Toi aussi, quand tu va voir Le Site Du Bien, DLFP, tu oublies de mettre ce SATANÉ https devant, pour plein de raisons débiles et complètement non valables du genre tu utilises un agrégateur, habitude, polio ou présence d'éthanol dans le sang. Même si tu as un mot, ça passe pas.
Et bien j'ai la solution pour toi. En effet, dans un laboratoire obscur, un chercheur éminent et absolument génial, c'est à dire moi, a concocté un petit script Greasemonkey que c'est que comme on les aime bien et qui vous mâchera le travail. Vous ne vous imaginez sûrement pas à quel point vous êtes chanceux ! (et combien je suis modeste, par ailleurs)
Le script top moumoute : http://userscripts.org/scripts/show/25713
Journal Toi aussi, tu en as marre d'oublier le https
1
mai
2008
# Testé et approuvé
Posté par Valérianne (site web personnel) . Évalué à 2.
Je viens de l'installer c'est nickel.
# et pourquoi https ?
Posté par modr123 . Évalué à -10.
stop au pdf,odt,docmachin dans les pages web vive le html
c'est quoi le truc que ses format hiddeux peuvent faire que le html ne permets pas ?
[^] # Re: et pourquoi https ?
Posté par B16F4RV4RD1N . Évalué à 2.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à 5.
PS: Ce commentaire ainsi que le cookie utilisé pour authentifier l'utilisateur a été transmis en clair. Et alors ?
[^] # Re: et pourquoi https ?
Posté par Benjamin Lannoy . Évalué à 2.
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 10.
En ce qui me concerne, linuxfr n'est pas un des sites pour lesquels je pense que l'https est le plus utile, mais c'est un des rares sites non sensibles qui le propose. J'ai tendance à penser que tout le web devrait être en https, ne serait-ce que parce que je n'ai pas envie que mon provider fasse des stats sur le contenu des pages que je visite, ou autres observations de ce genre. Ce n'est pas une question de vie et de mort, c'est juste que si je devais concevoir un équivalent du web aujourd'hui, je ferais en sorte que les connexions soient toutes chiffrées.
De même, j'aimerais bien que mon provider me fournisse un serveur mails auquel je puisse accéder par une connexion chiffrée, simplement parce que je ne vois pas pourquoi tout ça devrait transiter en clair. Ce n'est que par flemme que je n'ai pas mis en place mon propre serveur répondant à cette envie.
Linuxfr fait plaisir à ma flemme. Merci linuxfr.
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à 2.
Et c'est très bien.
> je ferais en sorte que les connexions soient toutes chiffrées.
Calmos sur la parano. https a aussi un coût. Coût cpu, pas de mise en cache (donc pas de proxy cache).
[^] # Re: et pourquoi https ?
Posté par Benjamin Lannoy . Évalué à 4.
Avec les navigateurs basés sur Gecko : about:config > browser.cache.disk_cache_ssl
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 10.
Ce qui me gène dans cette approche de la question, c'est qu'on présuppose que le comportement normal est de ne rien chiffrer. Du coup, si on désire chiffrer quelque chose, c'est soit qu'on est parano soit qu'on a quelque chose à se reprocher.
Je n'ai pas plus l'impression d'être parano quand je choisis d'utiliser linuxfr en https que lorsque je choisis de mettre une enveloppe autour d'une carte postale que j'envoie.
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à -1.
Il parlait de TOUT chiffrer.
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 4.
Je suis sûr que ça ne te choque pas de savoir que tes communications téléphoniques sont chiffrées entre ton téléphone et le relai de ton opérateur.
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à 0.
Qu'es-ce que ça t'apporte si ta distribution favorite est en download chiffré par défaut ?
> Je suis sûr que ça ne te choque pas de savoir que tes communications téléphoniques sont chiffrées entre ton téléphone et le relai de ton opérateur.
Ce qui n'a rien à voir. Il y a des serveurs publics, les communications téléphoniques ne sont pas publics.
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 8.
Ça m'apporte que si je télécharge un truc de 600 Mo, mon provider ne sait pas si c'est un film téléchargé illégalement ou un logiciel libre téléchargé gratuitement. Je ne suis pas forcément opposé à ce que ce soit déchiffrable par les forces de l'ordre en cas de besoin, mais le traffic que je produis ne devrait pas être consultable directement par l'admin stagiaire d'orange.
Même si ça ne m'apportait rien que ce type d'utilisation spécifique soit chiffré, ça ne change rien à ma conviction que le traffic devrait par défaut être chiffré. Tout réside dans le "par défaut". Aujourd'hui on fonctionne à l'envers, tout est en clair et on décide au cas par cas de sécuriser. Il me semblerait préférable que tout soit sécurisé par défaut, et que l'on décide au cas par cas de relâcher la sécurité quand on en a besoin.
C'est d'ailleurs ce qu'on peut faire en utilisant privoxy/tor et une whitelist. Malheureusement, Tor est lent et j'ai un peu l'impression de prendre un marteau piqueur pour tuer une mouche, une simple couche de crypto me suffirait.
(Tout ça, c'est beaucoup de discution pour pas grand chose, je m'arrête donc là...)
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à -2.
Ben voila, la parano.
En passant, s'il est admin il a probablement accès au log. Et il y a aussi des log pour ssl.
Ton égo va en prendre un coup, mais pour des données librement downloadable, l'admin (stagiaire ou pas) d'Orange en a rien à foutre de toi.
> Aujourd'hui on fonctionne à l'envers, tout est en clair et on décide au cas par cas de sécuriser.
On peut tout aussi estimer légitimement que tout fonctionne à l'endroit.
Un monde où tout doit être chiffré (par défaut) est un monde à l'envers.
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 2.
J'ai pris note de ta position et de ton mépris, je ne souhaite pas te faire perdre ton temps en t'obligeant à les répéter. D'autre part rassure-toi, mon égo reste intact. Bonne continuation, et au plaisir de te lire (en clair) dans tes prochains commentaires.
[^] # Re: et pourquoi https ?
Posté par IsNotGood . Évalué à 2.
Je n'avais pas remarqué que ça disait que le monde était à l'envers... que ça mélangeait un domaine toujours confidential (le téléphone) avec le web (qui n'est pas toujours confidential) ... etc.
Merci de ses précisions, je vais le relire avec plus d'attention.
[^] # Re: et pourquoi https ?
Posté par ☂ Tramo . Évalué à 2.
Mais c'est comme ça depuis la nuit des temps !
Prenons par exemple un moyen de communication qui tend à tomber en désuétude mais qui connut son heure de gloire en son temps : la parole. Cherche-t-on par défaut à se protéger des oreilles malveillantes, par exemple quand on parle du film de la veille, du petit dernier qui fait ses dents, ou qu'on cherche à savoir qui a finit la plaquette de beurre salé ? Non (ou alors il faut consulter de toute urgence) ! C'est seulement quand on va raconter des détails compromettants sur le chef, des ragots sur la voisine, des compliments sur la poitrine d'une passante, ou des histoires qui tombent sous le coup de la loi, qu'on va s'efforcer d'être discret (enfin, ça n'est pas le cas de tout le monde, il y a partout des gens qui manquent de savoir vivre ou qui aiment prendre des risques...).
Bref, pourquoi ce bon vieux principe qui a fait ses preuves et qu'on met en œuvre tous jours en public depuis notre plus tendre enfance devrait subitement remis en question ?
La société que nous construisons n'est-elle pas déjà assez individualiste pour que nous cherchions à toujours agir sans être vu de ses voisins ? Et ses individus sont-ils tellement courageux qu'ils refusent d'assumer les propos qu'ils peuvent tenir en public, auprès d'un improbable stagiaire d'un opérateur télécom qui pourrait tomber sur leur prose ?
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 3.
La plupart des gens, lorsqu'ils envoient du courrier, mettent une enveloppe. Pas seulement quand ils veulent raconter des détails compromettants sur le chef. J'avancerais même que la plupart d'entre eux ne réfléchit pas avant de mettre une enveloppe, mais serait outré si tout d'un coup le gouvernement interdisait les enveloppes et obligeait tout le monde à utiliser des cartes postales. Donc, quelque part, les gens tiennent à leur vie privée.
Pourquoi cette différence entre courier écrit et parole ? Peut-être parce que quand on parle à quelqu'un, en regardant autour de soi on peut évaluer simplement la probabilité d'être entendu par d'autres gens. On ne peut pas faire ça lorsqu'on envoit du courier, on ne peut pas faire ça sur Internet. Peut-être aussi parce qu'il n'est généralement pas pratique de s'isoler lorsqu'on parle avec quelqu'un.
Dans la plupart des cas, la crypto, c'est comme une enveloppe: ça n'a aucune conséquence négative et, même si ce n'est pas un rempart contre quelqu'un de très motivé, c'est un obstacle pour ceux qui ne sont pas des espions, mais qui auraient bien jeté un oeil sur ton courier, simplement par curiosité.
Je suis persuadé que si on demandait aux gens: "voulez-vous que vos communications transitent en clair ou en chiffré, sachant que vous ne verrez pas la différence ?", ils opteraient pour le chiffrement.
[^] # Re: et pourquoi https ?
Posté par ☂ Tramo . Évalué à 2.
- Deuxièmement, une enveloppe n'offre aucune protection réelle ! Il m'est arrivé (et également à mon entourage) de recevoir des courriers déjà ouverts (sympa, la Poste, ils me font gagner quelques secondes !) Les enveloppes craft au format A5 envoyées en début de mois avec cachet d'une société sont de bonnes candidates à l'ouverture (les tickets resto, ça dépanne...). Il m'est aussi arrivé de ne pas recevoir une dizaine de factures d'un opérateur télécom différent du descendant des PTT. L'enveloppe a-t-elle protégé ma vie privée ? Ça peut donc paraitre paradoxal, mais à cause de maillons de la chaîne qui ont peu de conscience professionnelle, le secret d'une correspondance est mieux protégé sans enveloppe qu'avec ! (Bah oui, personne ne va s'attarder sur une innocente carte postale, alors qu'un courrier qu'on a cherché à protéger commencera à susciter les convoitises...)
[^] # Re: et pourquoi https ?
Posté par Thomas Douillard . Évalué à 2.
Sur Internet, elle est quasi nulle ... le volume d'info est énorme, si "on" surveille les correspondances, on le fera par un système de mot clé, si on s'intéresse à toi pour du marketting, on récupèrera ton adresse parce que tu a rempli un formulaire dans un sujet connexe et/ou parce que tu as coché la mauvaise case, voire à cause d'un mot clé dans un mail.
Et "on" se contrefiche de toi en particulier ou des détails de ta vie privée.
Exemple con: si tu est gay, tu tiens pas forcément à ce que ça se sache. À moins de quelqu'un de "proche" de toi, genre l'admin de ta boîte qui lirait tes mails et irait divulguer l'info par malveillance parce qu'il t'aime pas, tout le monde s'en fout, sauf peut être pour t'envoyer de la pub ciblée.
Bref, les infos "sensibles", digne d'être surveillées en gros, sont plutôt rares en réalité.
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 3.
C'est la même opposition que celle entre blacklist et whitelist en sécurité. Tous les gens qui parlent de sécurité s'accordent à dire que les whitelists sont la seule solution crédible.
Ici, la blacklist, c'est HTTP en général et HTTPS quand on veut de la sécurité. La whitelist, ce serait HTTPS en général et HTTP quand on ne veut pas de sécurité. La seule objection à un système de whitelist, c'est "oh ben moi j'm'en fiche, personne en veut à mes communications". On admet que c'est mieux, mais on postule que ce n'est pas nécessaire.
Curieusement, alors que peu de gens s'offusquent que leurs mots de passe sur myspace (au hasard) transitent en clair, ils ne tolèreraient pas ça sur le site de leur banque. C'est idiot, d'autant plus que beaucoup de gens utilisent le même mot de passe partout.
De la même manière, beaucoup de gens aiment bien avoir la garantie que quand ils cliquent sur un lien, ils tombent bien sur le site qu'ils veulent. En réalité, très peu de gens sont prêts à concevoir que ça puisse ne pas être le cas. C'est pour ça que le phishing marche aussi bien. Là encore, la solution la plus immédiate serait l'utilisation d'HTTPS de manière généralisée.
En dehors de l'argument "flemme", qui est tout à fait valable, la seule objection à une utilisation élargie d'HTTPS serait un éventuel coût subi par l'utilisateur, en rapidité ou en facilité d'utilisation. Le ralentissement pour l'utilisateur est largement négligeable en pratique, à moins d'utiliser un 486. Il n'y a guère que côté serveur qu'on peut voir une différence, lorsque le serveur commence à être violemment chargé. Plus la puissance des machines augmente, et moins ça sera sensible.
[^] # Re: et pourquoi https ?
Posté par Thomas Douillard . Évalué à 2.
Après pour le cryptage, effectivement en dehors des mots de passes, donc toujours relatif à l'authentification, j'ai plus de mal, à part éviter que certains intermédiaires puissent intercepter. Les autres données "sensibles" à échanger peut être.
Disons que si quelqu'un à le pouvoir d'intercepter comme un intermédiaire, il peut sans doute se débrouiller pour intercepter en bout de chaîne.
Plus que le facteur "flemme", c'est le rapport "gain/effort nécessaire" qui est important, comme pour les cartes postales : est-ce que j'ai suffisamment à dire pour me faire chier à mettre une enveloppe, ou est-ce que je considère que c'est suffisamment secret ?
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 2.
Le problème, c'est que le protocole ne peut pas décider ce qui est sensible et ce qui ne l'est pas, ça dépend des applications. C'est pour ça qu'on passe d'un protocole à l'autre selon les différentes pages d'un site, avec toutes les ambiguités que ça crée. D'où la suggestion d'utiliser https quand c'est possible, comme ça on est sûr que les données sensibles seront chiffrées.
Quant à l'effort nécessaire, de mon point de vue d'utilisateur, choisir d'utiliser linuxfr en https ne demande que l'effort de taper un "s" après http lors de la première connexion... même si le gain est infime, le coût étant nul, je ne vois pas pourquoi m'en passer.
Du point de vue de l'administrateur du serveur, le coût est un peu plus élevé, puisqu'il faut générer une signature, la faire certifier, configurer le serveur, etc. Évidemment dans l'état actuel des choses, je n'imagine pas que les hébergeurs génèrent des certificats pour chacun de leurs hébergés. Quand je parlais de mettre une couche de crypto par défaut, c'était dans le cadre d'un scénario de science fiction où j'aurais à créer le web aujourd'hui :) Sur le principe, je pense que le protocole à la base du web (et des emails) devrait être un minimum sécurisé. S'il l'était, ce serait transparent pour l'utilisateur. Il est évident qu'en pratique c'est un peu tard.
[^] # Re: et pourquoi https ?
Posté par ☂ Tramo . Évalué à 1.
Quand un serveur commencera à s'écrouler sous la surcharge due à HTTPS (alors que le même serveur modeste n'aurait pas eu de problèmes en HTTP), l'utilisateur s'en rendra compte...
Quand tous les administrateurs réseau et fournisseurs d'accès devront mettre leurs proxies à la poubelle, l'utilisateur s'en rendra également compte (latence, coûts d'accès au réseau plus élevés) !
À l'heure où tout le monde cherche comment réduire sa consommation d'énergie, il est contre productif d'inciter à ce gaspillage de puissance, pour apporter un service dont on se passe très bien !
[^] # Re: et pourquoi https ?
Posté par Yusei (Mastodon) . Évalué à 2.
Même argument, autre démonstration: coder en unicode prend plus de place que coder en iso-8859-1, et quand la RAM de l'utilisateur (ou du serveur en face) sera saturée, il s'en rendra compte. Donc il ne faut pas généraliser l'usage d'Unicode.
«Quand tous les administrateurs réseau et fournisseurs d'accès devront mettre leurs proxies à la poubelle»
En cette ère de "Web 2.0" à base d'Ajax et de contenus dynamiques/personnalisés, je serais curieux de savoir quelle est l'efficacité des proxies webs.
«À l'heure où tout le monde cherche comment réduire sa consommation d'énergie, il est contre productif d'inciter à ce gaspillage de puissance, pour apporter un service dont on se passe très bien !»
L'argument de la dépense d'énergie se tient, et je suis à deux doigts de désactiver le chiffrement de ma connexion Wifi (d'autant plus qu'il ne vaut rien). Mais à deux doigts seulement. Par contre, puisque le chiffrement et l'authentification sont des services dont tu te passes plus facilement que moi, je t'encourage à le faire, si ce n'est pas déjà fait.
[^] # Re: et pourquoi https ?
Posté par ß ß . Évalué à 4.
Attention à ce que tu dis...
Il suffit qu'un employé des majors de l'inculture^W^W^W^W de l'industrie du divertissement passe par ici et c'est la crise cardiaque assurée...
[^] # Re: et pourquoi https ?
Posté par Obsidian . Évalué à 4.
[^] # Re: et pourquoi https ?
Posté par alexissoft . Évalué à -1.
[^] # Re: et pourquoi https ?
Posté par meuble2001 . Évalué à 0.
[^] # Re: et pourquoi https ?
Posté par Obsidian . Évalué à 3.
# uh ?
Posté par Éric (site web personnel) . Évalué à 10.
Par contre j'ai du mal à trouver celui ci utile.
Déjà parce que si tu fais ton login en SSL, linuxfr a déjà un truc qui fait ça tout seul, sans greasemonkey.
Après c'est quoi l'intérêt ? Il y a deux buts au https : s'assurer que la machine qui répond est bien la bonne, et s'assurer que personne ne peut écouter la transmission.
J'ai tendance à croire que le nombre de cas où l'administrateur du réseau te proposera un faux site linuxfr est plutot restreint. Je doute qu'éviter ces cas soit la motivation. (pour une banque ou un site de commerce pourquoi pas, mais là ...)
Reste plutot l'objectif de protéger la communication. Soit pour protéger la session utilisateur afin qu'on n'usurpe pas ton login, soit pour simplement éviter qu'on sache ce que tu lis.
Or dans ce dernier cas ton script est totalement inutile : tu n'es redirigé qu'après la première requête http. L'administrateur du réseau a déjà pu savoir ce que tu lis, et il a déjà pu intercepter ton cookie pour usurper ta session utilisateur. Bref, c'est trop tard. Il aurait fallu convertir le lien source, pas l'url de la page une fois arrivé dessus.
[^] # Re: uh ?
Posté par eastwind☯ . Évalué à 3.
J'ai tendance à croire que le nombre de cas où l'administrateur du réseau te proposera un faux site linuxfr est plutot restreint. Je doute qu'éviter ces cas soit la motivation. (pour une banque ou un site de commerce pourquoi pas, mais là ...)
http://trollfr.org/2006/04/27/20704.html :)
[^] # Re: uh ?
Posté par alexissoft . Évalué à -1.
Ensuite, pourquoi utiliser https ? Bah pourquoi pas ? On l'a, pourquoi ne pas l'utiliser, ça ne peut pas apporter de mal.
Franchement, je serai très heureux que tu puisse me proposer une extension qui fasse mieux, et je serai le premier à la supprimer de greasemonkey et à l'accueillir avec une JOIE immense !
[^] # Re: uh ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
[^] # Re: uh ?
Posté par alexissoft . Évalué à 2.
# Pour se passer de Greasemonkey
Posté par peikk0 . Évalué à 1.
Ça permet de faire des redirections d'URL à base de regexp, je m'en sers entre autres pour forcer le HTTPS justement. :)
Et pour info, même si c'est pas indiqué, elle fonctionne très bien sur FF3b5 :)
[^] # Re: Pour se passer de Greasemonkey
Posté par alexissoft . Évalué à 0.
# Moi j'ai pas besoin de script
Posté par Pascal Terjan (site web personnel) . Évalué à 10.
# Page par défaut
Posté par suJeSelS . Évalué à 7.
# Une seule chose à dire
Posté par adonai . Évalué à -4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.