Page 4 sur 5
Publié : 19 juin 2008, 15:41
par teoli2003
Anonymous a écrit :Et aura vérifié que le nom de domaine est bien enregistré par BNP.
Non, ils ne le font pas tous.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 16:23
par danyb
Ah enfin d'accord... exactement pareil pour les EV.
Une porte de maison super blindé façon CIA avec dessus écrit Blindage en rouge fluo.
Le pirate arrive et dit : "Superbe porte, c'est du beau boulot" il fait demi tour et fait le tour de la maison et entre par la porte de derrière qui est toujours ouverte, entre dans la maison fait le vide dégage en rigolant.
Un certificat SSL c'est la même chose, le pirate voit SSL et passe par derrière et hop fait la même chose. Les certificats SSL ne servent qu'a ça.
Il ne protège pas les données mais seulement la transmission de ces données et pas leur stockages.
Conclusion : Morine a bien raison, B to B what else
rien ne sert de blindé la porte de devant si tout est ouvert derrière. Derrière je parle de toutes les failles de sécurités coté serveur non mises à jour, des stockages de cartes bancaires en clair sur des bases mysql etc etc
Le pirate sont des QI ++ et non pas de temps a perdre à casser des clefs SSL inviolables même en auto signé, ils vont au plus court et au plus facile.
L'internaute lambda, n'a pas de firewal en dur, souvent pas d'anti-virus ou complètement obsolète, ouvre toute les pièces jointes avec sexe écrit dessus, et vous me parler de sécurité... MDR ++++
Publié : 19 juin 2008, 16:41
par teoli2003
danyb a écrit :Il ne protège pas les données mais seulement la transmission de ces données et pas leur stockages.
C'est pourquoi Fx3 a laissé tomber le paradigme du cadenas. Ainsi Fx3 n'induit pas ses utilisateurs en erreur.
(PS: tu as dévié du sujet qui était l'authentification; visiblement tu n'avais pas d'argument).
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 17:30
par plb67
moi tout ce que je constate c'est que firefox 3 me donne une barre verte pour
https://www.labanquepostale.fr/index.html (certificat EV)
IE7 me donne une barre verte aussi !
les infos sont : la banque postale, paris 15, paris fr pour les deux navigateurs
images :
Firefox 3 me donne une barre bleue pour
https://www.secure.bnpparibas.net/ (SSL)
IE7 me donne un
petit cadenas bleu pour le même site
aucune info sur le propriétaire de l'adresse ni sur IE7 ni sur firefox 3 pour le site bnp
images :
Pour moi les infos des 2 navigateurs sont identiques !
après l'obtention ou non de certificat EV ...
mais je ne trouve pas que IE7 ou FF3 induis ni plus ni moins en erreur
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 17:30
par atos
morine a écrit :En résumé:
business is business.
What else ?
C'est clair comme de l'eau de source.
Sinon, à quoi ça servirait de semer la panique chez les utilisateurs de Firefox 3 et emmerder les hébergeurs hein ?
What else ?
Publié : 19 juin 2008, 17:44
par danyb
teoli2003 je renonce à t'expliquer quoi que ce soit
pour fini dernière info le cadenas et toujours présent sur Firefox 3 en bas à droite....
plb67 excellente info la poste à craqué,
mais pas le gouvernement français qui a toujours des certificats non EV un comble non.
d'ailleurs la question se pose, https://impots.gouv.fr est t'il bien français, j'ai un doute, Firefox 3 me dit que le détenteur du certificat est inconnu
Aujourdh'ui 19 juin 2008
BNP : Pas de EV
Caisse d'épargne : Pas de EV
Credit Lyonnais : Pas de EV
Societe Générale : Pas de EV
Dans l'histoire qui va gagner ??? réponse : Verisign avec l'aide surprise et inattendue de Mozilla avec Firefox 3, et là je suis plutôt surpris
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 17:53
par atos
Firefox 3 non compatible avec le site des impôts, ça a bien fait rigoler aussi.....(si on peut dire).
Combien d'heures passées avec cette connerie......
Peut-être que le problème de mozilla à vouloir grossir, c'est aussi pour pouvoir passer de juteux contrats avec certaines sociétés dites "incontournables" et monopolistisques, monopole que mozilla va contribuer à renforcer.
Ha le méchant monopole de M$......
teoli2003: dis nous tous:
es-tu indemnisé par Mozilla ? Google ? ou directement VeriSign pour être autant arc-bouté sur ta position.....
Plus que suspect ton comportement.
Publié : 19 juin 2008, 17:57
par danyb
ENFIN... ouf
Du nouveau tout chaud Mozilla à écrit la mise à jour de la restauration de l'ancienne barre d'adresse. Reste à la sortir du pack 3.0
Source :
http://www.pcinpact.com/astuces/optimis ... dresse.htm
Voici l'adresse de la restauration
https://addons.mozilla.org/fr/firefox/addon/6227
Re: Firefox 3 : Catastrophique barre d’adresse avec https
Publié : 19 juin 2008, 18:05
par plb67
la 'oldbar' me donne un cadenas bleu pour bnp ou labanquepostale, dont le détenteur est INCONNU pour les 2 sites !
je préfère autant la awesome bar.
danyb a écrit :Maintenant dans Firefox 3 la plupart des adresses SSL sont en bleu et donc indique un détenteur inconnu ce qui est totalement faux pour in certificat SSL valide.
par contre ton post d'origine, danyb, disait que FF3 fait une erreur, et si tu regarde bien entre IE7 et FF3, c'est la même info.
vert pour certificat EV et bleu pour SSL avec info vérifiés ou non en fonction du EV ou SSL
donc c'est pas FF3 qui est en cause, mais purement et simplement la façon dont le EV est traité par CES 2 NAVIGATEURS, me trompe-je ?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 18:16
par danyb
plb67, je me fou un peu de la couleur de la barre d'adresse, avant elle était jaune et Verisign n'aime pas le jaune.
Ce qui importe c'est de ne pas mettre un doute supplémentaire dans l'esprit des gens
en soulignant en bleu et disant ce certificat existe mais ont ne sait pas qui est derrière en marquant inconnu, ce qui est FAUX, FALSE. Ce que ne fait pas IE7 ou aucun autres.
Je signale au passage que beaucoup de Webmasters sont en plein dedans et ne savent pas comment faire.
Bon effectivement l'ancienne barre ne change rien...
Publié : 19 juin 2008, 18:19
par plb67
oups j'ai édité mon post avant ta réponse.
IE7 ne fait que recopier l'adresse du site ssl ou tu te trouve, et en aucun cas n'apporte plus ou moins d'info que FF3.
pour preuve mes images.
ssl = sécurisée sans info de détenteur sur ie7 et ff3
ev = sécurisé avec les infos de detenteur sur IE7 et FF3
pour moi l'info est la même, sauf l'affichage de l'addresse du site ou tu te trouve sur ie7 comme détenteur
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 18:40
par danyb
PLEASE SVP arrêtons de parler de EV.
On oublie les EV
Dans ton exemple très visuel l'on voit bien un discrimination colossale en disant inconnu à la limite de l'intox dans Firefox et rien dans IE7.
Ouvre un certificat au hasard et regarde dans la source :
Emetteur tu auras :
CN = VeriSign Class 3 Secure Server CA
OU = Terms of use at
https://www.verisign.com/rpa (c)05
OU = VeriSign Trust Network
O = VeriSign, Inc.
C = US
et dans sujet tu auras
CN =
www.google.fr
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign
OU = Terms of use at
www.verisign.fr/rpa (c)05
O = GOOGLE
L = SAN FRANSCISCO
ST = CA
C = US
Il ne faut pas dire n'importe quoi, l'information, vrai ou fausse existe dans la structure binaire du certificat.
Il suffit que Firefox 3 lise le certificat en entier sans faire de commentaire, ce n'est pas le rôle de Firefox de dire si le propriétaire est connu ou inconnu, et je ne vois surtout pas comment il peuvent dire cela.
Publié : 19 juin 2008, 18:54
par danyb
Un petit dernier ici
https://www.entrust.net/ pas de EV... un comble MDR
Or si tu cliques sur le petit carré gris en bas de page avec entrust en rouge tu as tout et l'adresse postale comme dans tous les certificats.
C'est la même chose pour les autres, les secure seal de verisign c'est pareil.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Publié : 19 juin 2008, 23:46
par Benoit
Pour ceux que ça intéresse et qui ne l'avaient pas deviné, les visiteurs « atos » et « morine » qui se donnent raison l'un l'autre utilisent la même connexion Internet (ou plutôt
la même manière de masquer leur connexion).
Publié : 20 juin 2008, 08:44
par calimo
danyb/atos/morine a écrit :FAUX il y a les deux contrôles nom de domaine et K-bis du moins chez verisign. J'achète mes SSL normaux depuis 1997 chez eux.
Faux, puisqu'il a été possible de faire émettre des certificats "Microsoft" (CF
http://www.microsoft.com/technet/securi ... 1-017.mspx).
Avec EV les pratiques sont standardisées avec un plus haut niveau de sécurité défini dans des
guidelines.
danyb/atos/morine a écrit :La seule différence et le montant du chèque.
Une telle allégation est très grave, et mérite d'être rapportée ailleurs que sur le forum de Geckozone.
Si tu as des preuves de ce que tu avances, et qu'une CA reconnue par Mozilla ne respecte pas les
Mozilla CA Certificate Policy alors ouvre un bug sur bugzilla. Tout le reste est inutile.
danyb/atos/morine a écrit :Je vais finir par contacter l'AFP pour leur donner ma version des faits, en leur expliquant, preuve à l'appui que Firefox à un GROS bug de sécurité en ne publiant pas la totalité des informations des certificats, car pour l'instant je n'ai aucune réponse de Mozila france à mon email.
Et par retourner à IE ?
C'est bien connu, PCImpact est l'agence de presse officielle de Mozilla.
D'ailleurs ils ne racontent jamais de bobards et ne recherchent jamais les effets d'annonce