IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla déclare la guerre contre le "HTTP non-sécurisé"
Et veut forcer les développeurs à migrer vers le protocole HTTPS

Le , par Amine Horseman
81 commentaires

5PARTAGES

2  0 
Dans un billet de blog, Mozilla annonce son intention de marquer le protocole HTTP comme étant obsolète afin de privilégier l’utilisation du protocole HTTPS utilisant le cryptage lors du transfert de données pour assurer l’intégrité et une meilleure sécurité.

Pour cela, Mozilla propose de définir une date après laquelle toute nouvelle fonctionnalité ne sera disponible qu’aux sites web utilisant le protocole sécurisé. Après cela, tous les autres sites se verront révoquer le droit d’utiliser certaines fonctions du navigateur, en particulier celles qui présentent des risques pour la sécurité et le respect de la vie privée des utilisateurs. Le but final de cet effort est d’envoyer un message d’alerte aux développeurs Web pour les inciter à adopter le protocole HTTPS partout sur leurs sites.

Mais Mozilla veut aller plus loin en proposant cette stratégie au W3C à travers son groupe de travail responsable sur la sécurité des applications web. En effet, si une telle décision est adoptée par le groupe de standardisation international, l’initiative serait beaucoup plus efficace puisqu’elle serait coordonnée et adoptée par l’ensemble de la communauté web et en particulier par les autres navigateurs.

Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web. Comme cité sur le billet de blog, « interdire des fonctionnalités pour les sites web non-sécurisés est susceptible de rompre le fonctionnement certains sites. Nous devons donc surveiller le degré de rupture et l'équilibrer avec les gains en termes de sécurité ». Une telle décision ne devrait donc pas être prise à la légère.

D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.

Source: Mozilla Blog

Et vous ?

Que pensez-vous de cette proposition ?
Forcer les développeurs à utiliser le protocole HTTPS permettrait-il de mieux sécuriser le web ?

Une erreur dans cette actualité ? Signalez-nous-la !

81 commentaires
Commenter Signaler un problème
hannibal.76
Avatar de hannibal.76
Membre actif https://www.developpez.com
Le 05/05/2015 à 9:34
Effectivement, Mozilla ( et d'autres ) prévois de fournir des certif SSL gratuitement --> https://letsencrypt.org/
(Le fournir reste a définir pour moi)
5  0 
RyzenOC
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 06/05/2015 à 7:57
Pour ma part, je plussoie au HTTPS partout. Les certificats ne coûtent rien en soit, ce sont les certificats délivrés par des entités reconnues qui coûtent. Chacun peut faire son propre certificat, la conséquence étant en revanche une notification de sécurité de la part du navigateur, ce qui est certes gênant mais en rien bloquant
Je pense être bien placer pour te répondre, que NON!!!!

Mon site est en https, je me suis auto certifier, résultat ?
Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?
4  0 
RyzenOC
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 05/05/2015 à 7:58
Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

C'est un peu le monde a l'envers.

En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?
3  0 
TiranusKBX
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 05/05/2015 à 5:07
mais dite moi il sont près à payer les certificats SSL de tous les sites en nous sortant ça ?
3  1 
cocowin
Avatar de cocowin
Membre du Club https://www.developpez.com
Le 05/05/2015 à 6:12
Je n'approuve pas du tout.

Pour commencer un certificat SSL est cher. Si, pour une entreprise, cela ne pose pas trop de problème, Mozilla ne devrait pas forcer les gens à en acheter un.

Ensuite, certains sites n'en ont pas du tout besoin, au hasard : developpez.com , qui est en http, mais je m'en fiche car je n'ai aucune info sensible sur ce site.

Mozilla veut forcer les développeurs à acheter un certificat SSL qui la plupart du temps sera inutile. Merci Mozilla.

Et puis franchement : Bloquer des fonctionnalités sur les site http ? BLOQUER des fonctionnalités ? Donc il faudra débourser pour avoir ces fonctionnalités. Parfait. Nous aurons donc 2 versions du Web : Normal et Prenium. Je suis peut-être HS, mais : Depuis quand Mozilla applique une politique comme celle-ci ? On dirait Apple.
5  3 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 05/05/2015 à 11:37
Mozilla nous refait exactement la même chose qu'avec le DoNotTrack
Au début, un discours ultra ferme (limite despotique) puis, quand la fondation se rend compte qu'elle ne fédère pas et qu'elle se retrouve un peu isolée, elle modère son propos pour finir par se ranger sur la même ligne que les autres

Ce mode de communication me fait penser un peu à un roquet qui gueule très fort pour qu'on le remarque mais une fois que tous les regards se braquent sur lui, il part se planquer dans un coin la queue entre les jambes

A noter que je critique uniquement la communication de la fondation et non pas la fondation en elle même
Je suis plutôt de leur avis par ailleurs, le plus souvent en tout cas
Par contre, je suis plus pragmatique (certains diront pessimiste) sur la façon de s'y prendre

Rome ne s'est pas construite en 1 jour et pas avec 1 seul ouvrier
3  1 
Matthieu Vergne
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 17/06/2015 à 15:51
Effectivement, Flodelarab tu t'enfonces à chaque fois un peu plus avec tes cookies :

Citation Envoyé par Flodelarab Voir le message
Je ne comprends pas. Je croyais que Mozilla était du côté de la liberté. La liberté s'oppose à la sécurité. La sécurité est intrinsèquement relié à l'identité.
Citation Envoyé par Flodelarab Voir le message
C'est toujours drôle de voir un scientifique faire des fautes de logique élémentaire.
T'as déjà navigué en https sans t'enregistrer quelque part ?
La faute de logique (que je ne qualifierai pas d'élémentaire cependant) est de croire que le fait de n'avoir jamais accédé à un site en HTTPS sans te connecter (ou plutôt sans rester connecté, qui est le rôle usuel des cookies) est une preuve suffisante pour en inférer que le passage en HTTPS nécessite l'utilisation de cookies. En science il suffit d'un seul contre exemple pour prouver l'incohérence d'un argument : installe un navigateur que tu n'as jamais utilisé (ou ouvre une page incognito si tu as cette fonctionnalité) et va sur la page de recherche Google. Tu verras que tu seras sur une page HTTPS mais que tu n'auras nullement besoin de te connecter pour l'utiliser. Pourtant, les cookies étant sauvegarder par le navigateur, tu n'as aucun cookie fournissant tes données de connexion, et tu n'est d'ailleurs pas connecté. Mais tu peux quand même l'utiliser -> argument caduc.

En général, un article scientifique s'organise sur 4 axes principaux :
- une revue de l'état de l'art, pour montrer qu'on sait de quoi on parle
- une question de recherche à répondre, montrant le problème à résoudre
- la réponse apportée avec son argumentaire
- la discussion de la réponse et de l'argumentaire, qui pointe les forces et faiblesses et permet d'identifier les futurs travaux potentiels

Il se trouve que tu ne donnes rien de tout ça, et même pire : tu te moques avec dédain des tes pairs en les faisant passer pour des idiots. Tu ne fais donc que montrer l'étendu de de ton incapacité à argumenter de manière scientifique, en te contentant d'attaquer les arguments donnés via des arguments mal choisis. Si tu veux parler de science, voilà ce à quoi il va falloir t'habituer :

ETAT DE L'ART

Le HTTPS est la combinaison du HTTP avec SSL ou TLS. Sur le modèle OSI, le HTTP intervient dans la couche application (la plus haute) alors que TLS/SSL intervient sur les couches session et transport, comme le montre ce tableau. Les données gérées sont donc différentes. Notamment, l'authentification sur un site web, qui consiste par exemple à donner un login et un mot de passe, sont gérés par HTTP. C'est ce même HTTP qui met en place la notion de cookie.

QUESTION

Est-ce que le HTTPS est mis en place, comparé au HTTP simple, grâce aux cookies ?

ARGUMENTS ET REPONSE

Les différentes couches OSI se superposent, dans le sens où les données d'une couche sont encapsulées dans la couche directement inférieure. Cela permet d'avoir des couches indépendantes, chacune gérant ses propres données : l'ensemble des données d'une couche est prise, par la couche inférieure, comme une simple suite de bits à faire passer. Ce sont les données ajoutées par la couche elle-même qui permettent différentes machines de communiquer au niveau d'une couche donnée.

Les cookies étant gérés par HTTP, les données de ces cookies interviennent dans la couche OSI application et sont encapsulées dans la couche suivante (présentation) avant d'atteindre les couches dédiées à SSH/TLS (session & transport). Les couches étant indépendantes, SSH/TLS est donc tout à fait ignorant des données envoyées par la couche application, qui ne sont pour lui qu'une suite de bits sans aucun sens (mais à transporter sans erreur et, pour le cas qui nous intéresse, de manière cryptée). Plus précisément, c'est une suite de bits venant de la couche présentation, qui contient une suite de bits venant de la couche application (HTTP) qui contient, potentiellement, une suite de bits relative aux cookies (il n'y a pas toujours des cookies, et ceux-ci ne sont envoyés que sous certaines conditions).

Par conséquent, la partie cryptage étant gérée par SSH/TLS, celle-ci est indépendante des cookies gérés via HTTP. En effet, passer du HTTP au HTTPS revient à changer la couche de session/transport utilisée, qui ne dépend pas de ce qui se passe au niveau application. Qu'il y ait des cookies ou non n'intervenant donc pas à ce niveau là, le HTTPS ne se différencie pas du HTTP par la notion de cookie, et donc tout comme HTTP peut exister sans cookies, HTTPS le peut aussi. La mise en place de HTTPS ne dépend donc pas des cookies et peut se faire sans eux.

DISCUSSION

Je te laisse évaluer les forces de mon argumentaire et je vais me focaliser sur ses faiblesses :
- mes sources sont principalement Wikipédia, on peut donc lui critiquer un côté "non scientifique", mais la science se fondant sur un principe d'acceptation par les pairs similaire à Wikipédia (malgré des différences notables), et les articles étant déjà fournis et existant depuis longtemps (ils ont donc eu le temps d'être revus), je pars du principe que c'est une source suffisamment fiable dans notre cas.
- je passe outre certaines subtilités, notamment le fait que l'indépendance entre les couches OSI ne soit pas toujours respectée, par exemple TCP et UDP ne sont pas totalement indépendants de la couche inférieure IP. Cependant, j'estime que c'est suffisamment négligeable pour pouvoir l'ignorer sans impacter de manière significative la qualité de mon raisonnement. Notamment, une telle subtilité n'est pas de mise dans le cadre des cookies.

Si tu penses que mon argumentaire scientifique est erroné, je t'invite donc à développer un argumentaire scientifique qui le démontre.
2  0 
BugFactory
Avatar de BugFactory
Membre chevronné https://www.developpez.com
Le 05/05/2015 à 10:24
Si les sites en HTTP ne s'affichent plus correctement sous Firefox, c'est Firefox qui va perdre des parts de marché. Le seul moyen d'imposer ça serait que Google et Microsoft participent, mais ils ne voudront jamais.
2  1 
NSKis
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 05/05/2015 à 12:36
La vérité est que l'utilisateur "lambda" est de plus en plus la victime des géants du web (Google qui veut imposer le site merdique mais compatible mobile, Mozilla et sa croisade "https", etc), chacun veut tirer la couverture à soi en faisant une victime colatérale, les utilisateurs du web...

Ces "géants" devraient ne pas oublier une chose: Leur succès est dû aux millions de "petits" qui commencent à en avoir marre de se faire imposer tous les 2 jours une nouvelle norme dont ils ne voient pas leur moindre intérêt perso!!!
1  0 
Spartacusply
Avatar de Spartacusply
Membre expert https://www.developpez.com
Le 06/05/2015 à 14:13
Un peu comme tout le monde, c'est plutôt une bonne idée si Mozilla fournit également des certificats SSL pas cher. "Pas cher" signifie pour moi le tarif d'un nom de domaine qui me semble être un prix raisonnable, j'ai peur que la gratuité nuise à la valeur donné à ce certificat.
Bon ceci dit, si c'est ce qu'il font, je ne peux que plussoyer l'initiative.

Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.
Ben ouais, moi je trouve ça complètement normalement, le principe d'un certificat c'est qu'il soit signé par un tiers de confiance. Si cette condition n'est pas remplie il est complètement normal que le navigateur affiche une alerte à ce sujet puisque seul toi atteste assure que c'est bien toi (super comme garantie !)
1  0 
Commenter Signaler un problème