IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Dave Winer bat en brèche les arguments de Google qui encouragent l'adoption massive du HTTPS
Et soutient que les sites HTTP ont encore leur place

Le , par Olivier Famien

206PARTAGES

22  0 
Depuis quelques années, Google s’est lancé dans un projet de renforcer la sécurité sur la toile en faisant la promotion pour l’adoption du protocole HTTPS par les sites web. Pour cela, l’entreprise a annoncé qu’elle marquerait les sites web qui utilisent le protocole HTTP et collectent les mots de passe et les informations bancaires comme non sécurisés. Toutefois, vu que le passage au HTTPS n’est pas aussi aisé pour tous les sites, la firme de Mountain View a établi un plan d’action dans lequel elle a commencé par indiquer les pages web non sécurisées avec un indicateur neutre.

Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.

En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.


Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « ;non sécurisé ;».

Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.

Dave Winer présente les avantages des sites utilisant le protocole HTTP

Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.

Comme autre argument, Winer soutient que « ;Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon ;», mais pour lui, « ;HTTP est la meilleure chose qui soit ;». Selon lui, c’est « ;sa simplicité qui a fait fonctionner le web ;» et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « ;que les gens puissent utiliser leurs propres serveurs web plus facilement ;». Pour lui, « ;Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ;». « ;Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ;».


Et comme conséquence, Winer souligne que « ;nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ;». Il continue en défendant que « ;toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ;». Enfin, écrit-il, « ;le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ;».

Dave Winer bat en brèche les arguments de Google en faveur du HTTPS

En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « ;la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur ;», mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « ;c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ;».

Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.

Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « ;migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ;».

Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ;?

Source : This.How

Et vous ?

Quel est votre avis sur les arguments présentés par Winer ;?

Google procède-t-il mal en voulant faire passer tout le web au HTTPS ;?

Ou partagez-vous la démarche de Google qui veut sécuriser le web en faisant la promotion du HTTPS ;?

Voir aussi

Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet
Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier, et donne plus de détails sur son plan
Google Chrome va marquer comme « ;non sécurisés ;» les sites web en HTTP qui collectent des informations sur des mots de passe
Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
L’EFF se réjouit de l’adoption massive du protocole HTTPS durant l’année 2017 et espère que 2018 sera marquée par la même tendance

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 02/07/2018 à 8:46
Eh bien, cela faisait longtemps que je n'avais pas lu de telles bêtises.

Citation Envoyé par Olivier Famien Voir le message
Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années.
Si le site web est hébergés par un tiers (e.g. OVH, etc.) le passage à HTTPS se fera généralement de façon transparente.

Si le site web est auto-hébergé sur un serveur qui n'est plus maintenu/mis à jour... autant l'arrêter pour la sécurité de tous.

Citation Envoyé par Olivier Famien Voir le message
Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
On parle ici de la sécurité, comme on va vérifier la validité des certificats, la version de TLS, etc.

Citation Envoyé par Olivier Famien Voir le message
Comme autre argument, Winer soutient que « ;Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon ;», mais pour lui, « ;HTTP est la meilleure chose qui soit ;». Selon lui, c’est « ;sa simplicité qui a fait fonctionner le web ;» et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire.
Parce que HTTPS, c'est quoi pour lui ? .

Citation Envoyé par Olivier Famien Voir le message
En défendant l’adoption du HTTP, Winer souhaite « ;que les gens puissent utiliser leurs propres serveurs web plus facilement ;». Pour lui, « ;Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ;». « ;Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ;».
Déjà pour des hébergements par des tiers (e.g. OVH), cela n'a aucun surcoût.
Pour de l'auto-hébergement, avec Let's Encrypt, c'est franchement pas ce qu'il y a de plus compliqué et coûteux...

Citation Envoyé par Olivier Famien Voir le message
Et comme conséquence, Winer souligne que « ;nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ;». Il continue en défendant que « ;toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ;». Enfin, écrit-il, « ;le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ;».
Au moins le groupe de nerds chez Google savent faire une redirection HTTP->HTTPS... et ont un minimum de connaissances en ce qui concerne la sécurité informatique...

Citation Envoyé par Olivier Famien Voir le message
En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « ;la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur ;», mais sont cependant marqués non sécurisés.
Et ?
Pour rappel HTTP ne permet pas seulement d'écouter les communications, mais aussi de les modifier... donc de rajouter des scripts, ou des champs... ou de modifier des informations.

Citation Envoyé par Olivier Famien Voir le message
En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace.
Quid de la protection de la vie privée ?

Citation Envoyé par Olivier Famien Voir le message
Pour Winer, « ;c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ; développeurs de renoms».
Citation Envoyé par Olivier Famien Voir le message
Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants.
Et bien qu'il fasse une publication scientifique pour dire comment il casse TLS, ça m'intéresse au plus haut point.

Citation Envoyé par Olivier Famien Voir le message
Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
Et bien qu'ils fassent une redirection HTTP->HTTPS...

Ou consulte le site via un site d'archive...

Citation Envoyé par psychadelic Voir le message
D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.
C'est l'inverse.

Google ne dit pas qu'on est totalement en sécurité avec HTTPS, mais qu'on ne l'est pas avec HTTP.
Comme le fait d'avoir l'air bag n'empêche pas de mettre la ceinture. Ne pas mettre la ceinture, ce n'est pas sûr, mais ce n'est pas pour autant qu'avec la ceinture on est forcément en sécurité (e.g. sans air bag).
13  0 
Avatar de intelligide
Membre averti https://www.developpez.com
Le 02/07/2018 à 9:50
Je vois beaucoup de réponses qui défendent le point de vue de Dave Winer en disant que s'il n'y a pas de transaction par CB, y a pas besoin de HTTPS. Je n'ai jamais entendu de réponses aussi stupides.

Le HTTPS permet de sécuriser TOUTES les informations entre un client et le serveur. Cela va de bien sûr des numéros de CB mais aussi des identifiants et mots de passe. Le HTTPS permet aussi de protéger une page web de toute modification pendant le transfert (et oui, le HTTPS "interdit" les FAI de mettre de la pub forcée sur les pages web).

Certes le HTTPS ne permet pas d'avoir un sécurité à 100% à cause du risque humain (car il n'interdit pas les naifs de se faire avoir par le phishing). Mais le HTTPS augmente un peu plus la sécurité de tous. Je rejoins Dave Winer sur le seul fait que marquer des vieux sites non maintenu comme dangereux est dommageable. Mais maintenant, si on ne sait pas mettre un certificat SSL quand on monte un serveur, faudrait penser à se couper d'internet (je parle pour ceux qui montent des serveurs, pas de ceux qui utilisent du mutualisé (eux peuvent mettre du HTTPS encore plus facilement)).

Citation Envoyé par 23JFK Voir le message
Plutôt de l'avis de Dave, le http est largement suffisant, la plupart des sites commerciaux redirigent leur clients vers une interface de banque ayant leur propre méthode de sécurisation de transaction quand il s'agit de payer. Le https ressemble plus à un moyen de fermer le web.
Champion ! TU proposes toi-même un moyen de fermer internet: centraliser toutes les transactions. Ce qui est plus dangereux que le HTTPS.

Citation Envoyé par 23JFK Voir le message
La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...
Nom de Zeus, marty ! Il faut retourner en 1996 pour la sécurité de tous.
14  1 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 02/07/2018 à 9:25
Citation Envoyé par melka one Voir le message
dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.
Même quand le https sur l'intégralité du site n'était pas la norme, tous les sites proposant des transactions bancaires utilisaient heureusement déjà le https pour celles ci, sinon aucune banque n'aurait accepté les transactions par internet.

Citation Envoyé par psychadelic Voir le message
Je suis à 100% d’accord avec les arguments de Dave Winer.
D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.
Il faut différencier escroc et pirate. https ne protège en effet pas de l’escroquerie, par contre il garantit que personne ne peut intercepter le message entre vous et le site auquel auquel vous vous connectez.

Citation Envoyé par UduDream Voir le message
Il a carrément raison ce type. C'est effectivement la pédagogie qu'il faudrait mettre en avant.
La pédagogie dans l'informatique, et plus particulièrement sur internet, on a essayé et on essaye encore, depuis très très longtemps. On sait bien que la plupart du temps, ça ne marche pas du tout.

Citation Envoyé par 23JFK Voir le message
La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...
En effet, le genre de site déjà très rare aux débuts du web. Alors aujourd'hui, autant dire que c'est une espèce quasi disparue.

Citation Envoyé par melka one Voir le message
pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.
En effet, aucune technologie ne peut empêcher une société de ne pas utiliser les informations que tu lui donne. Tu es censé faire confiance au site auquel tu confie tes informations et https te garantit qu'un tiers ne pourra pas les intercepter.

Quant a l'argument de conservation de l'existant, il me parait assez douteux. Une personne qui n'entretient plus son site ne va probablement pas continuer a entretenir le serveur, a moins que ce contenu soit géré par un hébergeur qui pourra s'occuper lui même de la migration.
10  0 
Avatar de
https://www.developpez.com
Le 01/07/2018 à 23:35
Citation Envoyé par melka one Voir le message
dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.
Envoyer tes informations bancaires sur un site n'utilisant pas HTTPS est dangereux, ça signifie que ces informations vont circuler sur le réseau en clair et seront lisibles par tous les noeuds par lesquels elles vont passer. Développez ne demande pas d'informations bancaires mais il y a un système d'identification et des données personnelles transitent, comme ton mot de passe qui peut être sensible. Je t'invite à te renseigner sur comment fonctionne internet et ainsi te rendre compte de l'importance de HTTPS.

Après il est clair que dans certains cas HTTPS est en effet superflu, dès qu'il n'y a pas de transfert de données en gros. Un blog sans commentaires est un bon exemple, un site purement vitrine (et encore il y a souvent un formulaire de contact) en est un autre. Il faut toutefois reconnaître que ces sites sont de plus en plus rares de nos jours, et si la généralisation de la sécurité permet à Mme Michu d'éviter les pièges les plus grossiers, comme par exemple sur les réseaux wifi publics, c'est un faible coût à payer.

Là où je suis d'accord avec le billet c'est que Google "décide" unilatéralement de dire HTTP = mal et c'est un peu dangereux, même si dans le cadre de cette mesure je pense que l'effet est globalement positif.
9  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 02/07/2018 à 10:36
Citation Envoyé par melka one Voir le message
il n'est pas dit que https sert a rien mais qu'il faut arrêter de faire peur au internautes parce qu'un site n'est pas en https il n'y a pas que des sites commercial.
Comme nous l'avons déjà fait remarquer, l'HTTPS ne sert pas uniquement pour les sites commerciaux...
10  1 
Avatar de Neckara
Inactif https://www.developpez.com
Le 02/07/2018 à 16:25
Citation Envoyé par 23JFK Voir le message
De là à décréter qu'il faille tout protéger contre des modifications...
Je crains que tu n'as même pas conscience des conséquences d'un manque d'intégrité et de confidentialité d'un site.

Par exemple, l'injection de code peut servir pour tout ce qui est "browser fingerprinting", minage de cryptomonnaies, tentative d'exploitation d'une faille d'un navigateur, constitution d'un pseudo-"botnet", etc.

Citation Envoyé par 23JFK Voir le message
Mais ce Dave n'a-t-il pas justement argumenté que le HTTPS ne protégeait pas contre une attaque par l'homme du milieu, méthode tout à fait valide pour mystifier un site ?
Mystifier ?

Et non, à moins de casser TLS ou d'avoir un CA (ou un hébergeur, proxy TLS) malveillant, tu ne peux pas faire de MITM sur TLS, donc sur HTTPS.
Et si tu arrives à casser TLS, et bien, je t'invites à publier un article de recherche.

Citation Envoyé par 23JFK Voir le message
Je m'abstiendrais d'être aussi catégorique, tout système est faillible, en cela, https ne fait pas exception à la règle.
Et ?
8  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 02/07/2018 à 18:01
Citation Envoyé par Saverok Voir le message
TLS 1.0 a été cassé en 2011
La version 1.2, c'est une autre histoire mais il existe, malheureusement, encore beaucoup de serveurs qui restent en version 1.0...
Quand je parle de TLS, c'est bien évidemment le TLS state of the arts, pas les versions qui ont été dépréciées.
Si TLS 1.0 a été cassée en 2011, le TLS 1.1 est sorti en 2006, et le TLS1.2 en 2008.

Citation Envoyé par qvignaud Voir le message
Premièrement, HTTPS n'est pas invulnérable à l'attaque par l'homme du milieu : Callegati, F., Cerroni, W., & Ramilli, M. (2009). Man-in-the-Middle Attack to the HTTPS Protocol. IEEE Security & Privacy, 7(1), 78-81.
Ça c'est une faille utilisateur qui accepte les certificats auto-signé de ce que je lis dans la première page de l'article.




Citation Envoyé par qvignaud Voir le message
Deuxièmement, HTTPS a d'autres failles qui ne sont pas forcément de ce type là : Möller, B., Duong, T., & Kotowicz, K. (2014). This POODLE bites: exploiting the SSL 3.0 fallback. Security Advisory.
Au vu du titre, ça semble plus être un problème de configuration, que vraiment de HTTPS.

Citation Envoyé par qvignaud Voir le message
Troisièmement, TLS lui-même n'est pas invulnérable du tout (note : TLS repose sur RSA, ECDSA, ECDH ou encore DSA selon la configuration utilisée) : Chen, L., Chen, L., Jordan, S., Liu, Y. K., Moody, D., Peralta, R., ... & Smith-Tone, D. (2016). Report on post-quantum cryptography. US Department of Commerce, National Institute of Standards and Technology.
Construit déjà ta machine quantique avec suffisamment de q-bits, et on en reparle.

Citation Envoyé par qvignaud Voir le message
Voilà. Que chacun se rappelle que la sécurité n'est pas de savoir si les données échangées sont sécurisées ou pas, mais combien de temps elles le sont.
Pour le reste, bonne continuation dans ce débat.
Ouais, mais bon, dans le cas de HTTP, le "combien de temps" ne se pose même pas.

Sachant que derrière, toutes les attaques ne sont pas possibles à posteriori. Difficile par exemple de "voler" une connexion terminée il y a 10 ans.
7  0 
Avatar de RandomAccount243
Membre à l'essai https://www.developpez.com
Le 02/07/2018 à 9:11
J'ai crée ce compte pour appuyer Neckara, incroyable de lire des choses comme ça et encore plus de lire les commentaires qui approuvent ça, sur un site de développeurs ! Je sais que la sécurité ça vous fait chier mais quand même ! J'ai même pensé qu'on était le premier Avril ou qu'on était Vendredi...
9  3 
Avatar de RandomAccount243
Membre à l'essai https://www.developpez.com
Le 02/07/2018 à 17:09
Un vrai plaisir de lire Neckara qui a toujours les bons mots face à des arguments aussi incompréhensibles qu'indéfendables... J'arrive pas à comprendre comment on peut persister à chercher des arguments contre le HTTPS par rapport au HTTP. L'argument des sites commerciaux par exemple n'a aucun sens et chiffrer les communications sera toujours mieux que de laisser tout en clair, à moins de vraiment vouloir ne pas se protéger...
6  0 
Avatar de qvignaud
Membre actif https://www.developpez.com
Le 02/07/2018 à 17:10
Citation Envoyé par Neckara Voir le message
Et non, à moins de casser TLS ou d'avoir un CA (ou un hébergeur, proxy TLS) malveillant, tu ne peux pas faire de MITM sur TLS, donc sur HTTPS.
Et si tu arrives à casser TLS, et bien, je t'invites à publier un article de recherche.
Bonjour, bonsoir,

  • Premièrement, HTTPS n'est pas invulnérable à l'attaque par l'homme du milieu : Callegati, F., Cerroni, W., & Ramilli, M. (2009). Man-in-the-Middle Attack to the HTTPS Protocol. IEEE Security & Privacy, 7(1), 78-81.
  • Deuxièmement, HTTPS a d'autres failles qui ne sont pas forcément de ce type là : Möller, B., Duong, T., & Kotowicz, K. (2014). This POODLE bites: exploiting the SSL 3.0 fallback. Security Advisory.
  • Troisièmement, TLS lui-même n'est pas invulnérable du tout (note : TLS repose sur RSA, ECDSA, ECDH ou encore DSA selon la configuration utilisée) : Chen, L., Chen, L., Jordan, S., Liu, Y. K., Moody, D., Peralta, R., ... & Smith-Tone, D. (2016). Report on post-quantum cryptography. US Department of Commerce, National Institute of Standards and Technology.

Du dernier ouvrage mentionné voici un extrait :



Voilà. Que chacun se rappelle que la sécurité n'est pas de savoir si les données échangées sont sécurisées ou pas, mais combien de temps elles le sont.
Pour le reste, bonne continuation dans ce débat.
5  0