-
-
Use `//` instead of `http://` or `https://` : HTTP client will use whatever protocol the page was fetched with - https://news.ycombinator.com/item?id=5514784 #SSL #HTTP #HTTPS
- #SSL
-
ISP uses transparent proxy to inject #advertising in #Web pages - copyright infringement, network neutrality violation and not even the pretense of user benefits shown by those who blocked advertising or compressed images. Thanks for the #SSL evangelism !
http://zmhenkel.blogspot.com/2013/03/isp-advertisement-injection-cma.html #NetNeutrality -
Has HTTPS finally been cracked? Five researchers deal SSL/TLS a biggish blow...
http://nakedsecurity.sophos.com/2013/03/16/has-https-finally-been-crackedCryptographers have once again put SSL/TLS (that’s the padlock in HTTPS) in their gunsights and opened fire.
This time, they’ve done some severe damage.
Paul Ducklin takes a detailed look…
http://i2.wp.com/sophosnews.files.wordpress.com/2013/03/ts-cracked-250.png Source: Naked Security - Paul Ducklin
#cryptography #featured #analysis #beast #cracked #lucky_13 #lucky_thirteen #ssl #tls
-
Blog Stéphane Bortzmeyer : Utiliser l’Autorité de Certification CAcert
►http://www.bortzmeyer.org/cacert.htmlutilisation de l’autorité de certification gratuite CAcert
-
The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov
Une excellente étude sur les vulnérabilités des applications utilisant #TLS (autrefois nommé #SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait de détourner le trafic vers un autre serveur que celui visé. Mais, contrairement aux navigateurs Web, ces applications, souvent critiques (paiement entre cyber-marchands, par exemple) n’ont guère été étudiées et ont des vulnérabilités souvent énormes, permettant à un attaquant de se faire passer pour le serveur légitime, malgré TLS.
Pour ne donner qu’un exemple (mais un des plus beaux), la bibliothèque #cURL, très utilisée par d’innombrables applications, a un paramètre CURLOPT_SSL_VERIFYHOST. La documentation dit bien qu’il doit être mis à 2 (sa valeur par défaut) pour que le nom soit vérifié et à 1 pour couper la vérification. Bien des programmes écrits dans des langages sans typage fort (comme PHP), mettent ce paramètre à « true », donc à 1, coupant ainsi la validation...
Les auteurs de l’article, après avoir cassé la sécurité de TLS dans des dizaines d’applications, suggèrent des API mieux documentées, plus claires et de plus haut niveau, pour diminuer le risque que les programmeurs se trompent.
-
Excellente étude pratique sur l’efficacité (ou plutôt l’absence de) des avertissements de sécurité lors de connexions #SSL, avec des tests de design alternatifs « Crying Wolf : An Empirical Study of SSL Warning Effectiveness » de Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N., et L. Cranor
http://www.usenix.org/events/sec09/tech/full_papers/sunshine.pdf
#ergonomie #Web #TLS #X.509 #certificats
-
http://www.vmadmin.co.uk/linux/44-redhat/145-linuxmysqlencryption
parce que selon les distributions, openssl n’est pas utilisé par défaut...
- #SSL
- #MySQL
- #encryption
-
TelecomixSyria
#SSL implementation and #PFS, some reading: http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html (v @koolfy) -
TelecomixSyria
Additional info on #Mumble #SSL support and Perfect Forward Secrecy: https://syria.wnh.me/9f67783d34861c1bfcb3b8f2128429b1 -
-
-
fsa_hq_syria
The Free Syrian Army burned Al-Assad’s terror militias in Al-Atarib town...:
http://youtu.be/PdS1HTA41Pc
Al-Atareb - Free Syrian army destroyed a tank 22/05/2012 "Deuts...:
http://youtu.be/BPNuwwqWe0NMSyria
Saba Najm, a pro-revolution Alawite girl imprisoned by the regime. Don’t let hate blind you. #Syria
http://t.co/ODb5XZ00RedRazan
Regime shelling killed him along with two friends, in Homs, Bab Sba’ neighborhood on 28-5-2012. #Syriasyriahabibti
#Syria : another three ambassadors and he has himself a team
http://wp.me/pdvR4-2UL
TelecomixSyria
Internet disconnection in #Homs (DSL & 3G) and other parts of #Syria. Reports about #SSL blockage in some parts of the country (or ISPs)
SyrianSunnyBoy
Queuing for gaz bottles in #Syria used to distinguish between women queues & men queues. Now there’s a 3rd queue .. for expelled ambassadors -
mitmproxy - home
http://mitmproxy.org/index.htmlmitmproxy is an SSL-capable #man-in-the-middle #HTTP #proxy. It provides a #console interface that allows #traffic flows to be inspected and edited on the fly.
mitmdump is the command-line version of mitmproxy, with the same functionality but without the frills. Think tcpdump for HTTP.
– Intercept and modify HTTP traffic on the fly
– Save HTTP conversations for later replay and analysis
– Replay both HTTP clients and servers
– Make scripted changes to HTTP traffic using Python
– #SSL interception certs generated on the fly -
mitmproxy - Setting highscores on Apple’s GameCenter
http://mitmproxy.org/doc/tutorials/gamecenter.htmlIn this #tutorial, I’m going to show you how simple it is to creatively interfere with #Apple #Game_Center traffic using #mitmproxy .
- #SSL
- #Game Center
- #iPhone
-
ssl/ssh multiplexer
http://www.rutschle.net/tech/sslh.shtml#sslh accepts #HTTPS, #SSH and #OpenVPN connections on the same port. This makes it possible to connect to an SSH server or an OpenVPN on port 443 (e.g. from inside a corporate firewall, which almost never block port 443) while still serving HTTPS on that port.
#vpn
- #This
-
Testé (très) rapidement, ça m’a pas convaincu : https dans les choux, et les adresses IP source sont toutes transformées en 127.0.0.1. Varnish m’embête déjà assez avec ça sur mon http pour que j’ai envie de gérer la même chose en https:-)
-
Autre article sur le même programme, qui met davantage l’accent sur l’aspect politique : http://linuxfr.org/news/sslh%C2%A0110-la-b%C3%AAte-noire-des-censeurs
-
-
-
OVH et Gandi vendent des « certificats SSL ». Techniquement le nom est peut-être pas le bon, mais on se comprend :-)
Pouvoir envoyer le couple login/passwd de manière chiffrée sur le réseau est le minimum. Et quand on a un site tout web2.0 qui peut participer à faire chuter des régimes politiques, le chiffrement est indispensable.
Mais je sais, la sécurité est la grande oubliée du développement Internet de ces dernières années (X.509 semble le confirmer d’ailleurs)
-
#seenthis a déjà du SSL qui fonctionne, pas besoin que ça soit validé par une entreprise pas fiable pour que ça soit « vraiment » un « bon » certificat.
-
-
Le certificat actuel génère une erreur, les geeks s’en contentent, mais il y a bien qu’eux. En plus, c’est à moi de forcer le HTTPS. En 2011, le minimum est d’avoir HTTPS pour login/passwd.
Le pire est que je suis sûr que vous devez adhérer à l’initiative HTTPS Everywhere.
-
Oui l’action du formulaire de login devrait être en HTTPS.
Le certificat ne génère pas d’erreur, il génère un dialogue d’information qui demande à accepter ou refuser le certificat selon si tu lui fait confiance ou non.
Je te conseille l’extension MonkeySphere (et CertPatrol) pour Firefox pour aider ce travail de confiance (ça se base sur ton cercle de confiance GPG/PGP, bien plus fiable qu’une signature d’une entreprise qui ne vérifie rien à part que la transaction a bien été payée...).
Sinon tu peux aussi faire comme les gens un peu sérieux : effacer les certificats des entreprises « officielles » de ton navigateur/OS afin de vérifier chaque certificat, ainsi tu verra que SeenThis n’est pas différent des millions d’autres sites utilisant TLS ;)
-
Juste pour dire que je suis tout à fait d’accord avec @bohwaz. C’est pour cela que je pinaillais sur la différence entre TLS et X.509. TLS est très bien et SeenThis devrait l’utiliser davantage. C’est X.509 le problème.
-
Etant en https, en cliquant sur « Seenthis » ou « Accueil », on passe en http. #seenthis_bug @seenthis
-
pareil, quand on veut récupérer son mot de passe (ou vouloir en changer), on repasse en http. #seenthis_bug
-
-
-
-
Google Geo Developers Blog: Maps APIs over SSL now available to all
http://googlegeodevelopers.blogspot.com/2011/03/maps-apis-over-ssl-now-available-to-all.htmlAs public WiFi becomes increasingly ubiquitous, we spend more and more of our time on shared networks. This can expose our personal data to third parties if the sites we access are not secure. Many sites use Google services to store and manage Google data. In response to this, Google is today announcing improved support for SSL (Secure Sockets Layer) across many APIs, and recommending that any application that manages user data switch to using SSL.
-
Retours sur le Social Web Camp Paris, dans conferences, web sur BioloGeek, l’avis d’un freelance passionné par le web et son évolution.
http://www.biologeek.com/conferences,web/retours-sur-le-social-web-camp-paris/#c49549
