• # Ni pour ni contre, bien au contraire !

    Posté par . En réponse au journal Dominique Loiselet, Blue Coat : « généraliser le HTTPS va rendre la sécurité aveugle ». Évalué à 10.

    Bon, je me fais l'avocat du diable :

    Parfois, je HTTPS, c'est chiant !
    Je boss sur loadbalancer ou du proxy, en parfois, il y a des applis HTTPS qui déconnent et bien sur, c'est toujours la faute du réseau...

    Donc je dois sortir le bon certificat, le mettre dans wireshark, déchiffrer, montrer que le problème vient de l'appli, me moquer, etc...

    Mais dans certain cas, je n'ai pas le bon certificat et la, c'est chiant. Mais en même temps, de ce cas la, Blue Coat et autre ne peuvent rien faire non plus.

    Par contre, je trouve que le HTTPS est "sur-vendu". Je veux dire, bien sur que c'est important, sinon on peut trivialement sniffer le réseau (entreprise, WIFI dans certain cas, opérateur) mais ce n'est pas tout. Ici (linuxfr), les gens le savent très bien que HTTPS =/= Sécurité. C'est un élément de sécurité (et encore, les proxys justement montrent qu'on peut passer outre, des états ont déjà joué avec), il faut ensuite que chez l'hébergeur du service la sécurité soit bonne, qu'il n'y ai pas de faille grossière dans l'appli, que l'utilisateur ne fasse pas n'importe quoi, qu'il n'y ai pas de personne malveillante chez l'hebergeur, etc...

    Il faut du HTTPS, mais il ne faut pas que ça !