Journal Firefox 3, c'est bien ... ou pas

Posté par  .
Étiquettes :
0
27
mai
2008
j'ai pas l'habitude d'écrire des journaux, mais là, ça vaut le coup. En tentant d'accéder à LinuxFr en "https://":


Secure Connection Failed
linuxfr.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)
* This could be a problem with the server's configuration, or it
could be someone trying to impersonate the server.
* If you have connected to this server successfully in the past, the
error may be temporary, and you can try again later.

Autre variante:

Secure Connection Failed
xxx.xxx.xxx.xxx uses an invalid security certificate.
The certificate is not trusted because it is self signed.
(Error code: sec_error_untrusted_issuer)


6 clicks après, je peux enfin accéder au site en "https://". Entre ca et le warning de la page about:config, on se croirait revenu sous WinXP/IE.

ps: la MoFo est financée par Verisign ou Digicert ?
  • # FF3 & CaCERT

    Posté par  (site web personnel) . Évalué à 10.

    il te faut installer le certificat root de CaCERT pour que cela ne te mette plus de message d'erreur.

    Attention, c'est à faire à chaque nouvelle version de test de FF3
  • # Problématique ?

    Posté par  . Évalué à 10.

    Ah tu trouves ça problématique ?? Il faudrait dans ce cas que tu relises les principes de l'authentification et de la sécurité SSL sur Internet.

    Pour rappel ce principe est basé sur une chaine de confiance: ton navigateur fait confiance à des organismes ou sociétés spécialisées dans ce domaine, qui certifient les sites web qui ont fait une démarche d'authentification auprès d'eux (prises de pièces d'identités, extrait K-Bis, passage par un "notable" ...), et qui reçoivent en échange le précieux sésame leur permettant de passer sans problème les filtres du navigateur.

    Le site de LinuxFR est certifié auprès de CaCert[1], une organisation sans but lucratif (très rare dans ce domaine), qui actuellement n'est pas intégrée par défaut dans Firefox. Il te suffit d'ajouter les certificats racines[2] de cette organisation pour aller sans problème sur les sites ayant un certificat signé par CaCert.


    Donc OUI Firefox 3 est très sévère niveau sécurité, mais est-ce vraiment un mal ?


    [1]: http://www.cacert.org/
    [2]: http://www.cacert.org/index.php?id=3
    • [^] # Re: Problématique ?

      Posté par  . Évalué à 4.

      oui cela me semble bien. Mais vu que CaCert est une certification "communautaire", le navigateur communautaire mozilla ne pourrait-il pas intégrer de base les certificats racines de Cacert ?
      (note : le serveur de CaCert semble indisponible en ce moment)

      Sinon firefox3 me semble bien mieux que les versions d'avant, le le trouve également plus léger, et du coup il remplace chez moi konqueror vu que installé kde4 et que konqueror a de gros problèmes d'affichage et de performances...

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Problématique ?

        Posté par  (site web personnel) . Évalué à 10.

        On integre pas un truc parce qu'il est communautaire !

        t'imagines, sinon n'importe qui pourrait faire un patch dans OpenSSL et risquer de corrompre le générateur de nombre aléatoire !

        Heureusement que cela n'est pas possible :p

        la MoFo demande un audit me semble t il pour que les certificats racines soient intégrés ( une page explique cela sur le site de CaCERT, mais il est comme down ... trop de traff venant de linuxfr ? :D )
    • [^] # Re: Problématique ?

      Posté par  (site web personnel, Mastodon) . Évalué à 7.

      Le site de LinuxFR est certifié auprès de CaCert[1], une organisation sans but lucratif (très rare dans ce domaine), qui actuellement n'est pas intégrée par défaut dans Firefox.

      C'est bien ce qui est reproché à la MoFo : la non-reconnaissance par défaut de CAcert en tant qu'autorité de certification.
      • [^] # Re: Problématique ?

        Posté par  (site web personnel) . Évalué à 3.

        Quel est le niveau de confiance que l'on peut apporter à CACert pour l'accepter comme autorité principal de confiance dans un navigateur Web majeur ?
        • [^] # Re: Problématique ?

          Posté par  . Évalué à 3.

          Es-ce qu'on ne ferait pas pour éviter un warning...
          Ça fait peur.
          • [^] # Re: Problématique ?

            Posté par  . Évalué à 10.

            Ouép. C'est expliqué dans le "How-to keep a sovietic nuclear plant running in ten lessons", l'édition de 1986. Par contre, il faut avoir de l'adhésif opaque pour coller sur les warnings et autres voyants angoissants.
          • [^] # Re: Problématique ?

            Posté par  (site web personnel) . Évalué à 1.

            Ce n'est pas un warning mais une page bloquante.
            Enfin bon, je suis toujours avec mon firefox 1.5 donc je ne suis pas tellement concerné actuellement.
      • [^] # Re: Problématique ?

        Posté par  (site web personnel) . Évalué à 10.

        Pour info la MoFo a tout un processus clair et explicite pour ajouter un certificat d'autorité dans ceux fournis par défaut. Ce processus ne disqualifie pas CaCert parce qu'il est communautaire et ce n'est pas lié à l'argent ou même à la part de marché.

        Il y a (eu) même un ticket pour demander l'inclusion de CaCert dans Firefox. La condition qui bloque est la demande d'un audit par une entité indépendante qui certifie la sécurité de CaCert (les processus, la sécurité de la clef qui certifie, etc.). CaCert a indiqué son intention de mener cet audit _et_ a indiqué explicitement dans le ticket que le ticket n'était pas pertinent en attendant.

        Bref, strictement rien à reprocher à la MoFo sur ce coup là. Tout au plus tu peux demander aux gestionnaires de CaCert pourquoi ce processus d'audit en vue de l'inclusion est au point mort (ou prend si longtemps, je ne sais pas).
        • [^] # Re: Problématique ?

          Posté par  . Évalué à 1.

          Dans le cas des navigateurs de Redmond je crois me souvenir d'avoir lu qu'il fallait aussi passer à la caisse, et que les chèques devaient avoir 7 chiffres minimum.

          Quelqu'un peut confirmer ? ;)
          • [^] # Re: Problématique ?

            Posté par  . Évalué à 5.

            un chèque de 0 000 000 $ ça va ou ils acceptent les euros
            • [^] # Re: Problématique ?

              Posté par  . Évalué à 2.

              Chiffres significatifs, ça allait globalement de soi. Par contre, il n'a pas précisé s'ils devaient être à droite ou à gauche de la virgule ;)
          • [^] # Re: Problématique ?

            Posté par  (site web personnel) . Évalué à 2.

            Sur CaCert il est publiquement indiqué que le cout d'un audit fait par la société habituelle pour ce genre de choses c'est 75k$ + 10k$ / an.

            On est sur 5 chiffres ;) (même si ça reste énorme).
            Ceci dit s'il y a réellement volonté, vu le service et le prix des sociétés concurrentes, c'est tout à fait le genre de somme qu'il est envisageable de récolter par don. Le blocage n'est certainement pas que là.
        • [^] # Re: Problématique ?

          Posté par  (site web personnel) . Évalué à 1.

          Tout au plus tu peux demander aux gestionnaires de CaCert pourquoi ce processus d'audit en vue de l'inclusion est au point mort (ou prend si longtemps, je ne sais pas).

          Alors bien sûr cela dépend de la certification qu'ils cherchent à atteindre (et de ce que demande la MoFo) mais je sais par expérience que ces certifications sont très compliquées à mettre en œuvre. Cela peut demander des mois de travail à plusieurs personnes à temps plein. Ajouté à cela il ne faut pas oublier les couts que peuvent engendrer la préparation de ces certifications.

          Un exemple de certification en France : http://www.marche-public.fr/Marches-publics/Definitions/Entr(...)
        • [^] # Re: Problématique ?

          Posté par  . Évalué à 3.

    • [^] # Re: Problématique ?

      Posté par  (site web personnel) . Évalué à 1.

      Un notaire on dit, pas un notable. Bien sûr.
      Quoiqu'on peut passer par un notable, mais dans ce cas, on se trouve sur une chaine de confiance parallèle, camorra, cosa nostra, Ndrangheta ...
      On pourrait même passer par un connétable et du coup rentrer dans une nouvelle chaine parallèle, là, ce serait plutôt TOR :)
  • # question de public

    Posté par  . Évalué à 6.

    "6 clicks après, je peux enfin accéder au site en "https://". Entre ca et le warning de la page about:config, on se croirait revenu sous WinXP/IE."

    Le changement est là en fait: dans FF3, on a une succession de plusieurs écrans carrément angoissants pour accepter un certificat autosigné, ce qui est tout de même concevable ... Idem pour accéder à about:config. C'est de la logique grand-public/win$ : "touche moi pas t'es trop con pour comprendre ce que tu fais". Mais ce doit pas être bien sorcier à désactiver ...
    • [^] # Re: question de public

      Posté par  . Évalué à 10.

      Ceux qui me moinssent ont-ils essayé firefox3 ?

      Je trouve juste que firefox2 gérait la même situation avec beaucoup plus de sobriété et sous un angle plus technique que psychologique: on était invité à visualiser le certificat, à le refuser ou à l'accepter, éventuellement temporairement. N'était-ce pas impeccable ?

      Orienter/biaiser la réponse de l'utilisateur via des messages effrayants ne parait pas particulièrement respectueux de celui ci, ni très éducatif. Et vous conviendrez avec moi que le mieux en terme de sécurité serait que tout le monde sache ce qu'est un certificat SSL ...

      Bon, c'est mon opinion toute personnelle, que ceux qui ne la partagent pas retournent sous Gnome/ubuntu^W^W^Wme moinssent tant qu'ils veulent :-)
      • [^] # Re: question de public

        Posté par  . Évalué à -3.

        firefox est destiné au grand public.
        si tu veux un navigateurs de geek, utilise lynx, w3m.
        Firefox est plus utilisé sous windows que sous linux+mac+*BSD
        il est donc normal qu'il prenne ses clients utilisateurs comme des débutants cliqueurs fous
      • [^] # Re: question de public

        Posté par  (site web personnel) . Évalué à 4.

        Et vous conviendrez avec moi que le mieux en terme de sécurité serait que tout le monde sache ce qu'est un certificat SSL ...

        Mr tout le monde (pas la peine de l'insulter d'ailleurs ce grand public... Il ne t'a rien fait, pas la peine de le traiter de con) veut surfer en sécurité sans s'emmerder à savoir ce que veux dire "SSL".

        Et l'idée de SSL (et de https) est d'être... secure.
        Un certificat auto-signé n'est pas secure.
        Un certificat signé par CaCert n'est pas secure (pour le moment)

        C'est normal qu'on te dise que ce n'est pas secure.

        Tu as plein de choix :
        - Rajouter CaCert en personne digne de confiance à tes risques et péril
        - Ne pas utiliser Firefox (plein d'autres sont dispo).
        - Ne pas aller sur des sites pas secure (y compris LinuxFr :) )

        Firefox a toujours dit vouloir être simple et sécurisé. Il fait ce qu'il dit, et tu lui reproches...

        La méthode de FF2 que tu préconises n'est pas assez secure, ils augmente la sécurité, et c'est bien (la méthode FF2 a montré ses limites : les gens cliquent, et vont sur le site, sans faire attention à la sécurité).
        Toi geek tu es à peine emmerdé (rajouter CaCert en autorité, comme dans l'esprit du SSL...), alors où est le problème?
        • [^] # Re: question de public

          Posté par  . Évalué à 1.

          En fait je n'ai pas de problème, parce qu'en tant que geek qui aime firefox (ne vous en déplaise) et qui manipule souvent des certificats auto-signés avec le dit navigateur, je suis aller modifier les paramètres suivant:

          browser.xul.error_pages.expert_bad_cert (True)
          browser.ssl_override_behavior (2)

          Comme indiqué ici http://kb.mozillazine.org/Browser.xul.error_pages.expert_bad(...)

          Je ne suis donc pas le seul de mon espèce :-)

          Et c'est exactement pour ce genre de chose que je pense que firefox c'est de la balle, malgré les dégâts collatéraux occasionné par sa tentative de conquête du monde ...

          A part ça, nous n'avons probablement pas la conception de la sécurité informatique.

          Pour finir si ce n'est pas trop te demander, lis mieux mes commentaires avant de t'exciter: je n' ai insulté personne. Je ne critique pas "le grand public" mais l'idée que l'on s'en fait du coté dev ...
          • [^] # Re: question de public

            Posté par  . Évalué à 5.

            je ne t'avais pas moinssé dans ton premier commentaire (dans les autres non plus ;) ), mais je ne suis pas spécialement d'accord avec ce que tu as dit ensuite : firefox 3 n'empêche pas de visualiser un certificat non "valide", car il est indiqué plus bas
            "Ou vous pouvez ajouter une exception…" ce qui permet de le faire plutôt facilement, et sans passer par la base de registre la page about:config. D'ailleurs ce que tu as modifié risque de se retourner contre toi si le site de ta banque ou ta connexion est victime d' " [[hameçonnage]] ". Dommage que le processus d'audit de CaCert prenne du temps, mais en attendant je pense que Firefox a traité cela correctement. Le "grand public" va sans doute moins que toi vers des sites auto signés d'ailleurs, et il vaut mieux offrir plus de sécurité à ce niveau.

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: question de public

          Posté par  (site web personnel) . Évalué à 1.

          Sauf que dans mon cas précis, firefox baisse ma sécurité car j'accepte les certificats de manière permanente et non plus temporaire comme avant.
          • [^] # Re: question de public

            Posté par  (site web personnel) . Évalué à 3.

            J'ai du mal à voir un cas où tu veux accepeter temporairement un certificat mais pas de manière permanente. Tu te réfères à quelle utilisation ?
            • [^] # Re: question de public

              Posté par  (site web personnel) . Évalué à 2.

              De manière générale je n'accepte jamais permanente un certificat non signé par une autorité de certification connue ...

              Ceci dit, je ne comprend pas non plus très bien comment fonctionne la chaîne de confiance SSL. En fait j'ai du mal a comprendre pourquoi je devrais faire confiance a des autorités de certifications. Par exemple en quoi le fait qu'une autorité de certification me certifie que amazon.fr correspond bien à Amazon me dit qu'ils ne vont pas faire n'impore quoi avec mes coordonées bancaires.
              • [^] # Re: question de public

                Posté par  (site web personnel) . Évalué à 3.

                En théorie le CA reconnu est une autorité qui est sensée vérifier sérieusement les identités avant de certifier, et avoir un process et une sécurité à toute épreuve. C'est le rôle du navigateur, du système ou de l'état que de mettre telle ou telle autorité dans la chaîne de confiance, en fonction de son sérieux et de ses garanties.
                Après pour que le système fonctionne tu peux aussi retirer certains CA en qui tu as moyen confiance ou ajouter ceux en qui toi tu as confiance (comme CaCert si c'est ton cas).

                Bref, si le CA est réellement de confiance ça te garanti que si Amazon.fr est signé par eux, c'est effectivement amazon.fr (et pas quelqu'un d'autre) avec qui tu converses et à qui tu envoies tes coordonnées bancaires (mais ça ne te garantit rien sur ce qui est fait de tes données ou que Amazon est lui même de confiance).
                Tout ça c'est en théorie, parce qu'en pratique les vérifications des CA de confiances ne sont pas toujours si fortes.

                Ce que j'entendais c'est que si tu acceptes un certificat non reconnu dans ta chaîne de confiance, c'est certainement que tu reconnais que la signature est valide (celui qui répond est bien le réel propriétaire du site et pas un pirate intermédiaire).
                Si tu confirmes que c'est bien le bon propriétaire tu as tout intérêt à faire une autorisation permanente. Le bonus c'est qu'en plus si un jour le certificat change (ce qui peut être révélateur qu'un pirate répond à la place du site), tu sauras qu'il a changé. Autoriser le certificat de manière temporaire à chaque fois, c'est comme si tu redemandais à chaque fois la carte d'identité de quelqu'un dont tu as déjà accepté l'identité et que tu reconnais déjà. C'est inutile et en plus ça risque de t'inciter (à force du nombre) à regarder toutes les cartes d'identité avec un oeil distrait, et à louper la personne qui effectivement te montrera une fausse carte.
          • [^] # Re: question de public

            Posté par  . Évalué à 6.

            Accepter un certificat auto-signé de manière permanente pour un domaine permet de se rendre compte tout de suite si il change.

            L'accepter à chaque fois, tu ne te rends pas compte si il change et il ne sert plus à grand chose.
      • [^] # Re: question de public

        Posté par  (site web personnel) . Évalué à 2.

        Firefox 2, quand ton certif était périmé (et ton certif auto-signé sur ton serveur perso, s'il est périmé, c'est pas la mort...), te redemandait à chaque fois d'accepter le certif... Au moins Fx3 tu peux à tes risques et périls lui dire de fermer sa mouille (et ce, site par site, pas en bidouillant about:config et virer la protection pour TOUS les sites).
        • [^] # Re: question de public

          Posté par  . Évalué à 1.

          Oui, enfin ton auto-signé sur ton serveur perso, c'est pas la mort non plus de faire en sorte qu'il périme pas de sitôt.
          • [^] # Re: question de public

            Posté par  (site web personnel) . Évalué à 2.

            C'était un exemple. On a aussi, par exemple toujours hein, le site des élèves pour lequel le service info ne renouvelle pas le certif en urgence (s'ils savent qu'ils en ont émis un un jour). Enfin bref entre les avertissements clairs pour essayer de sauver Mme Michu des vilains phisheurs, et la configuration bien plus fine, merci Firefox 3.
    • [^] # Re: question de public

      Posté par  . Évalué à 4.

      Justement en général le grand public c'est le gars qui réponds tout le temps "oui" à "Êtes-vous sûr de vouloir faire ça ?", sans trop réfléchir.
      • [^] # Re: question de public

        Posté par  . Évalué à 4.

        En même temps il a été bien conditionné par l'habitude d'utiliser des OS "grand public" qui "improve your experience" et toujours plus "secured" de génération en génération, où on te demande d'être sûr de vouloir effacer un fichier, sûr de vouloir éteindre/redémarrer, etc.
    • [^] # Re: question de public

      Posté par  (site web personnel) . Évalué à 3.

      Ce qui me gêne dans cette complexification, c'est qu'il n'est plus possible d'accepter des certificats pour la session seulement.

      Jusqu'a présent, pour des sites comme linuxfr.org ou gna.org, j'acceptais le certificat temporairement. Et si un jour j'ai des opérations sensibles à faire sur ces sites, je regarderais plus en détail comment cela se passe.

      Mais maintenant, je suis presque obligée d'accepter les certificats de manière permamente. Et du coup, je n'ai aucun moyen rapide de me rendre compe si un site sécurisé à un certificat accepté par une autorité de certification reconnue ou non. Je considère que c'est un problème de sécurité important.


      PS: bien sûr, l'option pour accepter le certificat temporairement existe, mais devant la complexité qu'il y a à accepter un certificat, j'abandonne.
      • [^] # Re: question de public

        Posté par  (site web personnel) . Évalué à 2.

        > Et du coup, je n'ai aucun moyen rapide de me rendre compe si un site sécurisé à un certificat accepté par une autorité de certification reconnue ou non. Je considère que c'est un problème de sécurité important.


        Oh si !
        Cliques sur le favicon, tu as une zone claire et net qui te dit que c'est un certificat que sur lequel tu as fait une exception, avec un lien pour avoir plus d'info sur le certificat.
        Si tu veux l'enlever ou jouer sérieusement avec tu le retrouves aussi dans les options avancé/sécurité/certificats servers, et tu peux l'enlever ou voir toutes les exceptions.
        • [^] # Re: question de public

          Posté par  (site web personnel) . Évalué à 2.

          Sauf que jusqu'a ce que tu me le dises ... je ne le savais pas. Donc je n'aurais pas vérifié.
          Bon, et maintenant je n'ai même plus firefox pour voir où c'est vraimment :(
  • # Dans le même genre ...

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    Il y a une protection à la con sur les numéros de ports, qui empeche de se connecter à des serveurs ftp/http (dans mon cas) qui écoutent sur un port non standard :


    Port Restricted for Security Reasons

    This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection.


    Voila ce que me sort firefox 3.

    Et je ne trouve pas comment désactiver ce comportement.
    • [^] # Re: Dans le même genre ...

      Posté par  . Évalué à 2.

      C'est pour éviter qu'un site se mette à parler à ton imprimante réseau et lui faire imprimer n'importe quoi, par exemple.
      Je pense que Firefox doit avoir une blacklist de ports sur lesquels des services autres que HTTP/FTP peuvent tourner, les autres ports ne doivent pas causer de warning.
    • [^] # Re: Dans le même genre ...

      Posté par  . Évalué à 2.

      Tu as des exemples d'URL où tu as ce comportement?
      • [^] # Re: Dans le même genre ...

        Posté par  (site web personnel) . Évalué à 3.

        • [^] # Re: Dans le même genre ...

          Posté par  (site web personnel) . Évalué à 3.

          Déjà bloqué dans FF2, rien de neuf sous le soleil...
          Et c'est normal : le port 21 est réservé pour le protocole FTP, c'est une norme.

          Tu critique le fait que FF respecte les normes?
          Comme celle la : http://www.iana.org/assignments/port-numbers

          Et ça évite des problèmes de phishing potentiel...
          • [^] # Re: Dans le même genre ...

            Posté par  . Évalué à 6.

            oh vraiment ? trouve moi le mot "norme" dessus.


            (sinon pour ceux qui connaissent pas, c'est une très bonne ressource)
          • [^] # Re: Dans le même genre ...

            Posté par  . Évalué à 4.

            "c'est normal" ... non, le logiciel n'a pas a décidé à la place de l'utilisateur.
            Qu'il ne le fasse pas par défaut et affiche une page style "ce n'est pas un port standard, etes vous sur de vouloir continuer. Cela pourrait etre dangereux" ok.
            Qu'il bloque, désolé non ce n'est pas normal.
            Idem, un paramètre de conf devrait etre disponible pour modifier ce comportement.

            quand aux numéro de port, c'est une recommandation. Les gens peuvent en faire ce qu'ils veulent. (d'ailleur certains change les numéro de port pour éviter les habituels robots des script kiddie (qui pourrissent les logs et fait travailler le cpu pour rien), style ssh sur un autre port que le 22).
            • [^] # Re: Dans le même genre ...

              Posté par  (site web personnel) . Évalué à 1.

              Qu'il ne le fasse pas par défaut et affiche une page style "ce n'est pas un port standard, etes vous sur de vouloir continuer. Cela pourrait etre dangereux" ok.

              Le problème est que l'utilisateur "normal" clique tout le temps sur continuer. Du coup cet avertissement ne sert à rien, alors que le but de la MoFo est la sécurité. Testé par la MoFo.
              Donc fallait trouver autre chose.
              Mais encore une fois : FF a un but : la sécurité. Si la sécurité ne vous plait pas, vous êtes libre d'utiliser les 50 000 interfaces disponibles en surcouche de Gecko (ou de WebKit, ou d'un autre!). Vous n'êtes pas la "cible" de la MoFo.

              quand aux numéro de port, c'est une recommandation.

              Tout comme HTML est une "Request for comments". N'empêche, on râle quand MS ne respecte pas une demande de commentaires, alors pourquoi ne pas respecter une recommandation avant de critiquer les gens qui ne respectent pas une demande de commentaires?
              • [^] # Re: Dans le même genre ...

                Posté par  . Évalué à 4.

                le but de la MoFo est la sécurité
                Tu parle bien de la MoFo, celui qui fait un bloatware qui permet d'utiliser sans aucun souci le javascript, le flash, l'ajax etc... sans une once de probleme ?

                Dire qu'ils portent un intéret tout particulier à la sécu, je veux bien comprendre, mais dire que c'est leur but, j'ai déja plus de doute.

                Tout comme HTML est une "Request for comments".
                Pas aussi simple, le http (et non pas le html qui est un standard w3c) a beau etre une rfc, c'est un standard (plus ou moins) approuvé par ietf.
                Et avant de sortir une rfc tu as des drafts, et un processus complexe de relecture et de discussion.
                Ce n'est plus la "demande de commentaire" telle qu'utilisée lors d'ARPANET.

                Enfin, MS globalement, respecte http. C'est html qu'il ne respecte pas.


                http://tools.ietf.org/html/rfc2616
                tu vois "draft standard", et au dessus tu as le draft qui a servi.

                Maintenant si on regarde le document définissant les numéros de ports (http://www.iana.org/assignments/port-numbers) on voit ça
                - best practice "ne pas utiliser des numéros de ports entre 0 et 49151 non assigné par l'iana" (on voit déja l'impossibilité pour la multitude de protocole qui existe de suivre cette contrainte).

                Déjà ils ne parlent pas de la conformance dans les best practice.


                Mais plus important, en gras on voit ca :

                * 2. ASSIGNMENT OF A PORT NUMBER DOES NOT IN ANY WAY IMPLY AN *
                * ENDORSEMENT OF AN APPLICATION OR PRODUCT, AND THE FACT THAT NETWORK *
                * TRAFFIC IS FLOWING TO OR FROM A REGISTERED PORT DOES NOT MEAN THAT *
                * IT IS "GOOD" TRAFFIC. FIREWALL AND SYSTEM ADMINISTRATORS SHOULD *
                * CHOOSE HOW TO CONFIGURE THEIR SYSTEMS BASED ON THEIR KNOWLEDGE OF *
                * THE TRAFFIC IN QUESTION, NOT WHETHER THERE IS A PORT NUMBER *
                * REGISTERED OR NOT. *


                Donc effectivement, la conformance aux traffic n'est pas demandé ou assuré de quelques manières que ce soit.
                • [^] # Re: Dans le même genre ...

                  Posté par  . Évalué à 2.

                  > > le but de la MoFo est la sécurité
                  > Tu parle bien de la MoFo, celui qui fait un bloatware qui permet d'utiliser sans aucun souci le javascript, le flash, l'ajax etc... sans une once de probleme ?

                  faut peut-etre pas mettre les plug-ins d'éditeurs tiers (Flash, Java, Real Kikoo Media Player etc) trop sur leur dos non plus
                  • [^] # Re: Dans le même genre ...

                    Posté par  . Évalué à 2.

                    je le met pas sur leur dos, mais faciliter l'execution de code inconnu, c'est pas ce que j'apelle de la sécu "a bloc".
              • [^] # Re: Dans le même genre ...

                Posté par  . Évalué à 4.

                "Le problème est que l'utilisateur "normal" clique tout le temps sur continuer. Du coup cet avertissement ne sert à rien, alors que le but de la MoFo est la sécurité. Testé par la MoFo."

                Ce que fait l'utilisateur n'est pas de la responsabilité de la MoFo. Ce truc qu'ils ont ajouté ne leur feront ni gagner, ni perdre des utilisateurs. Si se bouffer des virus/spyware/rootkits/scam faisait changer d'avis l'utilisateur sur un produit, ils auraient arrêté d'utiliser windows à l'époque où des virus pouvaient encore pénétrer dans l'ordinateur sans la moindre action de l'utilisateur (même pas lire un mail, rien, que dalle, la première version de Windows XP pouvait se manger des virus baladeurs comme Blaster, suffisait juste de ne pas être derrière un NAT).

                Pourquoi la MoFo devrait se soucier de la connerie de l'utilisateur ? si l'utilisateur se fait niquer, c'est son problème. Et même s'il se fait niquer il arrêtera probablement pas d'utiliser Firefox parce qu'il ne saura pas pourquoi il s'est fait niquer.
                • [^] # Re: Dans le même genre ...

                  Posté par  (site web personnel) . Évalué à 0.

                  > si l'utilisateur se fait niquer, c'est son problème

                  Certes, mais le but de la MoFo c'est d'aider l'utilisateur, pas de créer un prototype technologique (contrairement aux buts déclarés de Mozilla il y a pas mal d'années).

                  Du coup si c'est un problème pour l'utilisateurs, ça devient logiquement un point important pour la MoFo
    • [^] # Re: Dans le même genre ...

      Posté par  (site web personnel) . Évalué à 2.

      > Il y a une protection à la con sur les numéros de ports

      Moui, mais tu vais comment concretement pour éviter les failles XSS s'il y a un serveur FTP, un serveur de SMTP, IMAP, ... sur la machine ?

      En fait ce n'est pas lié a firefox 3. Ce comportement existe depuis bien longtemps.
      • [^] # Re: Dans le même genre ...

        Posté par  . Évalué à 3.

        je crois que si tu as un serveur FTP, SMTP ou autre qui répond quand on lui cause HTTP, tu as un gros soucis
        • [^] # Re: Dans le même genre ...

          Posté par  (site web personnel) . Évalué à 0.

          > je crois que si tu as un serveur FTP, SMTP ou autre qui répond quand on lui cause HTTP

          Fait pas comme si tu ne savais pas que telnet, smtp, ftp, ... parle de la même manière.

          Bon, parce que tu ne connais pas google voici un des nombreux liens sur la question : http://www.gnucitizen.org/blog/xss-attacks-book-preview/436_(...)
          • [^] # Re: Dans le même genre ...

            Posté par  . Évalué à 4.

            Fait pas comme si tu ne savais pas que telnet, smtp, ftp, ... parle de la même manière.
            pour telnet je suis d'accord, vu qu'il accepte tout, pour le reste...
            Vraiment ? je vais tester alors

            $ telnet localhost smtp
            Trying 127.0.0.1...
            Connected to localhost.
            Escape character is '^]'.
            220 oni ESMTP
            GET / HTTP\1.1
            502 ESMTP command error

            ^[^]
            telnet> quit
            Connection closed.


            Je suis assez d'avis que mon serveur smtp a pas vraiment compris le langage http moi ...

            Ils parlent pas du tout le meme langage, par contre les deux sont des protocoles textuels basés sur tcp.
            Et c'est sur ca que repose les attaques XSS.
            • [^] # Re: Dans le même genre ...

              Posté par  . Évalué à 2.

              Sauf que le "502 ESMTP command error" n'est pas fatal, et que ce qui suit peut être compris par le serveur

              GET / HTTP/1.1
              X-Foo: bar
              HELO localhost
              MAIL FROM: <moi@localhost>
              etc...


              Il doit être possible d'injecter ce genre de choses dans une requête HTTP en utilisant Flash et/ou Java.

              Et il y en a qui s'amusent avec ce genre de choses:
              http://jeremiahgrossman.blogspot.com/2008/01/cross-site-prin(...)
              • [^] # Re: Dans le même genre ...

                Posté par  . Évalué à 2.

                j'ai jamais dis le contraire.
                J'ai juste dis que HTTP et SMTP ce n'était absolument pas le même langage.

                et d'ailleurs si tu lis bien le commentaire, tu verras qu'après l'exemple j'avais marqué cela :

                Ils parlent pas du tout le meme langage, par contre les deux sont des protocoles textuels basés sur tcp.
                Et c'est sur ca que repose les attaques XSS.


                tiens je parle de tes fameux XSS (vouivoui je lis les documents que tu fournis)
                • [^] # Re: Dans le même genre ...

                  Posté par  (site web personnel) . Évalué à 2.

                  Heu, andreas != gnunux

                  Effectivement mon postfix se coupe dès qu'on met une ligne commencant par "POST" ou "GET". Mais il y a 2-3 ans ce n'etait pas le cas. En théorie il devrait laisser passer et juste dire 'je ne supporte pas GET' (ce qu'il faisait avant).

                  Bref, postfix coupe la connexion mais pas forcement tous les services/serveurs. Je pense que c'est une bonne chose d'avoir désactiver les ports potentiellement à risque dans Firefox. D'ailleurs, la mesure a été prise il y a plusieurs années et le problème surgit ici que maintenant. C'est bien que cela ne gène (quasi) personne.
                  • [^] # Re: Dans le même genre ...

                    Posté par  . Évalué à 1.

                    Heu, andreas != gnunux
                    désolé.
                    J'ai trop l'habitude que ce soit toujours la meme personne qui troll répond ;)

                    Je pense que c'est une bonne chose d'avoir désactiver les ports potentiellement à risque dans Firefox.
                    Je ne suis pas contre le fait de fermer les ports, mais plutot contre le fait que ce ne soit pas "simple" de les ré-ouvrir si on en a besoin (devoir faire google, trouver la bonne option qui va bien, ...)

                    D'ailleurs, la mesure a été prise il y a plusieurs années et le problème surgit ici que maintenant. C'est bien que cela ne gène (quasi) personne.
                    Pas parce qu'on en parle ici, que ca ne génait personne avant ;)
                  • [^] # Re: Dans le même genre ...

                    Posté par  . Évalué à 1.

                    Heu, andreas != gnunux
                    Et andeus != andreas ;)
                • [^] # Re: Dans le même genre ...

                  Posté par  . Évalué à 2.

                  Toutes mes excuses, je n'avais pas compris ton message comme ça.
    • [^] # Re: Dans le même genre ...

      Posté par  (site web personnel) . Évalué à 2.

      Et je ne trouve pas comment désactiver ce comportement.

      Je présume en allant tripoter les options via about:config.

      Ah tiens c'est rigolo, avant c'était direct, maintenant il y a un message d'avertissement (du même tonneau que pour les certificats non reconnu ou autre).

      Par contre je viens de jetter un oeil rapide et je ne vois pas facilement quel(s) paramètre(s) modifier...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.