Firefox 3 : Catastrophique barre d’adresse avec https

[teoli2003]

Et aura vérifié que le nom de domaine est bien enregistré par BNP.

Non, ils ne le font pas tous.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

Ah enfin d'accord... exactement pareil pour les EV.

Une porte de maison super blindé façon CIA avec dessus écrit Blindage en rouge fluo.
Le pirate arrive et dit : "Superbe porte, c'est du beau boulot" il fait demi tour et fait le tour de la maison et entre par la porte de derrière qui est toujours ouverte, entre dans la maison fait le vide dégage en rigolant.

Un certificat SSL c'est la même chose, le pirate voit SSL et passe par derrière et hop fait la même chose. Les certificats SSL ne servent qu'a ça. Il ne protège pas les données mais seulement la transmission de ces données et pas leur stockages.

Conclusion : Morine a bien raison, B to B what else rien ne sert de blindé la porte de devant si tout est ouvert derrière. Derrière je parle de toutes les failles de sécurités coté serveur non mises à jour, des stockages de cartes bancaires en clair sur des bases mysql etc etc

Le pirate sont des QI ++ et non pas de temps a perdre à casser des clefs SSL inviolables même en auto signé, ils vont au plus court et au plus facile.
L'internaute lambda, n'a pas de firewal en dur, souvent pas d'anti-virus ou complètement obsolète, ouvre toute les pièces jointes avec sexe écrit dessus, et vous me parler de sécurité... MDR ++++

[teoli2003]

Il ne protège pas les données mais seulement la transmission de ces données et pas leur stockages.

C'est pourquoi Fx3 a laissé tomber le paradigme du cadenas. Ainsi Fx3 n'induit pas ses utilisateurs en erreur.

(PS: tu as dévié du sujet qui était l'authentification; visiblement tu n'avais pas d'argument).


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[plb67]

moi tout ce que je constate c'est que firefox 3 me donne une barre verte pour https://www.labanquepostale.fr/index.html (certificat EV)
IE7 me donne une barre verte aussi !
les infos sont : la banque postale, paris 15, paris fr pour les deux navigateurs
images :



Firefox 3 me donne une barre bleue pour https://www.secure.bnpparibas.net/ (SSL)
IE7 me donne un petit cadenas bleu pour le même site
aucune info sur le propriétaire de l'adresse ni sur IE7 ni sur firefox 3 pour le site bnp
images :



Pour moi les infos des 2 navigateurs sont identiques !

après l'obtention ou non de certificat EV ...
mais je ne trouve pas que IE7 ou FF3 induis ni plus ni moins en erreur


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[atos]

En résumé:
business is business.
What else ?

C'est clair comme de l'eau de source.
Sinon, à quoi ça servirait de semer la panique chez les utilisateurs de Firefox 3 et emmerder les hébergeurs hein ?
What else ?

[danyb]

teoli2003 je renonce à t'expliquer quoi que ce soit pour fini dernière info le cadenas et toujours présent sur Firefox 3 en bas à droite....

plb67 excellente info la poste à craqué, mais pas le gouvernement français qui a toujours des certificats non EV un comble non.
d'ailleurs la question se pose, https://impots.gouv.fr est t'il bien français, j'ai un doute, Firefox 3 me dit que le détenteur du certificat est inconnu

Aujourdh'ui 19 juin 2008

BNP : Pas de EV
Caisse d'épargne : Pas de EV
Credit Lyonnais : Pas de EV
Societe Générale : Pas de EV

Dans l'histoire qui va gagner ??? réponse : Verisign avec l'aide surprise et inattendue de Mozilla avec Firefox 3, et là je suis plutôt surpris



Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[atos]

Firefox 3 non compatible avec le site des impôts, ça a bien fait rigoler aussi.....(si on peut dire).
Combien d'heures passées avec cette connerie......

Peut-être que le problème de mozilla à vouloir grossir, c'est aussi pour pouvoir passer de juteux contrats avec certaines sociétés dites "incontournables" et monopolistisques, monopole que mozilla va contribuer à renforcer.
Ha le méchant monopole de M$......

teoli2003: dis nous tous:
es-tu indemnisé par Mozilla ? Google ? ou directement VeriSign pour être autant arc-bouté sur ta position.....
Plus que suspect ton comportement.

[danyb]

ENFIN... ouf
Du nouveau tout chaud Mozilla à écrit la mise à jour de la restauration de l'ancienne barre d'adresse. Reste à la sortir du pack 3.0

Source : http://www.pcinpact.com/astuces/optimis ... dresse.htm

Voici l'adresse de la restauration https://addons.mozilla.org/fr/firefox/addon/6227

[plb67]

la 'oldbar' me donne un cadenas bleu pour bnp ou labanquepostale, dont le détenteur est INCONNU pour les 2 sites !
je préfère autant la awesome bar.

Maintenant dans Firefox 3 la plupart des adresses SSL sont en bleu et donc indique un détenteur inconnu ce qui est totalement faux pour in certificat SSL valide.

par contre ton post d'origine, danyb, disait que FF3 fait une erreur, et si tu regarde bien entre IE7 et FF3, c'est la même info.
vert pour certificat EV et bleu pour SSL avec info vérifiés ou non en fonction du EV ou SSL

donc c'est pas FF3 qui est en cause, mais purement et simplement la façon dont le EV est traité par CES 2 NAVIGATEURS, me trompe-je ?



Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

plb67, je me fou un peu de la couleur de la barre d'adresse, avant elle était jaune et Verisign n'aime pas le jaune.

Ce qui importe c'est de ne pas mettre un doute supplémentaire dans l'esprit des gens en soulignant en bleu et disant ce certificat existe mais ont ne sait pas qui est derrière en marquant inconnu, ce qui est FAUX, FALSE. Ce que ne fait pas IE7 ou aucun autres.

Je signale au passage que beaucoup de Webmasters sont en plein dedans et ne savent pas comment faire.

Bon effectivement l'ancienne barre ne change rien...

[plb67]

oups j'ai édité mon post avant ta réponse.
IE7 ne fait que recopier l'adresse du site ssl ou tu te trouve, et en aucun cas n'apporte plus ou moins d'info que FF3.
pour preuve mes images.

ssl = sécurisée sans info de détenteur sur ie7 et ff3
ev = sécurisé avec les infos de detenteur sur IE7 et FF3

pour moi l'info est la même, sauf l'affichage de l'addresse du site ou tu te trouve sur ie7 comme détenteur

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

PLEASE SVP arrêtons de parler de EV.

On oublie les EV

Dans ton exemple très visuel l'on voit bien un discrimination colossale en disant inconnu à la limite de l'intox dans Firefox et rien dans IE7.

Ouvre un certificat au hasard et regarde dans la source :

Emetteur tu auras :
CN = VeriSign Class 3 Secure Server CA
OU = Terms of use at https://www.verisign.com/rpa (c)05
OU = VeriSign Trust Network
O = VeriSign, Inc.
C = US

et dans sujet tu auras

CN = www.google.fr
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign
OU = Terms of use at www.verisign.fr/rpa (c)05
O = GOOGLE
L = SAN FRANSCISCO
ST = CA
C = US

Il ne faut pas dire n'importe quoi, l'information, vrai ou fausse existe dans la structure binaire du certificat.

Il suffit que Firefox 3 lise le certificat en entier sans faire de commentaire, ce n'est pas le rôle de Firefox de dire si le propriétaire est connu ou inconnu, et je ne vois surtout pas comment il peuvent dire cela.

[danyb]

Un petit dernier ici https://www.entrust.net/ pas de EV... un comble MDR

Or si tu cliques sur le petit carré gris en bas de page avec entrust en rouge tu as tout et l'adresse postale comme dans tous les certificats.

C'est la même chose pour les autres, les secure seal de verisign c'est pareil.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[Benoit]

Pour ceux que ça intéresse et qui ne l'avaient pas deviné, les visiteurs « atos » et « morine » qui se donnent raison l'un l'autre utilisent la même connexion Internet (ou plutôt la même manière de masquer leur connexion).

[calimo]

FAUX il y a les deux contrôles nom de domaine et K-bis du moins chez verisign. J'achète mes SSL normaux depuis 1997 chez eux.

Faux, puisqu'il a été possible de faire émettre des certificats "Microsoft" (CF http://www.microsoft.com/technet/securi ... 1-017.mspx).
Avec EV les pratiques sont standardisées avec un plus haut niveau de sécurité défini dans des guidelines.

La seule différence et le montant du chèque.

Une telle allégation est très grave, et mérite d'être rapportée ailleurs que sur le forum de Geckozone.
Si tu as des preuves de ce que tu avances, et qu'une CA reconnue par Mozilla ne respecte pas les Mozilla CA Certificate Policy alors ouvre un bug sur bugzilla. Tout le reste est inutile.

Je vais finir par contacter l'AFP pour leur donner ma version des faits, en leur expliquant, preuve à l'appui que Firefox à un GROS bug de sécurité en ne publiant pas la totalité des informations des certificats, car pour l'instant je n'ai aucune réponse de Mozila france à mon email.

Et par retourner à IE ?

Source : http://www.pcinpact.com/astuces/optimis ... dresse.htm

C'est bien connu, PCImpact est l'agence de presse officielle de Mozilla.
D'ailleurs ils ne racontent jamais de bobards et ne recherchent jamais les effets d'annonce