Firefox et Chrome voient rouge pour les pages non-HTTPS

Le par  |  9 commentaire(s)
https

Dans la barre d'adresse, les sites non-HTTPS seront prochainement marqués d'un trait ou d'une croix rouge par Firefox et Google Chrome. Avec cependant une nuance.

Pour son navigateur Firefox, Mozilla teste actuellement un avertissement qui viendra se greffer dans la barre d'adresse sous la forme d'un trait rouge barrant un cadenas. Cette marque apparaîtra lorsqu'une page Web avec un champ pour saisir un mot de passe ne le fait pas de manière sécurisée via HTTPS.

Firefox-non-https

Pour Google Chrome, ce ne sera pas un trait mais une croix rouge beaucoup plus présente. Il est en effet envisagé d'apposer cette croix pour tout bonnement l'ensemble des pages non-HTTPS. Elle s'affichera également dessus un cadenas dans la barre d'adresse.

Chrome-non-https

Tant pour Firefox que Google Chrome, aucun calendrier n'est véritablement fixé pour une mise en application dans une version stable du navigateur. Cela met en tout cas la pression aux développeurs Web pour cette année.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1879179
Mouais... J'vois pas l'intérêt de s'acharner sur le protocole. Au final, que les données transites chiffrée ou non, si a l'arrivée, le serveur est celui d'un site de fishing le résultat sera le même
Le #1879183
De plus il a des sites qui n'ont pas besoin du protocole HTTPS genre site vitrine, informations etc tous les sites ne traitent pas des donnée privées et/ou d'authentification. Pourquoi donc les mettre tous dans le même panier ?
Le #1879185
Il y a encore quelques mois, j'aurais pester contre ce genre de mesure, mais depuis décembre 2015 on a tous la possibilité de générer des certif ssl gratuitement avec letsencryt.

Allons y donc à fond !

Le chiffrement d'une communication ,même non sensible, ne fait pas de mal.
Le #1879189
hotshuff a écrit :

Il y a encore quelques mois, j'aurais pester contre ce genre de mesure, mais depuis décembre 2015 on a tous la possibilité de générer des certif ssl gratuitement avec letsencryt.

Allons y donc à fond !

Le chiffrement d'une communication ,même non sensible, ne fait pas de mal.



Non car:
- t'es dépendant d'un tiers
- ça consomme plus de ressources au niveau global
- les certif letsencryt sont de la merde suivant les cas. Exemple concret de leur FAQ:

Will Let’s Encrypt issue wildcard certificates?
We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.


Ou encore la limite à 5 certifs sur 7 jours (et 10 sur 2 mois y'a pas si longtemps.....). Si tu veux créer plusieurs sous-domaines avec eux, t'as intérêt de t'y prendre des semaines à l'avance.....


En gros aller vous faire foutre, si vous avez des sous-domaines....


Autant le HTTP devrait etre la norme pour tout ce qui est espace client, autant ça n'a rien à faire dans le cas de diffusion de contenu "vitrine".


Que la partie en libre accès au public des news de GNT soit en HTTPS par exemple, ça serait d'une grande inutilité.




Le #1879190
Plutôt que de se lancer dans ce genre de pitreries, ils pourraient commencer par afficher par défaut le http://, ou à minima rendre cet affichage facilement paramétrable (plutôt que d'enterrer le réglage dans about:config pour Fx et je ne sais où pour Chrome)
Le #1879197
@Chitzitoune, oui il y a des contraintes. C'est tout jeune et en rodage.

"t'es dépendant d'un tiers" ? a part de l'autosigné, pour un certificat ssl tu sera toujours dépendant d'un tiers qui fait partie d'une chaine de certification.

"ça consomme plus de ressources au niveau global"... on est en 2016. l'impact est négligeable et tout les cpu gèrent nativement de facon hardware ce genre de travail. https://en.wikipedia.org/wiki/SSL_acceleration
une article qui résume bein la situation ; https://www.maxcdn.com/blog/ssl-performance-myth/

"Will Let’s Encrypt issue wildcard certificates?" effectivement c'est le seul point vraiment génant pour le moment. J'ai pour ma part beaucoup de sous domaine et je dois les renouveler unitairement. Mais une fois automatisé avec une tache cron, ca ne pose pas plus de problème que cela. Ils y finiront par y venir mais le souhait est pour le moment de contrôler les certifs qui sont produit.

Il faut garder à l'esprit qu'ils sont en train de chambouler un gros business bien huilé. Il faut y aller petit à petit sinon ils risquent de se faire attaquer de partout.
Le #1879204
hotshuff a écrit :

@Chitzitoune, oui il y a des contraintes. C'est tout jeune et en rodage.

"t'es dépendant d'un tiers" ? a part de l'autosigné, pour un certificat ssl tu sera toujours dépendant d'un tiers qui fait partie d'une chaine de certification.

"ça consomme plus de ressources au niveau global"... on est en 2016. l'impact est négligeable et tout les cpu gèrent nativement de facon hardware ce genre de travail. https://en.wikipedia.org/wiki/SSL_acceleration
une article qui résume bein la situation ; https://www.maxcdn.com/blog/ssl-performance-myth/

"Will Let’s Encrypt issue wildcard certificates?" effectivement c'est le seul point vraiment génant pour le moment. J'ai pour ma part beaucoup de sous domaine et je dois les renouveler unitairement. Mais une fois automatisé avec une tache cron, ca ne pose pas plus de problème que cela. Ils y finiront par y venir mais le souhait est pour le moment de contrôler les certifs qui sont produit.

Il faut garder à l'esprit qu'ils sont en train de chambouler un gros business bien huilé. Il faut y aller petit à petit sinon ils risquent de se faire attaquer de partout.



Le simple fait d’être dépendant d'un tiers est rédhibitoire pour bon nombre d'usage.

Pour les ressources, justement, on est en 2016: les ressources, c'est pas seulement un gros CPU surdimensionné, y'a tout type d'appareil qui peuvent en avoir l'usage, y compris de l'embarqué très très léger par exemple. De plus le HTTPS empêche aussi certains mécanisme de cache, et la, c'est bien plus que 1 ou 2% d'écart, tu peux rajouter un zéro suivant les cas...

Qu'est ce que apporte que polo le plombier ai son site vitrine en HTTPS à part des démarches et emmerdes éventuelles en plus pour lui ? Ca apporte rien en terme de sécurité.

Par contre, les nombreux espaces membres / clients en HTTP, c'est une grosse erreur (tout comme les mails ou le FTP de base, en clair)

Le #1879217
Chitzitoune a écrit :

hotshuff a écrit :

@Chitzitoune, oui il y a des contraintes. C'est tout jeune et en rodage.

"t'es dépendant d'un tiers" ? a part de l'autosigné, pour un certificat ssl tu sera toujours dépendant d'un tiers qui fait partie d'une chaine de certification.

"ça consomme plus de ressources au niveau global"... on est en 2016. l'impact est négligeable et tout les cpu gèrent nativement de facon hardware ce genre de travail. https://en.wikipedia.org/wiki/SSL_acceleration
une article qui résume bein la situation ; https://www.maxcdn.com/blog/ssl-performance-myth/

"Will Let’s Encrypt issue wildcard certificates?" effectivement c'est le seul point vraiment génant pour le moment. J'ai pour ma part beaucoup de sous domaine et je dois les renouveler unitairement. Mais une fois automatisé avec une tache cron, ca ne pose pas plus de problème que cela. Ils y finiront par y venir mais le souhait est pour le moment de contrôler les certifs qui sont produit.

Il faut garder à l'esprit qu'ils sont en train de chambouler un gros business bien huilé. Il faut y aller petit à petit sinon ils risquent de se faire attaquer de partout.



Le simple fait d’être dépendant d'un tiers est rédhibitoire pour bon nombre d'usage.

Pour les ressources, justement, on est en 2016: les ressources, c'est pas seulement un gros CPU surdimensionné, y'a tout type d'appareil qui peuvent en avoir l'usage, y compris de l'embarqué très très léger par exemple. De plus le HTTPS empêche aussi certains mécanisme de cache, et la, c'est bien plus que 1 ou 2% d'écart, tu peux rajouter un zéro suivant les cas...

Qu'est ce que apporte que polo le plombier ai son site vitrine en HTTPS à part des démarches et emmerdes éventuelles en plus pour lui ? Ca apporte rien en terme de sécurité.

Par contre, les nombreux espaces membres / clients en HTTP, c'est une grosse erreur (tout comme les mails ou le FTP de base, en clair)


Ce n'est pas polo le plombier, c'est MARIO le plombier !!! T'y connais vraiment rien, toi !
Le #1879246
frèzetagada>>>C'est clair, en plus polo c'est volkswagen...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]