Petite question toute bête : Quels sont les avantages d'un site qui
commence par https au lieu de http ?
J'ai cherché sur le web, et "c'est plus sécurisé", ok, ça j'ai
compris :-)
Mais par exemple, si je me connecte à un webmail style
"www.monsupermail.com"
En quoi est-ce que le fait de me loguer sur "https://
www.monsupermail.com" est plus safe que "http://
www.monsupermail.com" ?
Même si la société "mon super mail" est authentifiée, à jour, avec
tous les certificats et tout, je leur envoie quand même mon nom, mon
pseudo, mon mot de passe... Ils en font quand même bien ce qu'ils
veulent, non ?
J'en ai déduit que finalement, le https permet uniquement d'éviter de
se faire piquer les infos au passage sur le réseau internet... Style
si je me suis chopé un keylogger, ou si je suis sur "écoute internet"
d'une autre manière, le fait d'être en https empêche quiconque de voir
ce que j'envoie parce que c'est crypté par https.
Désolé si je parle un peu "trivial", mais je voulais juste savoir si,
en gros, j'avais compris...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Paul Gaborit
À (at) 24 Jun 2008 09:28:18 GMT, écrivait (wrote):
En quoi est-ce que le fait de me loguer sur "https:// www.monsupermail.com" est plus safe que "http:// www.monsupermail.com" ?
Même si la société "mon super mail" est authentifiée, à jour, avec tous les certificats et tout, je leur envoie quand même mon nom, mon pseudo, mon mot de passe... Ils en font quand même bien ce qu'ils veulent, non ?
Oui.
J'en ai déduit que finalement, le https permet uniquement d'éviter de se faire piquer les infos au passage sur le réseau internet...
Oui. Mais en plus, ça permet aussi de vérifier l'identité du serveur distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Style si je me suis chopé un keylogger,
Non. Un "keylogger" est installé sur la machine locale. Il peut donc intercepter les échanges avant que ça passe par le réseau et donc par la phase de chiffrement.
ou si je suis sur "écoute internet" d'une autre manière, le fait d'être en https empêche quiconque de voir ce que j'envoie parce que c'est crypté par https.
Oui.
Désolé si je parle un peu "trivial", mais je voulais juste savoir si, en gros, j'avais compris...
Persque... ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 24 Jun 2008 09:28:18 GMT,
chasouris@gmail.com écrivait (wrote):
En quoi est-ce que le fait de me loguer sur "https://
www.monsupermail.com" est plus safe que "http://
www.monsupermail.com" ?
Même si la société "mon super mail" est authentifiée, à jour, avec
tous les certificats et tout, je leur envoie quand même mon nom, mon
pseudo, mon mot de passe... Ils en font quand même bien ce qu'ils
veulent, non ?
Oui.
J'en ai déduit que finalement, le https permet uniquement d'éviter de
se faire piquer les infos au passage sur le réseau internet...
Oui. Mais en plus, ça permet aussi de vérifier l'identité du serveur
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.
Style si je me suis chopé un keylogger,
Non. Un "keylogger" est installé sur la machine locale. Il peut donc
intercepter les échanges avant que ça passe par le réseau et donc par
la phase de chiffrement.
ou si je suis sur "écoute internet" d'une autre manière, le fait
d'être en https empêche quiconque de voir ce que j'envoie parce que
c'est crypté par https.
Oui.
Désolé si je parle un peu "trivial", mais je voulais juste savoir si,
en gros, j'avais compris...
Persque... ;-)
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 24 Jun 2008 09:28:18 GMT, écrivait (wrote):
En quoi est-ce que le fait de me loguer sur "https:// www.monsupermail.com" est plus safe que "http:// www.monsupermail.com" ?
Même si la société "mon super mail" est authentifiée, à jour, avec tous les certificats et tout, je leur envoie quand même mon nom, mon pseudo, mon mot de passe... Ils en font quand même bien ce qu'ils veulent, non ?
Oui.
J'en ai déduit que finalement, le https permet uniquement d'éviter de se faire piquer les infos au passage sur le réseau internet...
Oui. Mais en plus, ça permet aussi de vérifier l'identité du serveur distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Style si je me suis chopé un keylogger,
Non. Un "keylogger" est installé sur la machine locale. Il peut donc intercepter les échanges avant que ça passe par le réseau et donc par la phase de chiffrement.
ou si je suis sur "écoute internet" d'une autre manière, le fait d'être en https empêche quiconque de voir ce que j'envoie parce que c'est crypté par https.
Oui.
Désolé si je parle un peu "trivial", mais je voulais juste savoir si, en gros, j'avais compris...
Persque... ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
chasouris
[...]ça permet aussi de vérifier l'identité du serveur distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse... Style tu reçois un mail avec un lien hypertexte qui semble pointer vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien que tu arrives sur www.JeSuisUnEscroc.com...
Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com ou https.www.monsupermail.com, je sais que j'arrive chez MonSuperMail... Qu'ils soient sécurisés, certifiés tout ce que tu veux, ça change rien de rien niveau phishing, non ?
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais depuis le temps qu'on me parle du https comme si c'était le Graal, je voudrais finalement savoir ce qu'il en est vraiment...
[...]ça permet aussi de vérifier l'identité du serveur
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme
le
vrai.
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse...
Style tu reçois un mail avec un lien hypertexte qui semble pointer
vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien
que tu arrives sur www.JeSuisUnEscroc.com...
Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com
ou https.www.monsupermail.com, je sais que j'arrive chez
MonSuperMail... Qu'ils soient sécurisés, certifiés tout ce que tu
veux, ça change rien de rien niveau phishing, non ?
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais
depuis le temps qu'on me parle du https comme si c'était le Graal, je
voudrais finalement savoir ce qu'il en est vraiment...
[...]ça permet aussi de vérifier l'identité du serveur distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse... Style tu reçois un mail avec un lien hypertexte qui semble pointer vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien que tu arrives sur www.JeSuisUnEscroc.com...
Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com ou https.www.monsupermail.com, je sais que j'arrive chez MonSuperMail... Qu'ils soient sécurisés, certifiés tout ce que tu veux, ça change rien de rien niveau phishing, non ?
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais depuis le temps qu'on me parle du https comme si c'était le Graal, je voudrais finalement savoir ce qu'il en est vraiment...
Nicolas George
Paul Gaborit wrote in message :
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Paul Gaborit wrote in message <wt9vdzz187j.fsf@marceau.enstimac.fr>:
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Paul Gaborit
À (at) 24 Jun 2008 10:56:22 GMT, Nicolas George <nicolas$ écrivait (wrote):
Paul Gaborit wrote in message :
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Dans l'absolu, c'est vrai... Mais, de fait, la plupart des sitesde phishing actuels ne sont même pas en https ce qui les distingue parfois du vrai site. Ça protège donc des forme de phishing simples.
Quant au moyen fiable et indépendant... Il y a toujours un moment où il faut se décider à faire confiance à quelqu'un ! ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 24 Jun 2008 10:56:22 GMT,
Nicolas George <nicolas$george@salle-s.org> écrivait (wrote):
Paul Gaborit wrote in message <wt9vdzz187j.fsf@marceau.enstimac.fr>:
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.
Dans l'absolu, c'est vrai... Mais, de fait, la plupart des sitesde
phishing actuels ne sont même pas en https ce qui les distingue
parfois du vrai site. Ça protège donc des forme de phishing simples.
Quant au moyen fiable et indépendant... Il y a toujours un moment où
il faut se décider à faire confiance à quelqu'un ! ;-)
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 24 Jun 2008 10:56:22 GMT, Nicolas George <nicolas$ écrivait (wrote):
Paul Gaborit wrote in message :
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Dans l'absolu, c'est vrai... Mais, de fait, la plupart des sitesde phishing actuels ne sont même pas en https ce qui les distingue parfois du vrai site. Ça protège donc des forme de phishing simples.
Quant au moyen fiable et indépendant... Il y a toujours un moment où il faut se décider à faire confiance à quelqu'un ! ;-)
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Stephane Catteau
Nicolas George devait dire quelque chose comme ceci :
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Et comme on doit le plus souvent se contenter d'une confiance relative... Parce que bon, même les meilleurs font parfois des erreurs stupides. Depuis ils ont corrigé le problème, mais n'empèche que : <http://www.sc4x.net/eud/SeeIt.php?what=cia.png> Rapporté au site visité, le "quelqu'un est peut-être entrain de vous espionner" est savoureux ;)
Nicolas George devait dire quelque chose comme ceci :
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.
Et comme on doit le plus souvent se contenter d'une confiance
relative... Parce que bon, même les meilleurs font parfois des erreurs
stupides. Depuis ils ont corrigé le problème, mais n'empèche que :
<http://www.sc4x.net/eud/SeeIt.php?what=cia.png>
Rapporté au site visité, le "quelqu'un est peut-être entrain de vous
espionner" est savoureux ;)
Nicolas George devait dire quelque chose comme ceci :
distant (si leur certificat est valide). Ça empêche donc aussi le "phishing" ou hameçonnage par un faux site qui se présenterai comme le vrai.
Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux certificats vérifiés de cette manière.
Si ce n'est pas le cas, en particulier si on se contente de faire confiance aux CA présentes par défaut dans le navigateur, la protection contre le phishing est essentiellement nulle.
Et comme on doit le plus souvent se contenter d'une confiance relative... Parce que bon, même les meilleurs font parfois des erreurs stupides. Depuis ils ont corrigé le problème, mais n'empèche que : <http://www.sc4x.net/eud/SeeIt.php?what=cia.png> Rapporté au site visité, le "quelqu'un est peut-être entrain de vous espionner" est savoureux ;)
DAPL
Stephane Catteau a écrit :
<http://www.sc4x.net/eud/SeeIt.php?what=cia.png> Rapporté au site visité, le "quelqu'un est peut-être entrain de vous espionner" est savoureux ;)
Excellent !
Stephane Catteau a écrit :
<http://www.sc4x.net/eud/SeeIt.php?what=cia.png>
Rapporté au site visité, le "quelqu'un est peut-être entrain de vous
espionner" est savoureux ;)
<http://www.sc4x.net/eud/SeeIt.php?what=cia.png> Rapporté au site visité, le "quelqu'un est peut-être entrain de vous espionner" est savoureux ;)
Excellent !
mpg
Le (on) mardi 24 juin 2008 12:04, a écrit (wrote) :
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse... Style tu reçois un mail avec un lien hypertexte qui semble pointer vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien que tu arrives sur www.JeSuisUnEscroc.com...
Ça dépend si l'attaque est grossière ou sophistiquée. Un attaquant puissant peut tout à fait faire en sorte que sur ta machine, www.monsupermail.com pointe vers ses serveurs et tu n'y verra que du feu. Beaucoup plus simple mais qui a sans doute ses chances : l'attaquant achète le nom de domaine www.monsupremail.com. Le propriétaire légitime peut aussi oublier de renouveller le nom de domaine, etc.
Bref, le nom de domaine n'est en aucun cas une garantie fiable de l'identité du serveur à qui tu parles.
Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com ou https.www.monsupermail.com, je sais que j'arrive chez MonSuperMail...
Non, pas avec une certitude absolue.
Qu'ils soient sécurisés, certifiés tout ce que tu veux, ça change rien de rien niveau phishing, non ?
Si, le certification est très précisément faite pour ça.
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais depuis le temps qu'on me parle du https comme si c'était le Graal, je voudrais finalement savoir ce qu'il en est vraiment...
Ce n'est pas le Graal. C'est juste une brique utile du mur fragile qui te protège des méchants :-)
Manuel.
Le (on) mardi 24 juin 2008 12:04, chasouris@gmail.com a écrit (wrote) :
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse...
Style tu reçois un mail avec un lien hypertexte qui semble pointer
vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien
que tu arrives sur www.JeSuisUnEscroc.com...
Ça dépend si l'attaque est grossière ou sophistiquée. Un attaquant puissant
peut tout à fait faire en sorte que sur ta machine, www.monsupermail.com
pointe vers ses serveurs et tu n'y verra que du feu. Beaucoup plus simple
mais qui a sans doute ses chances : l'attaquant achète le nom de domaine
www.monsupremail.com. Le propriétaire légitime peut aussi oublier de
renouveller le nom de domaine, etc.
Bref, le nom de domaine n'est en aucun cas une garantie fiable de l'identité
du serveur à qui tu parles.
Donc, dans mon navigateur, si je tape physiquement
http://www.monsupermail.com ou https.www.monsupermail.com, je sais que
j'arrive chez MonSuperMail...
Non, pas avec une certitude absolue.
Qu'ils soient sécurisés, certifiés tout ce
que tu veux, ça change rien de rien niveau phishing, non ?
Si, le certification est très précisément faite pour ça.
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais
depuis le temps qu'on me parle du https comme si c'était le Graal, je
voudrais finalement savoir ce qu'il en est vraiment...
Ce n'est pas le Graal. C'est juste une brique utile du mur fragile qui te
protège des méchants :-)
Le (on) mardi 24 juin 2008 12:04, a écrit (wrote) :
Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse... Style tu reçois un mail avec un lien hypertexte qui semble pointer vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien que tu arrives sur www.JeSuisUnEscroc.com...
Ça dépend si l'attaque est grossière ou sophistiquée. Un attaquant puissant peut tout à fait faire en sorte que sur ta machine, www.monsupermail.com pointe vers ses serveurs et tu n'y verra que du feu. Beaucoup plus simple mais qui a sans doute ses chances : l'attaquant achète le nom de domaine www.monsupremail.com. Le propriétaire légitime peut aussi oublier de renouveller le nom de domaine, etc.
Bref, le nom de domaine n'est en aucun cas une garantie fiable de l'identité du serveur à qui tu parles.
Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com ou https.www.monsupermail.com, je sais que j'arrive chez MonSuperMail...
Non, pas avec une certitude absolue.
Qu'ils soient sécurisés, certifiés tout ce que tu veux, ça change rien de rien niveau phishing, non ?
Si, le certification est très précisément faite pour ça.
Je suis désolé d'insister avec mes questions un peu "bébêtes", mais depuis le temps qu'on me parle du https comme si c'était le Graal, je voudrais finalement savoir ce qu'il en est vraiment...
Ce n'est pas le Graal. C'est juste une brique utile du mur fragile qui te protège des méchants :-)