Certificats de sécurité, humpf!

Quand tout est (trop ?) bien organisé, il y a besoin d'une ouverture. Ici on parle de tout, mais pas de n'importe quoi et toujours dans le respect d'autrui, vous êtes prévenus.
lolito
Gecko
Messages : 50
Inscription : 25 févr. 2007, 13:59

Message par lolito »

teoli2003 a écrit :Donc si j'ai bien compris, tu dis qu'il n'y aucun autre moyen pour que je puisse avoir confiance en ton certificat.

Je suis bien content que Firefox me dise qu'il n'est pas sûr. Puisqu'il ne l'est pas pour moi. Je n'ai aucune garantie que tu ne sois pas un pirate chinois utilisant ton CA pour faire des certificats falsifiés des banques de la place.


Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
n'importe quoi...et puis si tu parles de phishing, il y a déjà une fonction de prévue à cet effet dans firefox, non ?
teoli2003
Animal mythique
Messages : 7580
Inscription : 13 nov. 2005, 09:23

Message par teoli2003 »

Ouah, l'argument! Donc valider les autorités de certification ne sert à rien parce qu'il y a une liste de sites de phishing? Et si la liste de phishing n'est pas à jour (ce qui est toujours le cas)?

C'est comme te dire, tu peux télécharger aveuglément un programme n'importe où parce que tu as un antivirus...

Moi, utilisateur lambda, je prétends que je n'ai aucune confiance dans les certificats que tu génères et que tu es incapable de me donner cette confiance autrement que par inclure ton certificat CA dans Firefox, car la j'ai la garantie de l'audit (il vaut ce qu'il vaut, mais c'est mieux que la parole d'un anonyme sur un forum).

Mon argument est facile à contrer: donne-moi les arguments qui feront que j'aurai confiance en ton certificat CA root pour garantir que tous les certificats que tu publies ne le sont qu'après vérification de la possession du nom de domaine par celui qui possède la clé privée associée.


Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
lolito
Gecko
Messages : 50
Inscription : 25 févr. 2007, 13:59

Message par lolito »

teoli2003 a écrit :Ouah, l'argument! Donc valider les autorités de certification ne sert à rien parce qu'il y a une liste de sites de phishing? Et si la liste de phishing n'est pas à jour (ce qui est toujours le cas)?

C'est comme te dire, tu peux télécharger aveuglément un programme n'importe où parce que tu as un antivirus...
Ils utilisent une blacklist pour déterminer si un site est "phishé" ou pas ? Tu vois je ne le savais même pas. Niveau efficacité un gros foutage de gueule en +, hein ? :)

Notes bien pour le traçage c'est tip top...business is business, arff ;)
teoli2003 a écrit : Moi, utilisateur lambda, je prétends que je n'ai aucune confiance dans les certificats que tu génères et que tu es incapable de me donner cette confiance autrement que par inclure ton certificat CA dans Firefox, car la j'ai la garantie de l'audit (il vaut ce qu'il vaut, mais c'est mieux que la parole d'un anonyme sur un forum).

Mon argument est facile à contrer: donne-moi les arguments qui feront que j'aurai confiance en ton certificat CA root pour garantir que tous les certificats que tu publies ne le sont qu'après vérification de la possession du nom de domaine par celui qui possède la clé privée associée.
Non mais attends, est-ce que tu crois que le phishing a disparu depuis l'apparition des autorités de confiance ? Entre serveur de messagerie ou autre, a t on un message d'alerte pour acheminer les données par voie sécurisée (heureusement qu'on a le choix du serveur pour ne pas être emmerdé avec ce type d'alerte !), un serveur de clés publiques GRATUIT style pool.sks-keyservers.net, subkeys.pgp.net, pgp.mit.edu, etc, ne pourrait-il pas être introduit d'office dans les autorités de confiance de firefox ?

Le problème n'est pas que je prouve quoique ce soit, le problème est qu'on a pas d'autre choix que de passer par une autorité de confiance payante !

Et puis il suffit de faire avaler à un user une seule fois un cert bidon "via un site pourave" pour pouvoir lui faire avaler ensuite ce qu'on veut. Si on veut on peut. Par contre si on a aucune mauvaise intention là on est emmerdé...
teoli2003
Animal mythique
Messages : 7580
Inscription : 13 nov. 2005, 09:23

Message par teoli2003 »

Lolito, tu as le chic pour essayer de noyer le poisson et ne pas répondre à la question qui est:

"Comment puis-je avoir la moindre garantie sur les certificats que tu produis?"

Je réponds pour toi:
Aucune (car pas d'audit). Donc il ne faut pas que Firefox indique qu'ils sont sûrs.

Le jour où tu accepteras un audit, on en rediscutera. En attendant, je, en tant qu'utilisateur, veux avoir un message m'indiquant que la chaîne des certificats n'est pas validée: car c'est la stricte vérité. Elle n'est pas validée.


Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
lolito
Gecko
Messages : 50
Inscription : 25 févr. 2007, 13:59

Message par lolito »

Pas de problème, je me soumets à un audit ! heu au fait, t'en connais une socièté gratos qui fait ça ???

edit : et puis ce n'est pas parce que le certificat n'est pas validé par cette daube de firefox que le certificat est bidon, ok ?
Dernière modification par lolito le 29 juin 2008, 23:41, modifié 1 fois.
Jim
Tyrannosaurus Rex
Messages : 3228
Inscription : 20 juil. 2005, 14:34

Message par Jim »

Et sinon, en prenant contact directement avec Mozilla... Ça donne quoi?
Image
lolito
Gecko
Messages : 50
Inscription : 25 févr. 2007, 13:59

Message par lolito »

ba logiquement ils vont te renvoyer sur une société d'audit ou une autorité de confiance (toutes 2 payantes)...point barre :roll:
Rpkx
Varan
Messages : 1202
Inscription : 13 nov. 2006, 14:39

Message par Rpkx »

Salut,

Le seul site sur lequel j'ai vraiment besoin d'un accès sécurisé est celui de ma banque. Il a heureusement un certificat GlobalSign.

Pour le reste, je n'en ai absolument rien à cirer que les sites préférés de Mozilla soient en https. Je trouve cela complètement ridicule, surtout pour des téléchargements d'Addons. Microsoft lui-même n'a pas encore osé nous faire ce genre de coup bas. Windows Update n'utilise que des sites http, à ma connaissance. Mozilla voudrait-il être plus catho que le pape ?

Pour le reste, si Firefox continue à me faire ch... avec des conneries de ce genre, Opera deviendra mon navigateur principal, avant Fx et IE.

Ce serait dommage après avoir commencé avec Netscape Communicator vers 1996. Mais les meilleures choses ont une fin, quand les sociétés et les développeurs se moquent ouvertement de leur clients/utilisateurs.

Les quelques rares extensions que je trouve utiles dans Fx sont les seules raisons qui me le font préférer encore à Opera, mais je pourrais facilement m'en passer.

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
Yoko
Varan
Messages : 1203
Inscription : 13 nov. 2005, 11:47

Message par Yoko »

Je suis d'accord avec toi Rpkx sur ce que devient firefox. Mais non je veux du libre. Donc Epiphany iras très bien (ou SeyMonkey pourquoi pas ?).

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9) Gecko/2008061015 Firefox/3.0
Membre auto-bannis du forum
Rpkx
Varan
Messages : 1202
Inscription : 13 nov. 2006, 14:39

Message par Rpkx »

Salut,
Mais non je veux du libre.
Moi aussi je suis pour le libre mais pas à n'importe quel prix !

Quelle différence entre le libre open source (de plus en plus hermétique avec leur formats alacon et des sources que seuls les initiés peuvent aller voir) et une société européenne commerciale mais sérieuse, qui offre des produits agréables, gratuits et performants.
Moi, l'utilisateur final, je demande surtout un bon produit qui fait ce qu'il annonce sans que je doive me prendre la tête.

Quand j'examine mon dossier Opera, tout y est, y compris mon profil en étant bien plus léger que Firefox avec un seul profil.
Je peux pratiquement tout voir et comprendre, voire éditer en utilisant UltraEdit alors que dans Fx et ses profils c'est devenu un vrai bric-à-brac, un foutoir où une chatte ne retrouverait pas ses jeunes, avec un mélange invraisemblable de fichiers texte au format DOS, Unix ou UTF-8 et autres extensions exotiques. Ras l'bol de leurs sqlite, xml et xul alacon. Ça n'aide pas à la transparence.

Si c'est ça le libre open source, moi je dis : "Courage, fuyons !"

@+

P. S. : J'ai remis mon avatar de loup montrant les crocs, ce n'est pas par hasard ! Je repars à la chasse aux cons, gros programme !

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Dernière modification par Rpkx le 30 juin 2008, 01:12, modifié 1 fois.
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
teoli2003
Animal mythique
Messages : 7580
Inscription : 13 nov. 2005, 09:23

Message par teoli2003 »

lolito a écrit :Pas de problème, je me soumets à un audit ! heu au fait, t'en connais une socièté gratos qui fait ça ???
Non, mais c'est toi qui veut faire un business avec cela. Etre CA sans business n'a pas de sens sans un financement, parce que garantir ce que l'on attend d'un CA cela à un coût non nul. Que tu fasses payer les certificats ou pas, tu dois avoir un financement.

edit : et puis ce n'est pas parce que le certificat n'est pas validé par cette daube de firefox que le certificat est bidon, ok ?
Tout à fait d'accord, mais tu ne peux pas me le prouver. Tout le problème est là: comment peux-tu me prouver, toi CA, que les certificats que tu crées ne sont pas bidons?

Tu esquives toujours cette question: tu renvoie toujours le problème dans l'autre sens. Mozilla t'incluera dans la liste des CA sûrs quand tu le lui prouveras. En attendant, il ne prendra pas le risque de t'indiquer comme sûr.
Et si tu arrives pas à nous convaincre nous tu ne convaincra pas Mozilla.

@rpkx: on ne parle pas de certificats, mais d'autorité de certification, ce n'est pas la même chose. Lolito aimerait que les certificats qu'il vend soit considérés comme sûrs par Firefox car il ne peut prouver à ses clients, et aux clients de ses clients, qu'il crée des certificats dans les règles de l'art par un autre moyen. Et comme il ne veut pas d'audit (car payant), il se plaint d'un complot international capitaliste.

Il est parfaitement légitime de ne pas faire confiance à Mozilla (je contrôle les certificats des sites importants comme ma banque via le hash qu'elle m'a fourni spontanément). Mais ce n'est pas le problème de lolito, c'est même le contraire, il aimerait te forcer à lui faire confiance même sans les garanties minimum que t'offre le contrôle de Mozilla. Alors que toi tu ne fais pas confiance à Mozilla (c'est ton droit légitime), il aimerait que tu lui fasses confiance sur parole.

Il ne répond jamais à la question "Pourquoi est-ce que je dois faire confiance à ses certificats?" Il répond toujours à côté: c'est louche.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
Rpkx
Varan
Messages : 1202
Inscription : 13 nov. 2006, 14:39

Message par Rpkx »

Salut,

Pour moi un rare certificat valide et à 101 % fiable est celui que délivre l'Etat et personne d'autre.

J'ai une carte d'identité électronique avec une pupuce (Diable merci, on ne me l'a pas encore mise sous la peau du cou comme à mon Rocky), un lecteur de cartes à puces offert par l'état et donc une signature certifiée par l'Etat belche, mais big problème, ils ont demandé à un société quelconque d'écrire le programme de lecture de la carte et celui-ci quand j'ai réussi à l'installer une première fois était tellement mal fichu que je ne m'en suis servi qu'une fois pour le tester.

J'ai essayé hier de le réinstaller : erreur sur erreurs. Bref, encore de l'argent fichu en l'air bêtement sur le dos du con-tribuable.

Pour en revenir aux signatures de mail et de fichiers, PGP me suffit. Si nous nous connaissons, même si nous ne nous sommes jamais rencontrés physiquement, je peux t'envoyer ma clé publique en PJ d'un mail et un mail signé dans les minutes qui suivent.

Tu pourras vérifier celle-ci sur un serveur de clés et le fait qu'elle renseigne mon adresse principale chez mon FAI et non yahoo.fr ou hotmail.com est déjà une garantie. Je peux encore ensuite t'envoyer des copies de ma carte d'identité, mon permis de conduire et autres pièces personnelles.

Tout ça est finalement plus sûr que ce que demande Thawte pour me délivrer un certificat Premium qui coûte la peau des ...

@+

Rpkx
PGP Key ID 0x505AC98A

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
lolito
Gecko
Messages : 50
Inscription : 25 févr. 2007, 13:59

Message par lolito »

teoli2003 a écrit : Lolito aimerait que les certificats qu'il vend soit considérés comme sûrs par Firefox car il ne peut prouver à ses clients, et aux clients de ses clients, qu'il crée des certificats dans les règles de l'art par un autre moyen. Et comme il ne veut pas d'audit (car payant), il se plaint d'un complot international capitaliste.
Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là ;)

bye (et je pars sans grossiéreté à ton encontre ;))

ps : pour les abrutis qui n'auraient rien compris, je ne vends strictement rien ! Un geek je suis ! bouffon...que dis-je, petit adepte de merde !

ps2 : bienvenu dans la secte mozilla, nouvel adepte...
Omnisilver
Tyrannosaurus Rex
Messages : 2359
Inscription : 26 juin 2004, 19:44

Message par Omnisilver »

Rpkx a écrit :Pour le reste, je n'en ai absolument rien à cirer que les sites préférés de Mozilla soient en https. Je trouve cela complètement ridicule, surtout pour des téléchargements d'Addons. Microsoft lui-même n'a pas encore osé nous faire ce genre de coup bas. Windows Update n'utilise que des sites http, à ma connaissance. Mozilla voudrait-il être plus catho que le pape ?
Ah, donc Microsoft et IE sont la référence pour toi Rpkx ? :roll: Heureusment que Mozilla prend des initiatives par rapport à IE ... :mrgreen:
lolito a écrit :Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là Clin d'oeil
L'argument ultime : t'as tort et j'ai raison donc tais-toi. Mmmm ça me fait tout de suite réfléchir.

Bon pour en revenir au sujet principal, je trouve également normal que Firefox me signale qu'un certificat n'est pas sûr car auto-signé et/ou non-vérifié, mais je trouve que c'est fait de façon trop alarmiste. Je ne vois pas d'autre solution qu'un audit de l'organisme certificateur, forcément payant vu qu'il faut du personnel qualifié et accrédité pour l'effectuer.

On en revient à ce qu'a'a dit Benoit concernant CAcert (il y a d'autres organismes certificateurs gratuits ?), l'audit est en cours, dommage qu'il n'ait pas aboutit avant la sortie de Firefox 3.

Omni, auditeur dans la vraie vie (mais pas dans les logiciels)
teoli2003
Animal mythique
Messages : 7580
Inscription : 13 nov. 2005, 09:23

Message par teoli2003 »

lolito a écrit :
Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là ;)
Encore une fois tu refuses de répondre à la question. C'est plus simple, heing?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
Répondre

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 5 invités