+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Questions (https://dev.n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Security (https://dev.n-pn.fr/forum/forumdisplay.php?fid=24)
+--- Sujet : HSTS remplacera-t-il bientôt https ? (/showthread.php?tid=2906)
HSTS remplacera-t-il bientôt https ? - InstinctHack - 15-04-2013
io,
(c'est loin d'être une news)
http://www.cnetfrance.fr/news/securite-internet-le-hsts-va-devenir-un-standard-39783205.htm
en gros c'est du https, mais qui empeche de faire des connexions adjacentes en http.
Mais je me pose quelques questions :
en php par exemple j'ai une variable qui définie si mon site doit etre consulter en https ou non, cela modifie les liens et je vérifie ensuite avec un !isset($_SERVER['HTTPS']) ainsi les données sont forcéments chiffrés.
En gros, est-ce un protocole qui dois faire ça, ou l'application, ou encore le navigateur ?
Mon avis pencherais sur le navigateur, et vous ?
EDIT : http://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
pour voir comment l' """activer"""
EDIT 2 : les navigateurs firefox et chromium ne m'affichent aucun message d'erreur encore, à suivre donc
EDIT 3 : la rfc stipule que les navigateurs doivent ignorer le header HTTP Strict-Transport-Security si la requete n'est pas exclusivement une requete HTTPS avec un certificat de confiance (ce que je n'ai pas) donc j'ai rien dis :p
RE: HSTS remplacera-t-il bientôt https ? - Sh4dows - 15-04-2013
Normalement c'est le protocole qui gère le chiffrement des données ou non ! Tu n'as rien à faire du coté de ton appli web..
RE: HSTS remplacera-t-il bientôt https ? - InstinctHack - 15-04-2013
Je ne chiffre pas les données envoyées au client, je vérifie simplement que c'est bien le protocole https qui est utiliser, si ce n'est pas le cas, je ne renvoit aucune donnée. Ce qui il me semble est utilité du protocole, donc je vois pas trop l'interet du truc en fait ^^"
RE: HSTS remplacera-t-il bientôt https ? - Kiwazaru - 17-04-2013
Des infos sur le système de chiffrage ?
RE: HSTS remplacera-t-il bientôt https ? - InstinctHack - 17-04-2013
c'est une sur-couche à SSL/TLS, donc c'est du même niveau que HTTPS.
RE: HSTS remplacera-t-il bientôt https ? - Kiwazaru - 17-04-2013
Quel intérêt de créer un nouveau protocole qui a l'air en plus , plus chiant que le HTTPS dans ce cas là?
RE: HSTS remplacera-t-il bientôt https ? - InstinctHack - 17-04-2013
quand tu te connecte sur un site, ta première requete est en http et bien souvent tu est rediriger vers le https si il y a en un.
le problème c'est que tu peux toujours accéder au site en http, et dans ce cas-là, des informations en clair circulent.
L'idée c'est que désormais quand tu te connecte à un site, tu demande en http puis HSTS te redigire en https MAIS te dis "Ok, t'es venu la première fois en HTTP, mais tu le refait plus!"
"Tu le refait plus" cad que le navigateur directement vas refuser d'envoyer désormais les requete http.
tu as compris ?
RE: HSTS remplacera-t-il bientôt https ? - Kiwazaru - 17-04-2013
Ah c'est ça le principe ! xD
En fait c'est juste une sécurité quoi.
RE: HSTS remplacera-t-il bientôt https ? - 0pc0deFR - 01-06-2013
Ca peut être une bonne chose. A suivre.