HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?

HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?

Papa Google est là, et il va bientôt gronder les garnements

Avatar de l'auteur
David Legrand

Publié dans

Internet

04/05/2015 5 minutes
101

HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?

Après avoir forcé la main des éditeurs sur le mobile, Google continue de faire évoluer sa position concernant la migration des sites vers HTTPS. Si rien n'est encore obligatoire, on apprend que les régies publicitaires maison vont un peu plus sauter le pas, en attendant que le reste du secteur se décide de suivre.

L'été dernier, Google annonçait qu'il allait chercher à renforcer l'utilisation du protocole HTTPS au sein des sites web. Pour rappel, cela signifie qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Une manière d'éviter, en théorie, une interception des données.

L'une des façons de s'assurer l'expansion de cette pratique est de mieux mettre en avant ceux qui jouent le jeu au sein des résultats de recherche. Mais voilà, derrière les grandes annonces, il y a une réalité parfois plus complexe, et c'est le cas lorsque l'on parle de la mise en place du chiffrement des échanges au sein d'une majorité de sites Internet.

Chiffrer tous les échanges : et si l'on chiffrait déjà la phase de connexion ?

Car il y a un constat simple : presque aucun site n'utilise HTTPS hors des actions critiques comme le paiement. Mais ce n'est par exemple quasiment jamais le cas pour des phases où un chiffrement serait aussi nécessaire, comme la connexion de l'utilisateur à son compte. Ainsi, sur de nombreux sites, notamment les sites d'information, lorsque vous tapez votre identifiant et votre mot de passe, il est souvent envoyé en clair au serveur avant d'être traité.

Un point d'autant plus étonnant lorsque ces mêmes médias viennent conseiller à leurs lecteurs les façons de se protéger des fuites de données ou ironisent sur telle ou telle faille et autre défaut de sécurisation (une remarque qui vaut aussi lorsque l'on regarde le nombre de trackers et de cookies imposés par certains).

La publicité et ses acteurs au cœur du problème

Mais ce laxisme a une raison principale : la publicité. En effet, s'il est assez simple et peu coûteux de passer un site en HTTPS (voir cette analyse) afin de chiffrer l'ensemble des données, cela pose un problème majeur : il faut que tous les éléments de la page soient chargés de la sorte. Cela vaut pour les widgets et autres vidéos YouTube, mais cela vaut aussi pour les scripts des régies publicitaires. Et l'on ne peut pas dire que la priorité de celles-ci soit la réactivité face aux nouvelles technologies et autres questions sur la sécurisation des échanges pour l'utilisateur final. Surtout que le chargement d'une publicité fait intervenir de nombreux acteurs qui doivent tous utiliser HTTPS pour que tout se passe sans problème.

Ainsi, la plupart des régies ne propose pas de solutions permettant de charger l'ensemble de ses publicités en HTTPS. De fait, si un site permet à ses lecteurs d'accéder à ses pages de la sorte, les publicités... ne seront pas affichées. Résultat : personne ne saute le pas, et le secteur attend que les choses changent par magie. Le mois dernier, l'IAB évoquait d'ailleurs ce problème dans un billet dans lequel il appelait le secteur à tout mettre en place au plus vite.

Google va renforcer son offre publicitaire « HTTPS Ready »... mais ce n'est que le début

Et que l'on apprécie ou pas la méthode, le coup de pied nécessaire à la transition va sans doute venir une fois de plus de Google. Car après son annonce de l'année dernière, certains avaient remarqué que sa régie publicitaire déconseillait l'utilisation de HTTPS dans les documentations d'Adsense. Il fallait donc que les choses commencent à bouger de ce côté-là, car si les outils de la société permettaient déjà de gérer HTTPS, rien n'était obligatoire. Mais la situation va évoluer, une dernière étape sans doute avant le grand saut.

Ainsi, depuis la fin 2014, toutes les publicités de YouTube sont délivrées de la sorte. D'ici le 30 juin 2015, cela sera aussi le cas de la majorité des campagnes du  Google Display Network, d'AdMob et de DoubleClick. De plus, à compter de cette date, les annonceurs pourront décider de distribuer leurs publicités en HTTPS à l'ensemble de l'inventaire disponible avec chiffrement.

Les choses vont sans doute changer, mais le problème de fond demeure

Reste maintenant à ce que le reste du secteur suive, et à ce que les éditeurs prennent enfin les décisions nécessaires. Tout d'abord en assurant mieux la sécurité des lecteurs dans la phase de connexion à leur compte, mais aussi en proposant à terme des sites dont les échanges sont entièrement chiffrés. Si la position dans les résultats de recherche de Google entre réellement en ligne de compte, cela devrait assez rapidement être le cas, comme on l'a constaté pour les sites mobiles cette année.

Une fois de plus, le géant du web joue donc le rôle d'arbitre des bonnes pratiques au niveau mondial, puisqu'il est le seul à disposer d'un pouvoir nécessaire lorsqu'il s'agit d'imposer ses choix. Mais voilà, cela ne devrait pas fonctionner comme cela. Si les différents acteurs, des éditeurs aux régies en passant par les fournisseurs de services, étaient plus responsables et motivés à faire évoluer les choses dans le bon sens, Google n'aurait pas à prendre cette position de régulateur auto-proclamé. Une position que ces acteurs ne cessent de contester, sans jamais prendre leurs responsabilités.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Chiffrer tous les échanges : et si l'on chiffrait déjà la phase de connexion ?

La publicité et ses acteurs au cœur du problème

Google va renforcer son offre publicitaire « HTTPS Ready »... mais ce n'est que le début

Les choses vont sans doute changer, mais le problème de fond demeure

Commentaires (101)


Le HTTPS ne nécessite-t-il pas un “tiers de confiance” pour valider la certificat ? Passer en HTTPS n’est pas “gratuit”, il faut un tiers de confiance, pour un site perso, ce n’est pas forcément pertinent, même si on voudrait éviter que les mdp soient passés en clair.


Puis c’est ultra chiant à mettre en place… J’avais un truc, mais j’arrive plus à le mettre à jour et j’ai essayé une solution gratuite, mais j’ai pas du tout compris comment la mettre en place.


StartSSL fait des certificats gratuits (ça doit bien être le seul).

Le certificat est basique : simple domaine, il faut créer un certificat pour chaque domaine ou sous domaine mais au moins c’est gratuit.


Et paf!!!

On tombe en plein dans les pratiques anticoncurrentielles et l’abus de position dominante.

 

Comme google est l’un des rares (le seul?) à “sécuriser” ses pubs (sic), les seuls résultats que google mettra en avant seront les sites qui payent pour les services de google et non la concurrence.

Les autres sites voyant une diminution de leurs vues se précipiteront alors sur les services google pour garder leur trafic. Les autres régies de pub verront leurs clients disparaitre pour ensuite disparaitre à leur tour.



Et voici une autre façon de se débarasser de la concurrence en toute illégalité.

 

Et après il y en a qui s’étonnent de ne pas comprendre pourquoi google n’est pas aimé.

<img data-src=" />

&nbsp;


ca coute pas non plus des milliards hein:https://www.gandi.net/ssl/grid?lang=fr





meme pour un particulier c’est faisable, le premier pris est a 16$….


d’un autre côté, comme le dit l’article, si tout le monde prenait ses responsabilité, le problème ne se poserait pas.


Wouais, vive la pollution ! -_-




Car il y a un constat simple : presque aucun site n’utilise HTTPS

hors des actions critiques comme le paiement. Mais ce n’est par exemple

quasiment jamais le cas pour des phases où un chiffrement serait aussi

nécessaire, comme la connexion de l’utilisateur à son compte. Ainsi, sur

de nombreux sites, notamment les sites d’information, lorsque vous

tapez votre identifiant et votre mot de passe, il est souvent envoyé en

clair au serveur avant d’être traité.

Un point d’autant plus étonnant lorsque ces mêmes médias viennent

conseiller à leurs lecteurs les façons de se protéger des fuites de

données ou ironisent sur telle ou telle faille et autre défaut de

sécurisation (une remarque qui vaut aussi lorsque l’on regarde le nombre de trackers et de cookies imposés par certains).





C’est effectivement étonnant de lire ceci sur nextinpact, ou l’envoi des identifiants de connexion se fait en clair, (HTTPS n’est activé que si l’utilisateur le tape explicitement dans la barre d’adresse)…


Non, la procédure de connexion passe par le gestionnaire de compte depuis plusieurs mois maintenant. C’était l’une de nos volontés de proposer une procédure HTTPS pour cette phase :&nbsp;https://compte.nextinpact.com



Pour le reste, je l’ai déjà dit, mais on cherche à proposer du Full-HTTPS d’une manière ou d’une autre. Quand on aura quelque chose à annoncer de manière claire en la matière, ce sera fait ;)


Domaine + hébergement + HTTPS. Je ne veux pas dire mais petit à petit l’hébergement commence à coûter cher, même pour un particulier, et puis j’ai l’impression de plus en plus perdre en liberté en étant lié à des services de toutes parts.


Oui enfin si c’est pour un site perso, je ne vois pas trop quel est le problème (et comme dit, cela n’est de toutes façons pas très coûteux surtout en passant par du mutualisé), surtout que la présence dans les SERP est moins un enjeu dans ce cas (puis pour limiter les frais il reste l’auto-hébergement, la possibilité de passer par des systèmes de CMS qui prennent tout en charge comme Medium, etc. Chacun fait fonction de ses besoins/moyens)



La question se pose plus pour les sites qui ont une activité commerciale et leurs intermédiaires, et là la question du coût du passage en HTTPS est moins un enjeu premier.








bloodyliberty a écrit :



d’un autre côté, comme le dit l’article, si tout le monde prenait ses responsabilité, le problème ne se poserait pas.





Certes mais cette pratique de google est clairement une pratique anticoncurrentielle.

Il existe bien d’autres méthodes pour faire avancer les choses, google a juste choisi la pire et celle qui lui est le plus profitable.



Surtout sortir ça comme par hasard juste après qu’ils aient mis en place leur propre sécurisation sur les pubs, sans avertir personne ni laisser le moindre délai d’adaptation aux annonceurs , c’est clairement une volonté d’évincer la concurrence.



Il y a l’art et la manière de faire, google ne veut juste pas comprendre qu’ils ne sont pas au-dessus des lois.



&nbsp;





Freud a écrit :



C’est effectivement étonnant de lire ceci sur nextinpact, ou l’envoi des identifiants de connexion se fait en clair, (HTTPS n’est activé que si l’utilisateur le tape explicitement dans la barre d’adresse)…







J’allais faire cette remarque aussi mais n’était pas sur de comment cela fonctionnait sur le site.



Oui enfin il ne faut pas oublier que l’annonce de départ date de l’été dernier, que là Google n’annonce que des décisions concernant ses régies, et que si un forcing plus important arrive sur l’HTTPS, cela concernera les éditeurs (qu’ils utilisent une régie Google ou pas ne veut pas dire qu’ils proposent un accès HTTPS).



Dans tous les cas et comme dit dans l’article, certes Google joue les arbitres, m’enfin si les joueurs sur le terrain étaient un peu moins à l’ouest hein…&nbsp;


Oui enfin : 30 € pour le nom de domaine et le certificat SSL par an + le coût de l’hébergement, qui peut être éventuellement en mutualisé grâce à SNI. Autrement dit c’est un surcoût de 2,5 € / mois qui permet de montrer qu’un site ou service a du respect pour ses usagers…

Le véritable surcoût n’est pas financier. D’abord faire une configuration SSL dans les règles de l’art n’est pas immédiat mais on trouve de très bons documents à ce sujet et des sites de test pour valider sa configuration. Ensuite, et c’est plus problématique, le chiffrement coûte cher et diminue significativement la capacité (en requête / seconde / serveur), néanmoins le problème commence à se poser quand on veut « tirer&nbsp; » à plus de 10000 req / s ou que l’on se prend une DDoS.


D’accord mais quand je me connecte à&nbsphttp://www.nextinpact.com/, je ne passe pas par&nbsp;https://compte.nextinpact.com&nbsp;Je tape directement mon couple identifiant/mot de passe en haut à droite.Après je n’ai pas les compétences pour savoir si l’envoi de ces éléments se fait de manière chiffrée ou pas.








David_L a écrit :



Oui enfin il ne faut pas oublier que l’annonce de départ date de l’été dernier, que là Google n’annonce que des décisions concernant ses régies, et que si un forcing plus important arrive sur l’HTTPS, cela concernera les éditeurs (qu’ils utilisent une régie Google ou pas ne veut pas dire qu’ils proposent un accès HTTPS).




Dans tous les cas et comme dit dans l'article, certes Google joue les arbitres, m'enfin si les joueurs sur le terrain étaient un peu moins à l'ouest hein...&nbsp;





&nbsp;

&nbsp;Peu importe, cela ne justifie en rien les infractions et les violations des règles de la concurrence.



Par analogie, on va dire que parce qu’une autre personne ne se comporte pas comme tu veux, alors tu vas la tuer??? Non, bien sur que non.

Là c’est exactement la même chose.

&nbsp;

Google se doit de respecter les règles comme tout le monde, ils peuvent suggérer mais n’ont pas à imposer des comportements aux autres, et encore moins violer les règles existantes pour assoir leur pouvoir.



Pour ton site perso, tu as toujours la solution du certificat auto signé, c’est gratuits mais c’est pas reconnu par les navigateurs.



Perso c’est ce que j’utilise pour un Owncloud et ça marche nikel, même si à chaque fois le navigateur pète un câble parce qu’il connais pas l’autorité de certification (en l’occurrence moi), j’ai un petit Owncloud sous https et ça ne me coûte que l’hébergement et le nom de domaine. Si tu veux aller encore plus loin tu vire le nom de domaine et tu passe par l’ip et là ça te coûte que l’hébergement.



Du coup je suis d’accord que l’hébergement perso peut revenir cher si on veut un truc propre et tout beau, mais sinon ça reste ce que c’était avant <img data-src=" />, et dans l’absolut :

http://www.startssl.com/ <img data-src=" />


La dérive possible ce n’est pas à terme d’avoir aussi des publicités sur les pages sensibles ? Si elles sont en https elles pourraient être présentes même sur une page de login / paiement et rien n’empêche alors une publicité plombée de sniffer les coordonnées …


j’ai demandé à mon hébergeur de le faire ça m’a coûté quelques dizaines d’euros et 10 minutes

je vous conseille d’aller chez dinhosting pour un hébergeur avec un bon service


wow l’analogie entre Google qui annonce qu’ils vont rajouter dans leur calcul de ranking le fait que le site soit full SSL et “tuer quelqu’un” j’ai un chouilla du mal&nbsp;<img data-src=" />



Ecoute au lieu de hurler à la mort que c’est des pratiques anticoncurrentielles, attendons de voir si ceux concernés considèrent que c’est le cas&nbsp;<img data-src=" />

Vu que c’est eux qui doivent porter plainte&nbsp;<img data-src=" />



Maintenant, perso, j’ai du mal à voir en quoi c’est des pratiques anticoncurrentielles … est ce que la concurrence est dans l’impossibilité de supporter le SSL ? est ce que c’est tellement complexe à mettre en oeuvre que la concurrence est dans l’impossibilité de le faire ?&nbsp;


Il me semble que la révocation des certificats StartSSL est payante.



j’attends de voir ce quehttps://letsencrypt.org/ va donner.


En tous cas, je note qu’en un an, 2 forums que je fréquente sont passé au HTTPS total.



D’ailleurs, notez qu’il n’y a pas que Google qui soit actif sur le sujet, Mozilla et la Linux fondation aussi:

https://letsencrypt.org/

http://www.linuxfoundation.org/news-media/announcements/2015/04/linux-foundation…



Sans comptez les activistes:&nbsphttps://www.jeveuxhttps.fr/Accueil

&nbsp;

L’enjeu de ces acteurs est que dans les années qui viennent, la connexion HTTPS devienne la règle et que les hébergeurs propose un prix global avec HTTPS inclus. Ils veulent démocratise une fonctionnalité pour en faire diminuer le coût. Comme maintenant dans les forfaits de téléphone mobile, le coût de gestion des SMS/MMS est devenu dérisoire face au coût de la data, les opérateurs peuvent se permettre de l’offrir à leur abonnés.&nbsp;

&nbsp;

Derrière cela l’idée est de faire exploser les coûts de la surveillance de masse pour forcer les démocraties à avoir une vrai réflexion sur le sujet (et pas comme ces derniers jours).








AltreX a écrit :



Pour ton site perso, tu as toujours la solution du certificat auto signé, c’est gratuits mais c’est pas reconnu par les navigateurs.



Perso c’est ce que j’utilise pour un Owncloud et ça marche nikel, même si à chaque fois le navigateur pète un câble parce qu’il connais pas l’autorité de certification (en l’occurrence moi), j’ai un petit Owncloud sous https et ça ne me coûte que l’hébergement et le nom de domaine. Si tu veux aller encore plus loin tu vire le nom de domaine et tu passe par l’ip et là ça te coûte que l’hébergement.



Du coup je suis d’accord que l’hébergement perso peut revenir cher si on veut un truc propre et tout beau, mais sinon ça reste ce que c’était avant <img data-src=" />, et dans l’absolut :

http://www.startssl.com/ <img data-src=" />





Peut-être que tu pourrais ajouter ton AC aux autorités de confiance.



Edit : TaigIV m’a doublé !



&nbsp;Il existe des fournisseur de certificats SSL gratuit.



Un exemple StartSSL



Cela permet de mettre le SSL sur un site perso, tout comme un site à forte audience gratuitement.



Un tutoriel pas à pas pour chiffre ton site perso si hébergé sur un serveur dédié ou VPS :https://lafibre.info/cryptographie/tuto-https/


Je ne suis pas un spécialiste mais en HTTPS (et en HTTP aussi je pense), le navigateur n’ a pas à envoyer les données vers le mauvais serveur.

Sinon, je n’ose imaginer tous les mots de passe que GAFA doivent avoir.



Plus d’info:&nbsphttp://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/


Non, l’autosigné c’est une alerte énorme qui ferais fuir n’importe qui. De plus, ça fonctionne plus pour pas mal de client pour le mail.



Et startssl.com après avoir passer une journée a essayé de le mettre en place… J’ai capitulé.


(le lien ne marche pas ?)



Je pensais plus à un script capable de sniffer la page, pas nécessairement de rediriger le flux. Sans compter les failles sur les navigateurs.


si tu parle de l’ajouter sur le navigateur pour mes pc perso c’est déjà fait, (sauf chrome ou j’avoue que j’ai pas trouvé), mais sinon je me connecte pas toujours avec ceux là, et j’ai des amis qui s’y connecte quand je leurs partage un lien de téléchargement.



Sinon si tu parle de faire valider mon certificat pour qu’il soit intégrer dans les navigateurs de base, je t’avoue que ça m’intéresse si tu sais comment faire, je t’invite à passer en mp pour en parler si tu le veux bien <img data-src=" />


Tout passe par le gestionnaire de compte, qui ne communique que via HTTPS.


Je suis dans le cas d’un serveur perso. Ça me reviens déjà plus de 280 € par an sans les domaines… Si en plus pour chaque domaine, voir sous domaine, je dois rajouter quelque chose, ça va plus être possible financièrement pour moi.


Je parlais bien de le faire à la mano.



Si tu as un budget de quelques millions pour faire valider ton autorité je veux bien t’envoyer un MP. <img data-src=" />


Perso, j’attends aussi. <img data-src=" />


D’accord. Merci de la précision.


Bah je sais, j’ai pas dis que c’était la solution miracle <img data-src=" />

C’est sur que si tu veux faire un site public, c’est pas la solution idéal, mais il reste tout de même l’option startssl en gratuits <img data-src=" />


Haha t’inquiète pas, je sais ce qu’il en coûte, la mafia de l’autorité de certification, je t’avoue que j’ai pas encore les moyens <img data-src=" />








atomusk a écrit :



wow

l’analogie entre Google qui annonce qu’ils vont rajouter dans leur

calcul de ranking le fait que le site soit full SSL et “tuer quelqu’un”

j’ai un chouilla du mal&nbsp;<img data-src=" />









&nbsp;Grosse précision parce qu’apparemment tu ne sais pas comment fonctionne le droit:



&nbsp;Faire couler une entreprise, c’est “tuer” la personne morale qu’elle est.

En comparaison avec une personne physique, cela revient à la tuer, l’étouffer.



&nbsp;Quant aux pratiques anticoncurrentielles, comme expliqué plus haut, il s’agit de restreindre ou éliminer la concurrence,&nbsp; en profitant de sa position de leader sur le marché des moteurs de recherche pour forcer&nbsp; les utilisateurs des solutions de pub concurrentes à utiliser ses propres solutions sous la menace et/contrainte&nbsp; d’une perte de chiffre d’affaires par le biais d’un déréférencement desdits utilisateurs sur son moteur de recherche.





&nbsp;









AltreX a écrit :



Haha t’inquiète pas, je sais ce qu’il en coûte, la mafia de l’autorité de certification, je t’avoue que j’ai pas encore les moyens <img data-src=" />





<img data-src=" /> J’imagine que je peux aussi ranger mon devis pour que tu puisses utiliser ton owncloud sur ton propre TLD.



Je pense que oui ! Même si je t’avoue que ça aurait pu être stylé d’avoir un site “Monsite.altrex”. Mais je pèse pas encore assez dans le milieu ! on verra dans quelques année (probablement une bonne centaines d’années <img data-src=" /> )


Si quelqu’un a une solution pour éviter de taper le mot de passe à chaque reboot d’Apache quand ne serait-ce qu’un seul vhost utilise ssl, je suis preneur. Car si Watchdog ou un monitoring hardware reboot la machine les services web ne sont pas relancés.

De plus je ne vois aucun interet pour l’utilisateur ou moi de chiffrer les échanges, hors la connexion tout est poublic. Le seul qui y voit un interet dans “ma” chaîne de distribution c’est l’hébergeur de mes serveurs, chiffrer les échange ça bouffe tout de suite plus de CPU.&nbsp;


Comme je le dis, je ne suis pas un spécialiste. Mais en général les sniffeurs c’est plus au milieu du réseau, une attaque de l’homme du milieu. Or les publicitaires sont à l’extrémité de la chaîne, ils peuvent rajouter un cookies pour te tracer mais HTTPS les oblige à rester sur leur domaine et à pas empiété celui des autres. À moins de failles dans le navigateurs.



Bref, pour moi le risque me semble infime, mais l’avis d’un spécialiste du HTTPS, failles,&nbsp;XST&nbsp; & Co



Dommage que le site soit un rade, la vidéo est bien.&nbsp;<img data-src=" />


Comme je le dis, je ne suis pas un spécialiste. Mais en général les sniffeurs c’est plus au milieu du réseau, une attaque de l’homme du milieu. Or les publicitaires sont à l’extrémité de la chaîne, ils peuvent rajouter un cookies pour te tracer mais HTTPS les oblige à rester sur leur domaine et à pas empiété celui des autres. À moins de failles dans le navigateurs.&nbsp;Bref, pour moi le risque me semble infime, mais l’avis d’un spécialiste du HTTPS, failles,&nbsp;XST&nbsp; & Co&nbsp;Dommage que le site soit un rade, la vidéo est bien.&nbsp;<img data-src=" />


Euh… pourquoi avoir mis une passphrase dans le certificat alors ? Sans passphrase ça se charge tout seul au démarrage.








AltreX a écrit :



Je pense que oui ! Même si je t’avoue que ça aurait pu être stylé d’avoir un site “Monsite.altrex”. Mais je pèse pas encore assez dans le milieu ! on verra dans quelques année (probablement une bonne centaines d’années <img data-src=" /> )





Je prend note du report de votre projet. Nous vous recontacterons à la date indiquée. <img data-src=" />









js2082 a écrit :



Grosse précision parce qu’apparemment tu ne sais pas comment fonctionne le droit:



 Faire couler une entreprise, c’est “tuer” la personne morale qu’elle est.

En comparaison avec une personne physique, cela revient à la tuer, l’étouffer.



 Quant aux pratiques anticoncurrentielles, comme expliqué plus haut, il s’agit de restreindre ou éliminer la concurrence,  en profitant de sa position de leader sur le marché des moteurs de recherche pour forcer  les utilisateurs des solutions de pub concurrentes à utiliser ses propres solutions sous la menace et/contrainte  d’une perte de chiffre d’affaires par le biais d’un déréférencement desdits utilisateurs sur son moteur de recherche.







HTTPS m’a tuer !









francois-battail a écrit :



Euh… pourquoi avoir mis une passphrase dans le certificat alors ? Sans passphrase ça se charge tout seul au démarrage.





Parce que là ou je l’avais généré je n’avais pas trop le choix !

Mais après lecture de ton commentaire je vois que finalement on peut faire bien plus que je ne le pensais avec les certificats, je ne pensais pas que l’on pouvait retirer le passphrase d’une clé, j’avais jamais cherché en fait.



Thx.









francois-battail a écrit :



Euh… pourquoi avoir mis une passphrase dans le certificat alors ? Sans passphrase ça se charge tout seul au démarrage.





En général c’est par ce qu’on a suivi la doc à la lettre. <img data-src=" />



Je ne sais pas quel service tu utilises, mais à la question « passphrase: » un retour chariot suffit (du moins avec openssl) pour indiquer qu’on ne veut pas de passphrase quand on crée la demande de certificat.


Pas pour moi en tout cas: en me connectant par le formulaire dans la barre du haut, je ne passe pas parhttps://compte.nextinpact.com, et le mot de passe est envoyé en clair (confirmé par wireshark).


Je trouve ça un peu dommage de tout vouloir faire passer par du https.



Google annonçait qu’il allait chercher à renforcer l’utilisation du protocole HTTPS au sein des sites web.



Ils ont clairement une idée derrière la tête, et je pense que c’est pour devenir indépendant du réseau. Si c’est cool avec la fibre, avec le mobile c’est très dommage.








Qruby a écrit :



Je trouve ça un peu dommage de tout vouloir faire passer par du https.



Ils ont clairement une idée derrière la tête, et je pense que c’est pour devenir indépendant du réseau. Si c’est cool avec la fibre, avec le mobile c’est très dommage.







T’as raison! Le https c’est le mal! Ca permet aux dangereux terroristes de pouvoir commander des explosifs sur amazon sans pouvoir se faire chopper par la NSA….



C’était clairement annoncé depuis longtemps rien qu’avec SPDY et maintenant avec HTTP 2 pour qui, si le chiffrement n’est pas obligatoire stricto sensu, est implémenté par les navigateurs uniquement sous TLS.


Les pubs en HTTPS sont difficilement bloquables sur mobile, car adblock android est un proxy et non une extension. Il ne peut donc pas examiner les requetes HTTPS et les laisse toutes passer.








Freud a écrit :



Pas pour moi en tout cas: en me connectant par le formulaire dans la barre du haut, je ne passe pas parhttps://compte.nextinpact.com, et le mot de passe est envoyé en clair (confirmé par wireshark).





+1



wireshark te donneras la réponse en dix secondes environ


SSL est une absurdité dans son implementation a cause des tiers de “confiance”.

D’où ils sortent ? qui sont-ils ? pourquoi ils sont de confiance ?

C’était pas Docomo (30% des cert SSL mondials je crois) qui s’était fait pirate comme un bleu et qui avait compromit des certificats de plusieurs grand sites, dont des banques.



Pour moi ce tiers de confiance est une faille de securite.



Je conseille de regarder cette conference sur le sujet :https://youtu.be/pDmj_xe7EIQ

Avec le projet convergence (malheureusement a l’arret).








Kernelcoffee a écrit :



SSL est une absurdité dans son implementation a cause des tiers de “confiance”.

D’où ils sortent ? qui sont-ils ? pourquoi ils sont de confiance ?

C’était pas Docomo (30% des cert SSL mondials je crois) qui s’était fait pirate comme un bleu et qui avait compromit des certificats de plusieurs grand sites, dont des banques.



Pour moi ce tiers de confiance est une faille de securite.



Je conseille de regarder cette conference sur le sujet :https://youtu.be/pDmj_xe7EIQ

Avec le projet convergence (malheureusement a l’arret).







Docomo.. Comodo tu veux dire.



Oui les tiers de confiance ont des règles strictes à suivre et sont auditées pour s’assurer qu’ils restent de confiance.



Un peu de crypto de base te démontrera que sans ces autorités, le SSL ne peut pas fonctionner, et une révocation de certificat ca va très vite.



Pour tes grandes banques, il faut apprendre à sécuriser toutes tes couches applicatives et hardware et pas seulement ta couche de transport.



Sauf que ce n’est pas le cas… La requête est bien faite en clair et le mot de passe est envoyé ici :http://www.nextinpact.com/Account/Login

Je viens de vérifier avec Wireshark


A quel niveau intervient le gestionnaire de comptes ?

Depuis la homepage, le login appel une page en http et le mdp est dans la liste des paramètres, tel que saisi <img data-src=" />



grillé a 13s près ^^’








Kernelcoffee a écrit :



SSL est une absurdité dans son implementation a cause des tiers de “confiance”.

D’où ils sortent ? qui sont-ils ? pourquoi ils sont de confiance ?

C’était pas Docomo (30% des cert SSL mondials je crois) qui s’était fait pirate comme un bleu et qui avait compromit des certificats de plusieurs grand sites, dont des banques.



Pour moi ce tiers de confiance est une faille de securite.



Je conseille de regarder cette conference sur le sujet :https://youtu.be/pDmj_xe7EIQ

Avec le projet convergence (malheureusement a l’arret).





D’un autre coté rien n’oblige a les garder toutes.









js2082 a écrit :



&nbsp;

&nbsp;Peu importe, cela ne justifie en rien les infractions et les violations des règles de la concurrence.



Par analogie, on va dire que parce qu’une autre personne ne se comporte pas comme tu veux, alors tu vas la tuer??? Non, bien sur que non.

Là c’est exactement la même chose.

&nbsp;

Google se doit de respecter les règles comme tout le monde, ils peuvent suggérer mais n’ont pas à imposer des comportements aux autres, et encore moins violer les règles existantes pour assoir leur pouvoir.





Ça se passe toujours comme ça depuis quelques temps dès que la sécurité est prise comme argument.



Là c’est juste une situation qui arrange Google, mais il faut avouer qu’ils ont le chic pour se retrouver dans ces situations où ils seront rarement inquiétés à cause de leurs décisions arbitraires.

&nbsp;



Je pense de toute façon que le gros problème du tout HTTPS, c’est sa configuration. OpenSSL, inconnu il y a quelque temps, est sous les feux des projecteurs depuis un an à cause (grâce à ?) Heartbleed.



Je croise énormément de personnes qui:




  • Ne savent pas ce que c’est le SSL

  • Ne savent pas ce que c’est un certificat (ni son usage dans un SSL Handshake)

  • Ne savent pas ce qu’est une cipher suite



    Et j’en suspecte également de ne pas savoir qu’il existe plusieurs déclinaisons TLS pour faire du HTTPS… On va au devant de grandes catastrophes sans standardisation (durée de validité des certificats &gt;= 10 ans pour être tranquille ? Mais dés que le SHA utilisé pour la signature est craqué… on fait quoi ? :-) )



    Y a du business à se faire ! :-)




HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?





Après ?? Bah après, c’est l’hébergement de tous les contenus (y compris les publicités) par le site. Une connexion HTTPS unique vers le site, et tout passe par cette connexion.



(cf. le futur modèle d’hébergement des news par FB)








Freud a écrit :



Les pubs en HTTPS sont difficilement bloquables sur mobile, car adblock android est un proxy et non une extension. Il ne peut donc pas examiner les requetes HTTPS et les laisse toutes passer.







Un block IP doit aider quand même :)



De là à imaginer que c’est très exactement l’objectif de tout ça … <img data-src=" />

Faut pas oublier que la pollution publicitaire c’est le cœur de métier de Google, tout ce qui peut empêcher ou au minimum rendre plus compliqué son blocage est bon à prendre pour eux.








eliumnick a écrit :



T’as raison! Le https c’est le mal! Ca permet aux dangereux terroristes de pouvoir commander des explosifs sur amazon sans pouvoir se faire chopper par la NSA….





Faut arrêter la parano, le dangereux terroriste utilise déjà tout ce qu’il faut pour ne pas se faire chopper. C’est plus une question de bande passante, la compression des flux https ça marche beaucoup moins bien… Du coup sur mobile c’est chiant, faut savoir que le réseau mobile compresse entre 10 et 30% des données qui sont transitées.

&nbsp;





Freud a écrit :



Les pubs en HTTPS sont difficilement bloquables sur mobile, car adblock android est un proxy et non une extension. Il ne peut donc pas examiner les requetes HTTPS et les laisse toutes passer.





Voilà l’idée derrière la tête :)









Qruby a écrit :



Faut arrêter la parano, le dangereux terroriste utilise déjà tout ce qu’il faut pour ne pas se faire chopper. C’est plus une question de bande passante, la compression des flux https ça marche beaucoup moins bien… Du coup sur mobile c’est chiant, faut savoir que le réseau mobile compresse entre 10 et 30% des données qui sont transitées.

 



Voilà l’idée derrière la tête :)







Faut arrêter de tout prendre au premier degré ^^

En revanche pour la question de compression des flux sur le mobile, je l’ignorais. Merci de m’avoir appris qqch.



La pub, c’était déjà un gouffre environnemental pour la planète.

&nbsp;Et maintenant il va falloir payer pour la chiffrer, la déchiffrer, la transmettre et la recevoir <img data-src=" />

Quelle merde <img data-src=" />


Ah merde j’avais pas percuté que tuer une entreprise était aussi grave que de tuer quelqu’un&nbsp;<img data-src=" />



Donc les patron qui déposent le bilan, c’est un meurtre ?&nbsp;<img data-src=" />



Apres, en effet, je suis d’accord avec ta “définition”, tout ce que je te dis c’est que RIEN dans cette news ne correspond à ta définition.&nbsp;

&nbsp;








eliumnick a écrit :



Faut arrêter de tout prendre au premier degré ^^

En revanche pour la question de compression des flux sur le mobile, je l’ignorais. Merci de m’avoir appris qqch.





Désolé, c’était du troll pour le premier point ^^’



Pour la compression sur Mobile c’est effectué à plusieurs niveau, le téléphone entre l’eNode, mais aussi entre les eNode, et de l’eNode au backbone. Ce qui fait que tu peux avoir un gros différentiel entre ce que ton téléphone croit avoir consommé et ce que ton opérateur relève (sauf si c’est de la vidéo, dans ce cas, c’est très peu compressible).









David_L a écrit :



Non, la procédure de connexion passe par le gestionnaire de compte depuis plusieurs mois maintenant. C’était l’une de nos volontés de proposer une procédure HTTPS pour cette phase :&nbsp;https://compte.nextinpact.com



Pour le reste, je l’ai déjà dit, mais on cherche à proposer du Full-HTTPS d’une manière ou d’une autre. Quand on aura quelque chose à annoncer de manière claire en la matière, ce sera fait ;)





compte.nextinpact.com est en https, mais l’envoi utilisateur/passe se fait en POST clair sur Account Login.



Dites, j’ai essayé de suivre via les commentaires.



Mais je suppose qu’à terme tous les sites devront être en https sous peine d’être pénalisé par Google ?








atomusk a écrit :



Ah merde j’avais pas percuté que tuer une entreprise était aussi grave que de tuer quelqu’un&nbsp;<img data-src=" />




 Donc les patron qui déposent le bilan, c'est un meurtre ?&nbsp;<img data-src=">  






 Apres, en effet, je suis d'accord avec ta "définition", tout ce que je te dis c'est que RIEN dans cette news ne correspond à ta définition.&nbsp;       

&nbsp;





Et où ai-je parlé de gravité?

Je parle d’infraction, de respect des règles et de leurs conséquences.



Tu n’as pas l’air de saisir la différence.

&nbsp;

&nbsp; Mais bon, laisse tomber. <img data-src=" />




Entre condensé de mauvaise foi, détournement de propos, défaut d'argumentation et volonté de ne pas vouloir comprendre, ça fait beaucoup pour un gars qui est censé être modérateur. <img data-src=">  



&nbsp;









js2082 a écrit :



Et où ai-je parlé de gravité?

Je parle d’infraction, de respect des règles et de leurs conséquences.



Tu n’as pas l’air de saisir la différence.

 

  Mais bon, laisse tomber. <img data-src=" />




Entre condensé de mauvaise foi, détournement de propos, défaut d'argumentation et volonté de ne pas vouloir comprendre, ça fait beaucoup pour un gars qui est censé être modérateur. <img data-src=">









J’ai pas tout suivi, mais apparemment Caliméro veut maintenant se faire appeler js2082, car selon lui, ça symbolise bien plus efficacement le fait que la Terre entière soit contre lui. Bref “ouin maman ils sont méchants avec moi” :x









eliumnick a écrit :



J’ai pas tout suivi, mais apparemment Caliméro veut maintenant se faire appeler js2082, car selon lui, ça symbolise bien plus efficacement le fait que la Terre entière soit contre lui. Bref “ouin maman ils sont méchants avec moi” :x





Nan, nan, il y a juste un commentateur (et bien un seul) qui tente de troller des définitions juridiques qu’il ne comprend pas ou fait semblant de ne pas comprendre.



Sur le coup, l’argument d’autorité “c’est TA définition” m’a quand même bien fait rire, même si je regrette qu’il n’y ait pas eu une réflexion plus poussée.



&nbsp;



Non tu as raison quand on fait une analogie c’est de bon ton de ne jamais prendre l’analogie sérieusement&nbsp;<img data-src=" />



je l’ai pas inventé ça :&nbsp;Par analogie, on va dire que parce qu’une autre personne ne se comporte pas comme tu veux, alors tu vas la tuer???Donc pour toi l’analogie c’est : tuer quelqu’un c’est comme tuer une entreprise … non ? <img data-src=" />&nbsp;&nbsp;Ou par analogie, tu voulais dire : “par hyperbole” ?&nbsp;


wow impressionnant on détourne les quotes maintenant ?&nbsp;<img data-src=" />



de : &nbsp;ta “définition” on passe à &nbsp;“TA DEFINITION” ?&nbsp;<img data-src=" />



Ce que je voulais dire c’est que tu donnes la définition, mais rien qui montre qu’elle s’applique ici.&nbsp;



C’est un fait que une grosse partie de la communauté VEUX le passage en full HTTPS, que c’est un avantage sur la sécurité, la confidensialité et que ça montre un certain “serieux” de celui qui a monté le site.



Il parait presque “logique” de privilégier un site dit “de confiance”, à un site qui n’a pas de certificat …



Les autres régies de pub sont trop mauvaises pour supporter le HTTPS ? rien ne les empeche de se mettre au niveau … ET TOUT LE MONDE SERA HEUREUX.


Bon…

Analogie:



Personne physique

Tuée= fin de vie



Personne morale

La faire couler = fin de vie. (équivalent tuer)



MAIS personne morale =/= personne physique

d’où conséquences juridiques différentes.



Difficile de faire plus simple.


donc tu as fait une hyperbole et pas une analogie.



Difficile de faire plus simple.


Mes précédents posts sur la définition et son application (le tout 1er) répondent à tes questions.



Comme dit plus haut, peu importe ce que les gens pensent veulent, ce n’est pas à google de choisir à leur place et encore moins d’en profiter pour y imposer ses solutions.



Si google était moins important ou le marché plus fractionné, cela ne poserait aucun problème (enfin… cela varierait selon les cas).

Mais dès que tu deviens un acteur en position dominante, les règles deviennent plus contraignantes.



Il y a une énorme littérature sur le sujet d’ailleurs.


Résumons…







js2082 a écrit :



Bon…

Analogie:









atomusk a écrit :



tu as fait une hyperbole





J’ai analysé les définitions et le procédé employé me semble plus proche d’une analogie…

Mais, je pense que la formulation peut faire penser à une hyperbole





js2082 a écrit :



on va dire que parce qu’une autre personne ne se comporte pas comme tu veux, alors tu vas la tuer???





“ l’hyperbole est une figure de style qui consiste à créer une exagération et permet d’exprimer un sentiment extrême, de manière à frapper les esprits.”



Vos deux versions se valent.









atomusk a écrit :



donc tu as fait une hyperbole et pas une analogie.



Difficile de faire plus simple.





Non.

Il n’y a aucun exagération, c’est exactement la même&nbsp; chose juridiquement parlant pas appliqué aux mêmes personnes.



On va voir si les régies publicitaires concurentes à celles de Google pensent comme toi et porteront plainte …



Mais au final, la plus grosse erreur de Google, si je résume bien, c’est d’avoir voulu être transparent sur la transition … si ils avaient gardé ça sous le couvert du “secret industriel” personne n’aurait trouvé à redire …&nbsp;


Tu veux dire que la menace de mort qui est considéré comme un crime et est condamnable à&nbsp;trois ans d’emprisonnement et à 45 000 euro, s’applique aussi juridiquement à une entreprise ?&nbsp;<img data-src=" />



&nbsp;


Donc c’est une analogie exagérée … donc c’est pas une analogie&nbsp;<img data-src=" />


si tu veux une analogie :&nbsp;

Dire que menacer de mort une entreprise c’est comme menacer de mort quelqu’un, par analogie, ça revient à dire que un dépos de bilan est un assassinat&nbsp;<img data-src=" />



Un dépos de bilan est moins grave ? alors menacer de mort une entreprise est moins grave que de menacer de mort quelqu’un …&nbsp;


Le dépos de bilan serait plus proche d’une crise cardiaque ou à la rigueur un suicide.


Si tu tiens à conserver tes certificats sécurisés :



http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog


Comme je le dit, je n’ai pas les compétences pour utiliser ce type de logiciel.


Le HTTPS généralisé pour du web est une fumisterie qui ne rassurera que les plus naïfs. Les plus grosses fuites de données étant généralement dûes à :





  • un piratage de base de données, avec mots de passe non-chiffrés (Sony)

  • chaise-clavier par exemple phishing, spywares en tous genres installés sur les machines

  • divulgation volontaire de données comme sur facebook ou twitter

  • portes dérobées connues des services de renseignement / pirates



    Chiffrer le seul transit des données ne changera absolument rien aux points ci-dessus, c’est donc s’attaquer à une infime source de vols de données et ne devrait donc pas être une priorité, et encore moins se voir imposé par les cowboys de chez Google.








Kernelcoffee a écrit :



SSL est une absurdité dans son implementation a cause des tiers de “confiance”.&nbsp;





Fric fric fric!









RRMX a écrit :



Le HTTPS généralisé pour du web est une fumisterie qui ne rassurera que les plus naïfs. Les plus grosses fuites de données étant généralement dûes à :





  • un piratage de base de données, avec mots de passe non-chiffrés (Sony)

  • chaise-clavier par exemple phishing, spywares en tous genres installés sur les machines

  • divulgation volontaire de données comme sur facebook ou twitter

  • portes dérobées connues des services de renseignement / pirates



    Chiffrer le seul transit des données ne changera absolument rien aux points ci-dessus, c’est donc s’attaquer à une infime source de vols de données et ne devrait donc pas être une priorité, et encore moins se voir imposé par les cowboys de chez Google.





    File tes login, mdp alors.



    De toute façon ça sert à rien de les cacher les services de renseignement les ont déjà.



Intéressant.



Point 1 : oui, il y a des gros nuls dans ce métier.

Point 2 : oui, c’est pas nouveau, la solution : apt-get upgrade user

Point 3 : oui, mais en tant qu’éditeur de service ce n’est pas ton problème.

Point 4 : oui, mais si le boulot est bien fait (de part et d’autre) ça commence à être plutôt délicat voire coûteux.



Mais si la connexion n’est pas chiffrée c’est encore plus facile…


Sur lafibre.info l’administrateur est passer en full https. Il y a un sujet d’ailleurs relatant l’aventure. C’est très instructif.








zefling a écrit :



Je suis dans le cas d’un serveur perso. Ça me reviens déjà plus de 280 € par an sans les domaines… Si en plus pour chaque domaine, voir sous domaine, je dois rajouter quelque chose, ça va plus être possible financièrement pour moi.







Pluzun.



Je suis à 120€ + 17€/an (NDD) pour mon site perso (hébergé par Infomaniak). La seule partie qui aurait besoin de passer en sécurité serait le forum et le blog d’actualités vu que ce sont les seules sections dynamiques. Pour le reste j’ai développé un “CMS” custom et tout le backoffice est en local chez moi… J’édite en local et il se contente d’uploader les pages converties en statique sur le FTP ensuite. <img data-src=" />



J’ai également un Kimsufi chez OVH qui me sert à héberger des trucs supplémentaires que mon hébergeur actuel ne me permet pas (et qui m’a permis de tester beaucoup de choses), genre Piwik pour les stats, une galerie photo, etc, et lui il a un Certif SSL fourni par Gandi.

Seul hic : le Certif SSL de base chez Gandi n’est valable que pour un unique domaine, donc pas de sous domaine. Résultat si je devais passer mon site entièrement en SSL, je perdrai les forum……com chat……com actu……com etc, ou alors je serais obligé de faire un truc dégueulasse. Et c’est 40 boules pour passer en multi domaines…

Projet futur, partir sur un SoYouStart d’OVH pour y regrouper mon site perso et les quelques conneries hébergées par le KS histoire de mutualiser les coûts. Mon site perso ne tapant que dans les 400 visiteurs par jour en heure de pointe vent dans le dos en descente, pas besoin d’un monstre de puissance… (le KS de merde que j’ai y survie bien avec Piwik <img data-src=" />)



Bref, c’est bien beau de prôner le SSL à tout va, mais ça n’est réalisable que pour ceux qui ont les moyens de le maintenir. J’espère surtout que ça ne condamne pas l’existence des sites perso… (je doute que beaucoup d’hébergeurs gratuits proposent le certif SSL… Et chez les payants j’imagine que c’est une option)



j’ai essayé de suivre votre discussion, et apparemment vous n’êtes pas d’accord sur la responsabilité de Google vis-à-vis de sa concurrence dans le monde (cynique) de la publicité (ciblée) et des services web “gratuits”.



Pour ma part, dans un sens je rejoins l’avis de atomusk dans le fait que Google n’a pas de responsabilité dans la survie de la concurrence. Par exemple, dans un autre domaine, quand Carrefour et E.Leclerc ont fait fermé des dizaines de milliers de petits commerces (en France et dans le Monde), ce sont les Etats qui ont mis en oeuvre des mesures d’aménagement urbain et d’aménagement du territoire.



En plus, rien ne dit que la norme https généralisée sur les services de Google fera couler / mourir / etc ses nombreux concurrents, ou d’autres entreprises incapables de s’adapter à la nouvelle situation de Google. Une partie de la concurrence saura certainement s’adapter (il n’y pas que Google dans la vie du web. En tout cas, pas encore…).



Dans un autre sens, je rejoins l’inquiétude de js2082 face à la présence de ce géant mondial des services web “gratuits” qui dévalorise et menace les initiatives régionales ou plus confidentielles de ses concurrents (concurrents publicitaires et concurrents dans le domaine des services web payants ou financés par la pub) pour tirer le profil d’un maximum d’individus et analyser en temps réel leurs comportements.








pthc a écrit :



StartSSL fait des certificats gratuits (ça doit bien être le seul).

Le certificat est basique : simple domaine, il faut créer un certificat pour chaque domaine ou sous domaine mais au moins c’est gratuit.







Je suis peut être grillé, mais Cacert le propose aussi. En revanche, leur certificat racine n’est pas inclus avec les navigateurs, il faut les installer (et donc dire à ces potentiels utilisateurs de le faire aussi). Ce qui est problématique pour mettre en place des solutions type HSTS ou HPKP qui ne doivent souffrir d’aucune erreur lors de la première connexion à un site. Or un navigateur qui ne reconnaît pas une autorité racine met des signalements à la noix genre “Oh lalal site de méchants pas gentils droit devant” et des donc une erreur <img data-src=" />









RRMX a écrit :



Le HTTPS généralisé pour du web est une fumisterie qui ne rassurera que les plus naïfs. Les plus grosses fuites de données étant généralement dûes à :





  • un piratage de base de données, avec mots de passe non-chiffrés (Sony)

  • chaise-clavier par exemple phishing, spywares en tous genres installés sur les machines

  • divulgation volontaire de données comme sur facebook ou twitter

  • portes dérobées connues des services de renseignement / pirates



    Chiffrer le seul transit des données ne changera absolument rien aux points ci-dessus, c’est donc s’attaquer à une infime source de vols de données et ne devrait donc pas être une priorité, et encore moins se voir imposé par les cowboys de chez Google.







    Oh mon dieu comme tu as raison. Vaut mieux chiffrer tous les backends mais surtout pas le moyen de transport.



    J’hallucine de lire autant de désinformation sur un site d’actualités informatique.



    A moins que tu ne veuilles que Google te référence en fonction de ton implementation de sécurité interne.



Pour une activité de consultation d’information, HTTPS est juste couteux. Pour un petit site d’information, ça ne sert à rien sur la lecture des articles.&nbsp;



Ensuite, c’est vendu comme la panacée, mais il faut voir les failles qui se sont produites ! Heartbleed consistait en une faille sur un composant de confiance. Ce composant étant complexe, peu de développeurs vont mettre le nez dedans, et les gens s’en servent en masse.



Je suis favorable à HTTPS, mais pas n’importe comment.








Groumfy a écrit :



Pour une activité de consultation d’information, HTTPS est juste couteux. Pour un petit site d’information, ça ne sert à rien sur la lecture des articles.&nbsp;



Ensuite, c’est vendu comme la panacée, mais il faut voir les failles qui se sont produites ! Heartbleed consistait en une faille sur un composant de confiance. Ce composant étant complexe, peu de développeurs vont mettre le nez dedans, et les gens s’en servent en masse.



Je suis favorable à HTTPS, mais pas n’importe comment.







Un site d’information, HTTPS pas utile ?



Tu n’as aucun login de connection ? Quid d’une injection qui change le contenu de l’information, créant ainsi un phénomène de panique (bourse, émotion, whatever).



Jamais entendu parler de morts de dirigeants annoncée par erreur et qui a eu un impact boursier ?



Y a encore du travail pour comprendre la valeur des données transitees…