Page 2 sur 4
Publié : 29 juin 2008, 18:14
par lolito
teoli2003 a écrit :Donc si j'ai bien compris, tu dis qu'il n'y aucun autre moyen pour que je puisse avoir confiance en ton certificat.
Je suis bien content que Firefox me dise qu'il n'est pas sûr. Puisqu'il ne l'est pas pour moi. Je n'ai aucune garantie que tu ne sois pas un pirate chinois utilisant ton CA pour faire des certificats falsifiés des banques de la place.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
n'importe quoi...et puis si tu parles de phishing, il y a déjà une fonction de prévue à cet effet dans firefox, non ?
Publié : 29 juin 2008, 19:01
par teoli2003
Ouah, l'argument! Donc valider les autorités de certification ne sert à rien parce qu'il y a une liste de sites de phishing? Et si la liste de phishing n'est pas à jour (ce qui est toujours le cas)?
C'est comme te dire, tu peux télécharger aveuglément un programme n'importe où parce que tu as un antivirus...
Moi, utilisateur lambda, je prétends que je n'ai aucune confiance dans les certificats que tu génères et que tu es incapable de me donner cette confiance autrement que par inclure ton certificat CA dans Firefox, car la j'ai la garantie de l'audit (il vaut ce qu'il vaut, mais c'est mieux que la parole d'un anonyme sur un forum).
Mon argument est facile à contrer: donne-moi les arguments qui feront que j'aurai confiance en ton certificat CA root pour garantir que tous les certificats que tu publies ne le sont qu'après vérification de la possession du nom de domaine par celui qui possède la clé privée associée.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
Publié : 29 juin 2008, 20:04
par lolito
teoli2003 a écrit :Ouah, l'argument! Donc valider les autorités de certification ne sert à rien parce qu'il y a une liste de sites de phishing? Et si la liste de phishing n'est pas à jour (ce qui est toujours le cas)?
C'est comme te dire, tu peux télécharger aveuglément un programme n'importe où parce que tu as un antivirus...
Ils utilisent une blacklist pour déterminer si un site est "phishé" ou pas ? Tu vois je ne le savais même pas. Niveau efficacité un gros foutage de gueule en +, hein ?
Notes bien pour le traçage c'est tip top...business is business, arff
teoli2003 a écrit :
Moi, utilisateur lambda, je prétends que je n'ai aucune confiance dans les certificats que tu génères et que tu es incapable de me donner cette confiance autrement que par inclure ton certificat CA dans Firefox, car la j'ai la garantie de l'audit (il vaut ce qu'il vaut, mais c'est mieux que la parole d'un anonyme sur un forum).
Mon argument est facile à contrer: donne-moi les arguments qui feront que j'aurai confiance en ton certificat CA root pour garantir que tous les certificats que tu publies ne le sont qu'après vérification de la possession du nom de domaine par celui qui possède la clé privée associée.
Non mais attends, est-ce que tu crois que le phishing a disparu depuis l'apparition des autorités de confiance ? Entre serveur de messagerie ou autre, a t on un message d'alerte pour acheminer les données par voie sécurisée (heureusement qu'on a le choix du serveur pour ne pas être emmerdé avec ce type d'alerte !), un serveur de clés publiques GRATUIT style pool.sks-keyservers.net, subkeys.pgp.net, pgp.mit.edu, etc, ne pourrait-il pas être introduit d'office dans les autorités de confiance de firefox ?
Le problème n'est pas que je prouve quoique ce soit, le problème est qu'on a pas d'autre choix que de passer par une autorité de confiance payante !
Et puis il suffit de faire avaler à un user une seule fois un cert bidon "via un site pourave" pour pouvoir lui faire avaler ensuite ce qu'on veut. Si on veut on peut. Par contre si on a aucune mauvaise intention là on est emmerdé...
Publié : 29 juin 2008, 21:46
par teoli2003
Lolito, tu as le chic pour essayer de noyer le poisson et ne pas répondre à la question qui est:
"Comment puis-je avoir la moindre garantie sur les certificats que tu produis?"
Je réponds pour toi:
Aucune (car pas d'audit). Donc il ne faut pas que Firefox indique qu'ils sont sûrs.
Le jour où tu accepteras un audit, on en rediscutera. En attendant, je, en tant qu'utilisateur, veux avoir un message m'indiquant que la chaîne des certificats n'est pas validée: car c'est la stricte vérité. Elle n'est pas validée.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
Publié : 29 juin 2008, 22:22
par lolito
Pas de problème, je me soumets à un audit ! heu au fait, t'en connais une socièté gratos qui fait ça ???
edit : et puis ce n'est pas parce que le certificat n'est pas validé par cette daube de firefox que le certificat est bidon, ok ?
Publié : 29 juin 2008, 22:42
par Jim
Et sinon, en prenant contact directement avec Mozilla... Ça donne quoi?
Publié : 29 juin 2008, 23:01
par lolito
ba logiquement ils vont te renvoyer sur une société d'audit ou une autorité de confiance (toutes 2 payantes)...point barre
Publié : 30 juin 2008, 00:09
par Rpkx
Salut,
Le seul site sur lequel j'ai vraiment besoin d'un accès sécurisé est celui de ma banque. Il a heureusement un certificat GlobalSign.
Pour le reste, je n'en ai absolument rien à cirer que les sites préférés de Mozilla soient en https. Je trouve cela complètement ridicule, surtout pour des téléchargements d'Addons. Microsoft lui-même n'a pas encore osé nous faire ce genre de coup bas. Windows Update n'utilise que des sites http, à ma connaissance. Mozilla voudrait-il être plus catho que le pape ?
Pour le reste, si Firefox continue à me faire ch... avec des conneries de ce genre, Opera deviendra mon navigateur principal, avant Fx et IE.
Ce serait dommage après avoir commencé avec Netscape Communicator vers 1996. Mais les meilleures choses ont une fin, quand les sociétés et les développeurs se moquent ouvertement de leur clients/utilisateurs.
Les quelques rares extensions que je trouve utiles dans Fx sont les seules raisons qui me le font préférer encore à Opera, mais je pourrais facilement m'en passer.
@+
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 30 juin 2008, 00:27
par Yoko
Je suis d'accord avec toi Rpkx sur ce que devient firefox. Mais non je veux du libre. Donc Epiphany iras très bien (ou SeyMonkey pourquoi pas ?).
Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9) Gecko/2008061015 Firefox/3.0
Publié : 30 juin 2008, 00:56
par Rpkx
Salut,
Mais non je veux du libre.
Moi aussi je suis pour le libre mais pas à n'importe quel prix !
Quelle différence entre le libre open source (de plus en plus hermétique avec leur formats alacon et des sources que seuls les initiés peuvent aller voir) et une société européenne commerciale mais sérieuse, qui offre des produits agréables, gratuits et performants.
Moi, l'utilisateur final, je demande surtout un bon produit qui fait ce qu'il annonce sans que je doive me prendre la tête.
Quand j'examine mon dossier Opera, tout y est, y compris mon profil en étant bien plus léger que Firefox avec un seul profil.
Je peux pratiquement tout voir et comprendre, voire éditer en utilisant UltraEdit alors que dans Fx et ses profils c'est devenu un vrai bric-à-brac, un foutoir où une chatte ne retrouverait pas ses jeunes, avec un mélange invraisemblable de fichiers texte au format DOS, Unix ou UTF-8 et autres extensions exotiques. Ras l'bol de leurs sqlite, xml et xul alacon. Ça n'aide pas à la transparence.
Si c'est ça le libre open source, moi je dis : "Courage, fuyons !"
@+
P. S. : J'ai remis mon avatar de loup montrant les crocs, ce n'est pas par hasard ! Je repars à la chasse aux cons, gros programme !
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 30 juin 2008, 01:01
par teoli2003
lolito a écrit :Pas de problème, je me soumets à un audit ! heu au fait, t'en connais une socièté gratos qui fait ça ???
Non, mais c'est toi qui veut faire un business avec cela. Etre CA sans business n'a pas de sens sans un financement, parce que garantir ce que l'on attend d'un CA cela à un coût non nul. Que tu fasses payer les
certificats ou pas, tu dois avoir un financement.
edit : et puis ce n'est pas parce que le certificat n'est pas validé par cette daube de firefox que le certificat est bidon, ok ?
Tout à fait d'accord, mais tu ne peux pas me le prouver. Tout le problème est là: comment peux-tu me prouver, toi CA, que les
certificats que tu crées ne sont pas bidons?
Tu esquives toujours cette question: tu renvoie toujours le problème dans l'autre sens. Mozilla t'incluera dans la liste des CA sûrs quand tu le lui prouveras. En attendant, il ne prendra pas le risque de t'indiquer comme sûr.
Et si tu arrives pas à nous convaincre nous tu ne convaincra pas Mozilla.
@rpkx: on ne parle pas de
certificats, mais d'autorité de certification, ce n'est pas la même chose. Lolito aimerait que les
certificats qu'il vend soit considérés comme sûrs par Firefox car il ne peut prouver à ses clients, et aux clients de ses clients, qu'il crée des
certificats dans les règles de l'art par un autre moyen. Et comme il ne veut pas d'audit (car payant), il se plaint d'un complot international capitaliste.
Il est parfaitement légitime de ne pas faire confiance à Mozilla (je contrôle les
certificats des sites importants comme ma banque via le hash qu'elle m'a fourni spontanément). Mais ce n'est pas le problème de lolito, c'est même le contraire, il aimerait te forcer à lui faire confiance même sans les garanties minimum que t'offre le contrôle de Mozilla. Alors que toi tu ne fais pas confiance à Mozilla (c'est ton droit légitime), il aimerait que tu lui fasses confiance sur parole.
Il ne répond jamais à la question "Pourquoi est-ce que je dois faire confiance à ses
certificats?" Il répond toujours à côté: c'est louche.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
Publié : 30 juin 2008, 01:30
par Rpkx
Salut,
Pour moi un rare certificat valide et à 101 % fiable est celui que délivre l'Etat et personne d'autre.
J'ai une carte d'identité électronique avec une pupuce (Diable merci, on ne me l'a pas encore mise sous la peau du cou comme à mon Rocky), un lecteur de cartes à puces offert par l'état et donc une signature certifiée par l'Etat belche, mais big problème, ils ont demandé à un société quelconque d'écrire le programme de lecture de la carte et celui-ci quand j'ai réussi à l'installer une première fois était tellement mal fichu que je ne m'en suis servi qu'une fois pour le tester.
J'ai essayé hier de le réinstaller : erreur sur erreurs. Bref, encore de l'argent fichu en l'air bêtement sur le dos du con-tribuable.
Pour en revenir aux signatures de mail et de fichiers, PGP me suffit. Si nous nous connaissons, même si nous ne nous sommes jamais rencontrés physiquement, je peux t'envoyer ma clé publique en PJ d'un mail et un mail signé dans les minutes qui suivent.
Tu pourras vérifier celle-ci sur un serveur de clés et le fait qu'elle renseigne mon adresse principale chez mon FAI et non yahoo.fr ou hotmail.com est déjà une garantie. Je peux encore ensuite t'envoyer des copies de ma carte d'identité, mon permis de conduire et autres pièces personnelles.
Tout ça est finalement plus sûr que ce que demande Thawte pour me délivrer un certificat Premium qui coûte la peau des ...
@+
Rpkx
PGP Key ID 0x505AC98A
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 30 juin 2008, 02:28
par lolito
teoli2003 a écrit :
Lolito aimerait que les certificats qu'il vend soit considérés comme sûrs par Firefox car il ne peut prouver à ses clients, et aux clients de ses clients, qu'il crée des certificats dans les règles de l'art par un autre moyen. Et comme il ne veut pas d'audit (car payant), il se plaint d'un complot international capitaliste.
Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là
bye (et je pars sans grossiéreté à ton encontre
)
ps : pour les abrutis qui n'auraient rien compris, je ne vends strictement rien ! Un geek je suis ! bouffon...que dis-je, petit adepte de merde !
ps2 : bienvenu dans la secte mozilla, nouvel adepte...
Publié : 30 juin 2008, 07:34
par Omnisilver
Rpkx a écrit :Pour le reste, je n'en ai absolument rien à cirer que les sites préférés de Mozilla soient en https. Je trouve cela complètement ridicule, surtout pour des téléchargements d'Addons. Microsoft lui-même n'a pas encore osé nous faire ce genre de coup bas. Windows Update n'utilise que des sites http, à ma connaissance. Mozilla voudrait-il être plus catho que le pape ?
Ah, donc Microsoft et IE sont la référence pour toi Rpkx ?
Heureusment que Mozilla prend des initiatives par rapport à IE ...
lolito a écrit :Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là Clin d'oeil
L'argument ultime : t'as tort et j'ai raison donc tais-toi. Mmmm ça me fait tout de suite réfléchir.
Bon pour en revenir au sujet principal, je trouve également normal que Firefox me signale qu'un certificat n'est pas sûr car auto-signé et/ou non-vérifié, mais je trouve que c'est fait de façon trop alarmiste. Je ne vois pas d'autre solution qu'un audit de l'organisme certificateur, forcément payant vu qu'il faut du personnel qualifié et accrédité pour l'effectuer.
On en revient à ce qu'a'
a dit Benoit concernant CAcert (il y a d'autres organismes certificateurs gratuits ?), l'audit est en cours, dommage qu'il n'ait pas aboutit avant la sortie de Firefox 3.
Omni, auditeur dans la vraie vie (mais pas dans les logiciels)
Publié : 30 juin 2008, 08:10
par teoli2003
lolito a écrit :
Ecoutes teoli2003, si tu n'as rien d'autre à dire que des conneries pareilles, un conseil fermes-là
Encore une fois tu refuses de répondre à la question. C'est plus simple, heing?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0