Quelques bons articles sur la faille « Comodo » (une...

Sur la faille Comodo, voir ►http://seenthis.net/messages/14461

–3

1) Le protocole se nomme #TLS, pas #SSL

2) TLS ou SSL, de toute façon, c’est d’un certificat #X.509 qu’il est, je suppose, question.

3) X.509 étant une vaste blague, cela ne me dérange pas que #SeenThis s’en moque ►http://seenthis.net/messages/14461

OVH et Gandi vendent des « certificats SSL ». Techniquement le nom est peut-être pas le bon, mais on se comprend :-)

Pouvoir envoyer le couple login/passwd de manière chiffrée sur le réseau est le minimum. Et quand on a un site tout web2.0 qui peut participer à faire chuter des régimes politiques, le chiffrement est indispensable.

Mais je sais, la sécurité est la grande oubliée du développement Internet de ces dernières années (X.509 semble le confirmer d’ailleurs)

#seenthis a déjà du SSL qui fonctionne, pas besoin que ça soit validé par une entreprise pas fiable pour que ça soit « vraiment » un « bon » certificat.

@JDMidori : comme le note @bohwaz, vos deux arguments (mot de passe et espionnage par l’État) plaident en faveur du chiffrement (que fournit TLS et qui est déjà activé dans #SeenThis) mais pas du tout d’un certificat X.509 officiel.

Le certificat actuel génère une erreur, les geeks s’en contentent, mais il y a bien qu’eux. En plus, c’est à moi de forcer le HTTPS. En 2011, le minimum est d’avoir HTTPS pour login/passwd.

Le pire est que je suis sûr que vous devez adhérer à l’initiative HTTPS Everywhere.

Oui l’action du formulaire de login devrait être en HTTPS.

Le certificat ne génère pas d’erreur, il génère un dialogue d’information qui demande à accepter ou refuser le certificat selon si tu lui fait confiance ou non.

Je te conseille l’extension MonkeySphere (et CertPatrol) pour Firefox pour aider ce travail de confiance (ça se base sur ton cercle de confiance GPG/PGP, bien plus fiable qu’une signature d’une entreprise qui ne vérifie rien à part que la transaction a bien été payée...).

Sinon tu peux aussi faire comme les gens un peu sérieux : effacer les certificats des entreprises « officielles » de ton navigateur/OS afin de vérifier chaque certificat, ainsi tu verra que SeenThis n’est pas différent des millions d’autres sites utilisant TLS ;)

Juste pour dire que je suis tout à fait d’accord avec @bohwaz. C’est pour cela que je pinaillais sur la différence entre TLS et X.509. TLS est très bien et SeenThis devrait l’utiliser davantage. C’est X.509 le problème.

Etant en https, en cliquant sur « Seenthis » ou « Accueil », on passe en http. #seenthis_bug @seenthis

pareil, quand on veut récupérer son mot de passe (ou vouloir en changer), on repasse en http. #seenthis_bug

Comme je code pas je peux pas vérifier mais pour ce que je crois en savoir, #seenthis utilise l’API de connexion de SPIP laquelle est cryptée sha256 via javascript. Donc les infos de connexion ne circulent pas en clair. Mais peut-être n’est-ce pas totalement sécurisé, je n’en sais rien. @seenthis ?

@Suske: “chiffrée” pas “cryptée” ►http://www.bortzmeyer.org/cryptage-n-existe-pas.html