Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Il s'agit essentiellement, tel que je le vois, d'un argument marketing:
Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser.
Il s'agit essentiellement, tel que je le vois, d'un argument marketing:
Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser.
Il s'agit essentiellement, tel que je le vois, d'un argument marketing:
Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
Evidement l'absence de couleur reste ambigue et donc, comme pour la
limitation de vitesse, ceux qui faisaient attention verront le problème,
mais l'auraient vue à l'adresse abhérante du site, alors que les autres
continueront à se faire avoir.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Evidement un certificat gratuit vaudrait exactement la même chose en
matière de sécurité, mais apparament les décideurs sont persuadées que
plus tu l'a payé cher, plus la sécurité apporté par le certificat est
bonne.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
Evidement l'absence de couleur reste ambigue et donc, comme pour la
limitation de vitesse, ceux qui faisaient attention verront le problème,
mais l'auraient vue à l'adresse abhérante du site, alors que les autres
continueront à se faire avoir.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Evidement un certificat gratuit vaudrait exactement la même chose en
matière de sécurité, mais apparament les décideurs sont persuadées que
plus tu l'a payé cher, plus la sécurité apporté par le certificat est
bonne.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
Evidement l'absence de couleur reste ambigue et donc, comme pour la
limitation de vitesse, ceux qui faisaient attention verront le problème,
mais l'auraient vue à l'adresse abhérante du site, alors que les autres
continueront à se faire avoir.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Evidement un certificat gratuit vaudrait exactement la même chose en
matière de sécurité, mais apparament les décideurs sont persuadées que
plus tu l'a payé cher, plus la sécurité apporté par le certificat est
bonne.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Mouarf. Je ne vois pas bien pourquoi un certif classique protègerait
moins qu'un EV contre le spoofing DNS ! Ils prennent vraiment les gens
pour des c*ns...
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Oui, en fait je pense qu'il y a les deux. La société que l'on convainc
qu'il le faut sinon ils perdront des ventes, et parallèlement notre
copine Mme Michu qui sera toute contente quand elle verra la barre
verte. On va bientôt voir fleurir des sites de phishing avec une barre
verte en en-tête. Peu importe qu'elle ne soit pas dans la barre
d'adresse, Mme Michu n'y verra que du feu comme d'habitude.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
La par contre j'ai un avis un peu différent: SSL sert permet aussi
d'authentifier l'origine des données et d'assurer leur intégrité durant
le transport. C'est d'ailleurs pour cela que le SHOM en a acquis un
initialement.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Il n'y a en effet aucune raison que cela n'arrive pas un jour. C'est
déjà le cas pour le spam: naïvement, lorsque j'ai mis en place DKIM sur
le mail chez nous, je me suis dit que ça allait aider un peu à
discriminer les spams des messages légitimes, eh ben non. Beaucoup de
spams arrivent signés car ils sont envoyés depuis des comptes légitimes
chez Yahoo ou autres.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Mouarf. Je ne vois pas bien pourquoi un certif classique protègerait
moins qu'un EV contre le spoofing DNS ! Ils prennent vraiment les gens
pour des c*ns...
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Oui, en fait je pense qu'il y a les deux. La société que l'on convainc
qu'il le faut sinon ils perdront des ventes, et parallèlement notre
copine Mme Michu qui sera toute contente quand elle verra la barre
verte. On va bientôt voir fleurir des sites de phishing avec une barre
verte en en-tête. Peu importe qu'elle ne soit pas dans la barre
d'adresse, Mme Michu n'y verra que du feu comme d'habitude.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
La par contre j'ai un avis un peu différent: SSL sert permet aussi
d'authentifier l'origine des données et d'assurer leur intégrité durant
le transport. C'est d'ailleurs pour cela que le SHOM en a acquis un
initialement.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Il n'y a en effet aucune raison que cela n'arrive pas un jour. C'est
déjà le cas pour le spam: naïvement, lorsque j'ai mis en place DKIM sur
le mail chez nous, je me suis dit que ça allait aider un peu à
discriminer les spams des messages légitimes, eh ben non. Beaucoup de
spams arrivent signés car ils sont envoyés depuis des comptes légitimes
chez Yahoo ou autres.
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>
Mouarf. Je ne vois pas bien pourquoi un certif classique protègerait
moins qu'un EV contre le spoofing DNS ! Ils prennent vraiment les gens
pour des c*ns...
Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.
Oui, en fait je pense qu'il y a les deux. La société que l'on convainc
qu'il le faut sinon ils perdront des ventes, et parallèlement notre
copine Mme Michu qui sera toute contente quand elle verra la barre
verte. On va bientôt voir fleurir des sites de phishing avec une barre
verte en en-tête. Peu importe qu'elle ne soit pas dans la barre
d'adresse, Mme Michu n'y verra que du feu comme d'habitude.
Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
La par contre j'ai un avis un peu différent: SSL sert permet aussi
d'authentifier l'origine des données et d'assurer leur intégrité durant
le transport. C'est d'ailleurs pour cela que le SHOM en a acquis un
initialement.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.
Il n'y a en effet aucune raison que cela n'arrive pas un jour. C'est
déjà le cas pour le spam: naïvement, lorsque j'ai mis en place DKIM sur
le mail chez nous, je me suis dit que ça allait aider un peu à
discriminer les spams des messages légitimes, eh ben non. Beaucoup de
spams arrivent signés car ils sont envoyés depuis des comptes légitimes
chez Yahoo ou autres.
Pourquoi ne serait-elle pas dans la barre d'adresse ? Favicon existe
depuis des années et ferait idéalement l'affaire. L'indicateur de
sécurité ne serait pas placé exactement au même endroit, mais la
similitude serait telle que même des personnes vigilantes se feraient
avoir. Si en prime on fait de l'url rewriting au niveau du site, on
peut faire pointer favicon vers un script qui sélectionnera la bonne
couleur en fonction du navigateur.
Pourquoi ne serait-elle pas dans la barre d'adresse ? Favicon existe
depuis des années et ferait idéalement l'affaire. L'indicateur de
sécurité ne serait pas placé exactement au même endroit, mais la
similitude serait telle que même des personnes vigilantes se feraient
avoir. Si en prime on fait de l'url rewriting au niveau du site, on
peut faire pointer favicon vers un script qui sélectionnera la bonne
couleur en fonction du navigateur.
Pourquoi ne serait-elle pas dans la barre d'adresse ? Favicon existe
depuis des années et ferait idéalement l'affaire. L'indicateur de
sécurité ne serait pas placé exactement au même endroit, mais la
similitude serait telle que même des personnes vigilantes se feraient
avoir. Si en prime on fait de l'url rewriting au niveau du site, on
peut faire pointer favicon vers un script qui sélectionnera la bonne
couleur en fonction du navigateur.
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
Bruno Tréguier wrote:J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
Tu n'as pas tout vu. La concurrence entre les sites commercialisant les
certificats SSL a poussé vers le bas les règles de vérification, ce qui
fait que la seule chose dont tu sois vraiment certain avec un certificat
SSL classique est que l'AC a vérifié que le site contrôle le DNS auquel
tu te connecte (on appelle cela le DV SSL, Domain Validated SSL).
Dans le cas de l'EV, l'AC n'a pas le choix, les documents EV sont très
précis sur ce qui doit être vérifié, même si la liste correspond à ce
qui était vérifié pour un certificats SSL standard il y a quelques années.
Bruno Tréguier wrote:
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
Tu n'as pas tout vu. La concurrence entre les sites commercialisant les
certificats SSL a poussé vers le bas les règles de vérification, ce qui
fait que la seule chose dont tu sois vraiment certain avec un certificat
SSL classique est que l'AC a vérifié que le site contrôle le DNS auquel
tu te connecte (on appelle cela le DV SSL, Domain Validated SSL).
Dans le cas de l'EV, l'AC n'a pas le choix, les documents EV sont très
précis sur ce qui doit être vérifié, même si la liste correspond à ce
qui était vérifié pour un certificats SSL standard il y a quelques années.
Bruno Tréguier wrote:J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).
Tu n'as pas tout vu. La concurrence entre les sites commercialisant les
certificats SSL a poussé vers le bas les règles de vérification, ce qui
fait que la seule chose dont tu sois vraiment certain avec un certificat
SSL classique est que l'AC a vérifié que le site contrôle le DNS auquel
tu te connecte (on appelle cela le DV SSL, Domain Validated SSL).
Dans le cas de l'EV, l'AC n'a pas le choix, les documents EV sont très
précis sur ce qui doit être vérifié, même si la liste correspond à ce
qui était vérifié pour un certificats SSL standard il y a quelques années.
naïvement, lorsque j'ai mis en place DKIM sur le mail chez nous, je me
suis dit que ça allait aider un peu à discriminer les spams des messages
légitimes, eh ben non. Beaucoup de spams arrivent signés car ils sont
envoyés depuis des comptes légitimes chez Yahoo ou autres.
naïvement, lorsque j'ai mis en place DKIM sur le mail chez nous, je me
suis dit que ça allait aider un peu à discriminer les spams des messages
légitimes, eh ben non. Beaucoup de spams arrivent signés car ils sont
envoyés depuis des comptes légitimes chez Yahoo ou autres.
naïvement, lorsque j'ai mis en place DKIM sur le mail chez nous, je me
suis dit que ça allait aider un peu à discriminer les spams des messages
légitimes, eh ben non. Beaucoup de spams arrivent signés car ils sont
envoyés depuis des comptes légitimes chez Yahoo ou autres.
L'attaquant s'en prend toujours au maillon le plus faible de la chaîne,
faire des promesses fabuleuses quand on n'améliore qu'un seul point de
celle-ci est vraiment une erreur majeure.
Il n'empèche que, pour arriver un jour à une vrai sécurité, il faut
renforcer un par un ces maillons, c'est le seul moyen d'en arriver un
jour au stade où les autres maillons faibles ayant été renforcé, on a
progresse vraiment en sécurité en fermant le dernier maillon.
L'attaquant s'en prend toujours au maillon le plus faible de la chaîne,
faire des promesses fabuleuses quand on n'améliore qu'un seul point de
celle-ci est vraiment une erreur majeure.
Il n'empèche que, pour arriver un jour à une vrai sécurité, il faut
renforcer un par un ces maillons, c'est le seul moyen d'en arriver un
jour au stade où les autres maillons faibles ayant été renforcé, on a
progresse vraiment en sécurité en fermant le dernier maillon.
L'attaquant s'en prend toujours au maillon le plus faible de la chaîne,
faire des promesses fabuleuses quand on n'améliore qu'un seul point de
celle-ci est vraiment une erreur majeure.
Il n'empèche que, pour arriver un jour à une vrai sécurité, il faut
renforcer un par un ces maillons, c'est le seul moyen d'en arriver un
jour au stade où les autres maillons faibles ayant été renforcé, on a
progresse vraiment en sécurité en fermant le dernier maillon.