je n'ai vu aucun renseignement fiable. Les "informqtions" données sur le chiffrement sont en contradiction avec les usages mis en avant. Un browser web ne génère pas de clef. Et d'abord quel standard de clef, avec quelle force. Il y a beaucoup de buzz mais les infos techniques sont plus que lacunaires.
Y a des infos sur leur site : https://mega.co.nz/#developers
Beurk
Et puis les sources du client en javascript sont publiques, il suffit de les lire.
Ah il ya donc bien du code téléchargé, et à chaque fois. Et croire qu'on peut évaluer une implémentation de crypto quand on n'est pas spécialiste c'est vraiment se foutre le doigt dans l'½il jusqu'à l'épaule.
Mais on en est meme pas à parler d'infos techniques quand toi tu parles d'une "appli fermée et pas auditée", signe que t'as vraiment rien pigé. Faut vraiment avoir rien suivi pour ne pas etre au courant que tout est fait en javascript dans le navigateur, c'est écrit et expliqué partout.
Ah ? Justement non. Et c'est tpoujours pas audité, et en plus inauditable puisqu'il n'y a aucune garantie que c'est le même code qui sera téléchargé à chaque fois.
J'ai AUCUNE confiance dans la crypto faite de cette manière là. Mais vraiment aucune.
-- Les simplifications c'est trop compliqué
abc abc <abc@abc.abc> écrivait :
je n'ai vu aucun renseignement fiable. Les "informqtions" données sur le
chiffrement sont en contradiction avec les usages mis en avant. Un
browser web ne génère pas de clef. Et d'abord quel standard de clef,
avec quelle force. Il y a beaucoup de buzz mais les infos techniques
sont plus que lacunaires.
Y a des infos sur leur site :
https://mega.co.nz/#developers
Beurk
Et puis les sources du client en javascript sont publiques, il suffit de
les lire.
Ah il ya donc bien du code téléchargé, et à chaque fois. Et croire qu'on
peut évaluer une implémentation de crypto quand on n'est pas spécialiste
c'est vraiment se foutre le doigt dans l'½il jusqu'à l'épaule.
Mais on en est meme pas à parler d'infos techniques quand toi tu parles
d'une "appli fermée et pas auditée", signe que t'as vraiment rien
pigé. Faut vraiment avoir rien suivi pour ne pas etre au courant que
tout est fait en javascript dans le navigateur, c'est écrit et expliqué
partout.
Ah ? Justement non. Et c'est tpoujours pas audité, et en plus
inauditable puisqu'il n'y a aucune garantie que c'est le même code qui
sera téléchargé à chaque fois.
J'ai AUCUNE confiance dans la crypto faite de cette manière là. Mais
vraiment aucune.
je n'ai vu aucun renseignement fiable. Les "informqtions" données sur le chiffrement sont en contradiction avec les usages mis en avant. Un browser web ne génère pas de clef. Et d'abord quel standard de clef, avec quelle force. Il y a beaucoup de buzz mais les infos techniques sont plus que lacunaires.
Y a des infos sur leur site : https://mega.co.nz/#developers
Beurk
Et puis les sources du client en javascript sont publiques, il suffit de les lire.
Ah il ya donc bien du code téléchargé, et à chaque fois. Et croire qu'on peut évaluer une implémentation de crypto quand on n'est pas spécialiste c'est vraiment se foutre le doigt dans l'½il jusqu'à l'épaule.
Mais on en est meme pas à parler d'infos techniques quand toi tu parles d'une "appli fermée et pas auditée", signe que t'as vraiment rien pigé. Faut vraiment avoir rien suivi pour ne pas etre au courant que tout est fait en javascript dans le navigateur, c'est écrit et expliqué partout.
Ah ? Justement non. Et c'est tpoujours pas audité, et en plus inauditable puisqu'il n'y a aucune garantie que c'est le même code qui sera téléchargé à chaque fois.
J'ai AUCUNE confiance dans la crypto faite de cette manière là. Mais vraiment aucune.
-- Les simplifications c'est trop compliqué
filh
Erwan David wrote:
Un browser web ne génère pas de clef.
Il suffit de le programmer en javascript ce qui n'a rien d'impossible.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Erwan David <erwan@rail.eu.org> wrote:
Un
browser web ne génère pas de clef.
Il suffit de le programmer en javascript ce qui n'a rien d'impossible.
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Il suffit de le programmer en javascript ce qui n'a rien d'impossible.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
Yannick Patois wrote:
On 24/01/2013 10:01, Erwan David wrote: > Stephane Legras-Decussy écrivait : >> mais à aucun moment, je n'ai a entrer autre chose que ce pass faible >> pour accéder/partager les data ... gloups ... > Si c'est méga qui génère ta clef alors il l'a, non ?
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Yannick Patois <patois@altespace.org> wrote:
On 24/01/2013 10:01, Erwan David wrote:
> Stephane Legras-Decussy <admin@barilla.com> écrivait :
>> mais à aucun moment, je n'ai a entrer autre chose que ce pass faible
>> pour accéder/partager les data ... gloups ...
> Si c'est méga qui génère ta clef alors il l'a, non ?
Y'a un protocole de génération de clef standard dans les navigateur, pas
besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu
as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
On 24/01/2013 10:01, Erwan David wrote: > Stephane Legras-Decussy écrivait : >> mais à aucun moment, je n'ai a entrer autre chose que ce pass faible >> pour accéder/partager les data ... gloups ... > Si c'est méga qui génère ta clef alors il l'a, non ?
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
Stephane Legras-Decussy wrote:
Le 24/01/2013 09:54, jdd a écrit : > > a non! sur mes serveurs, je ne connais pas les mots de passe des > usagers,
ya un truc qui m'échappe ... si ton serveur ne connait pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Enhaurme...
et ce mec vient donner des leçons d'informatique sur le forum
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Le 24/01/2013 09:54, jdd a écrit :
>
> a non! sur mes serveurs, je ne connais pas les mots de passe des
> usagers,
ya un truc qui m'échappe ... si ton serveur ne connait
pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Enhaurme...
et ce mec vient donner des leçons d'informatique sur le forum
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Le 24/01/2013 09:54, jdd a écrit : > > a non! sur mes serveurs, je ne connais pas les mots de passe des > usagers,
ya un truc qui m'échappe ... si ton serveur ne connait pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Enhaurme...
et ce mec vient donner des leçons d'informatique sur le forum
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Yannick Patois
On 24/01/2013 20:07, FiLH wrote:
Yannick Patois wrote:
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Y'a un protocole de génération de clef standard dans les navigateur, pas
besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu
as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE), aucune garantie sur la qualité de la clef générée (et un mauvais générateur aléatoire peut te foutre en l'air la sécurité).
-- Les simplifications c'est trop compliqué
Yannick Patois <patois@altespace.org> écrivait :
On 24/01/2013 20:07, FiLH wrote:
Yannick Patois<patois@altespace.org> wrote:
Y'a un protocole de génération de clef standard dans les navigateur, pas
besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu
as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE),
aucune garantie sur la qualité de la clef générée (et un mauvais
générateur aléatoire peut te foutre en l'air la sécurité).
Y'a un protocole de génération de clef standard dans les navigateur, pas besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu as confiance dans ton navigateur. La partie privé ne va jamais au site.
T'as un lien précis sur le sujet ?
C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE), aucune garantie sur la qualité de la clef générée (et un mauvais générateur aléatoire peut te foutre en l'air la sécurité).
-- Les simplifications c'est trop compliqué
filh
Erwan David wrote:
Yannick Patois écrivait :
> On 24/01/2013 20:07, FiLH wrote: >> Yannick Patois wrote: >>> Y'a un protocole de génération de clef standard dans les navigateur, pas >>> besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu >>> as confiance dans ton navigateur. La partie privé ne va jamais au site. >> T'as un lien précis sur le sujet ? > > > C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE), aucune garantie sur la qualité de la clef générée (et un mauvais générateur aléatoire peut te foutre en l'air la sécurité).
Oui, html5... bon après vu qu'il n'y a que deux moteurs html... et qu'il y a de grandes grandes chances que ce soit avec des libs openssl..
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Erwan David <erwan@rail.eu.org> wrote:
Yannick Patois <patois@altespace.org> écrivait :
> On 24/01/2013 20:07, FiLH wrote:
>> Yannick Patois<patois@altespace.org> wrote:
>>> Y'a un protocole de génération de clef standard dans les navigateur, pas
>>> besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu
>>> as confiance dans ton navigateur. La partie privé ne va jamais au site.
>> T'as un lien précis sur le sujet ?
>
>
> C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE),
aucune garantie sur la qualité de la clef générée (et un mauvais
générateur aléatoire peut te foutre en l'air la sécurité).
Oui, html5... bon après vu qu'il n'y a que deux moteurs html... et qu'il
y a de grandes grandes chances que ce soit avec des libs openssl..
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
> On 24/01/2013 20:07, FiLH wrote: >> Yannick Patois wrote: >>> Y'a un protocole de génération de clef standard dans les navigateur, pas >>> besoin d'appli ou je ne sais quoi. Ça fait les chose correctement si tu >>> as confiance dans ton navigateur. La partie privé ne va jamais au site. >> T'as un lien précis sur le sujet ? > > > C'est le tag HTML <keygen>, existe au moins depuis HTML-3, il me semble.
Non, nouveauté de HTML5, pas implémentée partout (notament dans IE), aucune garantie sur la qualité de la clef générée (et un mauvais générateur aléatoire peut te foutre en l'air la sécurité).
Oui, html5... bon après vu qu'il n'y a que deux moteurs html... et qu'il y a de grandes grandes chances que ce soit avec des libs openssl..
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Stephane Legras-Decussy
On 01/24/2013 02:44 PM, Erwan David wrote:
Il n'y a pas besoin de connaître une information pour qu'un tiers puisse te prouver qu'il la connait. Et sans la transmettre.
je comprends pourquoi j'ai pas choisi le module réseau à la Fac ...
On 01/24/2013 02:44 PM, Erwan David wrote:
Il n'y a pas besoin de connaître une information pour qu'un tiers puisse
te prouver qu'il la connait. Et sans la transmettre.
je comprends pourquoi j'ai pas choisi le module réseau
à la Fac ...
oui et je jouerais bien au docteur avec ta mère ...
Stephane Legras-Decussy
On 01/24/2013 03:18 PM, Yannick Patois wrote:
Généralement, on utilises un hash. Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier, mais si on te présente un fichier, que tu en fais le md5, tu peux certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire confiance à mega de ne pas garder quelque part ce pwd (mais seulement le hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce problème: le tiers peut ne pas être de confiance.
merci j'ai très clair.
j'avais jamais pensé au hash de pass...
On 01/24/2013 03:18 PM, Yannick Patois wrote:
Généralement, on utilises un hash.
Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier,
mais si on te présente un fichier, que tu en fais le md5, tu peux
certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire
confiance à mega de ne pas garder quelque part ce pwd (mais seulement le
hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce
problème: le tiers peut ne pas être de confiance.
Généralement, on utilises un hash. Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier, mais si on te présente un fichier, que tu en fais le md5, tu peux certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire confiance à mega de ne pas garder quelque part ce pwd (mais seulement le hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce problème: le tiers peut ne pas être de confiance.
