Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Firefox 70 épinglera les sites n'utilisant pas HTTPS

Attendue pour le 23 octobre, cette version fera du HTTPS la valeur par défaut pour les sites visités. Traduction : l'accès sécurisé deviendra le standard, seuls les sites n'en profitant pas étant alors labellisés comme tels. 

Jusqu'à présent, ce signalement n'était présent que sur les pages embarquant un formulaire de connexion, afin d'avertir l'internaute que ses identifiants étaient transmis sans chiffrement.

Chrome a adopté ce comportement global dans sa version stable depuis l’année dernière. Dans Firefox, il faut pour l'instant changer un réglage dans le « about:config » pour l'obtenir :

  • security.insecure_connection_icon.enabled : dans toutes les sessions de navigation
  • security.insecure_connection_icon.pbmode.enabled : uniquement en navigation privée

Les utilisateurs des versions Nightly peuvent cependant voir ce nouveau comportement par défaut. Firefox 69 devant sortir dans quelques jours, la version 70 entrera dans la foulée dans le canal bêta et sera dès lors disponible chez un plus grand nombre d’utilisateurs.

Selon les dernières statistiques fournies par Let’s Encrypt, 79,3 % des pages chargées par Firefox sont actuellement en HTTPS (la télémétrie provient de Mozilla). 

La majeure partie du chemin a donc déjà été parcourue, mais les derniers 20 % seront les plus difficiles à résorber, l’immense majorité des principaux sites ayant déjà transité vers le HTTPS. Le changement introduit dans Firefox 70 ne peut donc qu’encourager les retardataires. 

34 commentaires
Avatar de RévolutioN INpactien
Avatar de RévolutioNRévolutioN- 29/08/19 à 09:12:16
Édité par Vincent_H le 08/11/2019 à 12:44
Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 29/08/19 à 09:43:42

RévolutioN a écrit :

Un jour Lefigaro.fr y passera peut-être ?

Non il disparaitra et ce n'est pas un mal (oups, c'est demain vendredi…) :D

Avatar de Caius666 INpactien
Avatar de Caius666Caius666- 29/08/19 à 10:03:35

Quel est l'intérêt de pousser tous les sites web à passer en https ?
 
Autant je comprends l'absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?

Par exemple :https://stallman.org/
A quoi sert le https dans ce cas ?
N'est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?

Avatar de darkweizer Abonné
Avatar de darkweizerdarkweizer- 29/08/19 à 10:09:39

Caius666 a écrit :

Quel est l'intérêt de pousser tous les sites web à passer en https ?
 
Autant je comprends l'absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?

Par exemple :https://stallman.org/
A quoi sert le https dans ce cas ?
N'est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?

Je pense comme vous mais il y a peut-être un raison. En espérant que quelqu'un nous l'apporte (si elle existe)

Avatar de mouton_enragé INpactien
Avatar de Typhlos Abonné
Avatar de TyphlosTyphlos- 29/08/19 à 10:34:57

Caius666 a écrit :

Quel est l'intérêt de pousser tous les sites web à passer en https ?
 
Autant je comprends l'absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?

Par exemple :https://stallman.org/
A quoi sert le https dans ce cas ?
N'est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?

Il faut savoir qu'aujourd'hui le chiffrement a grandement été optimisé sur les CPU (un rapide exemple perso pour ce que ça vaut, mon processeur, un i7 4700HQ peut faire du chiffrement AES à 5 Gio/s et pour une page web, on reste généralement autour de quelques dizaines de Mo maximum, hors multimédia) et disposent d'instructions spécialisées. Quand on charge une page web, ce n'est le chiffrement qui demande beaucoup de ressources CPU, c'est plus l'affichage du site en lui-même qui peut être (très) lourd.

Ensuite, quant à l'intérêt d'avoir partout du https, le premier est d'en faire la norme, c'est-à-dire habituer tout le monde a utilisé du https par défaut, même si l'utilité ne saute pas aux yeux. Le but est de faire devenir le http l'exception et que cela saute aux yeux de l'utilisateur pour qu'il soit au courant des risques si jamais il y renseigne des données.

Un deuxième intérêt est de rendre la surveillance de masse plus difficile : en effet, le protocol https chiffre tout, y compris l'url, il n'est ainsi pas possible de savoir ce que vous lisez. Si l'ip est toujours en clair - il faut bien router les paquets -, il n'est pas possible de savoir quelle page du site web vous lisez en particulier voire même il n'est pas possible de savoir quel site web vous visitez si une même ip héberge plusieurs sites web.*

Ce sont, pour moi, les deux intérêts principaux du https, en plus de protéger la transmission de données sensibles.

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 29/08/19 à 10:46:22

darkweizer a écrit :

Je pense comme vous mais il y a peut-être un raison. En espérant que quelqu'un nous l'apporte (si elle existe)

Aucun. Mozilla encourage à polluer la planète.

Avatar de esver Abonné
Avatar de esveresver- 29/08/19 à 11:09:05

Il me semble que ça permet de savoir que c'est bien le site demandé qu'on lit (sauf certificats menteurs de certains pays, mais c'est rare).
Il est plus difficile de corrompre les données entre le site et ton navigateur.

Avatar de marba Abonné
Avatar de marbamarba- 29/08/19 à 11:17:16

Typhlos a écrit :

en effet, le protocol https chiffre tout, y compris l'url, il n'est ainsi pas possible de savoir ce que vous lisez. Si l'ip est toujours en clair.

Non, ça chiffre pas l'url de base, seulement la page accédée, malheureusement.

En gros https://site.com/page.html
La requête vershttps://site.com/ est en clair.

L'intérêt ? Ce n'est pas parce qu'il n'y a pas échange de données «sensibles» (mot de passe etc) qu'il ne faut pas chiffrer. Un opérateur où qui que ce soit sur la ligne, n'a pas à connaître le contenu de tes correspondances, même si c'est la lecture d'une page d'un site statique. Ça s'appelle la vie privée.

Édité par marba le 29/08/2019 à 11:18
Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 29/08/19 à 12:22:37

psn00ps a écrit :

Aucun. Mozilla encourage à polluer la planète.

Le mieux est de revendre son ordinateur et de se pendre, ça fera du compost :D

marba a écrit :

Non, ça chiffre pas l'url de base, seulement la page accédée, malheureusement.

Effectivement, et d'autant plus si le DNS est géré par l'observateur… (genre en entreprise)

Il n'est plus possible de commenter cette actualité.
Page 1 / 4