réseau aéroport
Le
laurent
Bonjour,
juste une question qui me passe par la tête. J'essayais tout à l'heure
depuis un réseau d'aéroport de me connecter à mon serveur perso en
https. Le navigateur lève une exception comme quoi l'identité n'est pas
reconnue. Je lis le certificat et je m'aperçois qu'en fait le port 443
est détourné pour passer par je suppose leur proxy transparent avec
fatalement leur propre certificat.
Well, sachant que lorsque je passe en https c'est justement pour être
sûr que personne ne lise mes communications, est-ce qu'on ne peut pas
assimiler ça à une attaque de type man in the middle ou de violation de
correspondance privée ? Car à aucun moment il n'est spécifié que le
fournisseur internet se réserve le droit de lire les correspondances
Or là il essaye de le faire sans me prévenir en sachant pertinemment que
je voulais garder ces échanges cachés
Voilà c'est juste pour parler hein :)
Laurent
juste une question qui me passe par la tête. J'essayais tout à l'heure
depuis un réseau d'aéroport de me connecter à mon serveur perso en
https. Le navigateur lève une exception comme quoi l'identité n'est pas
reconnue. Je lis le certificat et je m'aperçois qu'en fait le port 443
est détourné pour passer par je suppose leur proxy transparent avec
fatalement leur propre certificat.
Well, sachant que lorsque je passe en https c'est justement pour être
sûr que personne ne lise mes communications, est-ce qu'on ne peut pas
assimiler ça à une attaque de type man in the middle ou de violation de
correspondance privée ? Car à aucun moment il n'est spécifié que le
fournisseur internet se réserve le droit de lire les correspondances
Or là il essaye de le faire sans me prévenir en sachant pertinemment que
je voulais garder ces échanges cachés
Voilà c'est juste pour parler hein :)
Laurent
Le 17/10/2013 18:19, laurent écrivit :
Ça peut être leur portail captif aussi, lors du premier établissement
d'une connexion HTTP (vu que tu ne l'as pas précisé ?!).
L'aéroport n'est pas FAI, et à ce titre n'est pas soumis aux obligations
des FAI. Il propose un service que tu es libre d'utiliser ou pas,
surtout s'il est gratuit. Et s'il est payant, ya des conditions
particulières à lire ;-)
Estime-toi heureux que ton navigateur vérifie le certificat et t'affiche
ce message. Sache que beaucoup d'applications soit qui utilisent
d'autres protocoles (certains client mails par exemple), ou des
applications mobiles ne vérifient pas le domaine du certificat, et donc
croient naïvement la connexion comme sure.
Une lecture intéressante (en anglais) https://lwn.net/Articles/522111/
--
« Ceci n'est pas une signature. » — René Magritte (Apocryphe)
Ben tiens ... v'la un gars qui va se faire lyncher à oser écrire que
les implémentations.utilisations de OpenSSL, Apache,etc .. c'est pas
"Secure-by-design"
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.