Comments on: Pourquoi obliger le SSL par défaut est une grosse connerie

By: J'informatique

J'informatique — Fri, 29 May 2015 12:06:24 +0000

Mais concrètement comme solution, pourriez-vous proposer des alternatives ? Ou peut-être que si elle existait ça se saurait.

Et pour celui qui aimerait faire son site de manière décentralisé sans passer ni par HTTP car c’est en clair sur le réseau, ni en HTTPS à cause du fonctionnement actuel, ni en utilisant lestencrypt car single point of failure, il y a quoi comme possibilité ?

By: HLFH

HLFH — Thu, 21 May 2015 12:21:23 +0000

Je crois malgré tout que l’accoutumance à la dictature n’est pas majoritaire. Nous, en tant que communauté libriste, sommes une minorité, mais la majorité silencieuse est là, et ne laissera pas tout faire, car elle agit, et agira toujours pour ses valeurs et ne sera jamais aliéné par l’aristocratie de l’argent. Ou du moins, par l’insurrection des consciences, la majorité silencieuse prend acte de ses faiblesses et se révolte en conséquence.

By: Pinailleur

Pinailleur — Mon, 18 May 2015 18:32:52 +0000

@Sam

Je suis bien d’accord sur ces points, nous restons une minorite, les gros et les gouvernements continuent de faire rentrer le poisson.

Le HTTPS requis pour HTTP/2 c’est tres dommage, car TLS et HTTP sont differents, le HTTP/2 devient un nouveau protocole a lui seul et c’est un probleme, surtout pour remplacer un protocole si largement utilise.

Et bien sur, un avis différent est justement celui qu’il faut exprimer le plus, ça permet de prendre plus de chose en compte.

By: Sam

Sam — Fri, 15 May 2015 18:57:26 +0000

Tous les exemples que tu cites ne concernent qu'une minorité de personnes : les gens qui s'y connaissent en technique. Mais au final les DRM sont quand même intégré dans Firefox, le blocage DNS est quand même arrivé en France, la loi sur la surveillance numérique est passé, les systèmes libres et ouverts sont toujours la minorité (et des versions plus verouillées font du pognon chez les majors), les petits sites de video se mangent des DMCA tous les jours, les majors se sont bien sponsorisés sur l'hadopi qui n'a servi qu'à remplir leurs poches, la plupart des contenus sont vendus via des media verrouillés (itunes, netflix...), les appareils les plus vendus sont des ordinateurs bridés (les téléphones et tablettes) et snowden est toujours un fugitif. Tu peux compter les virgules (forks, bidouillages de contournement, avancées techniques temporaires, petits communautés solidaires) tant que tu veux, quand on est sur des puissances de 10, ça n'influence pas les scores.

Et oui, HTTPS sera requis pour HTTP2, alors que ce n'est pas nécessaire. Je sais que mon avis ne sera pas pris en compte, ça ne veut pas dire qu'il ne faut pas l'exprimer.

By: HLFH

HLFH — Fri, 15 May 2015 17:50:47 +0000

Je crois que personne n’a de “vision purement technique du monde”.

Non, les majors ne l’emportent pas toujours sur le long terme. Lorsqu’il s’agit de logiciel libre et de gouvernance ouverte, nous pouvons avoir des projets libres comme Popcorn Time (streaming vidéo) et Atraci (streaming musical) qui perdurent malgré l’agressivité des majors. Le fork de Firefox Pale Moon ne supportera pas les Encrypted Media Extensions. ThePirateBay est revenu des morts en février 2015… https://ploum.net/lorsque-lindustrie-fait-son-deuil/

Le chiffrement sera requis (TLS 1.2 et supérieur) pour HTTP2 grâce à l’implémentation des clients : https://en.wikipedia.org/wiki/HTTP/2#Encryption_2 : on ne suivra pas ton avis.

By: Sam

Sam — Thu, 14 May 2015 12:25:04 +0000

En effet. Je ne serai jamais d'accord avec une vision purement technique du monde. Il y a des humains derrière les machines, c'est pour ça que les majors l'emportent toujours sur le long terme et que les geeks restent entre eux. Les majors jouent la carte des humains, et les geeks jouent la carte de la technique. La première gagne toujours.

By: HLFH

HLFH — Thu, 14 May 2015 12:09:56 +0000

Nous ne serons jamais d’accord. HTTPS ne rentre pas dans le champ politique et social. Il est vain d’intellectualiser et d’échapper HTTPS de son cadre technique. HTTPS avec TLS est plus sécurisé que HTTP, le principe des autorités centrales peut être remis en cause mais c’est une avancée. L’informatique n’adopte pas assez vite les standards, c’est une excellente idée que de forcer leur adoption par tous les moyens. C’est pas comme si l’adoption d’IPv6 n’était pas ralentie. A un moment, les grands acteurs doivent prendre des décisions responsables, et faire du mieux pour que la technologie avance et que la fracture numérique se réduise. Jusqu’à présent, HTTPS profite aux internautes dans la plupart des cas : c’est le statu quo. Avec la surveillance numérique propulsée au filtrage par DPI, tous les moyens de chiffrement sont bons pour être protégés. Tu remets en question de manière ridicule le forcing vers HTTPS. Tout n’est pas noir, tout n’est pas blanc. Il y aura toujours des alternatives, des garde-fous qui nous empêcheront d’être ce que nous critiquons.

By: Name

Name — Wed, 13 May 2015 21:57:49 +0000

@Gring : Je ne pense pas que la différence soit technique, mais plutôt qu’elle se distingue en fonction du protocole de validation suite à une demande de certificat. Si l’autorité doit envoyer quelqu’un au siège d’une entreprise pour vérifier que la demande de cette dernière est réelle (pas une usurpation), normal que ça coûte plus cher ! :D Du coup, la méthode de vérification est renseignée dans le certificat pour que des logiciels ajoutent des étoiles, mettent une meilleure note ou une plus jolie couleur lorsque la suite cryptographique est analyée.

By: Gring

Gring — Wed, 13 May 2015 13:12:49 +0000

D’un point de vue technique, je ne comprends jamais la différence entre les certificats ssl à 10€ et ceux à 250€. Sur les sites de vendeurs de certificats, ils se contentent de dire que les certificats chers ont une sécurité cinq étoiles alors que les pas chers trois.

Si quelqu’un a un lien vers une explication concrète et sans bullshit, je suis prenneur.

By: Sam

Sam — Tue, 12 May 2015 09:27:36 +0000

Je vais répéter ce que j'ai dis plus haut alors, parce que faut que ça rentre :

madame michou fuit devant les certificats auto signés
les grosses entités peuvent produire des certificats valides qui se font passer pour tous les sites auprès de la plupart des navigateurs. La surveillance de masse ne sera pas ralentie.
je ne dis pas que SSL est mauvais, je dis que politiquement et socialement, imposer SSL est une connerie