+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Questions (https://dev.n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Security (https://dev.n-pn.fr/forum/forumdisplay.php?fid=24)
+--- Sujet : cleartext password over http (/showthread.php?tid=3863)
Pages :
1
2
RE: cleartext password over http - GreenBlood - 19-01-2016
Bientôt on aura du DANE, TLSA, DNSSEC et tout ce bordel implémenté de partout et tout ira bien
On y croit
RE: cleartext password over http - lanodan - 20-02-2016
Pour les CAs je prend CACert ça geule coté vérification(sauf sur certains linux) car ils ne sont pas aller dire bonjour à COMODO & cie’ mais au moins c’est libre, stable(certifs pour 6 mois) et communautaire(web of trust, GPG, …). (Ah et gratuit)
Je pense que la solution de ne pas prendre de CA (ou être son propre CA si on à plusieurs machines) se présenterat mieux quand DANE/TLSA serat bien implémenté dans les navigateurs car la validation peut se faire en utilisant uniquement la clé fournie dans les registres DNS.
RE: cleartext password over http - supersnail - 21-02-2016
@lanodan: enfin faut BIEN veiller à utiliser DNSSEC sinon t'es foutu, rien n'empêche à un attaquant sur un LAN de forger une fausse requête DNS avec sa clé à lui (et comme t'as aucun tiers de confiance qui certifie que la clé est bien la bonne, principe de base de SSL/TLS, ça devient gênant).
Bref si les navigateurs jouent le jeu, faut aussi que les FAI/entreprises & co jouent aussi le jeu et mettent du DNSSEC partout, sinon ça va être la fiesta \o/