Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Https, ça sert à rien ?

Https, ça sert à rien ?

D 8 avril 2016     H 09:00     A Genma     C 10 messages   Logo Tipee

TAGS : Https

J’ai lu en commentaire d’un billet de blog parlant de la mise en place d’httpS via Let’s Encrypt

Ça ne sert à rien pour les visiteurs du blog.

Ce à quoi j’ai répondu :

FAUX. Quand un site propose une connexion en https, pour les utilisateurs qui consultent le site, cela apporte quelque chose : seul l’utilisateur et le serveur (via les logs) savent quelles pages sont consultées. Un observateur extérieur (sur le réseau) ne voit qu’une connexion au site mais ne connaitra pas les pages consultées. C’est là tout l’intérêt. Si je suis Internaute dans un pays où regarder une page la page https://fr.wikipedia.org/wiki/Homosexualit%C3%A9 ou https://fr.wikipedia.org/wiki/Place_Tian’anmen sont passibles de "quelques soucis", les systèmes de surveillance du pays verront que je suis sur Wikipedia, mais ne sauront pas que je regarde telle ou telle page. (On met de coté l’hypothèse plausible d’un man in the middle). J’ai pris des exemples non "français", mais pour les boites noires, on peut citer la page https://fr.wikipedia.org/wiki/Djihad par exemple...

Je republie ça ici car je pense qu’il est important de rappeler et de sensibiliser à l’intérêt d’httpS.

Je devance la demande "et sur le Blog de Genma c’est pour quand". Je travaille sur une version hébergée autre part que chee Free qui proposera une version https. Ce site est proposé en miroir sur des autoblog et certains proposent une connexion https. On peut aussi passer par Tor pour accéder au blog, ce qui masque les pages auxquelles on accède si besoin.

10 Messages

  • Par contre, un certains nombre de certificats ne sont pas reconnus par le navigateur et affiche en échange un message d’alerte plutôt inquiétant (pour les utilisateurs non avertis).
    Il est même parfois difficile d’accepter manuellement ce certificat (selon les navigateurs).

    L’utilisation d’HTTPS, c’est bien mais pour le moment ça peut être compliqué.


  • Gros +1, le https est utile :-)
    Oui, le https n’est pas parfait et ne protège pas les requêtes DNS mais c’est toujours mieux que rien.
    2 liens pour accéder à une version https du blog de Genma :
    https://ecirtam.net/autoblogs/autoblogs/genmafreefr_b3fbe64910770582d9e51b56601ff3e6c0a41b76/
    Via Tor :
    https://ecirtamno7a6cynx.onion/autoblogs/autoblogs/genmafreefr_b3fbe64910770582d9e51b56601ff3e6c0a41b76/


  • Commentaire n’ayant aucun intérêt technique mais qui suggère pourquoi je reste toujours très très dubitatif devant la surenchère "sécuriste"

    C’est tout con :
    La phrase citée initialement incluait "... pour les visiteurs DU blog."
    Le titre de Genma est néanmoins "Https, ça sert à rien ?"

    Il y a donc, délibérément, une caricature du point de départ qu suggérait au moins une prise de recul. Prise de recul non seulement niée mais ensuite dévoyée (changement de contexte, intégration de thématiques "sensibles", etc l’artillerie habituelle d’une ... propagande.)

    Moralité : Bah ça me laisse un goût de manipulation pour maintenir un niveau anxiogène elevé (comme ce que l’on voit sur certaines chaînes TNT pour d’autres domaines ;-)

    Dommage.

    PS : Je ne suis évidemment pas hostile au https, pas plus tard que cette semaine j’ai contribué à la mise en https d’un service interne "négligé"...


  • En 2016 et avec tout ce qui nous tombe dessus tenir le discours "Https ça sert à rien" relève de la stupidité...
    D’accord avec toi Genma et bon courage pour cette prochaine version !


  • Juste pour éviter la redite, as tu vu mon dernier commentaire sur le bloug de l’ami Cyrille sur l’article équivalent ?


  • Salut !

    Ce qui m’ennerve avec cette course effrénée pour le https c’est qu’elle semble avoir comme point de départ les GAFAM - notamment Google - non pas par souci du bien-être des internautes mais plutôt pour se racheter une (bonne) image suite aux révélations Snowden.

    Résultat des courses, voilà que même le blogue de recettes de ma tante - et tout les sites annodins qui doivent constituer la majeur partie d’ internet - devraient passer en https s’ils ne veulent pas être un peu (pour l’instant) montrés du doigt par les navigateurs et descendre légérement (pour l’instant) dans les résultats de recherches.

    Le chiffrement peut être un outil pertinent comme Genma le démontre dans l’exemple de Wikipédia. Mais utiliser un outil, aussi bon soit-il, à tort et à travers est une véritable perte de temps et d’energie.


  • Ca fait des années que tu parle de ta migration de free, tu parle d’autohébergment, de SSL de sécurité mais il n’en ai rien du tout sur ton site .
    Je remet totalement en question ton blog du coups...
    Pourquoi ne pas appliquer tous ces conseils que tu nous donne ?


  • >Ca fait des années que tu parle de ta migration de free, tu parle d’autohébergment, de SSL de sécurité >mais il n’en ai rien du tout sur ton site .

    Comme dit dans les commentaires, y a des versions miroir en .oinion si besoin qui propose une connexion httpS. Donc c’est une alternative qui répond au problème.

    Je m’autohéberge (hors mail et blog) pour tout le reste et je vois que ce n’est pas accessible et si facile que ça. Ca apporte plein de problématiques (billet assez long en cours). Le site existe en version migrée mais n’est pas encore annoncée publiquement.

    >Je remet totalement en question ton blog du coups...
    Avoir un regard critique, se poser des questions, comparer, questionner, avoir différentes sources, c’est ce qu’il faut faire. Sinon, je n’oblige personne à me lire :-)

    > Pourquoi ne pas appliquer tous ces conseils que tu nous donne ?
    Voir remarques ci dessus.


  • @C138
    >Moralité : Bah ça me laisse un goût de manipulation pour maintenir un niveau anxiogène elevé (comme ce que l’on voit sur certaines chaînes TNT pour d’autres domaines ;-)

    Pourquoi parler d’un niveau anxiogène élevé alors qu’il s’agit d’une chose aussi bête que de rappeler qu’il faut fermer la porte et les fenêtres chez toi pour s’assurer que personne ne vienne nous voler (entre autres) des affaires (dans ce cas, des données) ? Il semble pourtant que personne n’est angoissé à cette idée, donc tu reportes le problème sur ce point, il n’en est rien, le problème vient des gens qui ne savent pas se projeter dans le numérique (car ils ne n’ont pas de connaissances sur ce dernier).
    Il est important d’expliquer aux gens que dans le rue c’est comme Internet, on s’habille pour ne pas afficher sa nudité, on cache son téléphone quand on le dévérouille et le manipule pour ne pas que le premier venu regarde son téléphone car il n’a pas à le faire

    @Genma
    >Un observateur extérieur (sur le réseau) ne voit qu’une connexion au site mais ne connaitra pas les pages consultées.

    Techniquement, il verra que tu vas très précisement sur https://fr.wikipedia.org/wiki/Djihad, mais l vaut peut-être mieux dire qu’il n’en verra pas le contenu.