Chrome va stigmatiser les sites non HTTPS

tiramiseb · Le 29/12/2014, à 23:37

On peut vouloir se protéger des interceptions et choisir d'utiliser des services qui nous profilent. [...]
C'est pas un peu illogique ?

Bah non. Imagine :
- je veux bien que Google ait mes infos (donc pas de souci pour m'y connecter et tout et tout) ;
- je m'en fous qu'on sache quelle est mon adresse IP (donc pas besoin de Tor) ;
- que je ne veux pas que la DGSE puisse facilement les lire (donc je veux juste qu'on ne puisse pas lire ce qui transite à partir de mon ordinateur).

... alors le HTTPS est une bonne solution.
Je pense que personne ne dira « oh oui, je tiens à ce que n'importe qui puisse intercepter mes données ». Donc le HTTPS pour tout le monde, ce n'est une contrainte pour aucun visiteur et ça apportera un peu de vie privée à tout le monde.

Ce que je veux, c'est que mon site soit le plus facile d'accès possible.

Le HTTPS n'est pas plus compliqué à utiliser que le HTTP.

Le https ralentit, tu le sais bien.

Avec la puissance actuelle des processeurs, ça ne se ressent plus.

voxpopuli · Le 29/12/2014, à 23:42

Anne118 a écrit :

Le https ralentit, tu le sais bien.

Non ça ne change rien a part pour des flux lourds (vidéos, audio, sextape ^^), pour le reste sur des petits raspberry tout mini c'est invisible alors sur des servers puissant c'est comme rajouter un poids d'un gramme sur superman ^^.

Anne118 · Le 29/12/2014, à 23:45

Tiramiseb a écrit :

Les proxies et les VPNs publics ne préservent pas la vie privée, on peut te suivre comme on veut.
Concernant Tor, il s'agit d'anonymisation, de rendre difficile (voire impossible) de te localiser ; Tor ne sert pas à protéger la vie privée (bien que ça y participe).

Suivre sur un vpn ? Je suis surprise. Il rend impossible de te situer non ? Il me semble qu'à moins qu'un dispositif de tracking n'ait été installé sur ton ordi, sous un bon vpn, tu es tranquille.

Idem pour Tor pour moi, si tu es anonyme, si on ne sait pas qui consulte les pages qui t'intéressent, si tu as sécurisé tes mails en prenant une boite mail sérieuse, il me semble que ta vie privée est protégée.

Anne118 · Le 29/12/2014, à 23:55

Tiramiseb a écrit :

- que je ne veux pas que la DGSE puisse facilement les lire (donc je veux juste qu'on ne puisse pas lire ce qui transite à partir de mon ordinateur).

Avec la loi qui vient de passer (que nous a communiqué Casoar sur un autre post, si la DGSE a ton adresse ip et s'intéresse à toi, c'est mort, je le crains.
http://www.legifrance.gouv.fr/affichTex … rieLien=id

Si elle a ton adresse ip...

voxpopuli · Le 29/12/2014, à 23:56

Anne118 a écrit :

Si elle a ton adresse ip...

N'importe qui a vos IP, vous avez des IP fixe ^^

Pour en revenir a HTTPS, sa sert a éviter que n'importe quelle mafia qui aurait pris le contrôle d'un serveur d'un FAI en vue de faire du harcèlement ou du chantage puissent utiliser des informations de bases acquise trop facilement.

Dernière modification par voxpopuli (Le 29/12/2014, à 23:59)

Anne118 · Le 29/12/2014, à 23:58

Puisqu'il semble qu'il y ait deux fans du https et que vous semblez avoir étudié plus le sujet que moi, existe t'il un risque de sécurité ou de censure avec le https ?
Qui décide des certificats ? Qui contrôle ?
C'est bien un protocole nescape non ?

Anne118 · Le 29/12/2014, à 23:59

voxpopuli a écrit :

Anne118 a écrit :
Si elle a ton adresse ip...
N'importe qui a vos IP, vous avez des IP fixe ^^

Pas sous vpn

tiramiseb · Le 30/12/2014, à 00:10

Suivre sur un vpn ? Je suis surprise. Il rend impossible de te situer non ?

Sauf que le fournisseur du VPN sait d'où tu te connectes : il "suffit" de le lui demander. Et si on s'appelle "NSA", "SIS" ou "DGSE", c'est pas compliqué. Et ça n'apporte rien en terme de vie privée, ça rend juste plus compliqué de te retrouver.

Mettons que je m'appelle Flora Hollande et que je me connecte à un site d'informations médicales. Je cherche alors des infos sur la leucémie. Holala, la fille de François Hollande cherche des infos sur la leucémie. Un scoop, non seulement pour les paparazzis mais également pour les agences d'espionnage étrangères.
Sauf que Flora Hollande, elle est étudiante en psychologie. Proxy, VPN, Tor, tout ça elle n'y comprend rien. Tout ce qu'elle sait, c'est qu'elle s'est connectée en toute confiance à un site web. Si le site est en HTTPS, ça va, elle est tranquille. Si le site est en HTTP, c'est du pain béni pour n'importe quel curieux qui passe par là...

Ton avis, c'est qu'on estime qu'elle s'en fout, on estime que vu qu'elle ne s'est pas intéressée à tout ça, elle est d'accord pour que n'importe qui puisse consulter tout ce qu'elle fait sur le web. C'est bien ça ?

tiramiseb · Le 30/12/2014, à 00:18

et que vous semblez avoir étudié plus le sujet que moi

C'est mon boulot

C'est bien un protocole nescape non ?

Netscape, si c'est de ça que tu parles, est mort depuis 2003.
Je ne sais pas ce que évoques en écrivant "protocole nescape", alors je passerai là-dessus.

existe t'il un risque de sécurité ou de censure avec le https ?
Qui décide des certificats ? Qui contrôle ?

Concernant l'authentification, la vérification de l'identité, etc, il y a toute une chaîne, avec des autorités de certification, etc. Il n'y a pas une autorité centrale.
Concernant le chiffrement, il n'y a pas de contrôle central. Le flux est chiffré, c'est entre le serveur et le client, c'est tout. Il faut "juste" que l'algorithme de chiffrement soit sûr.

voxpopuli · Le 30/12/2014, à 00:32

Pour rajouter sur qui décide des certificats, c'est toi, tu peux utiliser un certificat auto-signé ou un certificat signé par une autorité de validation (dont l'autorité est un débat à par entière sur linuxfr). Par contre actuellement les certificats auto-signé génèrent une erreur de sécurité sur firefox (les autres browser je sais pas), se qui est gênant.

Dernière modification par voxpopuli (Le 30/12/2014, à 00:33)

Anne118 · Le 30/12/2014, à 00:32

casoar a écrit :

Bah si; il y a échange d'une requête et d'une page HTML. Un MITM permettrait de savoir quelles pages a visité ton visiteur. Et la santé, ça fait partie des informations sensibles.

ça c'est exact, la santé fait partie des informations sensibles, mais ce n'est pas parce qu'on s'informe sur un souci de santé qu'on en est atteint.

Tiramiseb a écrit :

Ton avis, c'est qu'on estime qu'elle s'en fout, on estime que vu qu'elle ne s'est pas intéressée à tout ça, elle est d'accord pour que n'importe qui puisse consulter tout ce qu'elle fait sur le web. C'est bien ça ?

Je doute que quiconque soit d'accord pour qu'on consulte tout ce qu'il fait sur le web, m'enfin, celui qui choisit de ne pas sortir sous vpn, c'est comme celui qui choisit de ne pas sortir sous préservatif. C'est pas qu'il a envie d'attraper le sida, mais il prend le risque.

Dans le cas d'une fille qui s'appellerait Hollande, je présume que mettre un traceur sur son ordi intéresserait bien des gens, et je pense aussi que la DCRI veillerait au grain. Sa sécurité informatique serait assurée automatiquement par des professionnels tout comme sa sécurité physique.

Si tu veux mon avis, ceux qui ont à se méfier d'un flicage sur le net s'appellent plutôt Jean Dupont ou Ali ben Mohammed dans une cité bien chaude qu'une Flora Hollande

Dernière modification par Anne118 (Le 30/12/2014, à 00:38)

voxpopuli · Le 30/12/2014, à 00:39

Anne118 a écrit :

casoar a écrit :
Bah si; il y a échange d'une requête et d'une page HTML. Un MITM permettrait de savoir quelles pages a visité ton visiteur. Et la santé, ça fait partie des informations sensibles.
ça c'est exact, la santé fait partie des informations sensibles, mais ce n'est pas parce qu'on s'informe sur un souci de santé qu'on en est atteint.

Dans 75% des cas c'est que toi ou l'une de tes connaissances proche est atteinte. Google prend souvent ce genre d'exemple pour dire que sa "surveillance" permet d'établir qui est malade et où (ainsi que savoir un an a l'avance qui va divorcer).

Anne118 a écrit :

Dans le cas d'une fille qui s'appellerait Hollande, je présume que mettre un traceur sur son ordi intéresserait bien des gens, et je pense aussi que la DCRI veillerait au grain. Sa sécurité informatique serait assurée automatiquement par des professionnels tout comme sa sécurité physique.

D'après les débats télévisuelles français, la sécurité des politiciens, des journalistes et des cadres francophones est exécrable au grand damne des services secret (qui ne cessent de leur dire d’arrêter d'utiliser des smartphones). De plus je doute qu'un seul politicien accepte d'installer un logiciel des services secret sur son périphérique avec le risque qu'un jour ce programme se retourne contre lui dés qu'il sera dans l'opposition (ou que son patron voudra le foutre hors du parti).

Anne118 a écrit :

Si tu veux mon avis, ceux qui ont à se méfier d'un flicage sur le net s'appellent plutôt Jean Dupont ou Ali ben Mohammed dans une cité bien chaude qu'une Flora Hollande

Tout le monde a au moins un ennemis (une personne qui nous veut du mal) et cette personne peut utiliser les techno. Comme généralement on a pas envie de se rendre complice des vilains (qui qu'ils soient) pour espionner nos braves visiteurs, sécuriser le plus possible c'est garantir au minimum se donner bonne conscience et au mieux garantir à ceux qui ne comprennent pas se qu'est TCP/IP qu'on fait notre possible pour que personnes ne profitent de leur déficit.

Dernière modification par voxpopuli (Le 30/12/2014, à 00:53)

tiramiseb · Le 30/12/2014, à 00:42

celui qui choisit de ne pas sortir sous vpn, c'est comme celui qui choisit de ne pas sortir sous préservatif. C'est pas qu'il a envie d'attraper le sida, mais il prend le risque.

Tu en connais beaucoup, des gens qui savent ce qu'est un proxy, un VPN ou Tor ?
Dans mon entourage, même parmi ceux qui se débrouillent bien avec un ordinateur, ils ne savent pas ce que c'est.

ce n'est pas parce qu'on s'informe sur un souci de santé qu'on en est atteint.

Tu devrais t'informer un peu plus sur le sujet
Je prendrai un seul exemple : tous les ans, lors des épidémies habituelles de grippe, Google est en avance sur les informations officielles... tout simplement car les gens cherchent sur Google quand ils tombent malades avant d'appeler leur médecin.

Compte supprimé · Le 30/12/2014, à 02:05

Bref, HTTPS c'est plus safe que HTTP, ça devrait devenir universel, ça coûte rien en ressources (mais rien rien hein, pas juste un peu, vraiment rien, on le remarque même pas) et ça protège de pas mal de trucs, donc t'as pas vraiment d'excuse. À part peut-être le prix du certificat, mais il y a des autorités de certification gratuites. Donc en fait non, t'as vraiment pas d'excuse. C'est pas comme si ça demandait un master en TLS.

PS : C'est quand même pas le Dieu de la crypto, on sait grâce à Snowden que la NSA a probablement cassé HTTPS. Mais ça procure quand même une sécurité correcte.

Dernière modification par CasoarRotatif (Le 30/12/2014, à 02:07)

Anne118 · Le 30/12/2014, à 02:11

Ok Ok, je me rends
Argumentation redoutable, Vox Populi, je n'ai rien à objecter.
Donc je vais devoir me taper des redirections et une baisse de trafic pour motif d'éthique. Les sanctions de Chrome me laissaient froide mais pas vos arguments.

abecidofugy · Le 30/12/2014, à 10:32

@tiramiseb : tu parlais de cette offre là, à 12 euros ? https://www.gandi.net/ssl/standard#single

Si j'ai le NDD chez OVH, ça marche quand même le certificat SSL chez Gandhi ?

tiramiseb · Le 30/12/2014, à 11:18

Donc je vais devoir me taper des redirections et une baisse de trafic pour motif d'éthique.

Tu peux faire ça progressivement. Je doute que Chrome fasse quelque chose de trop intrusif, étant donné que la majorité des sites sont en HTTP. Peut-être une petite icône rouge dans la barre d'adresses, ce qui est encore acceptable.

Concernant les redirection, oui c'est méga chiant. J'en sais quelque chose, je me traîne, sur mon site web, des redirections d'anciennes adresses de mes différentes pages, histoire de favoriser le référencement.

Pour la baisse de trafic, j'en doute. En terme de référencement et de fréquentation, je pense que cela ne changera rien si tu fais bien tes redirections.

-----

@tiramiseb : tu parlais de cette offre là, à 12 euros ? https://www.gandi.net/ssl/standard#single

Ouaip, c'est celle que j'utilise à titre pro.
À titre perso je commence à me mettre à StartSSL.

Si j'ai le NDD chez OVH, ça marche quand même le certificat SSL chez Gandhi ?

Oui, c'est totalement indépendant.
Cela dit, tu peux déménager ton DNS chez Gandi aussi

voxpopuli · Le 30/12/2014, à 14:29

Si je ne me trompe pas, je crois qu'avec le vhost suivant (pour apache2), on peut redirigées les requêtes HTTP en HTTPS de façon "indolore" (il me semble qu'on tombe bien sur la page demandée mais au lieu de l'avoir en HTTP on ne l'a qu'en HTTPS).

NameVirtualHost *:443
<VirtualHost *:80>
ServerName YourName
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>
<VirtualHost *:443>
DocumentRoot /var/www/
ServerName YourName
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
</VirtualHost>

Pour que cette config fonctionne il faut activer "ssl" et "rewrite"

sudo a2enmod ssl
sudo a2enmod rewrite

Tiramiseb pourra peut-être corrigée si j'ai fais une erreur Avec ce genre de config si je ne m'abuse les robots ne seront pas troublé lors de leurs passages pour le référencement.

Dernière modification par voxpopuli (Le 30/12/2014, à 14:31)

tiramiseb · Le 30/12/2014, à 15:20

voxpopuli: attention, pour le référencement il faut voir si le bon code d'erreur est retourné. Je n'ai pas approfondi la question et je ne suis pas professionnel du référencement, je ne connais que la théorie de ces aspects-là...
Peut-être faut-il un code d'erreur différent selon que la page existait à l'origine ou non... je ne sais pas...

voxpopuli · Le 30/12/2014, à 15:26

tiramiseb a écrit :

voxpopuli: attention, pour le référencement il faut voir si le bon code d'erreur est retourné. Je n'ai pas approfondi la question et je ne suis pas professionnel du référencement, je ne connais que la théorie de ces aspects-là...
Peut-être faut-il un code d'erreur différent selon que la page existait à l'origine ou non... je ne sais pas...

D'après Stephane Bortzmeyer un pro du référencement c'est un charlatan ^^ D'après lui personne n'a vraiment vérifié le comportement des moteurs de recherchent (qui, comme il le précise, ont des comportement souvent modifié et tenu secret afin d'éviter les tricheurs).
Je me dis que si un robot suit un lien et que ce lien mène a la bonne information qu'il cherche/crawl, en théorie il devrait "être content"

l'article de bortzmeyer : http://www.bortzmeyer.org/seo-principes.html

Dernière modification par voxpopuli (Le 30/12/2014, à 15:31)

tiramiseb · Le 30/12/2014, à 15:29

Je me dis que si un robot suit un lien et que ce lien mène a la bonne information qu'il cherche/crawl, en théorie il devrait "être content"

C'est également ma connaissance théorique. Mais je ne sais pas comment réagira un robot si on lui donne une redirection pseudo-valide pour n'importe quelle adresse pour finalement le renvoyer vers une erreur la plupart du temps.
Cela dit, moi-même j'ai des redirections globales, des trucs similaires à ce que tu as montré, hein...

αjet · Le 30/12/2014, à 18:24

@Anne118: tu peux tres bien servir en http et https en parallele. Attention toutefois si tu fais reference a des ressources externes (exemple: images ou videos hebergees sur un autre site), fait bien en sorte qu'elle soient accessibles en https, faute de quoi le navigateur renvera un alerte signalant que du contenu n'est pas chiffre.

Par ailleurs, penses bien a desactiver les protocoles et suites de chiffrement faible et active le perfect forward secrecy. Une source (en anglais):
https://www.digicert.com/ssl-support/ss … ecrecy.htm

Je souhaite aussi rebondir sur la premiere reponse d'Elzen.

Elzen a écrit :

utiliser du https plutôt que du http simple n'a strictement aucune utilité, puisque la seule chose que tu envoies dans ce cas est l'URL, qui est de toute façon transmise en clair.

C'est pas tout a fait vrai: seuls le protocole, le nom de domaine et eventuellement le numero de port sont envoyes en clair. Le chemin de la ressource (tout ce qui est apres le 1er /, inclus) est transmise au serveur de maniere chiffree. Donc pour en revenir a ce qui est dit plus haut, une personne tierce ne vera que le domaine consulte, ce qui n'est pas suffisent pour savoir quelle resource particuliere a ete consulte, sans casser le chiffrement. Apres c'est sur que si le site en question a un contenu limite et tres specialise, il restera facile a devine le contenu de la transaction...

Ainsi il faudra privilegier des sites assez generalistes (par exemple wikipedia en https), il en sera d'autant plus difficile pour qu'un eventuel indesirable curieux puisse identifier l'objet de votre consultation.

Dernière modification par αjet (Le 30/12/2014, à 18:25)

renaud07 · Le 03/01/2015, à 22:12

Nous sommes en 2015 et je n'ai toujours pas de message signalant que la connexion n'est pas sécurisée, aurait-ils fait machine arrière chez Google ? A moins que ce soit encore trop tôt ?

Dernière modification par renaud07 (Le 03/01/2015, à 22:16)

Compte supprimé · Le 03/01/2015, à 22:30

renaud07 a écrit :

Nous sommes en 2015 et je n'ai toujours pas de message signalant que la connexion n'est pas sécurisée, aurait-ils fait machine arrière chez Google ? A moins que ce soit encore trop tôt ?

Ils ont dit "en 2015" pas "comme cadeau du Nouvel An".

tiramiseb · Le 03/01/2015, à 22:54

Je tiens quand même à souligner quelque chose : cette discussion est basée sur deux sources :
- un article qui prétend qu'une telle alerte apparaîtra en 2015 dans Chrome, sans citer aucune source ;
- un article qui parle du référencement du moteur de recherche Google, qui privilégie le HTTPS, mais qui ne parle pas de Chrome.

Et là on papote, on papote, on papote mais on n'a pas encore une seule info officielle.

J'ai alors un peu cherché et je suis tombé sur cette page du projet Chromium :
http://www.chromium.org/Home/chromium-s … non-secure

Ce projet propose que les navigateurs (et pas seulement Chrome) changent graduellement leur interface pour présenter les sources HTTP comme non-sûres. Il est indiqué qu'ils prévoient de commencer à déployer un plan de transition pour Chrome en 2015.

Ensuite, quand on lit le détail, ça parle bien de la barre d'URL, de ce qui s'y affiche quand on est sur un site sûr ou sur un site non sûr, d'une simple indication et pas d'un « message d'avertissement ».

En fait, l'article d'origine de notre discussion, c'est juste n'importe quoi...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 29/12/2014, à 23:37

Re : Chrome va stigmatiser les sites non HTTPS

#27 Le 29/12/2014, à 23:42

Re : Chrome va stigmatiser les sites non HTTPS

#28 Le 29/12/2014, à 23:45

Re : Chrome va stigmatiser les sites non HTTPS

#29 Le 29/12/2014, à 23:55

Re : Chrome va stigmatiser les sites non HTTPS

#30 Le 29/12/2014, à 23:56

Re : Chrome va stigmatiser les sites non HTTPS

#31 Le 29/12/2014, à 23:58

Re : Chrome va stigmatiser les sites non HTTPS

#32 Le 29/12/2014, à 23:59

Re : Chrome va stigmatiser les sites non HTTPS

#33 Le 30/12/2014, à 00:10

Re : Chrome va stigmatiser les sites non HTTPS

#34 Le 30/12/2014, à 00:18

Re : Chrome va stigmatiser les sites non HTTPS

#35 Le 30/12/2014, à 00:32

Re : Chrome va stigmatiser les sites non HTTPS

#36 Le 30/12/2014, à 00:32

Re : Chrome va stigmatiser les sites non HTTPS

#37 Le 30/12/2014, à 00:39

Re : Chrome va stigmatiser les sites non HTTPS

#38 Le 30/12/2014, à 00:42

Re : Chrome va stigmatiser les sites non HTTPS

#39 Le 30/12/2014, à 02:05

Re : Chrome va stigmatiser les sites non HTTPS

#40 Le 30/12/2014, à 02:11

Re : Chrome va stigmatiser les sites non HTTPS

#41 Le 30/12/2014, à 10:32

Re : Chrome va stigmatiser les sites non HTTPS

#42 Le 30/12/2014, à 11:18

Re : Chrome va stigmatiser les sites non HTTPS

#43 Le 30/12/2014, à 14:29

Re : Chrome va stigmatiser les sites non HTTPS

#44 Le 30/12/2014, à 15:20

Re : Chrome va stigmatiser les sites non HTTPS

#45 Le 30/12/2014, à 15:26

Re : Chrome va stigmatiser les sites non HTTPS

#46 Le 30/12/2014, à 15:29

Re : Chrome va stigmatiser les sites non HTTPS

#47 Le 30/12/2014, à 18:24

Re : Chrome va stigmatiser les sites non HTTPS

#48 Le 03/01/2015, à 22:12

Re : Chrome va stigmatiser les sites non HTTPS

#49 Le 03/01/2015, à 22:30

Re : Chrome va stigmatiser les sites non HTTPS

#50 Le 03/01/2015, à 22:54

Re : Chrome va stigmatiser les sites non HTTPS

Pied de page des forums