Fabien LE LEZ wrote:Honnêtement, j'ai abandonné tout espoir. Entre les autorités foi reuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sai s ce que
tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site t u vas,
mais ce n'est pas fait pour ça.
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foi reuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sai s ce que
tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site t u vas,
mais ce n'est pas fait pour ça.
Fabien LE LEZ wrote:Honnêtement, j'ai abandonné tout espoir. Entre les autorités foi reuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sai s ce que
tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site t u vas,
mais ce n'est pas fait pour ça.
C'est pas bête comme requête : si l'administrateur est capable de
répondre, ça veut dire qu'il faut fermer le site *de toute urgence*.
C'est pas bête comme requête : si l'administrateur est capable de
répondre, ça veut dire qu'il faut fermer le site *de toute urgence*.
C'est pas bête comme requête : si l'administrateur est capable de
répondre, ça veut dire qu'il faut fermer le site *de toute urgence*.
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveur s de
production les plus critiques, serveurs non patchés avec de multip les
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incom pétent
techniquement a pu se glisser dans la liste des autorités de certi fication.
Et combien d'autres autorités de certification sont aussi peu fiab les ..
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveur s de
production les plus critiques, serveurs non patchés avec de multip les
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incom pétent
techniquement a pu se glisser dans la liste des autorités de certi fication.
Et combien d'autres autorités de certification sont aussi peu fiab les ..
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveur s de
production les plus critiques, serveurs non patchés avec de multip les
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incom pétent
techniquement a pu se glisser dans la liste des autorités de certi fication.
Et combien d'autres autorités de certification sont aussi peu fiab les ..
Après avoir lu ce fil, il y a une question que je me pose : y a-t-il
quelque part un site à conseiller à Madame Michu pour lui expliquer
comment importer un certificat de sécurité en étant sûr qu'il n'est pas
contrefait ?
Après avoir lu ce fil, il y a une question que je me pose : y a-t-il
quelque part un site à conseiller à Madame Michu pour lui expliquer
comment importer un certificat de sécurité en étant sûr qu'il n'est pas
contrefait ?
Après avoir lu ce fil, il y a une question que je me pose : y a-t-il
quelque part un site à conseiller à Madame Michu pour lui expliquer
comment importer un certificat de sécurité en étant sûr qu'il n'est pas
contrefait ?
Le 08/10/2011 12:32, Gloops a écrit :Après avoir lu ce fil, il y a une question que je me pose : y a-t -ilOui
quelque part un site à conseiller à Madame Michu pour lui ex pliquer
comment importer un certificat de sécurité en étant sà »r qu'il n'est pas
contrefait ?
En théorie les racines sont là pour ça: elles permettent de ne pas se
poser de questions. L'import manuel d'un certificat est rarissime, et j e
ne parle même pas de M/Me Michu.
Le vrai problème, c'est quand les racines sont pourries.
Le 08/10/2011 12:32, Gloops a écrit :
Après avoir lu ce fil, il y a une question que je me pose : y a-t -ilOui
quelque part un site à conseiller à Madame Michu pour lui ex pliquer
comment importer un certificat de sécurité en étant sà »r qu'il n'est pas
contrefait ?
En théorie les racines sont là pour ça: elles permettent de ne pas se
poser de questions. L'import manuel d'un certificat est rarissime, et j e
ne parle même pas de M/Me Michu.
Le vrai problème, c'est quand les racines sont pourries.
Le 08/10/2011 12:32, Gloops a écrit :Après avoir lu ce fil, il y a une question que je me pose : y a-t -ilOui
quelque part un site à conseiller à Madame Michu pour lui ex pliquer
comment importer un certificat de sécurité en étant sà »r qu'il n'est pas
contrefait ?
En théorie les racines sont là pour ça: elles permettent de ne pas se
poser de questions. L'import manuel d'un certificat est rarissime, et j e
ne parle même pas de M/Me Michu.
Le vrai problème, c'est quand les racines sont pourries.
Par ailleurs, un site de commerce en ligne a mémorisé mon numéro de
carte, puis-je me contenter de protester mollement ? Quels paramètres
peuvent influer sur la réponse ?
Par ailleurs, un site de commerce en ligne a mémorisé mon numéro de
carte, puis-je me contenter de protester mollement ? Quels paramètres
peuvent influer sur la réponse ?
Par ailleurs, un site de commerce en ligne a mémorisé mon numéro de
carte, puis-je me contenter de protester mollement ? Quels paramètres
peuvent influer sur la réponse ?
Le 08/10/2011 12:48, Gloops a écrit :Par ailleurs, un site de commerce en ligne a mémorisé mon nu méro de
carte, puis-je me contenter de protester mollement ? Quels paramè tres
peuvent influer sur la réponse ?
Dans les débuts du commerce électronique, j'avais eu vent des pratiques
d'une boutique connue: lors de la réception des commandes, ces der nières
étaient faxées (avec le numéro de CB, nom du porteur etc ) au siège de la
boutique physique, pour être traitées "normalement" (comme po ur les
commandes papier ou téléphone). Les FAX étaient jeté s à la poubelle
après opération. On espère que personne n'a eu l'idé e de fouiller les
poubelles a lâextérieur.
Bon, j'imagine que ce genre de chose n'arrive plus ? (..)
Le 08/10/2011 12:48, Gloops a écrit :
Par ailleurs, un site de commerce en ligne a mémorisé mon nu méro de
carte, puis-je me contenter de protester mollement ? Quels paramè tres
peuvent influer sur la réponse ?
Dans les débuts du commerce électronique, j'avais eu vent des pratiques
d'une boutique connue: lors de la réception des commandes, ces der nières
étaient faxées (avec le numéro de CB, nom du porteur etc ) au siège de la
boutique physique, pour être traitées "normalement" (comme po ur les
commandes papier ou téléphone). Les FAX étaient jeté s à la poubelle
après opération. On espère que personne n'a eu l'idé e de fouiller les
poubelles a lâextérieur.
Bon, j'imagine que ce genre de chose n'arrive plus ? (..)
Le 08/10/2011 12:48, Gloops a écrit :Par ailleurs, un site de commerce en ligne a mémorisé mon nu méro de
carte, puis-je me contenter de protester mollement ? Quels paramè tres
peuvent influer sur la réponse ?
Dans les débuts du commerce électronique, j'avais eu vent des pratiques
d'une boutique connue: lors de la réception des commandes, ces der nières
étaient faxées (avec le numéro de CB, nom du porteur etc ) au siège de la
boutique physique, pour être traitées "normalement" (comme po ur les
commandes papier ou téléphone). Les FAX étaient jeté s à la poubelle
après opération. On espère que personne n'a eu l'idé e de fouiller les
poubelles a lâextérieur.
Bon, j'imagine que ce genre de chose n'arrive plus ? (..)
J'ai lu (sur reddit je crois), il y a un ou deux mois, le message d'un
admin système qui demandait des conseils, car un "expert" chargé d' un
audit lui demandait la liste des mots de passe de tous ses
utilisateurs (en clair bien sûr), sur les six derniers mois.
J'ai lu (sur reddit je crois), il y a un ou deux mois, le message d'un
admin système qui demandait des conseils, car un "expert" chargé d' un
audit lui demandait la liste des mots de passe de tous ses
utilisateurs (en clair bien sûr), sur les six derniers mois.
J'ai lu (sur reddit je crois), il y a un ou deux mois, le message d'un
admin système qui demandait des conseils, car un "expert" chargé d' un
audit lui demandait la liste des mots de passe de tous ses
utilisateurs (en clair bien sûr), sur les six derniers mois.
Oui, effectivement. Comment fait-on pour faire tenir un platane quand
ses racines sont pourries ? On risque de ne pas avoir de réponse
convaincante. Même si en ce moment, les platanes, c'est plutôt au niveau
de l'écorce qu'ils ont un souci.
Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL de la
banque sans se tromper ?
détail comment ça marche, pour pouvoir quand même faire des transactions
sûres, enfin ... on pouvait.
Oui, effectivement. Comment fait-on pour faire tenir un platane quand
ses racines sont pourries ? On risque de ne pas avoir de réponse
convaincante. Même si en ce moment, les platanes, c'est plutôt au niveau
de l'écorce qu'ils ont un souci.
Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL de la
banque sans se tromper ?
détail comment ça marche, pour pouvoir quand même faire des transactions
sûres, enfin ... on pouvait.
Oui, effectivement. Comment fait-on pour faire tenir un platane quand
ses racines sont pourries ? On risque de ne pas avoir de réponse
convaincante. Même si en ce moment, les platanes, c'est plutôt au niveau
de l'écorce qu'ils ont un souci.
Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL de la
banque sans se tromper ?
détail comment ça marche, pour pouvoir quand même faire des transactions
sûres, enfin ... on pouvait.
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :Fabien LE LEZ wrote:Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu
vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
C'est les autres, qui ne le savent pas.
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu
vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
C'est les autres, qui ne le savent pas.
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :Fabien LE LEZ wrote:Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu
vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
C'est les autres, qui ne le savent pas.