HSTS remplacera-t-il bientôt https ?
|
15-04-2013, 12h17
(Modification du message : 15-04-2013, 12h44 par gruik.)
Message : #1
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
HSTS remplacera-t-il bientôt https ?
io,
(c'est loin d'être une news) http://www.cnetfrance.fr/news/securite-i...783205.htm en gros c'est du https, mais qui empeche de faire des connexions adjacentes en http. Mais je me pose quelques questions : en php par exemple j'ai une variable qui définie si mon site doit etre consulter en https ou non, cela modifie les liens et je vérifie ensuite avec un !isset($_SERVER['HTTPS']) ainsi les données sont forcéments chiffrés. En gros, est-ce un protocole qui dois faire ça, ou l'application, ou encore le navigateur ? Mon avis pencherais sur le navigateur, et vous ? EDIT : http://fr.wikipedia.org/wiki/HTTP_Strict...t_Security pour voir comment l' """activer""" EDIT 2 : les navigateurs firefox et chromium ne m'affichent aucun message d'erreur encore, à suivre donc EDIT 3 : la rfc stipule que les navigateurs doivent ignorer le header HTTP Strict-Transport-Security si la requete n'est pas exclusivement une requete HTTPS avec un certificat de confiance (ce que je n'ai pas) donc j'ai rien dis :p Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
15-04-2013, 12h26
Message : #2
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: HSTS remplacera-t-il bientôt https ?
Normalement c'est le protocole qui gère le chiffrement des données ou non ! Tu n'as rien à faire du coté de ton appli web..
Faites ce que je dis et non ce que je fais !
|
|
15-04-2013, 12h30
Message : #3
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: HSTS remplacera-t-il bientôt https ?
Je ne chiffre pas les données envoyées au client, je vérifie simplement que c'est bien le protocole https qui est utiliser, si ce n'est pas le cas, je ne renvoit aucune donnée. Ce qui il me semble est utilité du protocole, donc je vois pas trop l'interet du truc en fait ^^"
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
17-04-2013, 10h04
Message : #4
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: HSTS remplacera-t-il bientôt https ?
Des infos sur le système de chiffrage ?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
17-04-2013, 10h08
Message : #5
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: HSTS remplacera-t-il bientôt https ?
c'est une sur-couche à SSL/TLS, donc c'est du même niveau que HTTPS.
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
17-04-2013, 10h09
Message : #6
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: HSTS remplacera-t-il bientôt https ?
Quel intérêt de créer un nouveau protocole qui a l'air en plus , plus chiant que le HTTPS dans ce cas là?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
17-04-2013, 10h17
Message : #7
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: HSTS remplacera-t-il bientôt https ?
quand tu te connecte sur un site, ta première requete est en http et bien souvent tu est rediriger vers le https si il y a en un.
le problème c'est que tu peux toujours accéder au site en http, et dans ce cas-là, des informations en clair circulent. L'idée c'est que désormais quand tu te connecte à un site, tu demande en http puis HSTS te redigire en https MAIS te dis "Ok, t'es venu la première fois en HTTP, mais tu le refait plus!" "Tu le refait plus" cad que le navigateur directement vas refuser d'envoyer désormais les requete http. tu as compris ? Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
17-04-2013, 10h18
Message : #8
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: HSTS remplacera-t-il bientôt https ?
Ah c'est ça le principe ! xD
En fait c'est juste une sécurité quoi.
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
01-06-2013, 08h25
Message : #9
|
|
0pc0deFR Non-enregistré |
RE: HSTS remplacera-t-il bientôt https ?
Ca peut être une bonne chose. A suivre.
|
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)