Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

HTTPS : le chiffrement par défaut arrive sur Bing et Wikimedia

Les contes de la crypte

HTTPS : le chiffrement par défaut arrive sur Bing et Wikimedia

Le 17 juin 2015 à 07h32

Alors que les révélations liées à l'affaire Snowden n'en finissent pas, deux acteurs importants du Net viennent d'annoncer que le chiffrement des connexions sera bientôt activé par défaut : Bing et la fondation Wikimedia (qui édite Wikipedia).

Cela fait maintenant près de deux ans que les agissements sur Internet de la NSA , et de certains de ses partenaires, font l'objet d'articles dans la presse. Régulièrement, de nouveaux documents dérobés par Edward Snowden remontent à la surface pour évoquer d'autres aspects de la surveillance de masse menée par les différentes agences de renseignement.

Bing chiffrera par défaut toutes les recherches à partir de cet été

Depuis, les solutions de chiffrement ont le vent en poupe chez les particuliers, mais aussi dans les entreprises, même si certaines sont plus rapides que d'autres. Deux géants du Net viennent justement de faire une annonce importante avec la mise en place du chiffrement par défaut des connexions. Bing ouvrira ainsi le bal à partir de cet été. Pour rappel, il était déjà possible d'utiliser HTTPS sur le moteur de recherche depuis un an et demi environ, mais seulement sur demande de la part de l'utilisateur.

Bing précise néanmoins « qu’avec le chiffrement par défaut des recherches, nous allons continuer de passer par une chaîne de référence de sorte que les équipes marketings et les webmasters puissent identifier le trafic provenant de Bing. Toutefois, et afin de mieux protéger la vie privée de nos utilisateurs, nous n'inclurons pas les termes de la requête utilisés ». Les webmasters qui veulent plus de détails pourront se rendre sur ce billet de blog. Pour rappel, Google fait déjà de même depuis plusieurs années maintenant.

bing chine

La fondation Wikimedia suit le mouvement pour l'ensemble de ses sites

Quelques jours plus tôt, c'était un autre poids lourd qui faisait une annonce du même acabit : la fondation Wikimedia. Elle indique avoir commencé sa migration vers le protocole HTTPS afin de chiffrer l'ensemble de son trafic, et ce, sur tous ses sites. Afin d'ajouter encore une couche de protection,  le HSTS (HTTP Strict Transport Security) sera également de la partie. Pour la fondation, le but est évidemment d'assurer « la sécurité et l'intégrité des données que vous transmettez ».

Comme pour Bing, Wikimedia rappelle qu'il était déjà possible de chiffrer les connexions vers ses serveurs, avec l'extension HTTPS Everywhere de l'EFF par exemple, mais ce protocole n'était pas activé par défaut. « Au cours des dernières années, les préoccupations croissantes concernant la surveillance des gouvernements ont incité les membres de la communauté Wikimedia à faire pression pour obtenir une meilleure protection via HTTPS. Nous sommes d'accord et avons fait de cette transition une priorité pour nos équipes » précise la fondation.

Pour autant, elle explique dans ce long billet de blog que cette opération a été un travail de longue haleine et qu'il a fallu faire des choix, notamment pour pénaliser au minimum certains de ses utilisateurs qui sont sur des réseaux de faible capacité : « nous avons calibré soigneusement notre configuration HTTPS pour minimiser les impacts négatifs liés à la latence, le temps de chargement de page, et l'expérience utilisateur ». La transition devrait être terminée d'ici quelques semaines.

Pour rappel, certaines sociétés n'ont pas attendu 2015 pour mettre en place un chiffrement par défaut, c'est par exemple le cas de Google et de Yahoo pour ne citer qu'elles. D'autres moteurs de recherche surfent allégrement sur le respect de la vie privée comme DuckDuckGo et Qwant, avec une belle progression pour le premier au cours des deux dernières années. En effet, 9to5Mac indique que le PDG de DuckDuckGo, Gabe Weinberg, revendique une hausse de son trafic de pas moins de 600 % sur cette période.

Commentaires (75)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et laisser le choix, c’est pas possible ?

votre avatar



Alors que les révélations liées à l’affaire Snowden n’en finissent pas



 



 C’est peut être hors sujet mais on parle de quelles révélations ? Celles qui disent que la Russie et la Chine ont réussi à déchiffrer tout ce que Snowden a volé à la NSA, où celle qui disent que dans tout ce que Snowden a piquer il y a beaucoup plus que de simples révélation sur des programmes de surveillance de la population ? :)

 

 Sinon, je vais reprendre le sous titre de Kevin sur l’article de la conf’ de Sony : “C’est pas trop tôt !”

votre avatar

Ca ne provoque aucun désavantage pour l’utilisateur. Donc pas de raison de laisser le choix sur un chiffrement ou non.

votre avatar

Disons qu’en général ça gêne surtout ceux dont l’activité dépend des mots clefs <img data-src=" />&nbsp;

votre avatar

L’article est si long que ça ?!





Pour autant, elle explique dans ce long billet de blog que cette opération a été un travail de longue haleine et qu’il a fallu faire des choix, notamment pour pénaliser au minimum certains de ses utilisateurs qui sont sur des réseaux de faible capacité : « nous avons été calibré soigneusement notre configuration HTTPS pour minimiser les impacts négatifs liés à la latence, le temps de chargement de page, et l’expérience utilisateur ».

votre avatar

et NXI au fait ?

(faut dire je pense jamais à essayer du https sur la plupart des sites que je consulte, sauf lorsqu’il y a un achat possible évidemment)

votre avatar

Déjà dit plusieurs fois mais pas prévu pour des logiques évidentes que l’on a déjà évoqué (notamment la publicité). D’autres solutions sont évoquées, mais rien à annoncer pour le moment. Tout le process de gestion du compte, de l’abonnement et de la connexion passe parcompte.nextinpact.com Next INpactdepuis la v6 <img data-src=" />

votre avatar

Les vraies questions sont :

&nbsp;1) quel intérêt vois-tu à avoir le choix ?

&nbsp;2) Pourquoi priviligierais-tu le HTTP sans TLS à certains moments ?

&nbsp;3) Crois-tu que c’est aux utilisateurs (souvent “ignares” sur les questions de sécurité) à devoir prendre ce choix ?

votre avatar

merci bien <img data-src=" /><img data-src=" />

votre avatar

Et si la NSA avait déjà la capacité de casser en temps réel et en masse les principaux algorithmes de chiffrements (avec des clefs respectant la taille limite légale). Ne serait-ce pas pousser son avantage que de ralentir les autres services secrets ?



[theorieDuComplot]

Snowden : agent double ou marionnette ?

[/theorieDuComplot]

votre avatar

“Pour rappel,&nbsp;certaines sociétés n’ont pas attendu 2015 pour mettre en place un chiffrement par défaut, c’est par exemple le cas de Google, Microsoft et Yahoo pour ne citer qu’elles.”&nbsp;

&nbsp;Bing c’est pas Microsoft ?!

votre avatar

Alors pour la millième fois dans les comms : Il n’y a pas de limite légale à la taille des cléfs. Que ce soit en Europe ou aux USA en tout cas.

&nbsp;

&nbsp;Enfin, la Loi pour la confiance dans l’économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie :&nbsp;fr.wikipedia.org Wikipedia

votre avatar

La sécurité aveugle et sans distinction ne vaut rien.



L’intérêt d’une connexion non chiffrée est déjà dit et redit.



La seule question à se poser pour l’utilisation des connexions chiffrées, c’est : est-ce que je crains que mes données soient interceptées ?

votre avatar

Exactement <img data-src=" />



Par contre, j’aimerais bien que certains sites de commerces se bougent et mettent en place TLS sur leurs sites. Parce que Wikipédia en HTTPS, c’est bien, mais pas indispensable, alors qu’un site de commerce…

votre avatar







atomusk a écrit :





Tu peux caricaturer si tu veux, mais demande-toi avant si toi-même, tu n’aurais pas davantage envie de raconter ta vie sur un site “moderne” et “sûr” plutôt que sur une vieille passoire bourrée de failles où tes identifiants peuvent être récupérés par le premier hackeur venu.



La confiance est quelque chose de global. Ce que font ici Microsoft et Wikimedia ne vise qu’à augmenter cette confiance (et donc leurs rentrées d’argent…).



Je dois sûrement être un vieux parano, mais quand on décide à ma place de ma sécurité, ça ne m’inspire pas confiance du tout, plus encore quand c’est au prix de ma liberté (celle d’utiliser une connexion non chiffrée si j’en ai envie).


votre avatar







vampire7 a écrit :



Tu peux caricaturer si tu veux, mais demande-toi avant si toi-même, tu n’aurais pas davantage envie de raconter ta vie sur un site “moderne” et “sûr” plutôt que sur une vieille passoire bourrée de failles où tes identifiants peuvent être récupérés par le premier hackeur venu.



La confiance est quelque chose de global. Ce que font ici Microsoft et Wikimedia ne vise qu’à augmenter cette confiance (et donc leurs rentrées d’argent…).



Je dois sûrement être un vieux parano, mais quand on décide à ma place de ma sécurité, ça ne m’inspire pas confiance du tout, plus encore quand c’est au prix de ma liberté (celle d’utiliser une connexion non chiffrée si j’en ai envie).







Bah écoute si tu y tiens tant, files nous tes identifiant/mdp/site sur lequel les utiliser. Ca ira plus vite.


votre avatar

Si tu administres le site en question, tu les auras déjà.

Sinon, je ne vois pas ce qui te pose problème : comme je me connecte de préférence en non chiffré, tu peux facilement les récupérer, mes identifiants… non ?

votre avatar







vampire7 a écrit :



Si tu administres le site en question, tu les auras déjà.

Sinon, je ne vois pas ce qui te pose problème : comme je me connecte de préférence en non chiffré, tu peux facilement les récupérer, mes identifiants… non ?







Plus ou moins. Mais comme visiblement tu t’en fiches qu’on les ai ou pas, jme disais autant simplifier la vie de tous le monde et que tu les donnes déjà.



Et pis, si le site est bien fait, il n’a pas ton mdp.


votre avatar

Mais si tu veux hacker mon compte NXI (par exemple), fais-toi plaisir ! Passe donc du temps là-dessus, et puis une fois que tu auras mes identifiants, tu auras gagné quoi ? Rien. Tu auras juste perdu ton temps.

Et moi je n’aurais qu’à changer de mot de passe ou recréer un compte.



“Et pis, si le site est bien fait, il n’a pas ton mdp.”

L’un n’empêche pas l’autre. L’admin peut décider de ne stocker que des hashs salés, mais en profiter quand même pour récupérer au passage, lors d’une connexion, le MDP d’un participant.

votre avatar







vampire7 a écrit :



Mais si tu veux hacker mon compte NXI (par exemple), fais-toi plaisir ! Passe donc du temps là-dessus, et puis une fois que tu auras mes identifiants, tu auras gagné quoi ? Rien. Tu auras juste perdu ton temps.

Et moi je n’aurais qu’à changer de mot de passe ou recréer un compte.



“Et pis, si le site est bien fait, il n’a pas ton mdp.”

L’un n’empêche pas l’autre. L’admin peut décider de ne stocker que des hashs salés, mais en profiter quand même pour récupérer au passage, lors d’une connexion, le MDP d’un participant.







Et si jveux accéder à ton compte en banque pour faire un don à une association caritative ? Tu t’en fiches toujours autant ?



Enfin limite ne répond pas. Ca ne sert à rien.



Tu veux exposer ta vie au grand jour ? C’est ton droit. Mais sache que le droit à la vie privée est inscrit en dur dans la déclaration des droits de l’Homme, alors il me semble normal que ça soit actif par défaut.


votre avatar

Pourtant ça doit exister, on a bien des fanboys anti-chiffrement. 



&nbsp;      


D'ailleurs moi, je suis pour que l'on puisse louer un appartement sans volets. Cela prend une plombe à les fermer et je soupçonne les fabricants de me pousser à la faute : à force de me sentir caché, je vais oublier de les fermer et les voisins pourront voir "le serpent du Gabon" à l'air libre après la douche.
votre avatar

et surtout, en tout cas, il ne le stocke pas en clair&nbsp;<img data-src=" />

votre avatar







atomusk a écrit :



et surtout, en tout cas, il ne le stocke pas en clair <img data-src=" />







Oui aussi ^^


votre avatar

Déjà dit au commentaire #20.

votre avatar







vampire7 a écrit :



Déjà dit au commentaire #20.







Et donc pake tu t y connais dans le sujet, il faudrait laisser les autres dans l’ignorance (et sans chiffrement) ?


votre avatar

Allons… Il parait que je suis un “fanboy anti-chiffrement”… <img data-src=" />

Mais c’est peut-être vrai : mon application de chiffrement, je ne force même pas les gens à l’utiliser. <img data-src=" />



Et qui est-ce qu’on laisse dans l’ignorance ? Ceux qui ont besoin de confidentialité se renseignent, et en général ils utilisent Tor, surtout si c’est pour faire ses recherches sur un site comme Bing. Les autres n’ont pas besoin de confidentialité, et n’éprouveront qu’un rapide et léger sentiment agréable face à ce coup de com’. Mais c’est néanmoins l’effet recherché, et Microsoft aura donc réussi son coup.



Comme disait l’autre :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

votre avatar







vampire7 a écrit :



Allons… Il parait que je suis un “fanboy anti-chiffrement”… <img data-src=" />

Mais c’est peut-être vrai : mon application de chiffrement, je ne force même pas les gens à l’utiliser. <img data-src=" />



Et qui est-ce qu’on laisse dans l’ignorance ? Ceux qui ont besoin de confidentialité se renseignent, et en général ils utilisent Tor, surtout si c’est pour faire ses recherches sur un site comme Bing. Les autres n’ont pas besoin de confidentialité, et n’éprouveront qu’un rapide et léger sentiment agréable face à ce coup de com’. Mais c’est néanmoins l’effet recherché, et Microsoft aura donc réussi son coup.



Comme disait l’autre :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.







J’ai du mal à voir en quoi utiliser un logiciel de chiffrement est une perte de liberté.



Enfin sauf pour les gens qui veulent me surveiller. En utilisant un logiciel de chiffrement, je nuis à leur liberté de me surveiller (quand je parle de surveillance, je ne parle pas de surveillance préventive, mais d’analyse à posteriori).



votre avatar







eliumnick a écrit :



J’ai du mal à voir en quoi utiliser un logiciel de chiffrement est une perte de liberté.





Et si je pouvais te forcer à l’utiliser ? Tu te sentirais toujours aussi libre ?


votre avatar







vampire7 a écrit :



Et si je pouvais te forcer à l’utiliser ? Tu te sentirais toujours aussi libre ?







Oui et non.

Il suffit de comparer les avantages et les inconvénients. Et je ne vois aucun inconvénients à utiliser du chiffrement. Donc ce n’est plus vraiment une liberté de choix, car cela me parait indispensable.





votre avatar

On ne te force pas à l’utiliser, wikimedia et Microsoft ont décidé de l’utiliser exclusivement, pour des raisons qui les regardent, et c’est leur liberté à eux. De même qu’ils utilisent du html 4 (ou 5), et que peut-être ça gêne ceux sur IE4/5.

votre avatar

Le changement dont il est question ici ne va faire qu’empirer les choses.



changement != progrès

votre avatar

Oui c’est un vrai site (bien utile d’ailleurs). Son cache des résultats pour compte.nextinpact.com devait être vide donc il a relancer le test d’où les rechargement de pages à gogo ;)

votre avatar







John Shaft a écrit :



Oui c’est un vrai site (bien utile d’ailleurs). Son cache des résultats pour compte.nextinpact.com devait être vide donc il a relancer le test d’où les rechargement de pages à gogo ;)







Ah oui effectivement ^^ En retestant la, il m’affiche des résultats sans rechargement ^^


votre avatar







francois-battail a écrit :



Le vrai problème reste le mail où là il est impossible de mettre en place du chiffrement obligatoire sauf à restreindre drastiquement le nombre de serveurs SMTP publics capables de dialoguer sans compter que ça ne garantirait pas pour autant qu’il n’y a pas un open relay en clair dans la chaîne de transmission. Pas de solution, excepté créer un nouveau protocole SMTP…





+1, on oublie souvent que les métadonnées sont quasi-systématiquement en clair, sinon le mail arrive pas. Et ne pas avoir le contenu n’est pas vraiment un soucis quand on espionne une personne.


votre avatar

Malheureusement oui <img data-src=" />



On est loin d’une généralisation de TLS et de DANE sur le mail.



Sans parler des serveurs SMTP qui ne font pas le ménage (coucou Google) dans les entêtes et laisse les adresses IP des clients et le X-Mailer, histoire que tout le monde sache d’où il envoie son courrier…

votre avatar

Léger HS mais c’est tellement énorme et à propos :

&nbsp;

Les Nouveaux Cahiers du Conseil constitutionnel 



             N° 48, 2015/3                   


             Le Conseil constitutionnel et la vie privée




Avec du vrai troll inside et sur des sujets on va dire d’actualité…

votre avatar







vampire7 a écrit :



En fait, le résultat final sera probablement pire qu’avant : les gens vont se croire de plus en plus en sécurité, et ils vont balancer de plus en plus des informations confidentielles partout sur le net, au lieu d’apprendre à se protéger quand c’est nécessaire et de manière appropriée.



La sécurité sans discernement ne revient qu’à favoriser l’ignorance. Et cette opération d’abrutissement a commencé avec les navigateurs qui ont commencé à cacher par défaut le protocole utilisé dans l’URL.





Rien compris dans l’argumentation…

L’https ne fait que sécuriser le transfert… après si tu veux étaler ta vie privée sur le net via des sites qui utilisent ce protocole ben tu étaleras quand même ta vie privée…



De plus vu que cette opération va être transparente pour 90% des internautes, tu peux m’expliquer comment cela pourra engendrer un sentiment de “sécurité” supérieure ?


votre avatar







carbier a écrit :



L’https ne fait que sécuriser le transfert… après si tu veux étaler ta vie privée sur le net via des sites qui utilisent ce protocole ben tu étaleras quand même ta vie privée…





Oui, c’est tout le problème. Et sécuriser le transfert n’est utile que dans un nombre très limité de cas :




  • transactions bancaires

  • transfert d’identifiants/mots de passe

  • trucs illégaux

  • surfer au boulot

    Je suspecte d’ailleurs que ce dernier cas intéresse une bonne partie de ceux qui postent ici… <img data-src=" />



    La contrepartie est un temps d’accès plus long, en particulier lors de la première connexion, mais la plupart des gens en profiteront pour pester contre leur “navigateur qui rame”.







    carbier a écrit :



    De plus vu que cette opération va être transparente pour 90% des internautes, tu peux m’expliquer comment cela pourra engendrer un sentiment de “sécurité” supérieure ?





    Il reste les 10% restants, qui penseront par exemple qu’ils pourront faire des recherches sur Bing en toute sécurité, en oubliant que de chaque côté de la connexion, un paquet de choses seront toujours stockées (logs de Microsoft d’un côté, cookies de l’autre). Ces 10% là auront alors moins tendance à parler de sécurité sur internet aux 90% restants.


votre avatar

Ce sous titre <img data-src=" />

votre avatar

On sent l’éditeur opportuniste <img data-src=" />

votre avatar







Jed08 a écrit :



Celles qui disent que la Russie et la Chine ont réussi à déchiffrer tout ce que Snowden a volé à la NSA,



Déjà il faudrait qu’ils mettent la main dessus, m’étonnerait que little Eddy se ballade avec une clef usb…

Ensuite faudrait effectivement qu’ils en déchiffre un morceau, avant de tout déchiffrer.



Alors parler de “révélations”… propagande serait le mot juste.


votre avatar







vampire7 a écrit :



Le changement dont il est question ici ne va faire qu’empirer les choses.



changement != progrès



empirer en quoi?


votre avatar

Hello,

&nbsp;

“Avec le chiffrement par défaut des recherches,&nbsp;nous allons continuer

de passer par une chaîne de référence de sorte que les équipes

marketings&nbsp;et les webmasters puissent identifier le trafic provenant de

Bing. Toutefois, et afin de mieux protéger la vie privée de nos utilisateurs, nous n’inclurons pas les termes de la requête utilisés”



Je suis pas sûr de comprendre, pas les termes le marketing… se “contentent” du site visité? Et quid des autres info personnelles éventuellement le flux?



Désolé par avance si ma question est bête, alcool, soirée, décalage horaire… <img data-src=" />

votre avatar







Patch a écrit :



empirer en quoi?





+1, empêcher un tiers d’avoir accès à tes contenus, ça n’est pas vraiment « empirer les choses » selon moi.


votre avatar

Je pense que ce qui est dit c’est que le site cible (où est redirigé l’utilisateur) pourra savoir que le visiteur vient de Bing, mais ne pourra pas savoir quelle recherche cet utilisateur à effectué sur Bing.

votre avatar

pas si tu supposes que l’utilisateur voyant qu’il est en Https se dit : ah mais ça veux dire que je peux exposer ma vie privée sur ce service et que ça restera privé personne au monde ne pourra le lire …

&nbsp;

&nbsp;

mais je doute qu’il existe des personnes qui pensent comme ça&nbsp;<img data-src=" />

votre avatar







vampire7 a écrit :



Comme disait l’autre :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.





J’ai déjà vu cette citation mal utilisée, mais là c’est le pompon&nbsp;<img data-src=" />

&nbsp;En quoi l’HTTPS sacrifie ta liberté ?&nbsp;<img data-src=" />


votre avatar

Tu veux que bing te demande ton avis ?&nbsp;<img data-src=" />

&nbsp;parce que tu veux pas perdre les 500ms que prend le handshake à la première connexion ?&nbsp;<img data-src=" />

&nbsp;

&nbsp;ou c’est juste que tu veux mieux vendre ton appli de chiffrement&nbsp;<img data-src=" />

&nbsp;

&nbsp;A la limite que tu geules sur Google qui veux rajouter le critere “chiffrement HTTPS” dans son algo, je peux comprendre … mais là … je comprend pas bien&nbsp;<img data-src=" />

votre avatar







atomusk a écrit :



J’ai déjà vu cette citation mal utilisée, mais là c’est le pompon <img data-src=" />

 En quoi l’HTTPS sacrifie ta liberté ? <img data-src=" />





Euh, le sujet de la news, c’est pas de proposer le https sur Bing : il existe déjà.

Le sujet ici, c’est de l’imposer.


votre avatar

Non, le sujet est de le rendre “par défaut”, pas “l’imposer”.&nbsp;

&nbsp;

&nbsp;Et je me permet de te demander encore une fois quelle “liberté fondamentale” Microsoft te “retire” en l’imposant … Si tant est qu’un entreprise commerciale est chargée de “protéger” cette liberté fondamentale chez toi, bien entendu&nbsp;<img data-src=" />

votre avatar

Je rappel que ce que disait “l’autre” c’est :

&nbsp;

&nbsp;They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.&nbsp;

&nbsp;Essential étant quand même un mot que tu sembles omettre …&nbsp;

votre avatar







atomusk a écrit :



Non, le sujet est de le rendre “par défaut”, pas “l’imposer”.





Ce qui, dans ce cas, revient exactement au même.

Si tu as une redirection automatique vers le https, alors tu ne peux plus utiliser de connexion non chiffrée. C’est ce qui se passe avec Google (ainsi que de plus en plus de sites), et je ne vois pas comment Microsoft pourrait faire autrement.


votre avatar

Ptits joueurs chez NXI <img data-src=" />

votre avatar

(je bosse pas chez NXI, au passage&nbsp;<img data-src=" />)

votre avatar

Ca y est, les rats quittent le navire <img data-src=" />

votre avatar







atomusk a écrit :



pas si tu supposes que l’utilisateur voyant qu’il est en Https se dit : ah mais ça veux dire que je peux exposer ma vie privée sur ce service et que ça restera privé personne au monde ne pourra le lire …

 

 

mais je doute qu’il existe des personnes qui pensent comme ça <img data-src=" />



Pas besoin, ils le font déjà en http… <img data-src=" />


votre avatar







atomusk a écrit :



Non, le sujet est de le rendre “par défaut”, pas “l’imposer”. 

 

 Et je me permet de te demander encore une fois quelle “liberté fondamentale” Microsoft te “retire” en l’imposant … Si tant est qu’un entreprise commerciale est chargée de “protéger” cette liberté fondamentale chez toi, bien entendu <img data-src=" />



Ce qu’on lui retire, la liberté fondamentale de se faire espionner en toute tranquillité. <img data-src=" />


votre avatar

(mais j’ai jamais bossé chez NXI moi je suis juste modo&nbsp;<img data-src=" />)

votre avatar

Pas le temps de faire dans la dentelle mon bon Môssieur, je racle avec du filet mailles très larges <img data-src=" />

votre avatar

la généralisation du HTTPS ce n’est en rien de la sécurité aveugle ! Ca permet simplement de ne pas permettre aux intermédiaires techniques de savoir ce que l’on consulte sur un site particulier. Et sur un site comme Wikipedia, je pense que c’est plutôt indispensable à l’heure du tracking permanent.

&nbsp;



&nbsp;Je ne vois aucun avantage pour le particulier aux connexions sans TLS non désolé. Pour les très grosses boites c’est surement un allègmement (léger en réalité vu le très faible cout en ressource de TLS aujourd’hui !) d’une partie de la charge server.

&nbsp;

votre avatar

Direct en voyant le titre jme suis dit “A quand NXI ?” Puis jme suis souvenu de la position de NXI sur ce sujet :x Maintenant jvais aller lire un autre article (bah oui on ne va quand même pas lire l’article sur lequel on poste un commentaire) :x

votre avatar







Glyphe a écrit :



Je ne vois aucun avantage pour le particulier aux connexions sans TLS non désolé.





C’est dit dans l’article, et j’ai moi-même cité la partie en question. Il n’est pire aveugle que celui qui ne veut pas voir…



Dans une moindre mesure, on peut citer aussi la consommation des machines : toutes ne sont pas équipées d’instructions AES (pas la peine de répondre sur ce point si tu ne réponds pas à l’autre).


votre avatar

Non non j’ai bien lu. Et oui ça “peut” poser problème pour les petites connexion.

Mais perdre 4 - 5secondes dans l’affichage d’une page ou ne pas être tracker en permanence le choix est vite fait quand même.

&nbsp;



Même moi qui suis pas pro sécurisation à tout va des données, je salut ce genre de décision. C’est simple et sans contraintes pour nous.

votre avatar

Ho mais je vais répondre, pas de chance je m’y connais bien en TLS … <img data-src=" />

&nbsp;



&nbsp;Il n’y a aucun avantage sur les petites connexions à l’heure où tu l’as dit toi-même, dans les pays occidentaux et “développées”, l’immense majorité des gens ont des machines dotées de puces pour AES (ordis & iphones) et où les machines non-pourves ont des suites de chiffrement très rapides aussi (CHACHA20-POLY1305) sur les smartphones sous Android par exemple.

&nbsp;

On faisait du SSL à l’époque du 56K et ça ne posait pas de problème particuliers non plus, au pire ça rajoute quelques secondes pour des connexions anémiques dans les pays en voie de développement.

&nbsp;



&nbsp;Pour la consommation des machines, là aussi, tu ne vas pas au bout de ton raisonnement parce que si tu retires les machines dotées de puces dédiées (on doit être dans une grosse majorité des machines accédeant au net aujourd’hui dans les pays développés) et vu que la puce ne consomme quasiment rien à côté du processeur, beaucoup d’études ont montré que TLS était un vrai coût négligeable côté client. En réalité un PC moyen aujourd’hui est capable d’agir en tant que server et de chiffrer plusieurs milliers de connexions TLS par seconde. Par pitié évitons de faire croire que TLS bouffe des tonnes, c’est juste une blague.

votre avatar







k43l a écrit :



Mais perdre 4 - 5secondes dans l’affichage d’une page ou ne pas être tracker en permanence le choix est vite fait quand même.





Oui, et je choisis la performance : je me fous complètement qu’on intercepte le contenu de mes messages sur NXI.

En revanche, pour mes informations bancaires, je préfère que ce soit chiffré, quitte à perdre quelques secondes. De même pour les identifiants de mes boîtes mails.









Glyphe a écrit :



pas de chance je m’y connais bien en TLS





Et moi je suis l’auteur d’une application de crypto sous Windows. Si c’est pour jouer à kikalaplusgrosse…





Glyphe a écrit :



Il n’y a aucun avantage sur les petites connexions à l’heure où tu l’as dit toi-même, dans les pays occidentaux et “développées”





Dit et redit, mais je le refais encore une fois : la latence. Et ça se sent, même sur une connexion 100 Mbits.





Glyphe a écrit :



l’immense majorité des gens ont des machines dotées de puces pour AES





Faux. Les premières puces grand public équipées d’instructions AES sont apparues en 2008 en 2010 après vérification. Même un gros Core i7 860 qui date de 2009 n’en est pas équipé.


votre avatar

Le vrai problème reste le mail où là il est impossible de mettre en place du chiffrement obligatoire sauf à restreindre drastiquement le nombre de serveurs SMTP publics capables de dialoguer sans compter que ça ne garantirait pas pour autant qu’il n’y a pas un open relay en clair dans la chaîne de transmission. Pas de solution, excepté créer un nouveau protocole SMTP…

votre avatar







vampire7 a écrit :



Je tiens à te signaler que c’est toi qui a commencé avec le ad hominem : Il n’est pire aveugle que celui qui ne veut pas voir…

&nbsp;

&nbsp;Sinon toujours aucun argument crédible selon moi, comme le dit @k43l, quelques secondes (dans le pire des cas !!!) est très peu visible par des gens n’ayant pas des exigences comme toi.

&nbsp;Et pour avoir une connexion THD et une bonne machine, venir dire qu’il y a une gène sur la différence entre une connexion HTTP et HTTPS même sur du 100Mbps … me semble particulièrement subjective.

&nbsp;



&nbsp;Et allons au fond des choses, si on laisse le choix comme tu le veux, ça veut dire qu’on laisse le HTTP par défaut sur la majorité des sites (donc non sensibles à TES yeux). Donc que 90% des utilisateurs n’essaieront même pas s’il y a du HTTPS vu qu’ils ne s’y connaissent pas assez souvent pour comprendre la différence entre les deux. Donc pour gagner quelques milisecondes chez beaucoup de gens aujourd’hui. Ta solution finit par casser un processus de protection de la vie privée qu’on tend à généraliser parce que tu veux gagner 2% de temps sur une connexion.


votre avatar

Compte tenu de la lourdeur des pages et de l’inflation du code javascript, le coût côté serveur et client de TLS est négligeable ; une fois que la session est établie et que la clé a été négociée on est en O(n), mieux vaut avoir n le plus petit possible ce qui n’est pas exactement la tendance.

Après quand on fait le choix réfléchi du tout https on se débrouille pour avoir le matériel et le logiciel qui vont bien avec. Certes c’est dommage pour Mosaic 1.0 ou Netscape Navigator 2.0 mais on a quand même enterré IE 6 aussi <img data-src=" />

votre avatar

david, au sujet du https sur le site, pourquoi avoir priviliéger les suite&nbsp;TLS_RSA_WITH_AES_ au lieu des&nbsp;TLS_ECDHE_RSA_WITH_AES_ qui sont bien + sur ? (clé éphémère contre clé statique)&nbsp;pour le rc4 laisser actif, je suppose que c’est pour raison de compatibilité que vous l’avez laisser par contre (meme si ca doit plus concerner grand monde)&nbsphttps://www.ssllabs.com/ssltest/analyze.html?d=compte.nextinpact.com

votre avatar







gaetan.cambier a écrit :



david, au sujet du https sur le site, pourquoi avoir priviliéger les suite TLS_RSA_WITH_AES_ au lieu des TLS_ECDHE_RSA_WITH_AES_ qui sont bien + sur ? (clé éphémère contre clé statique) pour le rc4 laisser actif, je suppose que c’est pour raison de compatibilité que vous l’avez laisser par contre (meme si ca doit plus concerner grand monde)&#160https://www.ssllabs.com/ssltest/analyze.html?d=compte.nextinpact.com







T’es sur que c’est un vrai site ? Pake à part recharger 50 fois la page sans me laisser la possibilité de lire ce qu’il y a d’écrit, ça n’a rien fait.


votre avatar







Glyphe a écrit :



Je tiens à te signaler que c’est toi qui a commencé avec le ad hominem : Il n’est pire aveugle que celui qui ne veut pas voir…





Les seuls commentaires auxquels j’ai répondu sur cette news sont ceux qui me répondaient.

J’ai du mal à voir l’intérêt de mentir quand on peut vérifier le contraire d’un coup de molette de souris…







Glyphe a écrit :



Ta solution finit par casser un processus de protection de la vie privée qu’on tend à généraliser parce que tu veux gagner 2% de temps sur une connexion.





“protection de la vie privée” ? Qui protège qui, et de quoi exactement ?

Tu crois vraiment que Microsoft chiffre tes recherches pour protéger ta vie privée ?



En fait, le résultat final sera probablement pire qu’avant : les gens vont se croire de plus en plus en sécurité, et ils vont balancer de plus en plus des informations confidentielles partout sur le net, au lieu d’apprendre à se protéger quand c’est nécessaire et de manière appropriée.



La sécurité sans discernement ne revient qu’à favoriser l’ignorance. Et cette opération d’abrutissement a commencé avec les navigateurs qui ont commencé à cacher par défaut le protocole utilisé dans l’URL.


votre avatar

IIS ? <img data-src=" />

votre avatar

Tu crois vraiment que les gens attendent d’être sur un site sécurisé pour balancer des infos personnelles?

&nbsp;

Regarde ce qu’ils font déjà, ils s’en foutent complètement, et c’est encore pire avec la nouvelle génération (qui utilise à tout va snapchat et consort).

Le réel problème réside dans le fait que des gens ont entre les mains des outils qu’ils ne comprennent pas.

&nbsp;

Autant je suis d’accord avec toi sur certain poste du dessus, autant là je ne suis pas ton raisonnement.

Que le site soit en HTTP ou HTTPS, le principal c’est de savoir ce que cela signifie et quand on en a réellement besoin. Donc une bonne remise à niveau est nécessaire auprès de la majorité, ceci AMHA.

votre avatar

C’est exactement ce que je dis…

votre avatar

Donc : « tout va mal, surtout ne changeons rien » ?

HTTPS : le chiffrement par défaut arrive sur Bing et Wikimedia

  • Bing chiffrera par défaut toutes les recherches à partir de cet été

  • La fondation Wikimedia suit le mouvement pour l'ensemble de ses sites

Fermer