Comment ça marche : En fait l'extension a une liste de sites ayant une interface HTTPS, et utilise cette interface à la place d'une connexion en claire, quand c'est possible.
C'est donc une extension qui permet d'utiliser HTTPS par défaut sur les sites qui le proposent.
Pour le moment ça fonctionne sur
- Google Search
- Wikipedia
- The New York Times
- The Washington Post
- Paypal
- EFF
- Tor
- Ixquick
et plein d'autres sites (d'après la page de l'extension).
Mais on peut ajouter ses propres règles, comme expliqué ici : https://www.eff.org/https-everywhere/rulesets
Personnellement j'ai ajouté celle-ci, pour que ça marche aussi sur Google.fr :
<ruleset name="GoogleFr">
<rule from="^http://(www\.)?google\.fr" to="https://google.fr"/>
</ruleset>Et celle-ci, pour que ça marche sur LinuxFr:
<ruleset name="LinuxFr">
<rule from="^http://(www\.)?linuxfr\.org" to="https://linuxfr.org"/>
</ruleset>Ces règles sont à placer dans les fichiers googlefr.xml et linuxfr.xml, dans le dossier HTTPSEverywhereUserRules de votre profile Firefox. Je suppose que l'extension s'améliorera sur ce point dans le futur.
La page de l'extension : https://www.eff.org/https-everywhere (ce journal en est une traduction partielle).
# Google
Posté par zerkman (site web personnel) . Évalué à 8.
[^] # Re: Google
Posté par __o . Évalué à 6.
# Et les pseudo proxy ??
Posté par mornik . Évalué à 1.
Non c'est définitive, je peux pas l'utiliser ;-)
[^] # Re: Et les pseudo proxy ??
Posté par chimrod (site web personnel) . Évalué à 8.
Je viens de tester ici (au boulot )le https:// chez google : firefox m'alerte que le certificat n'est pas valide ! wtf ??
En regardant le détail du certificat, je vois que celui-ci est émis par le logiciel proxy de l'entreprise : génial, une Attaque_de_l'homme_du_milieu au boulot !
Je vais garder mon tunnel ssh en fait ! ^^
[^] # Re: Et les pseudo proxy ??
Posté par nomorsad . Évalué à -6.
En effet un poste de travail est plus facile a modifier qu'un serveur proxy, surtout a cause de l'interface chaise/clavier.
Je serais donc pour laisser le proxy d'entreprise savoir quels sont les certificats valide et de n'installer qu'une seule autorité sur le poste.
Autour de moi, les personnes qui ne connaissent pas Cacert ne se pose aucune questions quand je leur dit d'installer le certificat Cacert pour acceder a Dlfp en SSL !
[^] # Re: Et les pseudo proxy ??
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
Et comment l'utilisateur sait qu'il peut faire confiance au site ? Il a de toute façon une erreur. Qu'il soit sur le site de sa banque ou sur le site d'un criminel quelconque.
Je crois que c'est le contraire d'une bonne idée, ça détruit complètement la sécurité ce système.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et les pseudo proxy ??
Posté par Volnai . Évalué à 2.
Ca c'est quand c'est mal fait. quand c'est bien fait, le proxy genere à la volée un certificat signé par une autorité déployé par avance sur tout les postes.
[^] # Re: Et les pseudo proxy ??
Posté par Bernez . Évalué à 1.
Ca c'est quand c'est mal fait. quand c'est bien fait, le proxy genere à la volée un certificat signé par une autorité déployé par avance sur tout les postes.
Ça oblige à déployer une autorité pirate sur tous les postes et à générer des faux certificats pour chaque site web visitable. Autant installer une version modifiée de Firefox qui ne vérifie plus la validité des certificats, ça sera moins fatiguant qu'organiser une telle fraude !
# regex
Posté par Anonyme . Évalué à 5.
#cat Wikipedia.xml
<!-- www.wikisomething.org is generally a valid
domain containing general information on a project and is
simply not available at all in HTTPS. Everything with a /wiki
suffix, however, is a language-specific page that is available in
HTTPS. Hence these rules avoid redirecting www.wikisomething.org,
while redirecting all language-specific subdomains. If you
navigate first to the WWW page, you could be vulnerable to SSL
stripping, but if you succeed in submitting a query from there
in a specific language without interference, you'll subsequently
be protected. -->
<ruleset name="Wikipedia">
<exclusion pattern="^http://www\.wik(ipedia|inews|isource|ibooks|iquote|iversity)\.org/"/>
<rule from="^http://([^@:/]+)\.wik(ipedia|inews|isource|ibooks|iquote|iversity|tionary)\.org/wiki/"
to="https://secure.wikimedia.org/wik$2/$1/wiki/"/>
<rule from="^http://([^@:/]+)\.wik(ipedia|inews|isource|ibooks|iquote|iversity|tionary)\.org/?$"
to="https://secure.wikimedia.org/wik$2/$1/wiki/"/>
<rule from="^http://(meta|commons|incubator|species|outreach|strategy|usability|wikimania|test|survey)\.wikimedia\.org/wiki/"
to="https://secure.wikimedia.org/wikipedia/$1/wiki/"/>
</ruleset>
[^] # Re: regex
Posté par Gniarf . Évalué à 2.
[^] # Re: regex
Posté par Anonyme . Évalué à 2.
les scripts utilisés via greasemonkey ne sont pas efficaces en la matière puisque, si je ne me trompe pas, celui-ci charge d'abord la page non sécurisée avant d'executer ces scripts
[^] # Re: regex
Posté par Gniarf . Évalué à 3.
il est de plus en plus bloated, ce con. enfin bref.
> les scripts utilisés via greasemonkey ne sont pas efficaces en la matière puisque, si je ne me trompe pas, celui-ci charge d'abord la page non sécurisée avant d'executer ces scripts
en effet, la premiere serait en clair si elle est en http, mais les suivantes verraient tout leurs liens http reecrits en https.
(enfin bon, je trouve tout cela assez overkill comparé à mon usage)
# Et chrom(e|ium) ?
Posté par sotd . Évalué à -10.
Pacque, bon, c'est pas que Firefox soit lent et me bouffe toute ma RAM, mais presque.
[^] # Re: Et chrom(e|ium) ?
Posté par zebra3 . Évalué à 6.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Et chrom(e|ium) ?
Posté par Niniryoku . Évalué à 2.
Trêve de troll, la page de l'EFF précise :
« There is a Chrome extension called KB SSL Enforcer which attempts to take that approach, but it does not appear to be implemented securely; when we tested it, it seemed to always use http before https, which means that your surfing habits and authentication cookies are not protected (this may be a limitation of the Chrome Extensions framework). »
pour les anglophobes, voici ma traduction pourrie :
« Il existe une extension Chrome appelée KB SSL Enforcer qui essaie d'avoir cette approche, mais elle ne semble pas être implémenté de façon sécurisée ; quand nous l'avons testée, il semblerait qu'elle utilise à chaque fois le HTTP avant HTTPS, ce qui signifie que vos habitudes de surf et les cookies d'authentifications ne sont pas protégés (ceci doit être une limitation du framework d'extensions Chrome [NdT¹ : comme quoi Chrome n'est vraiment pas fait pour protéger ta vie privée]). »
¹ Note du Trolleur
Knowing the syntax of Java does not make someone a software engineer.
[^] # Re: Et chrom(e|ium) ?
Posté par marahi . Évalué à 1.
[http://www.srware.net/en/software_srware_iron_chrome_vs_iron(...)]
[^] # Re: Et chrom(e|ium) ?
Posté par Larry Cow . Évalué à 7.
[^] # Re: Et chrom(e|ium) ?
Posté par marahi . Évalué à 3.
[^] # Re: Et chrom(e|ium) ?
Posté par bob le homard . Évalué à 4.
Je pensais naivement que chrome = chromium + "les espions de google".
.... et donc que chromium était clean de ce coté là.
Ou pas?
[^] # Re: Et chrom(e|ium) ?
Posté par sotd . Évalué à -1.
[^] # Re: Et chrom(e|ium) ?
Posté par dinomasque . Évalué à 8.
Google et la vie privée, c'est peut-être une belle histoire de consentement à l'insu de son plein gré mais certainement jamais du viol.
BeOS le faisait il y a 20 ans !
[^] # Re: Et chrom(e|ium) ?
Posté par Misc (site web personnel) . Évalué à 2.
La réponse des developpeurs du projet tor au sujet du projet TorButton a toujours été "nous n'avons pas les ressources pour auditer plusieurs navigateurs contre les problèmes d'anonymat, mais nous acceptons les contributions et nous sommes prêt à aider un peu".
# L'extension ne chiffre pas
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 8.
N'importe quoi. Cette extension ne chiffre rien du tout, elle force l'utilisation d'une connexion chiffrée lorsque c'est possible. Merci d'ailleurs de l'avoir expliqué, parce que dans les articles qui en parlent, tout comme sur la page dédiée, on ne comprend rien à ce que fait vraiment cette extension, ce qui est très ennuyeux lorsqu'il s'agit de logiciels de sécurité.
[^] # Re: L'extension ne chiffre pas
Posté par zebra3 . Évalué à -2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: L'extension ne chiffre pas
Posté par __o . Évalué à 3.
J'ai effectivement vu plusieurs dépêches sur d'autres sites qui ne donnaient pas beaucoup de précisions à ce sujet.
La page de l'extension explique aussi ce qu'elle fait vraiment, mais il faut lire jusqu'au deuxième paragraphe, et même jusqu'au troisième ! :)
Many sites on the web offer some limited support for encryption over HTTPS, but make it difficult to use. For instance, they may default to unencrypted HTTP, or fill encrypted pages with links that go back to the unencrypted site.
The HTTPS Everywhere extension fixes these problems by rewriting all requests to these sites to HTTPS.
[^] # Re: L'extension ne chiffre pas
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Oui, c'est une bonne chose. Mais il eût été préférable de mettre en accroche une phrase seulement approximative comme « cette extension permet de chiffrer les communications… » plutôt qu'une phrase franchement fausse et trompeuse comme « cette extension chiffre ».
Fausse, parce que l'extension ne chiffre pas. Et trompeuse, parce qu'elle donne l'impression qu'elle ajoute une couche de chiffrement entre son navigateur et Dieu sait qui, genre un proxy SSL externe, ce qui serait une drôle de centralisation.
# Enregistrement des recherches
Posté par téthis . Évalué à 2.
La cible de cette directive, dont l'application a été étendue, sont bien évidement les pédophiles et les auteurs de harcèlements sexuelles.
http://pro.clubic.com/legislation-loi-internet/actualite-348(...)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Enregistrement des recherches
Posté par Anonyme . Évalué à 4.
moralité: ne pas confondre sécurité et protection de la vie privée
[^] # Re: Enregistrement des recherches
Posté par téthis . Évalué à 2.
Moralité : je ne confonds pas.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
# Intérêt d'HTTPS ?
Posté par Antoine . Évalué à -5.
[^] # Re:Intérêtd'HTTPS ?
Posté par tesiruna . Évalué à 8.
[^] # Re: Intérêt d'HTTPS ?
Posté par JGO . Évalué à -3.
À cacher les pages que je lis ? Leur nom est dans l'URL !
À cacher mon pseudo pour l'édition de Wikipédia ? Même remarque que plus haut, avec l'URL et l'heure de soumission, on découvre immédiatement le pseudo.
[^] # Re: Intérêt d'HTTPS ?
Posté par Gof (site web personnel) . Évalué à 6.
[^] # Re: Intérêt d'HTTPS ?
Posté par Antoine . Évalué à 3.
Voir par exemple http://www.freehaven.net/anonbib/cache/TrafHTTP.pdf
[^] # Re: Intérêt d'HTTPS ?
Posté par JGO . Évalué à 2.
[^] # Re: Intérêt d'HTTPS ?
Posté par yellowiscool . Évalué à 2.
Envoyé depuis mon lapin.
[^] # Re: Intérêt d'HTTPS ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Intérêt d'HTTPS ?
Posté par jyes . Évalué à 2.
En pratique, ça ne change pas grand-chose, parce-que du coup le serveur doit répondre en HTTPS avant de savoir avec quel nom il est consulté, donc en HTTPS : 1 IP = 1 nom.
[^] # Re: Intérêt d'HTTPS ?
Posté par Larry Cow . Évalué à 3.
[^] # Re: Intérêt d'HTTPS ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Donc non. Dire 1 IP = 1 nom, c'est comme dire 1 caractère = 1 octet !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Intérêt d'HTTPS ?
Posté par jyes . Évalué à 2.
Donc ne pas voir transiter le nom n'apporte pas de confidentialité supplémentaire, on sait quand-même chez qui tu consultes les infos (le même détenteur du certificat), alors qu'avec la seule IP, sur des serveurs mutualisés ça serait très différent. Seulement dans ce cas, HTTPS offrirait plus de confidentialité que le nom qui circule en clair, ce n'est pas le cas, donc sans minimiser l'intérêt d'HTTPS, il n'apporte rien de ce côté là (même si ma réponse trop rapide était fausse).
[^] # Re: Intérêt d'HTTPS ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Et là ça fait déjà une monstre différence, de plus tu peux même pas dire que le trafic vient originellement de la machine M puisqu'il s'agit d'un noeud de sortie tor et tu peux pas savoir si le trafic est pour le serveur S car celui-ci peut être un proxy vers le serveur S2 (killthedictator.org).
Donc tu sais que tu as un flux de données entre M et S. Tu sais pas ce qui se passe avant M et ce qui se passe après S.
Finalement, avec l'usage des certificats clients, il est possible d'avoir un site totalement différent suivant que tu es agréé ou pas. Peut-être qu'en aillant un certificat accepté par wikipedia, tu trouves un site pour prendre le contrôle du monde en faisant de la désinformation ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Intérêt d'HTTPS ?
Posté par jyes . Évalué à 2.
Si les deux sont obligés d’utiliser le même certificat et donc doivent appartenir à la même personne, ça limite vraiment les possibilités de cacher un site derrière un autre (je vois mal les torturés monter un site avec leurs bourreaux pour garantir que ni les uns ni les autres ne savent qui regarde quoi, surtout que le détenteur du certificat peut tout déchiffrer, c'est ballot).
À part l’exemple de Wikipedia qui n’est qu’une vitrine vers une console de contrôle du monde, tu as des exemples où la confusion entre plusieurs noms possible peut apporter quelque-chose concrètement ?
Bon, dès ce soir, je commence à me générer des certificats clients pour Wikipedia, ce sera peut-être long par force brute, mais si ce que tu dis est vrai, le jeu en vaut la chandelle… ☺
[^] # Re: Intérêt d'HTTPS ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Pas encore ...
Bon, dès ce soir, je commence à me générer des certificats clients pour Wikipedia, ce sera peut-être long par force brute, mais si ce que tu dis est vrai, le jeu en vaut la chandelle… ☺
Je t'aide : http://www.win.tue.nl/hashclash/Nostradamus/
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Intérêt d'HTTPS ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Intérêt d'HTTPS ?
Posté par __o . Évalué à 3.
[^] # Re: Intérêt d'HTTPS ?
Posté par Larry Cow . Évalué à 2.
[^] # Re: Intérêt d'HTTPS ?
Posté par __o . Évalué à 2.
Le nom du serveur est envoyé par le client dans son premier paquet, « Client Hello », lors du hand-shake (même si le serveur ne le gère pas, puisque le client ne le sais pas).
[^] # Re: Intérêt d'HTTPS ?
Posté par Larry Cow . Évalué à 2.
[^] # Re: Intérêt d'HTTPS ?
Posté par zerkman (site web personnel) . Évalué à 4.
[^] # Re: Intérêt d'HTTPS ?
Posté par Antoine . Évalué à -1.
# Ruleset Google Fr
Posté par dripple . Évalué à 1.
Y'a que chez moi que la règle GoogleFR rend la boite de recherche Firefox inopérante ? Ça ouvre l'accueil Google au lieu de faire la recherche...
[^] # Re: Ruleset Google Fr
Posté par téthis . Évalué à 3.
https://addons.mozilla.org/fr/firefox/search?q=ssl&cat=4(...)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.