• # HTTPS CA PUE

    Posté par . Évalué à 10.

    surtout pour une simple photo à la con
    • [^] # Re: HTTPS CA PUE

      Posté par . Évalué à 10.

      https c'est bien mais seulement quand c'est signé avec un vrai certificat qui n'oblige pas à cliquer sur 5 boutons dans firefox juste pour visualiser une simple photo à la con.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: HTTPS CA PUE

        Posté par . Évalué à 7.

        Sauf que là, le certificat en question vient de chez cacert.org, et il est tout ce qu'il y a de plus "vrai".

        Sauf si pour les linuxfriens, "vrai" signifie pour un certificat : vendu par une boîte qui suit le modèle économique classique, et dont les certificats racines sont inclus à IE depuis la version 6 ...
        • [^] # Re: HTTPS CA PUE

          Posté par . Évalué à 3.

          Le problème c'est que ça va à la rigueur marcher pour les geeks, mais pour les autres si c'est pas "de base", c'est même pas la peine d'y penser amha.
          • [^] # Re: HTTPS CA PUE

            Posté par (page perso) . Évalué à 10.

            Ou alors l'utilisateur de base, une fois passé la frayeur, il clique sur «autorisé», «oui», «oui», «aller putain, oui je m'en branle de tes histoires de certificat bidule truc much!», comme sur tous les autres sites.
        • [^] # Re: HTTPS CA PUE

          Posté par . Évalué à 6.

          Oui, mais CAcert n'offre pas le même niveau de vérification de l'identité du propriétaire du certificat. Il vérifie juste que le demandeur du certificat possède une adresse e-mail précise genre admin@mon-domaine.com
          L'inclure par défaut dans les navigateurs sans avertir les utilisateurs serait un peu dangereux (bon ça n'empêche également pas qu'il puisse y avoir d'origine des CA root douteux dans ces mêmes navigateurs).
        • [^] # Re: HTTPS CA PUE

          Posté par (page perso) . Évalué à 3.

          Le plus amusant est que CaCert est déjà utilisé sur LinuxFr.org notamment. Donc tous ceux qui ont importé le certificat racine CaCert ne sont donc pas gênés par le souci évoqué. Autrement dit ceux qui râlent soit ne vont pas sur LinuxFr.org en HTTPS (tant pis pour leur cookie de session et la confidentialité), soit ont cliccliccliqué sur « aller putain, oui je m'en branle de tes histoires de certificat bidule truc much!» pour LinuxFr.org et sont donc bloqués par Firefox à chaque accès à un certificat CaCert.

          J'exclus le cas de ceux qui râlent et ne sont même pas concernés car n'utilisant pas Firefox 3.

          Enfin, heureusement que l'on a trouvé un sujet de discussion pour meubler ce journal terriblement vide.
          • [^] # Re: HTTPS CA PUE

            Posté par (page perso) . Évalué à 1.

            Moi ce qui m'intéresserait de savoir, c'est le nombre de gens, parmi ceux qui se plaignent de devoir accepter un certificat, qui vérifient la clé publique du serveur ssh lors de la première connexion…
      • [^] # Re: HTTPS CA PUE

        Posté par . Évalué à 5.

        Avec Opera je n'ai qu'un seul bouton à cliquer :-D
        • [^] # Re: HTTPS CA PUE

          Posté par . Évalué à 8.

          Tiens, on est déjà vendredi ?
          • [^] # Re: HTTPS CA PUE

            Posté par . Évalué à 5.

            ben si je compare la gestion des certificats tiers par Firefox 2 et Firefox 3, euh enfin ce que je me prends dans la gueule, mon expérience utilisateur en gros, je ne peux que constater une régression...
            • [^] # Re: HTTPS CA PUE

              Posté par . Évalué à 4.

              Il parait que c'est fait exprès…
              Avant c'était trop simple d'accepter les certificats, il fallait corser l'affaire pour que les gens se rendent bien compte que c'est pas sécurisé et n'acceptent pas sans réfléchir le certificat…
              • [^] # Re: HTTPS CA PUE

                Posté par . Évalué à 6.

                supair. maintenant comme ils sont bloqués dans l'utilisation de certains sites militants ou librounets (utilisant CAcert ou autres ...) avec du https par ci par là par des messages vraiment abscons, on leur montre la danse de la pluie nécessaire pour rentrer...

                ... et ils répèteront ensuite ailleurs la même danse de la pluie, toujours sans réfléchir.

                mais c'est sûr, ok, cette fois ça sera de leur faute et ils l'auront vraiment cherché.

                quel progrès, vraiment...
              • [^] # Re: HTTPS CA PUE

                Posté par . Évalué à 3.

                On s'en doute.

                Sauf qu'un site en HTTP de base sans certificat n'est, par définition, pas du tout sécurisé et là, il n'y a aucun message d'avertissement à l'utilisateur (heureusement, parce que l'on ne s'en sortirait pas). Le problème vient du fait que c'est le même procédé, sur le web, qui sert à authentifier un site et à sécuriser les connexions.

                Il faudrait avoir un dispositif de milieu de gamme qui permettent de chiffrer ses connexions avec un tiers, quel qu'il soit.
          • [^] # Re: HTTPS CA PUE

            Posté par . Évalué à 4.

            sous IE6, au taff, j'ai qu'un bouton à cliquer aussi............
      • [^] # Re: HTTPS CA PUE

        Posté par (page perso) . Évalué à 10.

        C'est toujours mieux que pas de chiffrement du tout. Mieux vaut chiffrer sans savoir qui peut déchiffrer, que ne pas chiffrer.

        C'est un défaut général des navigateurs : quand on arrive sur un site qui chiffre, mais certifié par une autorité inconnue, on prend plein d'avertissements, comme si c'était très grave. Quand on envoie un mot de passe sur un site qui ne chiffre pas, rien, pas le moindre avertissement.
        • [^] # Re: HTTPS CA PUE

          Posté par . Évalué à 6.

          La différence c'est que le chiffrement par défaut en général, c'est pour les infos genre les paiement en lignes, pour lesquels ça pourrait faire un peu chier qu'il y ait usurpation d'identité.

          C'est pas forcément aussi critique sur un blog.
        • [^] # Re: HTTPS CA PUE

          Posté par . Évalué à 4.

          Un des enormes interets de HTTPS, ou en tout cas son utilisation principale, c'est l'authentification du site.
          Un certif auto signe ou delivre par pinpincert.info, ca authentifie pas grand chose.
          Normal que le navigateur gueule.
          Ca rend le phishing sur societee-genairale.ru plus complique, et ca caybien.

          Quand au chiffrement, il est surtout utile pour envoyer des infos sensible (carte de credit, password, numero de secu ou autre), et ca represente une part infime du traffic habituel. Vraiment infime.
          Les cartes de credit, tu les envoyes pas en permanence, et pour le login, tu te loggues une fois et la session prend la main derriere pour te garder authentifie.
          Au final, ca fait une infime partie du nombre de page servies qui ont effectivement besoin d'etre chiffrees.

          Quand on envoie un mot de passe sur un site qui ne chiffre pas, rien, pas le moindre avertissement.
          Le navigateur n'est pas omniscient non plus et ne peut pas deviner que le field envoye est un password.
          Cela dit, IE, dans sa version 6 il me semble, presentait une hophophop par defaut a chaque formulaire indiquant que les donnees etaient envoyees en clair et que c'etait potentiellement un pb.

          En pratique, la popup etait presentee une fois, l'utliisateur clickait sur "me fait plus chier avec ca, spece de boulet va" et paf pasteque.
          • [^] # Re: HTTPS CA PUE

            Posté par . Évalué à 5.

            Le navigateur n'est pas omniscient non plus et ne peut pas deviner que le field envoye est un password

            Je vais peut-être dire une connerie, mais le navigateur affiche des étoiles uniquement pour les champs de mots de passe ; il doit donc bien reconnaître que c'est un champs « mots de passe » non ?
            • [^] # Re: HTTPS CA PUE

              Posté par (page perso) . Évalué à 4.

              Le navigateur n'est pas omniscient non plus et ne peut pas deviner que le field envoye est un password

              Jean-Claude, sors de ce corps !
              • [^] # Re: HTTPS CA PUE

                Posté par . Évalué à 3.

                J'suis speed, c'est normal, je mange des legumes. :)

                Ouais, des fois je me relit et j'ai peur (et des fois quand je m'entends parler, j'ai encore plus peur, j'ai sorti un magnifique "j'ai moppe le floor" a ma copine l'autre jour).
                L'abus d'expatriation nuit au bon francais.

                Encore fois, desole, et pardon pour les familles.
            • [^] # Re: HTTPS CA PUE

              Posté par . Évalué à 2.

              Oups, effectivement, j'aurais du reflechir un peu plus longtemps avant de poster.
              L'attribut password sur le tag input permet a coup sur de detecter un mot de passe.

              Pardon pour les familles tout ca...
          • [^] # Re: HTTPS CA PUE

            Posté par . Évalué à 2.

            Ah du coup je comprends mieux pourquoi c'était nécessaire pour mettre une photo en ligne!
  • # J'en connais un qui va plus pouvoir poster pendant quelques temps

    Posté par (page perso) . Évalué à 6.

    Ouille ouille le Karma !

    Sachant que tu as un tout petit proco, pourquoi utiliser https ?
    • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

      Posté par (page perso) . Évalué à -10.

      D'où tiens-tu que j'ai un tout petit proco ?
      Et généraliser l'utilisation d'https, ça permet de banaliser le chiffrement, et donc de noyer les connections sensibles au milieu de plein de trucs idiots.
      • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

        Posté par . Évalué à 2.

        Tu voulais probablement dire
        D'où tiens-tu que j'ai un tout petit proco ?
        Et généraliser l'utilisation d'https, ça permet de banaliser le chiffrement, et donc de noyer les connections sensibles au milieu de plein de trucs
        totalement idiots et particulièrement inutiles que du coup, j'aurais mieux fait de me filer un coup de pioche dans le g(e)nou plutôt que de poster ça 4 jours trop tôt

        non ?
      • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

        Posté par . Évalué à 10.

        Complètement antinomique avec la sécurité ton truc, si tu habitues tout le monde à cliquer sur les certificats ça anihile un peu tout l'effort qui est fait pour que la vérification des certificats serve un peu à quelque chose ...
        • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

          Posté par (page perso) . Évalué à 1.

          Donc pour te connecter sur Linuxfr (qui a aussi un certicat cacert), tu n'utilises pas https ?
          Ou quelque chose m'échappe ?
          • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

            Posté par . Évalué à 3.

            Déja, non, habituellement je ne me connecte pas en https. Sinon en 3/4 clics tu peux faire un truc du genre "ajouter une exception" à partir de la page qui s'affiche quand tu cliques sur un lien linuxfr en https uniquement pour un site particulier, linuxfr en l'occurence.

            Ce qui n'est pas le cas sur ton site en particulier pour une raison que j'ignore, ce qui oblige à ajouter cacert aux fournisseurs de certificats de firefox, ce qui est une manip hors de portée de mr. Lambda sans se faire aider, et qui pour les autres nécessite un peu (plus) de motivation que de regarder une image, fut-elle très drôle.

            Donc voila, si tu l'as fait exprès, pourquoi c'est probablement voué à l'échec. La seule solution vraiement viable serait de faire ajouter cacert dans la liste de base des navigateurs ...
            • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

              Posté par (page perso) . Évalué à -2.

              Ce n'est pas du tout fait exprès, et ça m'étonne beaucoup qu'il ne soit pas possible d'ajouter une exception…
            • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

              Posté par (page perso) . Évalué à 4.

              >>> ce qui est une manip hors de portée de mr. Lambda sans se faire aider

              Il ne faut pas exagérer quand même. Certes il y a des gens qui sont des quiches en informatique mais au moins ils savent lire. Les pop up de Firefox sont explicites et il suffit de lire pour s'en sortir.
            • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

              Posté par . Évalué à 4.

              > Déja, non, habituellement je ne me connecte pas en https. Sinon en 3/4 clics tu peux faire un truc du genre "ajouter une exception" à partir de la page qui s'affiche quand tu cliques sur un lien linuxfr en https uniquement pour un site particulier, linuxfr en l'occurence.

              > Ce qui n'est pas le cas sur ton site en particulier pour une raison que j'ignore

              chezmoicamarche, sauf qu'il m'en a fallu 5

              > ce qui oblige à ajouter cacert aux fournisseurs de certificats de firefox

              > La seule solution vraiment viable serait de faire ajouter cacert dans la liste de base des navigateurs ...

              mis à part ton bug, qu'est-ce qui m'amènerait, moi, à penser que CAcert est "bien", "de confiance" ou "responsable" ? et d'ailleurs, idem pour la MoFo : si ils exigent certaines procédures qualité traçabilité pouet pouet, et que CAcert ne les satisfait pas, pourquoi devraient-il les reconnaitre comme de confiance (eux et leurs millions d'utilisateurs), et ensuite pourquoi ne pas appliquer le même laxisme aux autres ?

              juste pour le fun je suis allé voir la liste des "Autorities" fournis par défaut avec Firefox 3, et outres certaines boites que je ne considère pas de confiance pour leurs exactions passées, j'ai noté diverses Autorités dans des pays lointains que je ne peux pas tellement considérer comme totalement de confiance non plus. je m'interroge....


              je passe sous silence que le vrai problème ici est que Firefox (version 3) t'emmerde avec 5 étapes volontairement malpratiques pour ne pas dire horripilantes ou chiantes. pas tellement que la MoFo et CAcert n'arrivent pas encore à accorder leurs violons
              • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

                Posté par . Évalué à 2.

                J'aurai tendance à dire que si tu fais pas confiance à Mozilla tu peux te faire ta propre liste de confiance, mais qu'à priori c'est pas vraiment le problème d'un utilisateur de base.

                Après pour cacert, c'est le problème de cacert de se faire accepter dans la liste. Peut être que les modalités posent problème, peut être qu'il y a entre autre contrepartie financière nécessaire, j'en sais rien, mais si problème il y a c'est une priorité pour eux de le soulever et de le régler de mon point de vue. Si vraiment ils ne veulent pas le régler, peut être que le problème vient de cacert effectivement, ou de mozilla, j'en sais rien, mais si il est pas réglé c'est mauvais signe pour l'un ou pour l'autre.


                Qu'ajouter une exception soit fvolontairement chiant ça me semble plutôt justifié à priori.
                • [^] # Re: J'en connais un qui va plus pouvoir poster pendant quelques temps

                  Posté par . Évalué à 4.

                  non, c'est plutôt lourd. Déjà, firefox devrait faire la différence entre afficher une simple page et valider un formulaire (si c'est possible et si cela n'induit pas des failles de sécurité), comme cela on pourrait déjà afficher plus de 90% des pages qui se bloquent à cause des certificats cacert.

                  D'ailleurs, un formulaire sur un site "institutionnel" qui bloque à cause d'un certificat, je doute que je poursuive avec, alors que des forums et des sites "qui se la pêtent" avec un certificat auto signé, on en trouve plein en consultation.

                  Je pense que si c'est pas mal de faire des certificats et du chiffrement, c'est une mauvaise chose de généraliser cela à ces choses qui n'en valent pas la peine (blog, site perso, linuxfr), surtout si c'est pour habituer les gens à cliquer à tort et à travers sans réfléchir, du coup la plupart des gens risquent de se faire avoir en cas de phishing sur ebay ou avec leur banque. Trop de sécurité tue la sécurité...

                  En plus la page de firefox a un aspect similaire à une page qui n'existe pas : même si le logo est différent, bcp de monde ne fera pas la différence et peut penser que le site n'est pas disponible (dans les deux cas c'est marqué dans le titre "erreur de chargement de la page avec un point d'exclamation en favicon).

                  Bref, ils devraient plutôt laisser ce type d'avertissement lors d'un formulaire auto signé, et juste un popup lors de la consultation d'une page autosignée avec cacert, permettant d'afficher rapidement la page.

                  Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # très fort

    Posté par (page perso) . Évalué à 3.

    Échec de la connexion sécurisée

    www.giga.le-pec.org utilise un certificat de sécurité invalide.

    Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue.

    (Code d'erreur : sec_error_unknown_issuer)
  • # Deux remarques

    Posté par (page perso) . Évalué à 2.

    Bonjour,

    - Tout d'abord, j'ai pas eu à cliquer sur trop de boutons, le certificat est passé de manière transparente. (avec le navigateur Iceweasel).
    - Ensuite, il me semble que la spirale est à l'envers, non?

    A bientôt
    Grégoire
    • [^] # Re: Deux remarques

      Posté par (page perso) . Évalué à 2.

      pas facile de se prendre en photo dans un mirroir....
      • [^] # Re: Deux remarques

        Posté par . Évalué à 8.

        pas facile de se faire prendre par derrière ?
        • [^] # Re: Deux remarques

          Posté par . Évalué à 3.

          Euh...
          J'ai sûrement de la merde dans les yeux, mais la spirale me semble dans le bon sens...

          Vous êtes allés voir sur http://www.debian.org pour vérifier ?...
          • [^] # Re: Deux remarques

            Posté par . Évalué à 6.

            au moins sa brosse pour se coiffer est libre, contrairement à la brosse Illustrator utilisée dans le logo Debian...

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.