L'EFF veut chiffrer les connexions avec une extension pour Firefox/Chrome
HTTPS Everywhere, ou presque
L’Electronic Frontier Foundation (EFF) a lancé récemment la version 2.0 d’une extension intéressante pour Firefox et dont l’objectif est d’activer le HTTPS à chaque fois que c’est possible. L’utilisateur navigue comme d’habitude sur le web et « HTTPS Everywhere version 2.0 » se charge automatiquement d’un certain nombre d’opérations, avec quelques ajouts bienvenus.
Le fonctionnement de HTTPS Everywhere est simple : quand l’extension détecte qu’une connexion sécurisée et chiffrée est disponible, elle fait basculer automatiquement le navigateur dessus. Bien entendu, cela suppose pour l’extension de bénéficier d’une liste de sites compatibles pour ne pas déclencher des comportements inadaptés. Actuellement, HTTPS Everywhere comporte donc une liste de 1400 sites, mise à jour régulièrement.
Mais la version 2.0 de l’extension apporte surtout une fonctionnalité qui devrait ravir les aficionados de la sécurité renforcée. Il s’agit d’un scanner automatique qui va informer l’utilisateur sur la présence éventuelle d’une faille de sécurité connue sur le site qu’il visite. Nommée « Decentralized SSL Observatory », elle doit permettre une prise de décision basée sur les informations transmises, l’extension recommandant un certain nombre de points.
Autre ajout important : l’apparition d’une bêta pour Chrome. Même si HTTPS Everywhere est traditionnellement une extension pour Firefox, la part de marché de Chrome le rend désormais incontournable. Cependant, cette bêta comporte la bascule automatique sur connexion chiffrée, mais pas le Decentralized SSL Observatory
HTTPS Everywhere 2.0 peut donc être installé depuis son site officiel sous Firefox ou Chrome.
Le fonctionnement de HTTPS Everywhere est simple : quand l’extension détecte qu’une connexion sécurisée et chiffrée est disponible, elle fait basculer automatiquement le navigateur dessus. Bien entendu, cela suppose pour l’extension de bénéficier d’une liste de sites compatibles pour ne pas déclencher des comportements inadaptés. Actuellement, HTTPS Everywhere comporte donc une liste de 1400 sites, mise à jour régulièrement.
Mais la version 2.0 de l’extension apporte surtout une fonctionnalité qui devrait ravir les aficionados de la sécurité renforcée. Il s’agit d’un scanner automatique qui va informer l’utilisateur sur la présence éventuelle d’une faille de sécurité connue sur le site qu’il visite. Nommée « Decentralized SSL Observatory », elle doit permettre une prise de décision basée sur les informations transmises, l’extension recommandant un certain nombre de points.
Autre ajout important : l’apparition d’une bêta pour Chrome. Même si HTTPS Everywhere est traditionnellement une extension pour Firefox, la part de marché de Chrome le rend désormais incontournable. Cependant, cette bêta comporte la bascule automatique sur connexion chiffrée, mais pas le Decentralized SSL Observatory
HTTPS Everywhere 2.0 peut donc être installé depuis son site officiel sous Firefox ou Chrome.
Source :
EFF
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 5 mars 2012 à 12:45
(12 924
lectures)
Il y a 58 commentaires
INpactien
Tu peux installer leurs certificats racine, et ça roule.
C'est bien la que le bas blesse.
A partir du moment on il faut faire installer des certificats racine a la mains comment prouver le serieux de la gestion des certificats et quid des appareils mobiles.
De plus le SSL sécurise une connexion, ça ne prouve en rien que le surf est sécurisé ?
D'ailleurs c'est quoi un surf sécurisé ?
INpactien
Le chiffrage SSL est gourmand pour le serveur qui l’héberge.
Sur le site de belotte de sussy-en-brie, c'est anecdotique, pour un site a forte affluence ça l'est nettement moins.
INpactien
D'ailleurs c'est quoi un surf sécurisé ?
C'est quand tu fais pas de hors piste.
---> out
Pour le reste de ton post, chaque chose en son temps, et chaque avancée même imparfaite est appréciable.
INpactien
Le chiffrage SSL est gourmand pour le serveur qui l’héberge.
Sur le site de belotte de sussy-en-brie, c'est anecdotique, pour un site a forte affluence ça l'est nettement moins.
Bof selon des déclarations de Google le SSL c'est 1% de puissance CPU… Et eux l'affluence ils connaissent.
INpactien
John Shaft
Le lundi 5 mars 2012 à 14:03:19
#25
Inscrit
le vendredi 14 janvier 11
-
7564
commentaires
Tu peux installer leurs certificats racine, et ça roule.
[/quote]
Chrome et FF me donne un avertissement sur la version HTTPS de leur site. M'enfin, je leur ai "intimé de fermer leur claque-m
rde" aux butineurs comme ldisait l'autre 
Edité par tot0che le vendredi 18 janvier 2013 à 19:33
INpactien
Tu peux installer leurs certificats racine, et ça roule.
Ca a été dit et redit, mais "obliger" tout un chacun à installer un cert, et dans Autorités racines de confiance pour certains, c'est juste
Sinon P.A. nous aurait déjà fait son :
openssl req -new > PCINpact.cert.csr
openssl rsa -in privkey.pem -out PCINpact.cert.key
openssl x509 -in PCINpact.cert.csr -out PCINpact.cert -req -signkey PCINpact.cert.key -days 3650
Et hop, c'est parti pour 10 ans !
INpactien
Bof selon des déclarations de Google le SSL c'est 1% de puissance CPU… Et eux l'affluence ils connaissent.
Le premier lien vue sur google les contredit :)
http://www.bsc.es/media/389.pdf
Edité par CR_B7 le lundi 5 mars 2012 à 14:09
INpactien
edit : auto 
pour utiliser PCINpact en tant que solution sécurisée de Cloud pour stocker mes commandes *nix de base... 
pour utiliser PCINpact en tant que solution sécurisée de Cloud pour stocker mes commandes *nix de base...
INpactien
Et puis ça dépend de ce que tu as as sécuriser, ça impose l'établissement d'une connexion de bout en bout non ? (pas de udp tout ça non ?)
INpactien
Bof selon des déclarations de Google le SSL c'est 1% de puissance CPU… Et eux l'affluence ils connaissent.
Je n'ai pas dis que cela demandait énormément de puissance, mais selon l'affluence sur le site concerné, le 1% (si c'est le bon chiffre) de puissance CPU en plus peut coûter beaucoup plus cher que le certificat.
Et, d'autre part, ça complexifie la gestion des serveurs/load balancing/proxies (rayer les mentions inutiles) et donc, mécaniquement, le coût global du site en question.
Edité par eupalynos le lundi 5 mars 2012 à 14:13
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
66 % de remise sur le jeu Cities XL Platinum
Valable jusqu'au 24 mai -
Un SSD Sandisk S-ATA 6 Gb/s de 256 Go pour 143 €
Valable jusqu'au 26 mai -
Un casque Steelseries Siberia V2 et une souris Kinzu V2 : 70,04 €
Valable jusqu'au 26 mai -
20 % de remise sur des périphériques Trust
Valable jusqu'au 26 mai
