Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en
https ?
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Ou de deployer une CA locale qui permettra de decoder le flux SSL sans que tu ne t'en rendes compte :-D
Nan. Une session SSL suppose 1) la signature du certificat du serveur par une autorité reconnue par le client 2) l'échange de clés publiques 3) l'échange d'une clé privée chiffrée par un algorithme asymétrique. La connaissance de la clé privée est limitée au périmètre client / serveur. Aucun "go-between" ne peut décoder le flux SSL à l'insu du client.
Ben si
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
le tour est joué
Je vais d'ailleurs bientot mettre ca en place au boulot
Cyril a écrit
JustMe :
Ou de deployer une CA locale qui permettra de decoder le flux SSL sans que
tu ne t'en rendes compte :-D
Nan. Une session SSL suppose 1) la signature du certificat du serveur
par une autorité reconnue par le client 2) l'échange de clés publiques
3) l'échange d'une clé privée chiffrée par un algorithme asymétrique.
La connaissance de la clé privée est limitée au périmètre client /
serveur. Aucun "go-between" ne peut décoder le flux SSL à l'insu du
client.
Ben si
Tu déploie une CA locale sur les clients (ce que je disais)
Le proxy decode en emettant un certif client et reencode en fabriquant
un certificat serveur temporaire qu'il signe en tat que CA
le tour est joué
Je vais d'ailleurs bientot mettre ca en place au boulot
Ou de deployer une CA locale qui permettra de decoder le flux SSL sans que tu ne t'en rendes compte :-D
Nan. Une session SSL suppose 1) la signature du certificat du serveur par une autorité reconnue par le client 2) l'échange de clés publiques 3) l'échange d'une clé privée chiffrée par un algorithme asymétrique. La connaissance de la clé privée est limitée au périmètre client / serveur. Aucun "go-between" ne peut décoder le flux SSL à l'insu du client.
Ben si
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
le tour est joué
Je vais d'ailleurs bientot mettre ca en place au boulot
JustMe
Cyril a écrit
JustMe :
Parce que ca coute plus cher (cpu plus puissante, flux reseaux plus gourmands, certificat a acheter)
Tout un chacun peut monter une infrastructure PKI.
ca ne resout ni le pb de CPU, ni de flux reseau et a la place du certif, il faut acheter un admin compétent
c'est encore + cher
Cyril a écrit
JustMe :
Parce que ca coute plus cher (cpu plus puissante, flux reseaux plus
gourmands, certificat a acheter)
Tout un chacun peut monter une infrastructure PKI.
ca ne resout ni le pb de CPU, ni de flux reseau
et a la place du certif, il faut acheter un admin compétent
Parce que ca coute plus cher (cpu plus puissante, flux reseaux plus gourmands, certificat a acheter)
Tout un chacun peut monter une infrastructure PKI.
ca ne resout ni le pb de CPU, ni de flux reseau et a la place du certif, il faut acheter un admin compétent
c'est encore + cher
Cyril
JustMe :
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est pas à *l'insu* du client puisque le certificat reçu n'est pas celui du serveur d'origine signé par une autorité de certification "reconnue" (Verisign, Thawte...) mais un certificat intermédiaire signé par une PKI locale. A moins que tu n'entendes déployer un certificat racine au niveau de ton parc client sans en informer les utilisateurs. Pratique contestable à mon avis et qui a ses limites avec la multiplication des machines nomades. Sans parler de la sécurité du serveur mandataire qui doit être sans reproche.
Bonne journée
-- Cyril, du Havre
JustMe :
Tu déploie une CA locale sur les clients (ce que je disais)
Le proxy decode en emettant un certif client et reencode en fabriquant
un certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est
pas à *l'insu* du client puisque le certificat reçu n'est pas celui
du serveur d'origine signé par une autorité de certification
"reconnue" (Verisign, Thawte...) mais un certificat intermédiaire
signé par une PKI locale. A moins que tu n'entendes déployer un
certificat racine au niveau de ton parc client sans en informer les
utilisateurs. Pratique contestable à mon avis et qui a ses limites
avec la multiplication des machines nomades. Sans parler de la
sécurité du serveur mandataire qui doit être sans reproche.
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est pas à *l'insu* du client puisque le certificat reçu n'est pas celui du serveur d'origine signé par une autorité de certification "reconnue" (Verisign, Thawte...) mais un certificat intermédiaire signé par une PKI locale. A moins que tu n'entendes déployer un certificat racine au niveau de ton parc client sans en informer les utilisateurs. Pratique contestable à mon avis et qui a ses limites avec la multiplication des machines nomades. Sans parler de la sécurité du serveur mandataire qui doit être sans reproche.
Bonne journée
-- Cyril, du Havre
JustMe
Cyril a écrit
JustMe :
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est pas à *l'insu* du client puisque le certificat reçu n'est pas celui du serveur d'origine signé par une autorité de certification "reconnue" (Verisign, Thawte...) mais un certificat intermédiaire signé par une PKI locale. A moins que tu n'entendes déployer un certificat racine au niveau de ton parc client
Voila...
sans en informer les utilisateurs.
Mais si on leur dira. comprendront rien ces cons c'est autre chose :-D
Pratique contestable à mon avis et qui a ses limites avec la multiplication des machines nomades.
Gah ?
D'abord les marchines perso n'ont pas droit de cité sur le reseau de ma boite
manquerai plus que ca
Quant aux machines de travail elles servent à travailler
C'est par bonté qu" le service https est encore autorisé. Ca ne tiendrait qu'a moi, ce service serait interdit par defaut et ouvert vers des site bien definis
Et faudra que tu m'explique en quoi rajouter une CA à une machine qu'elle soit nomade ou pas est "contestable" et a des "limites"...
Sans parler de la sécurité du serveur mandataire qui doit être sans reproche.
mouiais. Vu que la securité se fait par la maillon faible et que mes utilisateurs sont sous windows...
Cyril a écrit
JustMe :
Tu déploie une CA locale sur les clients (ce que je disais)
Le proxy decode en emettant un certif client et reencode en fabriquant un
certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est
pas à *l'insu* du client puisque le certificat reçu n'est pas celui
du serveur d'origine signé par une autorité de certification
"reconnue" (Verisign, Thawte...) mais un certificat intermédiaire
signé par une PKI locale. A moins que tu n'entendes déployer un certificat
racine au niveau de ton parc client
Voila...
sans en informer les utilisateurs.
Mais si on leur dira. comprendront rien ces cons c'est autre chose :-D
Pratique contestable à mon avis et qui a ses limites
avec la multiplication des machines nomades.
Gah ?
D'abord les marchines perso n'ont pas droit de cité sur le reseau de ma
boite
manquerai plus que ca
Quant aux machines de travail elles servent à travailler
C'est par bonté qu" le service https est encore autorisé. Ca ne
tiendrait qu'a moi, ce service serait interdit par defaut et ouvert
vers des site bien definis
Et faudra que tu m'explique en quoi rajouter une CA à une machine
qu'elle soit nomade ou pas est "contestable" et a des "limites"...
Sans parler de la
sécurité du serveur mandataire qui doit être sans reproche.
mouiais. Vu que la securité se fait par la maillon faible et que mes
utilisateurs sont sous windows...
Tu déploie une CA locale sur les clients (ce que je disais) Le proxy decode en emettant un certif client et reencode en fabriquant un certificat serveur temporaire qu'il signe en tat que CA
On s'est mal compris (ou plutôt je me suis mal exprimé). Ce n'est pas à *l'insu* du client puisque le certificat reçu n'est pas celui du serveur d'origine signé par une autorité de certification "reconnue" (Verisign, Thawte...) mais un certificat intermédiaire signé par une PKI locale. A moins que tu n'entendes déployer un certificat racine au niveau de ton parc client
Voila...
sans en informer les utilisateurs.
Mais si on leur dira. comprendront rien ces cons c'est autre chose :-D
Pratique contestable à mon avis et qui a ses limites avec la multiplication des machines nomades.
Gah ?
D'abord les marchines perso n'ont pas droit de cité sur le reseau de ma boite
manquerai plus que ca
Quant aux machines de travail elles servent à travailler
C'est par bonté qu" le service https est encore autorisé. Ca ne tiendrait qu'a moi, ce service serait interdit par defaut et ouvert vers des site bien definis
Et faudra que tu m'explique en quoi rajouter une CA à une machine qu'elle soit nomade ou pas est "contestable" et a des "limites"...
Sans parler de la sécurité du serveur mandataire qui doit être sans reproche.
mouiais. Vu que la securité se fait par la maillon faible et que mes utilisateurs sont sous windows...
filh
JustMe wrote:
FiLH a écrit
"Alf92" <alf92[NO-SPAM]@freesurf.fr> wrote:
FiLH () a écrit dans news:1hfjq91.17lk81n5w2yjfN% :
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en https ?
celui de freessurf non plus. ça augmente inutillement le trafic pour de l'utilisation grand public. tu as des choses à cacher ? :-)
Oui le mdp de mon compte. Ni plus ni moins.
FiLH
Mouarf... Tu as 10000 fois plus de chance de te le faire gauler via un key loguer que par sniffage sur le net :-D
J'oublie toujours que tu es un « expert » en sécurité...
J'ai connu des gens qui se sont fait sniffer leur mdp, pas qui se les sont fait chopper par un keylogger...
Je connais des gens qui vont dans des confs et doivent se connecter sur du wifi, je connais des gens qui vont dans des webbars.. je connais plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi pas mal de cas où on ne peut pas mettre un vpn en place...
Pour sniffer c'est simple, pas besoin d'accès au poste, c'est discret, non intrusif, et ça laisse pas de trace.
Mais bon...
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
JustMe <pasdespam@merci.beaucoup.con> wrote:
FiLH a écrit
"Alf92" <alf92[NO-SPAM]@freesurf.fr> wrote:
FiLH (filh@filh.orgie) a écrit
dans news:1hfjq91.17lk81n5w2yjfN%filh@filh.orgie :
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en
https ?
celui de freessurf non plus.
ça augmente inutillement le trafic pour de l'utilisation grand public.
tu as des choses à cacher ? :-)
Oui le mdp de mon compte. Ni plus ni moins.
FiLH
Mouarf... Tu as 10000 fois plus de chance de te le faire gauler via un
key loguer que par sniffage sur le net :-D
J'oublie toujours que tu es un « expert » en sécurité...
J'ai connu des gens qui se sont fait sniffer leur mdp, pas qui se les
sont fait chopper par un keylogger...
Je connais des gens qui vont dans des confs et doivent se connecter sur
du wifi, je connais des gens qui vont dans des webbars.. je connais
plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi
pas mal de cas où on ne peut pas mettre un vpn en place...
Pour sniffer c'est simple, pas besoin d'accès au poste, c'est discret,
non intrusif, et ça laisse pas de trace.
Mais bon...
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
FiLH () a écrit dans news:1hfjq91.17lk81n5w2yjfN% :
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en https ?
celui de freessurf non plus. ça augmente inutillement le trafic pour de l'utilisation grand public. tu as des choses à cacher ? :-)
Oui le mdp de mon compte. Ni plus ni moins.
FiLH
Mouarf... Tu as 10000 fois plus de chance de te le faire gauler via un key loguer que par sniffage sur le net :-D
J'oublie toujours que tu es un « expert » en sécurité...
J'ai connu des gens qui se sont fait sniffer leur mdp, pas qui se les sont fait chopper par un keylogger...
Je connais des gens qui vont dans des confs et doivent se connecter sur du wifi, je connais des gens qui vont dans des webbars.. je connais plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi pas mal de cas où on ne peut pas mettre un vpn en place...
Pour sniffer c'est simple, pas besoin d'accès au poste, c'est discret, non intrusif, et ça laisse pas de trace.
Mais bon...
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
John Deuf wrote:
FiLH :
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en https ?
Ca serait grostesque.
Le flux mail et les mots de passe ne sont pas crypte quand il sont transmis de serveur en serveur, alors pourquoi mettre du https a la fin ?
Waouu... je sens que j'ai affaire à un autre expert...
1) Le mot de passe de ton compte mail il ne passe pas dans le flux mail. 2) Le mot de passe de ton compte mail, il ne passe pas de serveur en serveur
Passer en https pour le webmail, en pops imaps permet juste d'éviter le sniff des identifiants/mdp.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
John Deuf <nomail@dontuseit.com> wrote:
FiLH :
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en
https ?
Ca serait grostesque.
Le flux mail et les mots de passe ne sont pas crypte quand il sont
transmis de serveur en serveur, alors pourquoi mettre du https a la fin ?
Waouu... je sens que j'ai affaire à un autre expert...
1) Le mot de passe de ton compte mail il ne passe pas dans le flux mail.
2) Le mot de passe de ton compte mail, il ne passe pas de serveur en
serveur
Passer en https pour le webmail, en pops imaps permet juste d'éviter le
sniff des identifiants/mdp.
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Est-ce qu'on peut m'expliquer pourquoi le webmail de free n'est pas en https ?
Ca serait grostesque.
Le flux mail et les mots de passe ne sont pas crypte quand il sont transmis de serveur en serveur, alors pourquoi mettre du https a la fin ?
Waouu... je sens que j'ai affaire à un autre expert...
1) Le mot de passe de ton compte mail il ne passe pas dans le flux mail. 2) Le mot de passe de ton compte mail, il ne passe pas de serveur en serveur
Passer en https pour le webmail, en pops imaps permet juste d'éviter le sniff des identifiants/mdp.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
JustMe wrote:
flux reseaux plus gourmands, T'es sûr là ?
oui
Quel pourcentage ?
Tiens je vais calculer ca pour rire...
Finalement t'en sais rien...
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
JustMe <pasdespam@merci.beaucoup.con> wrote:
flux reseaux plus gourmands,
T'es sûr là ?
oui
Quel pourcentage ?
Tiens je vais calculer ca pour rire...
Finalement t'en sais rien...
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
John Deuf wrote:
FiLH :
Heu.. c'est joli ton histoire mais bon quand ton spyware est écrit sur le disque, à ce momment il est décrypté ! Donc un bon anti-viruse de base suffit. Qu'un webmail soit crypté ou non
Dans la plupart des entreprise, il n'y a pas d'antivirus sur chaque machine.
C'est vrai, c'est plus sûr pour les clef USB et les cds qu'on se passe...
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
John Deuf <nomail@dontuseit.com> wrote:
FiLH :
Heu.. c'est joli ton histoire mais bon quand ton spyware est écrit
sur le disque, à ce momment il est décrypté ! Donc un bon anti-viruse
de base suffit. Qu'un webmail soit crypté ou non
Dans la plupart des entreprise, il n'y a pas d'antivirus sur chaque
machine.
C'est vrai, c'est plus sûr pour les clef USB et les cds qu'on se
passe...
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Heu.. c'est joli ton histoire mais bon quand ton spyware est écrit sur le disque, à ce momment il est décrypté ! Donc un bon anti-viruse de base suffit. Qu'un webmail soit crypté ou non
Dans la plupart des entreprise, il n'y a pas d'antivirus sur chaque machine.
C'est vrai, c'est plus sûr pour les clef USB et les cds qu'on se passe...
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
JustMe
FiLH a écrit
JustMe wrote:
flux reseaux plus gourmands, T'es sûr là ?
oui
Quel pourcentage ?
Tiens je vais calculer ca pour rire...
Finalement t'en sais rien...
Si tu avais un logiciel de coloriage gerant correctement les supersedes tu aurait vu les resultats. de plus entre "ne pas savoir" et "savoir que quelque chose existe sans avoir les chiffres sous la main" il y a une nuance.
Sinon, comme apparement tu ne sais pas te servir d'Usenet, je te remet les dits resultats que j'avais publié qq minutes plus tard :
Voila c'est fait. Test : telechargement de pages HTML en http et https. Mesure par outil d'analyse réseau. Resultat : surcout systématique pour le SSL. Les surcouts sont les suivants :
+55,56% en nombre de paquets émis par le navigateur +107,34% en nombre d'octets emis par le navigateur +61,00% en nombre de paquets émis par le serveur +21,85% en nombre d'octets émis par le serveur
FiLH a écrit
JustMe <pasdespam@merci.beaucoup.con> wrote:
flux reseaux plus gourmands,
T'es sûr là ?
oui
Quel pourcentage ?
Tiens je vais calculer ca pour rire...
Finalement t'en sais rien...
Si tu avais un logiciel de coloriage gerant correctement les supersedes
tu aurait vu les resultats. de plus entre "ne pas savoir" et "savoir
que quelque chose existe sans avoir les chiffres sous la main" il y a
une nuance.
Sinon, comme apparement tu ne sais pas te servir d'Usenet, je te remet
les dits resultats que j'avais publié qq minutes plus tard :
Voila c'est fait. Test : telechargement de pages HTML en http et https.
Mesure par outil d'analyse réseau. Resultat : surcout systématique pour
le SSL. Les surcouts sont les suivants :
+55,56% en nombre de paquets émis par le navigateur
+107,34% en nombre d'octets emis par le navigateur
+61,00% en nombre de paquets émis par le serveur
+21,85% en nombre d'octets émis par le serveur
Si tu avais un logiciel de coloriage gerant correctement les supersedes tu aurait vu les resultats. de plus entre "ne pas savoir" et "savoir que quelque chose existe sans avoir les chiffres sous la main" il y a une nuance.
Sinon, comme apparement tu ne sais pas te servir d'Usenet, je te remet les dits resultats que j'avais publié qq minutes plus tard :
Voila c'est fait. Test : telechargement de pages HTML en http et https. Mesure par outil d'analyse réseau. Resultat : surcout systématique pour le SSL. Les surcouts sont les suivants :
+55,56% en nombre de paquets émis par le navigateur +107,34% en nombre d'octets emis par le navigateur +61,00% en nombre de paquets émis par le serveur +21,85% en nombre d'octets émis par le serveur
JustMe
FiLH a écrit
Je connais des gens qui vont dans des confs et doivent se connecter sur du wifi, je connais des gens qui vont dans des webbars.. je connais plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi pas mal de cas où on ne peut pas mettre un vpn en place...
mouarf... Si tu as acces à HTTPS tu peux faciement faire un VPN
FiLH a écrit
Je connais des gens qui vont dans des confs et doivent se connecter sur
du wifi, je connais des gens qui vont dans des webbars.. je connais
plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi
pas mal de cas où on ne peut pas mettre un vpn en place...
mouarf... Si tu as acces à HTTPS tu peux faciement faire un VPN
Je connais des gens qui vont dans des confs et doivent se connecter sur du wifi, je connais des gens qui vont dans des webbars.. je connais plein de gens qui surfent sur des réseaux peu sûr. Je connais aussi pas mal de cas où on ne peut pas mettre un vpn en place...
mouarf... Si tu as acces à HTTPS tu peux faciement faire un VPN
