cleartext password over http
|
19-01-2016, 13h46
Message : #16
|
|
GreenBlood
Newbie Messages : 17 Sujets : 0 Points: 14 Inscription : Aug 2014 |
RE: cleartext password over http
Bientôt on aura du DANE, TLSA, DNSSEC et tout ce bordel implémenté de partout et tout ira bien On y croit
|
|
20-02-2016, 02h23
Message : #17
|
|
lanodan
gentooiste (ex debianeux) Messages : 10 Sujets : 1 Points: -3 Inscription : Feb 2014 |
RE: cleartext password over http
Pour les CAs je prend CACert ça geule coté vérification(sauf sur certains linux) car ils ne sont pas aller dire bonjour à COMODO & cie’ mais au moins c’est libre, stable(certifs pour 6 mois) et communautaire(web of trust, GPG, …). (Ah et gratuit)
Je pense que la solution de ne pas prendre de CA (ou être son propre CA si on à plusieurs machines) se présenterat mieux quand DANE/TLSA serat bien implémenté dans les navigateurs car la validation peut se faire en utilisant uniquement la clé fournie dans les registres DNS. |
|
21-02-2016, 13h32
Message : #18
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: cleartext password over http
@lanodan: enfin faut BIEN veiller à utiliser DNSSEC sinon t'es foutu, rien n'empêche à un attaquant sur un LAN de forger une fausse requête DNS avec sa clé à lui (et comme t'as aucun tiers de confiance qui certifie que la clé est bien la bonne, principe de base de SSL/TLS, ça devient gênant).
Bref si les navigateurs jouent le jeu, faut aussi que les FAI/entreprises & co jouent aussi le jeu et mettent du DNSSEC partout, sinon ça va être la fiesta \o/
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)