Geckozone

C'est quoi une certification incomplète? Parce qu'on parle de validation au niveau du navigateur, et au niveau du serveur il y a deux types de certification délivrées par un CA, soi du nom de domaine, soit du nom de l'entreprise, mais aucune n'est "incomplète".

ra-mon a écrit :Il faut savoir évoluer, mais il est toujours possible de trouver des compromis pour ne pas faire couiner les vieux […]
http://files.getwebb.org/files/a1/84/ee ... source.png

C'est bien dans ce genre de situations que je me dis que vieux c'est, avant tout, un état d'esprit…

~HP a écrit :

ra-mon a écrit :Il faut savoir évoluer, mais il est toujours possible de trouver des compromis pour ne pas faire couiner les vieux […]
http://files.getwebb.org/files/a1/84/ee ... source.png

C'est bien dans ce genre de situations que je me dis que vieux c'est, avant tout, un état d'esprit…

Je sais quelle favicône je vais transmettre aux utilisateurs d'Opera pour mon site de phishing.

Et ne me dites pas que les gens vont faire la différence entre un cadenas à gauche ou à droite Parce que c'est pas vrai.

teoli2003 a écrit :C'est quoi une certification incomplète? Parce qu'on parle de validation au niveau du navigateur, et au niveau du serveur il y a deux types de certification délivrées par un CA, soi du nom de domaine, soit du nom de l'entreprise, mais aucune n'est "incomplète".

Bha, j'ai du me planter... mais pour moi il y a une différence entre :
- https://addons.mozilla.org/ (propriétaire connu, vérifié)
- https://bugzilla.mozilla.org/ (détenteur non connu, mais vérifié)
- un domaine auto-certifié.

Opera fait la distinction entre les 3 niveaux, pas Firefox.

Zefling a écrit :

teoli2003 a écrit :C'est quoi une certification incomplète? Parce qu'on parle de validation au niveau du navigateur, et au niveau du serveur il y a deux types de certification délivrées par un CA, soi du nom de domaine, soit du nom de l'entreprise, mais aucune n'est "incomplète".

Bha, j'ai du me planter... mais pour moi il y a une différence entre :
- https://addons.mozilla.org/ (propriétaire connu, vérifié)
- https://bugzilla.mozilla.org/ (détenteur non connu, mais vérifié)
- un domaine auto-certifié.

Opera fait la distinction entre les 3 niveaux, pas Firefox.

Bonjour

Si Firefox fait la distinction.
En tout cas, dans la beta6.

https://addons.mozilla.org/ => Nom de domaine en vert (sûr et vérifié)
https://bugzilla.mozilla.org/ => Nom de domaine en bleu (sûr, mais non vérifié par une autorité indépendante)
https://bugs.gentoo.org/ => Non certifié (alerte avec panneau jaune)

Pour ce qui est du problème du cadenas, je ne suis pas vraiment de ton avis.
Les couleurs sont claires, et se suffisent à elle-même.
L'icône n'apporte pas d'informations visuellement suffisamment convaincante pour justifier sa conservation.

Bonne journée,
Cordialement,
Xéfir Destiny

Xefir a écrit :https://bugs.gentoo.org/ => Non certifié (alerte avec panneau jaune)

Chez moi c'est bleu.

PS : Il serait pas mal de mettre toute cette digression dans un sujet part, non ?

Zefling a écrit :

Xefir a écrit :https://bugs.gentoo.org/ => Non certifié (alerte avec panneau jaune)

Chez moi c'est bleu.

Parce que tu as ajouté une exception, c'est-à-dire que tu l'as certifié toi-même.

teoli2003 a écrit :

Zefling a écrit :

Xefir a écrit :https://bugs.gentoo.org/ => Non certifié (alerte avec panneau jaune)

Chez moi c'est bleu.

Parce que tu as ajouté une exception, c'est-à-dire que tu l'as certifié toi-même.

Ouais mais on ne peut pas voir le site sans ça... donc le panneau « orange » c'est juste la page d'avertissement.
Puis un truc qu'on à certifier soi même c'est tout sauf sûr.

Xefir a écrit :[

https://addons.mozilla.org/ => Nom de domaine en vert (sûr et vérifié)
https://bugzilla.mozilla.org/ => Nom de domaine en bleu (sûr, mais non vérifié par une autorité indépendante)

C'est marrant, parce que ni le cadenas, ni la couleur ne veulent dire cela!

En vert: nom de la société. Le certificat a été délivré (et vérifié) au détenteur du nom de domaine et le fait qu'il s'agit de l'entité X (par exemple Mozilla Corp) a été vérifié (registre du commerce, ...).
En bleu: nom du domaine. Le certificat a été délivré (et vérifié) au détenteur du nom de domaine. Mais la vérification si Microsoft.bf c'est Microsoft (Burkina Faso) SàRL ou pas n'a pas été faite.

Dans les deux cas, c'est une autorité de certification (CA) remplissant un certain nombre de critères (contrôlé par un audit *indépendant*) qui a publié le certificat. (S'il n'y a pas eu cet audit, et qu'il n'a pas été réussi, Mozilla n'ajoute pas le certificat du CA dans la liste des certificats de CA connus livrées avec Firefox).

Dans la plupart des cas, le fait d'avoir juste la vérification du nom de domaine est suffisant: pour bugzilla, je sais que le nom de domaine est juste, je veux juste la garantie qu'il n'y a pas un MiM. Pour Mozilla.bf, je suis par contre intéressé à savoir si c'est Microsoft (Burkina Faso) SàRL ou la boucherie Sanzot de Ouagadougou qui utilise le nom de domaine.

Zefling a écrit :

teoli2003 a écrit :

Zefling a écrit :

Xefir a écrit :https://bugs.gentoo.org/ => Non certifié (alerte avec panneau jaune)

Chez moi c'est bleu.

Parce que tu as ajouté une exception, c'est-à-dire que tu l'as certifié toi-même.

Ouais mais on ne peut pas voir le site sans ça... donc le panneau « orange » c'est juste la page d'avertissement.
Puis un truc qu'on à certifier soi même c'est tout sauf sûr.

C'est infinimiment plus sûr qu'un truc qui se certifie tout seul!

Et je peux t'assurer avoir déjà certifié ma banque moi-même. Puisque dans le courrier qu'elle m'a adressé, il y avait le fingerprint SHA1 et MD5 de son certificat. (En plus c'est un certificat EV, donc il apparaît en vert)

Comme ça c'est un peu plus clair.

Ce que je retiens, c'est que j'ai compris les choses de travers, alors pour ceux qui regarde ça comme ça, qu'est ce que ça doit être.

~HP a écrit :

ra-mon a écrit :Il faut savoir évoluer, mais il est toujours possible de trouver des compromis pour ne pas faire couiner les vieux […]
http://files.getwebb.org/files/a1/84/ee ... source.png

C'est bien dans ce genre de situations que je me dis que vieux c'est, avant tout, un état d'esprit…

Tout à fait, ~HP mais tu as rogné la citation un peu vite !
Je suis juste un vieil... utilisateur de mon navigateur préféré, mais si jeune d'esprit que je n'attache strictement aucune espèce d'importance à ces couleurs, icônes de cadenas, zigouigoui antiphishing ou autre symbolique pseudo-sécuritaire

teoli2003 a écrit :Je sais quelle favicône je vais transmettre aux utilisateurs d'Opera pour mon site de phishing.

Cibler des utilisateurs d'Opera pour du phishing, faut être "petit joueur" ou très très vicieux Et d'toute manière avec un antiphishing et un système aussi peu vulnérable que Windows, on risque RIEN !

Et ne me dites pas que les gens vont faire la différence entre un cadenas à gauche ou à droite Parce que c'est pas vrai.

Euh, quand même, à l'emplacement (historique, dirais-je, quelque soit le navigateur) de la favicône, on s'attend (geek ou pas) à voir l'icône représentant son site (logo ou au moins couleur de sa banque par exemple), donc à part pour commander du verrou en ligne chez Vachette ou Abus, le cadenassage n'a rien à faire à gauche de l'url
Mais c'est bien tenté...

@+
--
Pierre

Zefling a écrit :- Auto-certifier : il n'affiche rien
- Certification incomplète : cadenas
- Certification complète : cadenas avec un ✓

C'est marrant, au début de ce système d'agent de sécurité, il était question (dans un débat) de mettre un ✓ avec l'agent vert.
Ce qui est du cadenas, il y est avec les agents bleu et vert dans la fenêtre d'information, en bas.
D'ici quelques semaines, je vais sortir ma 1° version publique de thème (complet), et je me posais justement des questions pour modifier ces images d'agents qui ne sont pas d'une évidente clarté. Dans le même temps, j'ai fouillé dans les archives d'un autre thème (celui sur lequel je m'inspire très fortement), et j'ai découvert qu'il était question de mettre un agent rouge avec point d'interrogation rouge, à la place de l'actuelle gris... Finalement, pour cet autre thème, son auteur à opter pour le mêttre en orange (ce que je trouve plus approprié vu sa signification), tout en gardant un point d'interrogation.

Bref, voici dans l'ordre, les agents officiels de firefox, les anciens du thème que je m'inspire, les actuels de ce même thème, et enfin ce dont je pense mettre bientôt.
http://www.aidesetastuces.fr.nf/images/identity.png
http://www.aidesetastuces.fr.nf/images/ ... ut-old.png
http://www.aidesetastuces.fr.nf/images/ ... walnut.png
http://www.aidesetastuces.fr.nf/images/ ... y-iron.png

Mais je n'ai rien vu (à part une capture d'écran très récemment dans ce sujet) sur un cadenas (voir même un ✓) dans la barre d'adresse... A voir donc.

ra-mon a écrit :

Et ne me dites pas que les gens vont faire la différence entre un cadenas à gauche ou à droite Parce que c'est pas vrai.

Euh, quand même, à l'emplacement (historique, dirais-je, quelque soit le navigateur) de la favicône, on s'attend (geek ou pas) à voir l'icône représentant son site (logo ou au moins couleur de sa banque par exemple), donc à part pour commander du verrou en ligne chez Vachette ou Abus, le cadenassage n'a rien à faire à gauche de l'url
Mais c'est bien tenté...

Non seulement cela a été tenté... Cela a été fait. Par les sites faisant la pub pour les faux antivirus...

Et il ne faut pas surestimer le peu de connaissance des utilisateurs. J'ai des utilisateurs Mac qui m'ont appelé paniqué. "J'ai un virus! J'ai un site qui me prévient et je dois télécharger l'antivirus tout de suite." Bien sûr la fenêtre simulée était une fenêtre Windows (et crois-moi, les fenêtres Mac et Windows n'ont pas le même look). Et bien cela ne les a pas choqués. Alors le cadenas à gauche ou à droite... C'est sûr que là ils vont remarquer...

Ces bosos ne cherchent pas à attraper tout le monde. Mais ils essaient tous les trucs pour piéger quelques milliers de gogos en plus.

teoli2003 a écrit :

ra-mon a écrit :

Et ne me dites pas que les gens vont faire la différence entre un cadenas à gauche ou à droite Parce que c'est pas vrai.

Euh, quand même, à l'emplacement (historique, dirais-je, quelque soit le navigateur) de la favicône, on s'attend (geek ou pas) à voir l'icône représentant son site (logo ou au moins couleur de sa banque par exemple), donc à part pour commander du verrou en ligne chez Vachette ou Abus, le cadenassage n'a rien à faire à gauche de l'url
Mais c'est bien tenté...

Non seulement cela a été tenté... Cela a été fait. Par les sites faisant la pub pour les faux antivirus...

Ah ? J'en ai vu passer quelques unes de ces popup effrayantes mais jamais avec un icône de cadenas en favicône dans une barre d'adresses. En général, une popup n'affiche pas de barre d'adresses pour faire plus vraie "Alerte Windows"

Et il ne faut pas surestimer le peu de connaissance des utilisateurs. J'ai des utilisateurs Mac qui m'ont appelé paniqué. "J'ai un virus! J'ai un site qui me prévient et je dois télécharger l'antivirus tout de suite."

Je ne côtoie pas que des geeks utilisateurs d'Opera, et assez peu d'utilisateurs Mac, mais ça ne m'est jamais arrivé de rencontrer ce genre de cas... désespérés

Bien sûr la fenêtre simulée était une fenêtre Windows (et crois-moi, les fenêtres Mac et Windows n'ont pas le même look). Et bien cela ne les a pas choqués. Alors le cadenas à gauche ou à droite... C'est sûr que là ils vont remarquer...

Dans ce cas de noobitude extrème (en admettant qu'Opera soit arrivé par hasard ou force ), ils ne remarqueront même pas de cadenas ou n'auront AUCUNE notion de ce qu'il représente, donc tu n'améliorera pas significativement, par le biais de la fake-favicon, le rendement de ton site de pêcheur de tanches Ecrire BNP en gras/vert ou eBay en 4 couleurs devrait largement suffire.

@+
--
Pierre