Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1 2

#26 Le 13/12/2015, à 12:00

HPIR40

Re : https (sans certificat) au lieu du http = plus de securité ?

On peut maintenant avoir des certificats gratuitement ici: https://letsencrypt.org

Hors ligne

#27 Le 13/12/2015, à 12:16

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

On ne peut pas intercaler un proxy entre une box et un DSLAM.

Dans le cas où tu te connectes à un site web en https via un proxy, c'est effectivement le proxy qui va déchiffre le flux et te le renvoie en clair (proxy http) ou à nouveau chiffré (proxy https).

On peut discuter longtemps des avantages et des inconvénients de https. Pour faire simple :
- la connexion entre le client et le site web et « sécurisée » : les données ne transitent pas en clair, elles sont chiffrées ;
- l'initiation de la connexion prends un plus de temps mais c'est un inconvénient mineur par rapport à la sécurité des transactions.

Je ne vois pas de rapport entre HTTPS et l'anonymat.

Les sommes de contrôle MD5, SHA1, etc proposées par PHP n'ont que peu de choses à voir avec le chiffrement. Après il y a des bibliothèques pour PHP, comme mcrypt, qui permettent de chiffrer les données. C'est souvent utilisé pour stocker des mots de passes chiffrés, mais encore une fois cela n'a rien à voir avec le protocole HTTPS.

#28 Le 13/12/2015, à 13:09

Compte supprimé

Re : https (sans certificat) au lieu du http = plus de securité ?

Je pensais à ça :
Connexion normale :
La FreeBox ←---------------------------------------------------------------------------------------------→ le dslam

Connexion piratée :
La Freebox ←------→ Freebox retournée + proxy parasite sur autre box ←--------------→ le dslam

D'accord, merci bruno.
HTTPS encapsule les transmissions. Les certificats sont-ils uniques pour un site ou chaque client a son certificat, auquel cas on peut identifier les gens à partir du certificat utilisé ? (je pense que les certificats sont uniques pour tout le monde qui utilisent le même site)

Dernière modification par Compte supprimé (Le 13/12/2015, à 22:57)

#29 Le 27/12/2015, à 09:42

Compte supprimé

Re : https (sans certificat) au lieu du http = plus de securité ?

Logjam : la faille qui met Internet à nu (22/12/2015)

https://lejournal.cnrs.fr/billets/logjam-la-faille-qui-met-internet-a-nu a écrit :


Cette « tare génétique » de TLS est encore présente dans les spécifications, et dans bien des logiciels, aussi bien du côté des serveurs que dans les ordinateurs personnels. Ce mode n’est certes pas activé par défaut, mais toujours considéré acceptable si l’une des machines le demande lors du handshake. Une petite subtilité dans le protocole (qu’on peut tout à fait qualifier de bug de conception) fait qu’un attaquant malintentionné peut se glisser au milieu de la connexion et faire croire aux deux protagonistes que l’autre désire passer en mode Export. Cela requiert toutefois de résoudre le problème du logarithme discret pour un nombre de 155 chiffres.

Voilà l'attaque «man in the midlle» (l'homme du milieu) exploitée malgré les connexions HTTPS.
On demande un site HTTPS, il est inaccessible le temps de résoudre le problème du logarithme discret pour un nombre de 155 chiffres, et ensuite, tout est intercepté, mais la connexion n'est pas directe avec le serveur en HTTPS. hmm

Dernière modification par Compte supprimé (Le 27/12/2015, à 17:01)

Pages : 1 2