Même pas peur, les alertes des navigateurs

Compte anonymisé · Le 04/09/2014, à 21:39

Donc les sites frauduleux en http non sécurisé, tu vas dessus car il n'y a pas d'alerte chez eux.
C'est pas un peu limite comme raisonnement ?
Que ça soit sécurisé, tu t'en moques du moment que firefox te met pas d'alerte.
heu…

Dernière modification par ignace72 (Le 04/09/2014, à 21:41)

Bob49 · Le 04/09/2014, à 21:50

ignace72 a écrit :

Donc les sites frauduleux en http non sécurisé, tu vas dessus car il n'y a pas d'alerte chez eux.
C'est pas un peu limite comme raisonnement ?
Que ça soit sécurisé, tu t'en moques du moment que firefox te met pas d'alerte.
heu…

S'ils sont signalés frauduleux, pourquoi voudrais-tu que j'y mettes les pieds, et en plus si je les connais pas ? ! (relis mes messages précédents) Pourquoi Firefox mettrait une alerte à un site, ce n'est pas son travail !

D'ailleurs, il y à bien souvent des erreurs pour des sites soit-disant frauduleux, dû aux robots de Google !... et où les responsables de sites doivent faire ce qu'il faut pour rétablir la vérité !

Et puis comment sais-tu que le site est frauduleux, si ton navigateur (ou une extension) ne te le dit pas ?

Par contre, cela n'empêche pas de mettre un site en exception, si la personne le connait suffisamment bien et donc pense que c'est un site respectable.

Mais ne t'en fait pas pour ma sécurité, je suis suffisamment protégé pour éviter des problèmes à cause de sites malveillants, même sans messages d'alerte.

Dernière modification par Bob49 (Le 04/09/2014, à 22:03)

Compte anonymisé · Le 04/09/2014, à 22:07

Bob49 a écrit :

Et puis comment sais-tu que le site est frauduleux, si ton navigateur (ou une extension) ne te le dit pas ?

Rien puisque les navigateurs ou extensions ne le font pas.
Firefox a montré du doigt mon site pendant un mois.
J'ai donc fait un article précisant que Firefox racontait des conneries sur mon site.
Les navigateurs ne font que de la présomption de culpabilité.

Bob49 · Le 04/09/2014, à 22:16

ignace72 a écrit :

J'ai donc fait un article précisant que Firefox racontait des conneries sur mon site.
Les navigateurs ne font que de la présomption de culpabilité.

J'ai pas vu cet article !
Mais c'est faux ce que tu dis là, relis mon message précédent ! Firefox et les autres navigateurs n'y sont pour rien. Donc attention à ne pas raconter n'importe quoi !

Et sans oublier que certains sites frauduleux n'ont trouvé par les services de Google, sont déclarés frauduleux (pour généralement de bonnes raisons) par des utilisateurs du web, mais contrôlés par des services compétents.

Dernière modification par Bob49 (Le 04/09/2014, à 22:26)

Compte anonymisé · Le 04/09/2014, à 22:40

L'article est ici : https://ignace72.eu/contact.html#securite
Ce n'est pas faux ce que je dis.
Le message est « Ce site n'est pas sécurisé » ce qui est un mensonge.

Compte supprimé · Le 04/09/2014, à 23:23

Non, ce n'est pas un mensonge. En fait, ton navigateur (firefox/iceweasel) compare le certificat que tu proposes avec sa base de donnée nommée ca-certificat de Mozilla. Bien que ton certificat soit signée par Gandi, s'il n'est pas dans la base de Firefox... Au fond, je trouve ça rassurant! Voir là

Et puis, il y a une différence entre « Ce site n'est pas sécurisé » et ce site est frauduleux (les messages sont différents)

Avec l'affaire heartbleed, j'ai eu plein d'alerte dans ce genre à un moment, normal, tout le monde avait changé son certificat... Il a fallut un peu de temps pour que Mozilla remette à jour la liste pour son navigateur.

Enfin, je comprends l'affaire comme ça mais il est possible que je sois à coté de la plaque

Bonne soirée.

ÉDIT:
D'ailleurs, en cliquant sur détails techniques, tu peux réellement savoir se qui coince (avec ton certificat, c'est parfois juste un nom de certification manquant ou non reconnu )
Les messages d'erreur Firefox/Iceweasel

ÉDIT 2:
Au fait aucune erreur avec iceweasel 24.4.0 (Debian stable... Donc ancien). À priori si des visiteurs ont des soucis, qu'ils mettent à jour leur machine (mise à jour de sécurité)

Dernière modification par ignus (Le 04/09/2014, à 23:46)

ssdg · Le 04/09/2014, à 23:27

Tu préfèrerais que le message soit: "la communication avec ce site n'est pas sécurisée" ? (encore, ça, je peux le comprendre)

Compte supprimé · Le 05/09/2014, à 00:12

ignace72 a écrit :

Si vous avez des liens parlant du cryptage https, je suis preneur.
Enfin la partie ssl.
Je suis tombé sur celui-ci http://www.sebsauvage.net/comprendre/ssl/
Vous semble t-il bon ?

Bon, je ne sais pas. En revanche, SSL est un protocole se plaçant entre la couche application et la couche réseau.
D'ailleurs, selon les navigateurs employés (Firefox/Opéra/Midori/Internet explorer rooooo ), certains sont moins bon que d'autre face au différentes version SSL (version 1,2,3 mais aussi pour le tls).
http://www.tbs-certificats.com/navigateurs2048.html.fr

Compte anonymisé · Le 05/09/2014, à 07:07

Ben le navigateur estime qu'avec les certifiants qu'il ne connait pas, les connexions ne sont pas sécurisé.
Je trouve que c'est aller vite en besogne.
Je suis tombé (boum) la dessus : http://www.cert.ssi.gouv.fr/site/CERTA-2005-REC-001/
et sur la phrase : Il est donc primordial d'utiliser les protocoles SSL/TLS en prenant certaines précautions, et ne pas leur prêter une trop grande garantie de sécurité sur l'ensemble de la chaîne d'information.

On y trouve des truc pas glop :
Multiples vulnérabilités dans le noyau Linux d'Ubuntu
du 04 septembre 2014
http://cert.ssi.gouv.fr/site/CERTFR-201 … index.html

Dernière modification par ignace72 (Le 05/09/2014, à 07:40)

ssdg · Le 05/09/2014, à 09:13

Si ni toi ni le navigateur ne connaissez le certificat (tu l'a vérifié à la main, en particulier les signatures?) alors il est possible que ce soit un faux... et quelqu'un qui se sert d'un faux pour s'identifier n'est probablement pas vraiment fiable si? Ne t'en fais pas, si tu coche la case "conserver de façon permanente" alors le navigateur "apprend" le certificat. Il faut juste que quelqu'un signale le certificat comme fiable. Mozilla/ubuntu ou toi. Sinon, il parait logique que le certificat ne peut pas être présenté comme vérifié.

Pour le CERT, si tu te met à suivre le flux RSS, tu t’aperçois qu'ils ne citent que les vulnérabilités corrigées dans la dernière version. Et oui, tout programme plus compliqué qu'un hello world à des failles.

Compte supprimé · Le 05/09/2014, à 09:21

ignace72 a écrit :

Ben le navigateur estime qu'avec les certifiants qu'il ne connait pas, les connexions ne sont pas sécurisé.
Je trouve que c'est aller vite en besogne.

Et non, c'est le principe même de la sécurisation...

ignace72 a écrit :

Je suis tombé (boum) la dessus : http://www.cert.ssi.gouv.fr/site/CERTA-2005-REC-001/
et sur la phrase : Il est donc primordial d'utiliser les protocoles SSL/TLS en prenant certaines précautions, et ne pas leur prêter une trop grande garantie de sécurité sur l'ensemble de la chaîne d'information.

Wé, c'est le genre de site qui fait sérieux, c'est le drapeau peut-être. En revanche, il ne dirait jamais de désactiver le protocole tls 1 pour de multiple raison de sécurité, mais c'est pas grave

ignace72 a écrit :

On y trouve des truc pas glop :
Multiples vulnérabilités dans le noyau Linux d'Ubuntu
du 04 septembre 2014
http://cert.ssi.gouv.fr/site/CERTFR-201 … index.html

Bah, concernant ma distribution, je fais le suivi ici
Et je ne vois pas trop ce que vient faire cette remarque, une machine avec toutes les mises à jour de sécurité de faite ne pose pas de problème d'alerte en visitant ton site, c'est plutôt rassurant non ?

Compte anonymisé · Le 05/09/2014, à 09:28

Je sais, je comprends pas vite mais bon…

le truc sur le noyau c'est juste que c'est sur le même site.

Compte supprimé · Le 05/09/2014, à 09:49

ignace72 a écrit :

le truc sur le noyau c'est juste que c'est sur le même site.

Bah oui, c'est très sérieux en effet. Mais documente toi un peu quand même.
Voir ici
Et ici
Voilà!

Compte anonymisé · Le 05/09/2014, à 10:01

Merci,
J'ai fait les modif mais je passe pas le truc à 100 %.

Compte supprimé · Le 05/09/2014, à 10:06

De rien. Je passe tous les tests avec Iceweasel 24.4.0 sur ma Debian Wheezy à jour.
Bonne journée à toi

Édit:

Sinon, pour plus de détail --> https://www.howsmyssl.com/s/about.html

Dernière modification par ignus (Le 05/09/2014, à 10:34)

Compte anonymisé · Le 05/09/2014, à 10:36

Rectification
Je passe mais en VO ici https://www.howsmyssl.com/

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 04/09/2014, à 21:39

Re : Même pas peur, les alertes des navigateurs

#27 Le 04/09/2014, à 21:50

Re : Même pas peur, les alertes des navigateurs

#28 Le 04/09/2014, à 22:07

Re : Même pas peur, les alertes des navigateurs

#29 Le 04/09/2014, à 22:16

Re : Même pas peur, les alertes des navigateurs

#30 Le 04/09/2014, à 22:40

Re : Même pas peur, les alertes des navigateurs

#31 Le 04/09/2014, à 23:23

Re : Même pas peur, les alertes des navigateurs

#32 Le 04/09/2014, à 23:27

Re : Même pas peur, les alertes des navigateurs

#33 Le 05/09/2014, à 00:12

Re : Même pas peur, les alertes des navigateurs

#34 Le 05/09/2014, à 07:07

Re : Même pas peur, les alertes des navigateurs

#35 Le 05/09/2014, à 09:13

Re : Même pas peur, les alertes des navigateurs

#36 Le 05/09/2014, à 09:21

Re : Même pas peur, les alertes des navigateurs

#37 Le 05/09/2014, à 09:28

Re : Même pas peur, les alertes des navigateurs

#38 Le 05/09/2014, à 09:49

Re : Même pas peur, les alertes des navigateurs

#39 Le 05/09/2014, à 10:01

Re : Même pas peur, les alertes des navigateurs

#40 Le 05/09/2014, à 10:06

Re : Même pas peur, les alertes des navigateurs

#41 Le 05/09/2014, à 10:36

Re : Même pas peur, les alertes des navigateurs

Pied de page des forums