . Évalué à  2 .

        Il y a les moteurs de recherche qui n'enregistrent pas les IP (ou qui prétendent ne pas le faire), comme Ixquick, et les sites qui servent intermédiaires (genre scroogle) empêchant le vilain site archiveur de savoir qui se trouve réellement derrière la requête.

        Moralité : je ne confonds pas.

        The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

  • # Intérêt d'HTTPS ?

    Posté par . Évalué à  -5 .

    Je me demande bien à quoi sert HTTPS pour un site comme DLFP, à part peut-être cacher son pseudo (et encore, en correlant les heures des requêtes avec celles des commentaires postés il doit pas être bien difficile d'identifier d'où vient un commentaire, même crypté).
    • [^] # Re:Intérêtd'HTTPS ?

      Posté par . Évalué à  8 .

      Peut-être à éviter de voir passer son mot de passe ou son cookie en clair…
    • [^] # Re: Intérêt d'HTTPS ?

      Posté par . Évalué à  -3 .

      Et quel est l'intérêt de HTTPS pour Wikipédia ?

      À cacher les pages que je lis ? Leur nom est dans l'URL !

      À cacher mon pseudo pour l'édition de Wikipédia ? Même remarque que plus haut, avec l'URL et l'heure de soumission, on découvre immédiatement le pseudo.
      • [^] # Re: Intérêt d'HTTPS ?

        Posté par (page perso) . Évalué à  6 .

        l´url est chiffrée aussi
      • [^] # Re: Intérêt d'HTTPS ?

        Posté par . Évalué à  3 .

        L'URL ne transite pas en clair avec HTTPS, seul ne nom du serveur ne peut pas être caché (sinon la requête ne peut pas être acheminée). Par contre en connaissant ne serait-ce que la taille des échanges il est parfois possible de retrouver quel page a été visitée.

        Voir par exemple http://www.freehaven.net/anonbib/cache/TrafHTTP.pdf
        • [^] # Re: Intérêt d'HTTPS ?

          Posté par . Évalué à  2 .

          Merci aux deux personnes ayant répondu ! Maintenant je comprends l'intérêt du serveur secure.wikimedia.org.
        • [^] # Re: Intérêt d'HTTPS ?

          Posté par (page perso) . Évalué à  2 .

          Sur un site comme linuxfr ou wikipedia ou tout est très dynamique, ça doit être compliqué à réaliser.

          Envoyé depuis mon lapin.

        • [^] # Re: Intérêt d'HTTPS ?

          Posté par (page perso) . Évalué à  1 .

          Non le nom du serveur ne transite pas, tu peux seulement connaître l'ip du serveur avec lequel la personne communique (et le port).

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Intérêt d'HTTPS ?

            Posté par (page perso) . Évalué à  2 .

            le nom du serveur ne transite pas

            En pratique, ça ne change pas grand-chose, parce-que du coup le serveur doit répondre en HTTPS avant de savoir avec quel nom il est consulté, donc en HTTPS : 1 IP = 1 nom.
            • [^] # Re: Intérêt d'HTTPS ?

              Posté par . Évalué à  3 .

              Et les certificats "wildcards"?
            • [^] # Re: Intérêt d'HTTPS ?

              Posté par (page perso) . Évalué à  3 .

              Le certificat peut embarquer plusieurs noms comme prévu par la RFC 3280 (et la RCF 2459 avant elle (janvier 99)) en utilisant l'extension "subjectAltName".
              Donc non. Dire 1 IP = 1 nom, c'est comme dire 1 caractère = 1 octet !

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Intérêt d'HTTPS ?

                Posté par (page perso) . Évalué à  2 .

                Oui, j'avais oublié ça parce-que ça implique du coup que tous les noms partagent le même certificat. Je répondais en réaction à tu peux seulement connaître l'ip du serveur avec lequel la personne communique (et le port), or avec HTTPS, on connaît le certificat en plus (mais effectivement pas directement le nom).

                Donc ne pas voir transiter le nom n'apporte pas de confidentialité supplémentaire, on sait quand-même chez qui tu consultes les infos (le même détenteur du certificat), alors qu'avec la seule IP, sur des serveurs mutualisés ça serait très différent. Seulement dans ce cas, HTTPS offrirait plus de confidentialité que le nom qui circule en clair, ce n'est pas le cas, donc sans minimiser l'intérêt d'HTTPS, il n'apporte rien de ce côté là (même si ma réponse trop rapide était fausse).
                • [^] # Re: Intérêt d'HTTPS ?

                  Posté par (page perso) . Évalué à  2 .

                  Il apporte quelque chose de ce côté là. Tu peux savoir que la machine M c'est connecté au serveur S qui peut être weloveourdictator.org ou deathtothedictator.org !

                  Et là ça fait déjà une monstre différence, de plus tu peux même pas dire que le trafic vient originellement de la machine M puisqu'il s'agit d'un noeud de sortie tor et tu peux pas savoir si le trafic est pour le serveur S car celui-ci peut être un proxy vers le serveur S2 (killthedictator.org).

                  Donc tu sais que tu as un flux de données entre M et S. Tu sais pas ce qui se passe avant M et ce qui se passe après S.

                  Finalement, avec l'usage des certificats clients, il est possible d'avoir un site totalement différent suivant que tu es agréé ou pas. Peut-être qu'en aillant un certificat accepté par wikipedia, tu trouves un site pour prendre le contrôle du monde en faisant de la désinformation ...

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Intérêt d'HTTPS ?

                    Posté par (page perso) . Évalué à  2 .

                    au serveur S qui peut être weloveourdictator.org ou deathtothedictator.org
                    Si les deux sont obligés d’utiliser le même certificat et donc doivent appartenir à la même personne, ça limite vraiment les possibilités de cacher un site derrière un autre (je vois mal les torturés monter un site avec leurs bourreaux pour garantir que ni les uns ni les autres ne savent qui regarde quoi, surtout que le détenteur du certificat peut tout déchiffrer, c'est ballot).

                    À part l’exemple de Wikipedia qui n’est qu’une vitrine vers une console de contrôle du monde, tu as des exemples où la confusion entre plusieurs noms possible peut apporter quelque-chose concrètement ?

                    Bon, dès ce soir, je commence à me générer des certificats clients pour Wikipedia, ce sera peut-être long par force brute, mais si ce que tu dis est vrai, le jeu en vaut la chandelle… ☺
          • [^] # Re: Intérêt d'HTTPS ?

            Posté par . Évalué à  3 .

            Si si le nom du serveur transite en clair, justement pour permettre le virtual hosting : https://secure.wikimedia.org/wikipedia/en/wiki/Server_Name_I(...)
            • [^] # Re: Intérêt d'HTTPS ?

              Posté par . Évalué à  2 .

              Tout le monde ne le gère pas encore, SNI. Loin s'en faut. Mais effectivement, à terme ce sera le cas.
              • [^] # Re: Intérêt d'HTTPS ?

                Posté par . Évalué à  2 .

                La liste des navigateurs qui supportent SNI d'après wikipedia est quand même assez grande et doit représenter plus de 95% des utilisateurs. Firefox 2, IE 7, Opera 8, Chrome, Safari.

                Le nom du serveur est envoyé par le client dans son premier paquet, « Client Hello », lors du hand-shake (même si le serveur ne le gère pas, puisque le client ne le sais pas).
                • [^] # Re: Intérêt d'HTTPS ?

                  Posté par . Évalué à  2 .

                  Oui, c'est vrai que le support est plus difficile à obtenir côté serveur que côté client (pour une fois?). Au temps pour moi.
    • [^] # Re: Intérêt d'HTTPS ?

      Posté par (page perso) . Évalué à  4 .

      A mouler tranquille au boulot ?
      • [^] # Re: Intérêt d'HTTPS ?

        Posté par . Évalué à  -1 .

        Qu'est ce que t'appelles mouler tranquille ? A mon avis ça change rien pour le coup HTTPS ou HTTP.
  • # Ruleset Google Fr

    Posté par . Évalué à  1 .

    Salut,

    Y'a que chez moi que la règle GoogleFR rend la boite de recherche Firefox inopérante ? Ça ouvre l'accueil Google au lieu de faire la recherche...
    • [^] # Re: Ruleset Google Fr

      Posté par . Évalué à  3 .

      Tu trouveras sur le site des extensions de Mozilla des mises à jour pour accéder directement en https Google, Lxquick et DuckDuckGo depuis la boite de recherche.

      https://addons.mozilla.org/fr/firefox/search?q=ssl&cat=4(...)

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.