Bonjour à tous :),
Dans le cadre d'un projet que je dois effectuer avec 3 autres personnes, j'ai une question à vous poser concernant le blocage du protocole HTTPS avec Squid/SquidGuard.
En effet, nous avons créé une machine Linux sous la distribution Debian version 7.0.5 (Squeeze) au sein d'un lycée.
Nous avons réussi à répondre au cahier des charges du client sauf un point qui nous pose problème : bloquer le protocole HTTPS de certains sites comme Facebook, Youtube, Youp*** (…)
Ce matin je suis tombé sur cet excellent article de silicon.fr, qui explique que le traffic chiffré, c'est pas bien du tout:
http://www.silicon.fr/dominique-loiselet-blue-coat-generaliser-https-securite-aveugle-96379.html
Le Gorafi pourrait en faire un copier coller, ils n'auraient rien à modifier.
Après quatre ans et trois mois, et pas moins de 26 versions de développement, la version réputée stable de HAProxy devient la 1.5. Même si HAProxy est avant tout un répartiteur de charge HTTP et TCP, les possibilités offertes par la version 1.5 en font le véritable couteau suisse du Web à haute charge.
Il est utilisé, entre autres, par de nombreux sites d’audience mondiale, tels que Twitter, Instagram, GitHub, Reddit… Cette version apporte de nombreuses nouveautés, dont la très attendue prise en charge de l’offloading SSL.
La version 1.5.0 a été rapidement suivie de quelques versions correctives. Nous en sommes à la 1.5.3, disponible depuis le 25 juillet dernier.
Google vient d'annoncer qu'il commence à prendre en compte la présence du protocole d'accès HTTPS pour évaluer le score d'un site web (PageRank) :
HTTPS as a ranking signal
J'ai commencé la construction d'un site web pour la première fois et j'ai choisi de rediriger tout le traffic vers l'HTTPS par défaut.
Il n'y a donc aucun accès possible par HTTP.
J'avoue ne pas avoir trop réfléchi à la question et jusqu'ici je n'ai vu que les 3 (…)
En testant linuxfr.org sur https://www.ssllabs.com, j'obtiens un résultat assez inquiétant. Rapidement ça dit que le site est exposé à la faille CVE-2014-0224. Du coup, le https ne sert pas à grand chose sur linuxfr.org.
Je ne suis pas très familier avec ces histoires mais j'imagine qu'il faudrait corriger la situation au plus vite.
gatejs est un nouveau mandataire/proxy HTTP(s) (forward & reverse) qui a pour vocation de remplacer squid, nginx, varnish ou encore apache, dans leurs fonctions de proxy (forward & reverse). Il est publié sous licence GPLv3.
Il est développé en JavaScript (2/3) et en C++ (1/3). Il est prévu que la proportion de C++ se réduise au fil du temps. Ce proxy utilise le moteur Javascript V8 et nodejs.
Il a été initialement conçu pour offrir plus de flexibilité sur l'interception et le traitement d'informations en HTTP.
Pour ceux qui ne sont pas pro-JavaScript, il est important de préciser que les performances de gatejs sont proches, voire dans certains cas, supérieures à nginx.
De plus, l'utilisation de Javascript permet d'augmenter la lisibilité des codes, de les factoriser et de renforcer la sécurité, surtout pour des opérations complexes.
Les configurations sont écrites au moyen de la notation d'objets Javascript (JSON).
Aujourd'hui, sur le Web, l'authentification de chaque requête HTTP, une fois passée le "login" initial, se fait presque toujours avec un cookie, une série de bits générée par le serveur et qu'un éventuel attaquant ne pourrait pas deviner. Les cookies ont plusieurs limites, notamment parce qu'ils sont tout ou rien. Si je passe un cookie à un tiers (volontairement ou bien parce que la session n'était pas bien protégée), ce tiers a exactement les mêmes droits que moi. Des chercheurs (…)
Bonjour,
Ceci est mon premier post sur LinuxFR, j'espère l'avoir mis au bon endroit !
Voici ma question:
J'ai testé SQUID, puis IPfire (avec squid aussi).
Je voudrais faire la chose suivante: bloquer tous les sites en http(s) et en autoriser certains.
Dans mon cas, tous les sites en https passent.
J'ai regardé sur les forum et le problème semble être connu, il semblerait que le navigateur crypte l'url du site en https, du coup SQUID ne peut plus le filtrer (…)
Bonjour à tous,
Depuis le scandale de la National Security Agency en juin 2013 et les révélations sur le programme PRISM, la cryptographie a connu une explosion d'intérêt dans le monde entier. Les médias de masse s'en sont emparés, tout le monde s'est mis à en parler, et comme à chaque fois que l'on donne un sujet technique à Mme. Michu, d'énormes absurdités en sont ressorties, et on a enregistré un pic de popularité du mot "cryptocalypse".
J’espère ici (…)
J'ai eu du mal à trouver de la doc, donc voilà comment faire tourner paster avec apache en frontal via mod_proxy, en https.
Le but est de laisser apache gérer https, puis de faire suivre la requête à paster.
requête https http
--------------->[apache]------>[paster ]
[*:443 ] [127.0.0.1:8080]
La difficulté est de faire que les liens dans les pages retournées par paster commencent bien par https://
En fait le salut vient de PrefixMiddleware qui va permettre de donner le bon scheme (…)
HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.
L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.
NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.
Non, il ne s’agit pas d’un nouveau concurrent pour Tor (réseau) ou Freenet. Il s’agit juste d’un outil pour les personnes auto‐hébergées qui voudraient accéder à tous leurs services de n’importe où.
Cette dépêche explique son fonctionnement et ce qu’apporte sa dernière version.
HTTP Strict Transport Security, ou HSTS, est un brouillon de norme Internet qui propose une méthode pour augmenter la sécurité des sites web en apportant une solution à une faille courante située entre la chaise et le clavier.
Il s'agit pour les sites web sécurisés d'indiquer au navigateur qu'il doit systématiquement forcer l'accès en HTTPS.