Le 27-10-2014, Az Sam nous expliquait dans fr.comp.os.linux.debats (<544e0e2a$0$12753$) :
D'un autre côté, pour un site comme celui-là dont l'intérêt vient des contributions des visiteurs, si le fait d'utiliser une CA un peu moins répandue le rend inaccessibles aux boulets, c'est tout bénef.
a quoi sert une serrure dont chacune peut se faire la clef ?
Un certificat ressemble plus une carte d'identité qu'une clef. Il permet à ton navigateur de s'assurer qu'il communique bien avec le bon site.
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
-- Et j'attends que se dressent vos prochains charniers J'ai raté l'autre guerre pour la photographie J'espère que vos macchabées seront bien faisandés -- H.F. Thiéfaine, Aligator 427
Le 27-10-2014, Az Sam nous expliquait dans
fr.comp.os.linux.debats
(<544e0e2a$0$12753$426a74cc@news.free.fr>) :
D'un autre côté, pour un site comme celui-là dont l'intérêt vient des
contributions des visiteurs, si le fait d'utiliser une CA un peu moins
répandue le rend inaccessibles aux boulets, c'est tout bénef.
a quoi sert une serrure dont chacune peut se faire la clef ?
Un certificat ressemble plus une carte d'identité qu'une clef.
Il permet à ton navigateur de s'assurer qu'il communique bien avec le
bon site.
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par
toi même cette carte d'identité (ce qui n'est pas évident, voire
impossible, à toi de voir si tu as envie de faire confiance ou pas à ce
certificat) car l'autorité qui a émmis cette carte d'identité n'est pas
reconnue comme fiable (ne fait pas partie des certificate authorities
reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement
qu'elle ne peut être vérifiée auprès d'une autorité tierse
(Certificate Authority).
Si tu décides de valider manuellement cette carte d'identité, cette
question ne te sera plus posée à moins que le certificat soit remplacé
(cas des certificats arrivé à expiration ou éventuellement tentative de
phishing, etc).
--
Et j'attends que se dressent vos prochains charniers
J'ai raté l'autre guerre pour la photographie
J'espère que vos macchabées seront bien faisandés
-- H.F. Thiéfaine, Aligator 427
Le 27-10-2014, Az Sam nous expliquait dans fr.comp.os.linux.debats (<544e0e2a$0$12753$) :
D'un autre côté, pour un site comme celui-là dont l'intérêt vient des contributions des visiteurs, si le fait d'utiliser une CA un peu moins répandue le rend inaccessibles aux boulets, c'est tout bénef.
a quoi sert une serrure dont chacune peut se faire la clef ?
Un certificat ressemble plus une carte d'identité qu'une clef. Il permet à ton navigateur de s'assurer qu'il communique bien avec le bon site.
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
-- Et j'attends que se dressent vos prochains charniers J'ai raté l'autre guerre pour la photographie J'espère que vos macchabées seront bien faisandés -- H.F. Thiéfaine, Aligator 427
Az Sam
"Nicolas George" <nicolas$ a écrit dans le message de news:544e6ae4$0$21645$
Et les curieux dotés d'une encéphale tireront des conclusions nuancées de ce genre d'exemples.
_Un_ encephale, un... nom masculin, pas comme en anglais ou en hebreux desolé....
Le modèle de sécurité de TLS est extrêmement médiocre, c'est un fait, mais l'exemple de Diginotar ne montre pas, comme tu le prétends, qu'il faut éviter d'ajouter une autorité manuellement, puisque, justement, Diginorar était présent par défaut, sans qu'il ait été besoin de l'ajouter.
il montre qu'un certificat de sécurité ne DOIT PAS être installé sans être sur de qui l'émet. Il montre que tout petit malin qui réussirait a faire accepter un CA pourrait ensuite l'utiliser pour des échanges de tout ordre pas nécessairement sains.
On ne doit pas accorder sa confiance a qui que ce soit sans avoir la garantie qu'il n'en abusera pas ensuite. C'est un principe de base dans la vie réelle, internet est la continuité de la vie réelle.
On le dit aux enfants : n'accepte jamais les bonbons que t'offre un étranger
-- Cordialement,
"Nicolas George" <nicolas$george@salle-s.org> a écrit dans le message de
news:544e6ae4$0$21645$426a74cc@news.free.fr...
Et les curieux dotés d'une encéphale tireront des conclusions nuancées de
ce
genre d'exemples.
_Un_ encephale, un... nom masculin, pas comme en anglais ou en hebreux
desolé....
Le modèle de sécurité de TLS est extrêmement médiocre, c'est un fait, mais
l'exemple de Diginotar ne montre pas, comme tu le prétends, qu'il faut
éviter d'ajouter une autorité manuellement, puisque, justement, Diginorar
était présent par défaut, sans qu'il ait été besoin de l'ajouter.
il montre qu'un certificat de sécurité ne DOIT PAS être installé sans être
sur de qui l'émet.
Il montre que tout petit malin qui réussirait a faire accepter un CA
pourrait ensuite l'utiliser pour des échanges de tout ordre pas
nécessairement sains.
On ne doit pas accorder sa confiance a qui que ce soit sans avoir la
garantie qu'il n'en abusera pas ensuite.
C'est un principe de base dans la vie réelle, internet est la continuité de
la vie réelle.
On le dit aux enfants : n'accepte jamais les bonbons que t'offre un étranger
"Nicolas George" <nicolas$ a écrit dans le message de news:544e6ae4$0$21645$
Et les curieux dotés d'une encéphale tireront des conclusions nuancées de ce genre d'exemples.
_Un_ encephale, un... nom masculin, pas comme en anglais ou en hebreux desolé....
Le modèle de sécurité de TLS est extrêmement médiocre, c'est un fait, mais l'exemple de Diginotar ne montre pas, comme tu le prétends, qu'il faut éviter d'ajouter une autorité manuellement, puisque, justement, Diginorar était présent par défaut, sans qu'il ait été besoin de l'ajouter.
il montre qu'un certificat de sécurité ne DOIT PAS être installé sans être sur de qui l'émet. Il montre que tout petit malin qui réussirait a faire accepter un CA pourrait ensuite l'utiliser pour des échanges de tout ordre pas nécessairement sains.
On ne doit pas accorder sa confiance a qui que ce soit sans avoir la garantie qu'il n'en abusera pas ensuite. C'est un principe de base dans la vie réelle, internet est la continuité de la vie réelle.
On le dit aux enfants : n'accepte jamais les bonbons que t'offre un étranger
-- Cordialement,
Az Sam
"Doug713705" a écrit dans le message de news:
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
** Dans lequel j'ai a priori donner confiance mais pas forcement avec raison j'en convient (diginotar) Un peu comme quand on met un agité ou un blaireau a la tète du gouvernement et qu'ils déploient ensuite des ministres vérolés jusqu'a la moelle...
-- Cordialement,
"Doug713705" <doug.letough@free.fr> a écrit dans le message de
news:itj2ibxehn.ln2@actarus.redatomik.org...
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par
toi même cette carte d'identité (ce qui n'est pas évident, voire
impossible, à toi de voir si tu as envie de faire confiance ou pas à ce
certificat) car l'autorité qui a émmis cette carte d'identité n'est pas
reconnue comme fiable (ne fait pas partie des certificate authorities
reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement
qu'elle ne peut être vérifiée auprès d'une autorité tierse
(Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette
question ne te sera plus posée à moins que le certificat soit remplacé
(cas des certificats arrivé à expiration ou éventuellement tentative de
phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à
toi de voir si tu as envie de faire confiance ou pas à ce certificat"
Encore moins évident puisque les autorités tierces présentes dans mon
système** a jour, ne me permettent pas de me rassurer.
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire
installer pour ensuite que tu fasses confiance a toute page l'utilisant.
** Dans lequel j'ai a priori donner confiance mais pas forcement avec raison
j'en convient (diginotar)
Un peu comme quand on met un agité ou un blaireau a la tète du gouvernement
et qu'ils déploient ensuite des ministres vérolés jusqu'a la moelle...
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
** Dans lequel j'ai a priori donner confiance mais pas forcement avec raison j'en convient (diginotar) Un peu comme quand on met un agité ou un blaireau a la tète du gouvernement et qu'ils déploient ensuite des ministres vérolés jusqu'a la moelle...
-- Cordialement,
JKB
Le Tue, 28 Oct 2014 09:06:49 +0100, Az Sam écrivait :
"Doug713705" a écrit dans le message de news:
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Sauf que tu mélange allègrement certificat racine et certificat associé à un nom de domaine.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Tue, 28 Oct 2014 09:06:49 +0100,
Az Sam <me@home.net.invalid> écrivait :
"Doug713705" <doug.letough@free.fr> a écrit dans le message de
news:itj2ibxehn.ln2@actarus.redatomik.org...
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par
toi même cette carte d'identité (ce qui n'est pas évident, voire
impossible, à toi de voir si tu as envie de faire confiance ou pas à ce
certificat) car l'autorité qui a émmis cette carte d'identité n'est pas
reconnue comme fiable (ne fait pas partie des certificate authorities
reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement
qu'elle ne peut être vérifiée auprès d'une autorité tierse
(Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette
question ne te sera plus posée à moins que le certificat soit remplacé
(cas des certificats arrivé à expiration ou éventuellement tentative de
phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à
toi de voir si tu as envie de faire confiance ou pas à ce certificat"
Encore moins évident puisque les autorités tierces présentes dans mon
système** a jour, ne me permettent pas de me rassurer.
Ah... Et si, par pure hypothèse, je demande un certificat tout à
fait valide à l'une des autorités tierces pour faire un beau site de
pishing parfaitement valide en https, tu seras rassuré ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire
installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Sauf que tu mélange allègrement certificat racine et certificat
associé à un nom de domaine.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Tue, 28 Oct 2014 09:06:49 +0100, Az Sam écrivait :
"Doug713705" a écrit dans le message de news:
Dans le cas de linux-fr.org ton navigateur te demande de vérifier par toi même cette carte d'identité (ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat) car l'autorité qui a émmis cette carte d'identité n'est pas reconnue comme fiable (ne fait pas partie des certificate authorities reconnues).
Ça ne veut pas dire que la carte d'identité est fausse mais simplement qu'elle ne peut être vérifiée auprès d'une autorité tierse (Certificate Authority).
tout a fait c'est bien cela.
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Sauf que tu mélange allègrement certificat racine et certificat associé à un nom de domaine.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Doug713705
Le 28-10-2014, Az Sam nous expliquait dans fr.comp.os.linux.debats (<544f4e98$0$5129$) :
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
Quelle importance sur un site tel que celui de linux-fr.org ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Il faudra quand même que ces fauses pages fassent partie du domaine couvert par le certificat me semble t-il.
D'un autre coté tu fais probablement confiance au site de ta banque ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une meilleure sécurité et que c'est vraiment _là_ que c'est important.
Perso je ne mets pas au même niveau le vol de mon "identité" sur linux-fr.org dont je me bats l'oeil et le vol de mes informations banquaires qui pourrait avoir de véritables conséquences IRL.
-- En ce temps-là, les gens s'appelaient citoyens. Nous, nous étions mutants, nous étions androgynes. Aujourd'hui, la tempête a lynché mes copains Et je suis le dernier à rater mon suicide. -- H.F. Thiéfaine, Exil Sur planète fantôme
Le 28-10-2014, Az Sam nous expliquait dans
fr.comp.os.linux.debats
(<544f4e98$0$5129$426a34cc@news.free.fr>) :
Si tu décides de valider manuellement cette carte d'identité, cette
question ne te sera plus posée à moins que le certificat soit remplacé
(cas des certificats arrivé à expiration ou éventuellement tentative de
phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à
toi de voir si tu as envie de faire confiance ou pas à ce certificat"
Encore moins évident puisque les autorités tierces présentes dans mon
système** a jour, ne me permettent pas de me rassurer.
Quelle importance sur un site tel que celui de linux-fr.org ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire
installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Il faudra quand même que ces fauses pages fassent partie du domaine
couvert par le certificat me semble t-il.
D'un autre coté tu fais probablement confiance au site de ta banque
ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une
meilleure sécurité et que c'est vraiment _là_ que c'est important.
Perso je ne mets pas au même niveau le vol de mon "identité" sur
linux-fr.org dont je me bats l'oeil et le vol de mes informations
banquaires qui pourrait avoir de véritables conséquences IRL.
--
En ce temps-là, les gens s'appelaient citoyens.
Nous, nous étions mutants, nous étions androgynes.
Aujourd'hui, la tempête a lynché mes copains
Et je suis le dernier à rater mon suicide.
-- H.F. Thiéfaine, Exil Sur planète fantôme
Le 28-10-2014, Az Sam nous expliquait dans fr.comp.os.linux.debats (<544f4e98$0$5129$) :
Si tu décides de valider manuellement cette carte d'identité, cette question ne te sera plus posée à moins que le certificat soit remplacé (cas des certificats arrivé à expiration ou éventuellement tentative de phishing, etc).
sauf que comme tu le dis : "ce qui n'est pas évident, voire impossible, à toi de voir si tu as envie de faire confiance ou pas à ce certificat" Encore moins évident puisque les autorités tierces présentes dans mon système** a jour, ne me permettent pas de me rassurer.
Quelle importance sur un site tel que celui de linux-fr.org ?
C'est le bonheur de l'ingénierai sociale qui parviendrait a te le faire installer pour ensuite que tu fasses confiance a toute page l'utilisant.
Il faudra quand même que ces fauses pages fassent partie du domaine couvert par le certificat me semble t-il.
D'un autre coté tu fais probablement confiance au site de ta banque ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une meilleure sécurité et que c'est vraiment _là_ que c'est important.
Perso je ne mets pas au même niveau le vol de mon "identité" sur linux-fr.org dont je me bats l'oeil et le vol de mes informations banquaires qui pourrait avoir de véritables conséquences IRL.
-- En ce temps-là, les gens s'appelaient citoyens. Nous, nous étions mutants, nous étions androgynes. Aujourd'hui, la tempête a lynché mes copains Et je suis le dernier à rater mon suicide. -- H.F. Thiéfaine, Exil Sur planète fantôme
Az Sam
"JKB" a écrit dans le message de news:
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ? c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Sauf que tu mélange allègrement certificat racine et certificat associé à un nom de domaine.
peu importe la complexité de la chaine ou de la pyramide si dès le principe de base, c'est vermoulu.
et commencer a donner l'habitude aux utilisateurs d'installer des certificats a la volée, c'est encore pire...
-- Cordialement,
"JKB" <jkb@koenigsberg.invalid> a écrit dans le message de
news:slrnm4ul27.16h.jkb@rayleigh.systella.fr...
Ah... Et si, par pure hypothèse, je demande un certificat tout à
fait valide à l'une des autorités tierces pour faire un beau site de
pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il
n'y a pas de contrôle de serieux qui preside a la creation du certif ?
c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Sauf que tu mélange allègrement certificat racine et certificat
associé à un nom de domaine.
peu importe la complexité de la chaine ou de la pyramide si dès le principe
de base, c'est vermoulu.
et commencer a donner l'habitude aux utilisateurs d'installer des
certificats a la volée, c'est encore pire...
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ? c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Sauf que tu mélange allègrement certificat racine et certificat associé à un nom de domaine.
peu importe la complexité de la chaine ou de la pyramide si dès le principe de base, c'est vermoulu.
et commencer a donner l'habitude aux utilisateurs d'installer des certificats a la volée, c'est encore pire...
-- Cordialement,
Az Sam
"Doug713705" a écrit dans le message de news:
Quelle importance sur un site tel que celui de linux-fr.org ?
reutilisation potentielle du certifciat sur d'autres pages ensuite. Vois les methodes de l'ingienierie sociale si tu ne connais pas (ce qui m'ettonerait).
Il faudra quand même que ces fauses pages fassent partie du domaine couvert par le certificat me semble t-il.
oui et alors ? on ne peut pas faire un site sain, qui devienne malsain ? qui a parler de "fausses" pages ? c'est quoi dailleurs une fausse page ?
Là il s'agit d"accepter un certif racine en plus.
D'un autre coté tu fais probablement confiance au site de ta banque ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une meilleure sécurité et que c'est vraiment _là_ que c'est important.
Je suis tout a fait d'accord. C'est la fable du loup et des agneaux.
Perso je ne mets pas au même niveau le vol de mon "identité" sur linux-fr.org dont je me bats l'oeil et le vol de mes informations banquaires qui pourrait avoir de véritables conséquences IRL.
Je n'ai pas fait de distinguo données perso/données bancaires. le principe reste le même : mettre en confiance, détourner les alertes qui pourraient bloquer la navigation et faire échouer le piège.
Je sais bien qu'on est sur un hiérarchie linux mais quand même , vous êtes chatouilleux avec le libre au point que cela vous aveugle ? Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de bouclier ? J'en doute.
-- Cordialement,
"Doug713705" <doug.letough@free.fr> a écrit dans le message de
news:3975ibxcfh.ln2@actarus.redatomik.org...
Quelle importance sur un site tel que celui de linux-fr.org ?
reutilisation potentielle du certifciat sur d'autres pages ensuite. Vois les
methodes de l'ingienierie sociale si tu ne connais pas (ce qui
m'ettonerait).
Il faudra quand même que ces fauses pages fassent partie du domaine
couvert par le certificat me semble t-il.
oui et alors ? on ne peut pas faire un site sain, qui devienne malsain ?
qui a parler de "fausses" pages ? c'est quoi dailleurs une fausse page ?
Là il s'agit d"accepter un certif racine en plus.
D'un autre coté tu fais probablement confiance au site de ta banque
ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une
meilleure sécurité et que c'est vraiment _là_ que c'est important.
Je suis tout a fait d'accord. C'est la fable du loup et des agneaux.
Perso je ne mets pas au même niveau le vol de mon "identité" sur
linux-fr.org dont je me bats l'oeil et le vol de mes informations
banquaires qui pourrait avoir de véritables conséquences IRL.
Je n'ai pas fait de distinguo données perso/données bancaires.
le principe reste le même : mettre en confiance, détourner les alertes qui
pourraient bloquer la navigation et faire échouer le piège.
Je sais bien qu'on est sur un hiérarchie linux mais quand même , vous êtes
chatouilleux avec le libre au point que cela vous aveugle ?
Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de bouclier ?
J'en doute.
Quelle importance sur un site tel que celui de linux-fr.org ?
reutilisation potentielle du certifciat sur d'autres pages ensuite. Vois les methodes de l'ingienierie sociale si tu ne connais pas (ce qui m'ettonerait).
Il faudra quand même que ces fauses pages fassent partie du domaine couvert par le certificat me semble t-il.
oui et alors ? on ne peut pas faire un site sain, qui devienne malsain ? qui a parler de "fausses" pages ? c'est quoi dailleurs une fausse page ?
Là il s'agit d"accepter un certif racine en plus.
D'un autre coté tu fais probablement confiance au site de ta banque ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une meilleure sécurité et que c'est vraiment _là_ que c'est important.
Je suis tout a fait d'accord. C'est la fable du loup et des agneaux.
Perso je ne mets pas au même niveau le vol de mon "identité" sur linux-fr.org dont je me bats l'oeil et le vol de mes informations banquaires qui pourrait avoir de véritables conséquences IRL.
Je n'ai pas fait de distinguo données perso/données bancaires. le principe reste le même : mettre en confiance, détourner les alertes qui pourraient bloquer la navigation et faire échouer le piège.
Je sais bien qu'on est sur un hiérarchie linux mais quand même , vous êtes chatouilleux avec le libre au point que cela vous aveugle ? Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de bouclier ? J'en doute.
-- Cordialement,
Tonton Th
On 2014-10-29, Az Sam wrote:
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Pas assez souvent, et c'est là le problème. Il y a déja eu quelques cas de "faux" certificats délivrés par une autorité "prétendu" de confiance.
et commencer a donner l'habitude aux utilisateurs d'installer des certificats a la volée, c'est encore pire...
On 2014-10-29, Az Sam <me@home.net.invalid> wrote:
Ah... Et si, par pure hypothèse, je demande un certificat tout à
fait valide à l'une des autorités tierces pour faire un beau site de
pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il
n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Pas assez souvent, et c'est là le problème. Il y a déja eu
quelques cas de "faux" certificats délivrés par une autorité
"prétendu" de confiance.
et commencer a donner l'habitude aux utilisateurs d'installer des
certificats a la volée, c'est encore pire...
Ah... Et si, par pure hypothèse, je demande un certificat tout à fait valide à l'une des autorités tierces pour faire un beau site de pishing parfaitement valide en https, tu seras rassuré ?
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Pas assez souvent, et c'est là le problème. Il y a déja eu quelques cas de "faux" certificats délivrés par une autorité "prétendu" de confiance.
et commencer a donner l'habitude aux utilisateurs d'installer des certificats a la volée, c'est encore pire...
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Les CA te donnent un certif valide contre rémunération. Il y a bien l'Extended Validation, mais qui ne fait pas grand chose de plus, sauf que ça coute plus cher.
c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Bin non.
peu importe la complexité de la chaine ou de la pyramide si dès le principe de base, c'est vermoulu.
Le principe est bien fichu. Comme disait l'autre: 'trust, but verify'. La mise en pratique est vermoule. Deux liens intéressants: http://news0ft.blogspot.fr/2010/04/ssl-est-casse.html
et surtout "Honest Achmed, autorité de certification et voitures d'occasion" https://bugzilla.mozilla.org/show_bug.cgi?idd7959 -- Kevin
Le 29-10-2014, Az Sam <me@home.net.invalid> a écrit :
les CA ("autorites de certifications") sont capables de delivrer cela ? il
n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Les CA te donnent un certif valide contre rémunération. Il y a bien
l'Extended Validation, mais qui ne fait pas grand chose de plus, sauf
que ça coute plus cher.
c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Bin non.
peu importe la complexité de la chaine ou de la pyramide si dès le principe
de base, c'est vermoulu.
Le principe est bien fichu. Comme disait l'autre: 'trust, but verify'.
La mise en pratique est vermoule. Deux liens intéressants:
http://news0ft.blogspot.fr/2010/04/ssl-est-casse.html
et surtout "Honest Achmed, autorité de certification et voitures d'occasion"
https://bugzilla.mozilla.org/show_bug.cgi?idd7959
--
Kevin
les CA ("autorites de certifications") sont capables de delivrer cela ? il n'y a pas de contrôle de serieux qui preside a la creation du certif ?
Les CA te donnent un certif valide contre rémunération. Il y a bien l'Extended Validation, mais qui ne fait pas grand chose de plus, sauf que ça coute plus cher.
c'est ce que je dis : le SSL (ou tout autre httpS), c'est pas Fiable....
Bin non.
peu importe la complexité de la chaine ou de la pyramide si dès le principe de base, c'est vermoulu.
Le principe est bien fichu. Comme disait l'autre: 'trust, but verify'. La mise en pratique est vermoule. Deux liens intéressants: http://news0ft.blogspot.fr/2010/04/ssl-est-casse.html
et surtout "Honest Achmed, autorité de certification et voitures d'occasion" https://bugzilla.mozilla.org/show_bug.cgi?idd7959 -- Kevin
Rambo
Az Sam wrote, On 29/10/2014 08:34:
Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de bouclier ? J'en doute.
OUI, sans aucun doute ... un lien https pourri c'est un lien https pourri peut importe ce qu'il y a derrière comme nom de domaine.
Az Sam wrote, On 29/10/2014 08:34:
Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de
bouclier ? J'en doute.
OUI, sans aucun doute ... un lien https pourri c'est un lien https
pourri peut importe ce qu'il y a derrière comme nom de domaine.
