Anti-virus, est-ce utile ?

[Patclash]

Bonjour,

… firefox ne donne certes pas l'exemple…

Euh, sous Windows, tous les exécutables de Firefox et 17 des 20 fichiers dll Mozilla (pour la version 3.6.3) sont signés numériquement.

Bonjour,

en effet il suffit d'aller là : http://releases.mozilla.org/pub/mozilla ... ses/3.6.3/
Il y a tout ce qu'il faut

[bigbernie]

Eh oui ! Mais aucun utilisateur habituel ne va prendre son FF ou son TB la.
Ces pages extremement sommaires et en anglais en plus ne sont pas faits pour le grand public. Ce ne sont meme pas des sites mais des listings.
J'ai deja vu dans le temps, a la prehistoire de l'informatique, des pages de downloads presentes sous cette forme mais j'ai oublie pour quels usages on etait OBLIGE de passer par la. Je dis bien oblige sinon rien.

En fait c'est presque totalement incompréhensible pour l'immense majorite des windosiens.
On telecharge FF ou TB sur des grands sites en français et pas sur des listings simplistes en anglais.

Mon espace perso a usage prive de stockage est configure en lignes de texte comme dans l'exemple donne. Et je communique par ftp. Mais mon espace perso n'est pas un site web pour le public. Je stocke c'est tout.
Un windowsien lambda est incapable de savoir a quoi correspond Win32EUballot ou Contrib Localized. Et il ne sait meme pas que ça existe en plus.
C'est fait pour les linuxiens !?

[calimo]

Un windowsien lambda est incapable de savoir a quoi correspond Win32EUballot ou Contrib Localized. Et il ne sait meme pas que ça existe en plus.
C'est fait pour les linuxiens !?

Encore moins ! Le linuxien de base (pas celui qui migre depuis window$) ne connait même pas le concept barbare (ou en tous cas rébarbatif) de se rendre sur un site web pour télécharger un logiciel

Euh, sous Windows, tous les exécutables de Firefox et 17 des 20 fichiers dll Mozilla (pour la version 3.6.3) sont signés numériquement.

Pas faux, j'avais plus pensé à ça !

[Loup_blanc(zeb)]

Bonsoir,

Suivant vos suggestions, j'ai rajouté un lien vers le fichier MD5 du setup :
http://forum.zebulon.fr/usb-set-ver-14- ... try1459614

Pour la signature numérique, je galère encore entre OpenSSL et Inno Setup, ce sera pour plus tard.

[Benoit]

Eh oui ! Mais aucun utilisateur habituel ne va prendre son FF ou son TB la.

Bien sûr que si, c'est vers un de ces serveurs FTP miroirs que renvoient tous les liens de téléchargement officiels.

Et jpj ne parlait pas ici de la somme MD5 (je crois), mais de l'exécutable lui-même. Quand on le lance ou qu'on regarde ses propriétés, Windows signale qu'il a été signé numériquement par la Mozilla Corporation, exactement comme un e-mail pourrait l'être.

[bigbernie]

Et jpj ne parlait pas ici de la somme MD5 (je crois),

Bonjour.

Ah bon. Je croyais qu'il s'agissait de ça puisque ça venait directement apres le post sur le sujet.

un de ces serveurs FTP miroirs que renvoient tous les liens de téléchargement officiel

Oui mais l'utilisateur final ne va pas aller chercher directement son FF la dessus.

a +

[calimo]

Eh oui ! Mais aucun utilisateur habituel ne va prendre son FF ou son TB la.

Bien sûr que si, c'est vers un de ces serveurs FTP miroirs que renvoient tous les liens de téléchargement officiels.

Sauf que le téléchargement renvoie directement sur l'exécutable, sans moyen simple d'obtenir la somme. En plus, il faudrait obtenir cette somme sur un autre miroir, ou encore mieux directement sur le serveur Mozilla pour être réellement utile.

Ah bon. Je croyais qu'il s'agissait de ça puisque ça venait directement apres le post sur le sujet.

Ce n'est pas exactement ça, mais le mécanisme est suffisamment similaire pour être pertinent ici il me semble

[jpj]

Bonjour,

Et jpj ne parlait pas ici de la somme MD5 (je crois),

Bonjour.

Ah bon. Je croyais qu'il s'agissait de ça puisque ça venait directement apres le post sur le sujet.

Effectivement, je parlais de ceci (Fichier > Propriétés) :

....

[bigbernie]

Ah Tiens ! Je n'avais jamais fourre mon nez a cet endroit.
Je vais en profiter pour m'instruire. Je crains d'abuser ???

A quoi sert en pratique cette certification ?
Difference avec les certificats builtin objects token ?
Difference avec la certification WHQL ?
Difference avec la certification pour les impots par exemple ?

Quand meme pas 4 certifications differentes ?

Je ne me suis jamais interesse a ça parce que j'en ignore totalement l'utilite et jamais eu besoin. J'ai pu utiliser FF et FB depuis quasiment l'origine sans ennuis sans savoir ça.
La seule certifiçation que je connaisse c'est la WHQL des DRIVERS Microsoft ( pas des softs) et en fait ça ne sert a rien en pratique.
Et j'ai un ami avec un W 7 non certifie Microsoft qui fonctionne fort bien !!! lol !

Que ça soit moi ou mes enfants hard gamers a fond nous avons utilise des tas de drivers non WHQL et il n'est jamais rien arrive. De meme qu'il est arrive parfois que des WHQL causent des ennuis. On se moque totalement qu'un driver soit certifie ou pas. Ou bien qu'un soft soit legal ou pas.
Par contre question malwares alors la hyper vigilant ! Toujours a la pointe des maj et tout au maximum. Les sites underground ça craint !
WHQL ne sert a rien en pratique. Les certificats Mozilla non plus.
Je ne suis jamais tombe en + de 10 ans et avec des centaines de milliers de navigations web sur des avertissements comme quoi tel ou tel site ou tel ou tel soft n'avait pas de certificat.

Par contre les certificats pour les Impots eux oui sont indispensable puisque sans ça ça ne marche pas.

Sauter des MD5 aux certificats éveille donc des interrogations (de securité) . Tu as eu raison d'inciter les utilisateurs a plus d'attention. Je ne dois pas etre le seul et de tres loin a ignorer totalement l'utilite des certificats puisque qu'on en ait ou pas ça ne change jamais rien visiblement. Reaction du certificat = zero.

Pour moi c'est comme le camembert certifie President ou le lait certifié saveur de l'année.

Merci.

[Demot]

Par contre les certificats pour les Impots eux oui sont indispensable puisque sans ça ça ne marche pas.

Bonjour .. en 2009 pour la déclaration des revenus on pouvait s'en passer.
Il y avait le lien « Identifiez-vous pour déclarer vos revenus en ligne sans certificat »

[bigbernie]

Tu as raison totalement.
Je donnais ça en exemple de type de certificats pour mieux expliciter mes questions.

Tout le monde a bien compris que pour l'utilisateur lambda final et même pour un utilisateur tres expérimenté ( un utilisateur basique n'est pas un programmeur) comme nous sommes beaucoup ici...et ailleurs aussi....ne sait absolument pas a quoi servent les certificats.

Il y a longtemps que j'avais remarque dans FF par exemple le certificat AOL Time Warner Baltimore Sonera etc etc etc etc...et j'ai même un TurkTrust !!!!
Je ne vais pas sur des sites turcs et pas non plus sur des Q turcs.
Allemands ou japonais pourquoi pas mais turcs !!!!
J'avais eu l'idee un jour de tous les exporter avant de tous les supprimer et de voir ce qui se passe. Et je me suis dit que je ne verrai rien du tout.
Evidemment lorsque tu formates et reinstalles, tu n'as aucun certificats ( sauf celui des Impots que perso je ne voulais pas refaire a zero)
Ensuite ces certificats se mettent tout seul. Jamais je n'ai vu passer un lien " cliquer ici pour installer le certificat".

Un certificat présent ou pas n'empêche pas de se connecter a un site.
Bref ! Comme 999999 utilisateurs sur 100.000, nous ignorons tout des certificats, de leur utilite, de ce qui se passe si on les efface etc...

D'ou ma question.....

Et quant a MD5 et Cie, la seule utilite que je connaisse vu que je l'utilise pour mes transferts prives de softs c'est tout simplement pour controler si un ennui éventuel vient de l'archive boguée ou du transfert.
Par exemple un de mes fils va m'envoyer un jeu ou un utilitaire. Lui a un download 10 fois superieur au mien. Ensuite entre FTP meme si je mets 4 h pour rapatrier pas de lezard.
Et le soft ne l'interesse pas forcement lui. Il ne va pas toujours l'essayer.

J'installe le soft. Supposons qu'il deconne. Je controle immédiatement les checksum.
Si c'est incorrect eh bien je doisle redownloader.
Par contre si c'est correct = son archive est boguee d'origine et je lui demande de trouver sur son Usenet crypte ( et payant) un autre lien.
Dans mon cas perso ça a bien une utilite pratique. Mis a part ça je n'en vois pas d'autre.

Bonne journée.

[Benoit]

Tout le monde a bien compris que pour l'utilisateur lambda final et même pour un utilisateur tres expérimenté ( un utilisateur basique n'est pas un programmeur) comme nous sommes beaucoup ici...et ailleurs aussi....ne sait absolument pas a quoi servent les certificats.

En effet, et c'est pour cela que Firefox, en dehors des options avancées, parle simplement de sites dont le détenteur est identifié ou non. Pour les exécutables c'est la même chose : le certificat joint prouve qu'il a été produit par son émetteur. En cas de modification malveillante, soit le certificat n'est pas présent (l'auteur apparaitra comme non identifié), soit la somme de contrôle faisant partie de la signature ne sera plus valide.

http://fr.wikipedia.org/wiki/Signature_num%C3%A9rique

Evidemment lorsque tu formates et reinstalles, tu n'as aucun certificats ( sauf celui des Impots que perso je ne voulais pas refaire a zero)
Ensuite ces certificats se mettent tout seul. Jamais je n'ai vu passer un lien " cliquer ici pour installer le certificat".

C'est exactement le contraire : quand tu réinstalles tu n'as plus que les certificats racines des autorités reconnues, que ce soit dans la banque de certificats de Windows ou celle de Firefox (elles sont différentes). Et pour les impôts, je ne connais pas le principe français mais je suppose que tu dois précisément installer le certificat séparément car il n'a pas été signé par une autorité reconnue selon le principe de la chaine de confiance. En l'occurrence, l'administration n'a sans doute pas jugé utile de proposer l'intégration de son propre certificat dans les certificats racine de Firefox.

http://fr.wikipedia.org/wiki/Autorit%C3 ... tification

Et quant a MD5 et Cie, la seule utilite que je connaisse vu que je l'utilise pour mes transferts prives de softs c'est tout simplement pour controler si un ennui éventuel vient de l'archive boguée ou du transfert

En effet, à partir du moment où tu récupères la somme de contrôle sur le même serveur FTP que l'archive, si le site a été compromis le fichier MD5 a très bien pu être remplacé également. Si la somme de contrôle n'est pas intégrée au fichier via un certificat ou au protocole de transfert lui-même (le cas de bittorrent par exemple), il n'a pas d'autre utilité.

[bigbernie]

dans les certificats racine de Firefox.

Bonjour et merci.
Il y a donc dans W des certificats inclus dedans d'origine. Comme des drivers.
Mis a part que lorsqu'un driver est manquant ou bogue ça ne fonctionne pas.
Si un certificat est manquant ou bogue eh bien il ne se passe rien.
L'utilite PRATIQUE des certificats me laisse toujours songeur.

Avec les Impots si tu n'avais pas installe ton certificat eh bien impossible de faire aucune action sur le site et meme pas d'acceder a ton dossier. Le Certificat avait donc bien une existence VISIBLE.
Les certificats racine de Windows ne se manifestent jamais.

Bonne journee et encore merci

[calimo]

Si un certificat est manquant ou bogue eh bien il ne se passe rien.
L'utilite PRATIQUE des certificats me laisse toujours songeur.

Ne confond pas certificats et certificats racines. Un certificat est fourni par un site web pour initier une connexion chiffrée HTTPS (TSL/SSL). Ce certificat est lui-même certifié par une autorité de certification (et donc correspond à un certificat racine). Sans le certificat racine, Firefox ne peut pas vérifier que le certificat du site est valide. Exemple : https://www.cacert.org/index.php?id=12 . Tu dois installer le certificat racine sur https://www.cacert.org/index.php?id=3 pour que l'autorité soit reconnue. Firefox fournit de base une série de ces certificats, y-compris d'AOL ou d'autorités de certifications turques : Firefox est censé pouvoir être utilisable partout dans le monde, pourquoi priver les turques de leurs autorités ?

Bref ! Comme 999999 utilisateurs sur 100.000, nous ignorons tout des certificats, de leur utilite, de ce qui se passe si on les efface etc...

Tu te mets à parler à la 3è personne ?
Ce n'est pas VISIBLE simplement parce que ça fonctionne bien Il faut dire qu'un certificat ne peut pas "bugguer" : il est valide ou pas, tout simplement.
Si tu supprimes les certificats racines de VeriSign, Thawte et quelques autres, tu auras vite de la peine à visiter les sites en HTTPS ! (disons que tu devras passer par une accceptation manuelle des certificats). Fais donc le test (sur un profil de test, donc) : choisi un site en https, identifie le certificat racine, supprime-le et visite à nouveau le site : ça ne devrait plus passer (en tous cas pas aussi simplement qu'avant). Et voilà les certificats racines qui se mettent à exister

Pour les exécutables, c'est un peu la même chose, sauf que le certificat racine est inclus dans le système et qu'au lieu de permettre une connexion chiffrée, on authentifie le fait que l'exécutable a bien été émis par le possesseur du certificat. Mais attention : tout le monde (avec un minimum de connaissances techniques) peut acheter un certificat et signer un exécutable, et l'histoire a montré qu'il n'est pas très difficile de se procurer des certificats au noms d'un autre.

[bobo]

Avec les Impots si tu n'avais pas installe ton certificat eh bien impossible de faire aucune action sur le site et meme pas d'acceder a ton dossier. Le Certificat avait donc bien une existence VISIBLE.
Les certificats racine de Windows ne se manifestent jamais.

Dans le cas des impôts, tu étais en possession d'un certificat personnel, muni de sa clé privé qui te permettait de t'identifier auprès du serveur. Le but des certificats racines est plutôt de te permettre de valider les certificats des autres. Tu peux très te passer de cette vérification et accepter les certificats manuellement, mais bonjour la galère.
Le principe des certificats repose sur la confiance. Les fournisseurs d'OS font confiance à un certain nombre d'autorités de certification et intègrent leurs certificats dans leurs OS. A l'aide de ces certificats racines, tu va pouvoir vérifier l'authenticité des certificats issus des autorités de certifications. A l'aide de ces certificats tu va pouvoir vérifier des signatures, des flux https, d'autres certificats.
Bien souvent, la mise en œuvre des certificats se fait de façon transparente. Quand Firefox se connecte à un site https, le serveur commence par lui envoyer son certificat, Firefox le valide (ou pas) à l'aide ces certificats racines et l'utilise ensuite pour chiffrer la connexion.