Les temps changent

Le
Kevin Denis
Bonjour,

Il m'arrive de surfer sur l'usenet 2.0, et je suis tombé sur cette
image fort surprenante:
https://twitter.com/MSFTnews/status/524294241694920704

Quelqu'un connait le contexte autour de cette image?

Merci
--
Kevin
Vos réponses Page 5 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Doug713705
Le #26318646
Le 29-10-2014, Az Sam nous expliquait dans
fr.comp.os.linux.debats
(

"Doug713705" news:

Quelle importance sur un site tel que celui de linux-fr.org ?



reutilisation potentielle du certifciat sur d'autres pages ensuite. Vois les
methodes de l'ingienierie sociale si tu ne connais pas (ce qui
m'ettonerait).



Je ne vois pas bien une page de phishing reprennant la mise en page et
le style d'une banque sous le nom de linux-fr.

Il faudra quand même que ces fauses pages fassent partie du domaine
couvert par le certificat me semble t-il.



oui et alors ? on ne peut pas faire un site sain, qui devienne malsain ?
qui a parler de "fausses" pages ? c'est quoi dailleurs une fausse page ?



Pour ruiner son image, oui, en effet, c'est probablement une bonne
méthode.

Là il s'agit d"accepter un certif racine en plus.



Hein ?

D'un autre coté tu fais probablement confiance au site de ta banque
ou de n'importe quel site d'e-commerce alors qu'ils n'offrent pas une
meilleure sécurité et que c'est vraiment _là_ que c'est important.



Je suis tout a fait d'accord. C'est la fable du loup et des agneaux.


Perso je ne mets pas au même niveau le vol de mon "identité" sur
linux-fr.org dont je me bats l'oeil et le vol de mes informations
banquaires qui pourrait avoir de véritables conséquences IRL.



Je n'ai pas fait de distinguo données perso/données bancaires.
le principe reste le même : mettre en confiance, détourner les alertes qui
pourraient bloquer la navigation et faire échouer le piège.



Je ne comprends pas ce que tu veux dire par détourner les alertes.
Est-ce que la vue d'un panneau de signalisation te rend moins vigilant ?

Ton navigateur t'indique qu'il rencontre un certificat autocertifié,
te demande de le vérifier par toi même et de décider de le valider ou
non.

Hormis le fait que tu ne puisses pas vraiment le vérifier, je ne vois
pas vraiment où est le problème ni où est l'atténuation de la
vigilence.

Si tu acceptes tout sans lire, c'est que tu es un peu inconscient voire
carrément stupide mais aucun protocole ne peut lutter contre la
connerie sans limiter le domaine du possible. C'est le problème du choix
entre liberté et sécurité.

Enfin, un site qui s'appelle linux-fr et dont le contenu serait
équivalent au site de ta banque, devrait te mettre la puce à l'oreille
et avec un navigateur digne de ce nom, supprimer le certificat après
coup n'est pas bien difficile. Par contre ça demande un cerveau (modèle
de base, inutile d'aller chercher dans le haut de gamme) en état de
fonctionnement.

Je sais bien qu'on est sur un hiérarchie linux mais quand même , vous êtes
chatouilleux avec le libre au point que cela vous aveugle ?



Aveugle de quoi ? Https est foireux, tout le monde le sait et personne
ne dit le contraire mais lui mettre sur le dos un problème lié à
l'utilisateur reste de la mauvaise foi.

Finalement ce n'est pas bien différent d'une carte de visite. Quand tu
rencontres quelqu'un pour la première fois et qu'il te donne sa carte tu
n'as aucun moyen de savoir si les informations sur sa carte sont
exactes. Tu décides de lui faire confiance ou non en fonction de
l'ensemble des éléments en ta possossion.

Si ce n'était pas linux-fr.org, auraient t on les mêmes levées de bouclier ?
J'en doute.



Bien sûr que si, on parle ici du cas général pas du cas spécifique de
DLFP qui ne sort pas du cas général.

--
À toujours voir la paille plantée
Dans la narine de son voisin,
On oublie la poutre embusquée
Qui va nous tomber sur les reins
-- H.F. Thiéfaine, Errer humanum est
Az Sam
Le #26318691
"Tonton Th" news:


Pas assez souvent, et c'est là le problème. Il y a déja eu
quelques cas de "faux" certificats délivrés par une autorité
"prétendu" de confiance.



oui et rien ne prouve non plus que ceux qui sont "de confiance", et
pré-installes sur nos PC et pour lequels il n'y a pas eu de scandale
mediatisén soient fiables..
c'est toute l'approche securtaire qui est a revoir.
Mais si partant de ce constat, on se met a accepter tout et n'importe quoi,
alors c'est encore pire, autant de pas avoir de cryptage.

C'est toujours le principe du cheval de troie : s'ils n'avaient pas accepter
le cadeau ils ne seraient pas morts, mais une fois dans la place...
Une metaphore vieille comme le monde...



et commencer a donner l'habitude aux utilisateurs d'installer des
certificats a la volée, c'est encore pire...



Pourquoi ?



car cela réduit leur prudence et endort leur attention. Comme quand les
utilisateurs acceptent des exceptions dans leur Hips, leur Parefeu, leur
AV... A la fin, leur securite est un gruyere.

(se reporter au années 2000 avec les outils genre zonealarm sur lequel on
retrouvait les regles des utilisateurs autorisant expressement les trojan a
comuniquer)
--
Cordialement,
Az Sam
Le #26318695
"Doug713705" news:

Je ne vois pas bien une page de phishing reprennant la mise en page et
le style d'une banque sous le nom de linux-fr.



????
laisses tomber.


Pour ruiner son image, oui, en effet, c'est probablement une bonne
méthode.

Là il s'agit d"accepter un certif racine en plus.



Hein ?



non rien....


Je ne comprends pas ce que tu veux dire par détourner les alertes.
Est-ce que la vue d'un panneau de signalisation te rend moins vigilant ?



non, c'est l'inverse, avec ses travers et son efficacité relative.
Dans le domaine routier on a les radars qui sont venus en plus des panneaux
de signalisation. Panneaux qui , organisés dans un code, et tant que ce code
est respecté, rendent la circulation en occident relativement sure, agreable
et fluide (tendance a la baisse de ce pt de vue, la circulation se
mediterranéeise).
sinon, tu peux conduire a bali, dakar ou tel aviv.. a coup de klaxons
tonitruants.



Ton navigateur t'indique qu'il rencontre un certificat autocertifié,
te demande de le vérifier par toi même et de décider de le valider ou
non.



non, dans le cas precis de ce fil, il s'agit d'accepter le certificat racine
de l'autorite CA qui ensuite a delivré le certificat pour linuxfr.org
http://cjoint.com/?0JEkfOnJPap



Hormis le fait que tu ne puisses pas vraiment le vérifier, je ne vois
pas vraiment où est le problème ni où est l'atténuation de la
vigilence.



Cacert c'est ca :
http://wiki.cacert.org/CAcertInc?action=show&redirectÊcertIncorporated



Si tu acceptes tout sans lire, c'est que tu es un peu inconscient voire
carrément stupide mais aucun protocole ne peut lutter contre la
connerie sans limiter le domaine du possible. C'est le problème du choix
entre liberté et sécurité.



oui.
En quoi cette association est elle fiable ?
je vais te lire... Nous allons te lire.



Enfin, un site qui s'appelle linux-fr et dont le contenu serait
équivalent au site de ta banque, devrait te mettre la puce à l'oreille
et avec un navigateur digne de ce nom,



[parenthese trollesque detectée]
ouais d'accord, faut rouler en audi sinon c'ets pas digne du nom. ah non,
c'est "non profit" alors faut rouler en Tata ;-)))
[/END]


supprimer le certificat après
coup n'est pas bien difficile. Par contre ça demande un cerveau (modèle
de base, inutile d'aller chercher dans le haut de gamme) en état de
fonctionnement.



je vois que la discussion tourne agrable...
Ce sera un EOT pour moi. **


Aveugle de quoi ? Https est foireux, tout le monde le sait et personne
ne dit le contraire mais lui mettre sur le dos un problème lié à
l'utilisateur reste de la mauvaise foi.



alors , j'en reviens a ce que j'ai dis au debut : encore du moisi...
et ce que les autres ont relevés : le http suffit amplement

faut avoir un cerveau en bon etat pour :
- aller visiter le lien en https,
- installer le certif, (après a voir lu et chercher en quoi je peux faire
confiance pour pas cliquer betement...)
- lire la page (regarder l'image, pardon),
- puis surprimer le certif

c'est ca un "cerveau qui fonctionne" selon toi ??
tu dois pas etre tout seul dans le tien.


Finalement ce n'est pas bien différent d'une carte de visite. Quand tu
rencontres quelqu'un pour la première fois et qu'il te donne sa carte tu
n'as aucun moyen de savoir si les informations sur sa carte sont
exactes. Tu décides de lui faire confiance ou non en fonction de
l'ensemble des éléments en ta possossion.



Sauf que la carte de visite ne prétend pas etre un gage de securité....
Sauf que la carte de visite ne prétend pas etre un gage de securité....
Sauf que la carte de visite ne prétend pas etre un gage de securité....
Sauf que la carte de visite ne prétend pas etre un gage de securité....
Sauf que la carte de visite ne prétend pas etre un gage de securité....

** : EOT Doug
Kevin Denis
Le #26318711
Le 30-10-2014, Az Sam
non, dans le cas precis de ce fil, il s'agit d'accepter le certificat racine
de l'autorite CA qui ensuite a delivré le certificat pour linuxfr.org
http://cjoint.com/?0JEkfOnJPap
Cacert c'est ca :
http://wiki.cacert.org/CAcertInc?action=show&redirectÊcertIncorporated

faut avoir un cerveau en bon etat pour :
- aller visiter le lien en https,
- installer le certif, (après a voir lu et chercher en quoi je peux faire
confiance pour pas cliquer betement...)
- lire la page (regarder l'image, pardon),
- puis surprimer le certif



What?
Faut pas être bête non plus, hein. Le HTTPS ça fait deux choses:
-ça permet d'authentifier le site distant
-ça chiffre la communication

on te demande de cliquer sur https://site_inconnu_jamais_vu.tld

Pour la partie authentification, c'est raté. Tu sais pas qui c'est.
Donc que tu aies un certificat valide ou pas, ça ne te permettra pas
de savoir que le site distant est inconnu ou ... inconnu de ta part.

Donc tu cliques. Tu as une fenêtre avec un message sur l'authenticité non
connue de cet ... inconnu.
Tu cliques sur "aller voir le site quand même, sans donner ce droit de
manière permanente". http://www.cjoint.com/14oc/DJElRePvUBK.htm
Tu admires l'image pendant 3 secondes 8 dixième, puis tu fermes
l'onglet. Fin de l'histoire, tu a été parfaitement sécurisé pendant toute
la durée de ta connexion.

Ensuite, si tu es curieux, tu te renseignes sur CACert et tu l'inclus
ou pas dans ton magasin de certificats.

Finalement ce n'est pas bien différent d'une carte de visite. Quand tu
rencontres quelqu'un pour la première fois et qu'il te donne sa carte tu
n'as aucun moyen de savoir si les informations sur sa carte sont
exactes. Tu décides de lui faire confiance ou non en fonction de
l'ensemble des éléments en ta possossion.





Voilà.
--
Kevin
Tonton Th
Le #26318716
On 2014-10-30, Kevin Denis
Tu admires l'image pendant 3 secondes 8 dixième, puis tu fermes
l'onglet. Fin de l'histoire, tu a été parfaitement sécurisé pendant toute
la durée de ta connexion.



J'ai un doute, là : fermeture de l'onglet ou fermeture du
navigateur ?



--
_/°< coin http://weblog.mixart-myrys.org/?post/2014/10/Picz-THSF-2014
Az Sam
Le #26318726
"Kevin Denis" news:


Donc tu cliques. Tu as une fenêtre avec un message sur l'authenticité non
connue de cet ... inconnu.
Tu cliques sur "aller voir le site quand même, sans donner ce droit de
manière permanente". http://www.cjoint.com/14oc/DJElRePvUBK.htm
Tu admires l'image pendant 3 secondes 8 dixième, puis tu fermes
l'onglet. Fin de l'histoire, tu a été parfaitement sécurisé pendant toute
la durée de ta connexion.



comme j'ai un navigateur a la sécurité presque digne de ce nom, il bloque un
certain nombre de choses si j'outrepasse son avertissement.
Firefox laisse TOUT passer ? grande idée... et bon conseil aux utilisateurs
ce que tu dis là...
http://cjoint.com/?0JEnMJeX2ON


--
Cordialement,
Kevin Denis
Le #26318732
Le 30-10-2014, Tonton Th
Tu admires l'image pendant 3 secondes 8 dixième, puis tu fermes
l'onglet. Fin de l'histoire, tu a été parfaitement sécurisé pendant toute
la durée de ta connexion.



J'ai un doute, là : fermeture de l'onglet ou fermeture du
navigateur ?



Après vérification, c'est bien le navigateur qu'il faut fermer.
--
Kevin
Doug713705
Le #26318801
Le 30-10-2014, Az Sam nous expliquait dans
fr.comp.os.linux.debats
(

"Kevin Denis" news:


Donc tu cliques. Tu as une fenêtre avec un message sur l'authenticité non
connue de cet ... inconnu.
Tu cliques sur "aller voir le site quand même, sans donner ce droit de
manière permanente". http://www.cjoint.com/14oc/DJElRePvUBK.htm
Tu admires l'image pendant 3 secondes 8 dixième, puis tu fermes
l'onglet. Fin de l'histoire, tu a été parfaitement sécurisé pendant toute
la durée de ta connexion.



comme j'ai un navigateur a la sécurité presque digne de ce nom, il bloque un
certain nombre de choses si j'outrepasse son avertissement.
Firefox laisse TOUT passer ? grande idée... et bon conseil aux utilisateurs
ce que tu dis là...
http://cjoint.com/?0JEnMJeX2ON



De mon point de vue, Firefox n'est pas un navigateur digne de ce nom.
Il n'est pas loin d'être le pire qui soit, heureusement que Chrome est
là pour lui ravir la première place.

--
Mais si t'as peur de nos silences
Reprends ta latitude
Il est minuit sur ma fréquence
Et j'ai mal aux globules
-- H.F. Thiéfaine, Mathématiques souterraines
Nicolas George
Le #26318803
Doug713705 , dans le message écrit :
De mon point de vue, Firefox n'est pas un navigateur digne de ce nom.
Il n'est pas loin d'être le pire qui soit, heureusement que Chrome est
là pour lui ravir la première place.



Préférer un bouzin propriétaire qui prend les utilisateurs pour des
idiots...
Doug713705
Le #26318807
Le 30-10-2014, Nicolas George nous expliquait dans
fr.comp.os.linux.debats
(
De mon point de vue, Firefox n'est pas un navigateur digne de ce nom.
Il n'est pas loin d'être le pire qui soit, heureusement que Chrome est
là pour lui ravir la première place.



Préférer un bouzin propriétaire qui prend les utilisateurs pour des
idiots...



Tu as mal lu, je disais que Chrome ravissait la place de pire navigateur
à FF.

--
Je boirai dans un crâne
Le sang du déshonneur
En piétinant les mânes
Des marchands de bonheur
-- H.F. Thiéfaine, Première descente aux enfers par la face nord
Publicité
Poster une réponse
Anonyme