Je pense que le nombre de request est monstrueux et du coup les 0.00003% peuvent devenir significatifs.
0.00003% sur 1 Milliard ou 0.00003% sur 1 Trillard reste 0.00003% non significatif.
La valeur absolue n'a d’intérêt que pour ceux qui veulent trouver quelque chose de significatif en tordant la réalité.
Juste pour relativiser : 0.00003%, c'est 1000x moins que, par exemple, le pourcentage de femmes qui meurent en accouchant
Ce raisonnement est assez bête en fait, ce qui importe ce n'est ni le nombre total de requête affecté ni le ratio, ce qui compte c'est le nombre (ou le ratio) de personnes affecté. Comme très peu de françaises accouchent plus de 10 fois, la probabilité de mourir d'un accouchement dans sa vie est du même ordre de grandeur que la probabilité de mourir lors d'un accouchement en particulier.
Dans le cas d'HTTP la situation est bien différente: si je vais sur https://korben.info, mon navigateur fait une centaine de requête vers ce domaine par page chargée, admettons que j'aille 1 fois par jour sur ce site et que j'ouvre en moyenne 2 page, ça fait 200 requêtes effectuée par jours sur ce domaine. En 5 mois d'existence de la faille, ça fait donc 30 000 requêtes effectuées vers ce domaine. Là, d'un coup la probabilité qu'une de mes requêtes se soit retrouvée dans la nature avec un cookie d’authentification valide s'approche de 1%.
Bon OK pour Korben.info je m'en tape un peu. Si je regarde la liste des sites potentiellement affectés je vois des sites un peu moins anodins tels que transferwise.com, uber.com ou encore okcupid.com. OK les gens passent plus de temps à glander sur le net qu'à transférer de l'argent ou à commander des VTC, mais en 5 mois à raison de 2 courses en uber par semaine, ça fait encore plus d'une chance sur mille, et cela pour chacun des sites affectés : c'est clairement loin d'être négligeable.
Il y a donc bien un problème et il vient du fait que le nombre de requête effectuées par chaque personne est monstrueux.
[^] # Re: Exemplarité
Posté par StyMaar . En réponse au journal Oh, la belle prise (chez CloudFlare). Évalué à 10. Dernière modification le 25 février 2017 à 19:49.
Ce raisonnement est assez bête en fait, ce qui importe ce n'est ni le nombre total de requête affecté ni le ratio, ce qui compte c'est le nombre (ou le ratio) de personnes affecté. Comme très peu de françaises accouchent plus de 10 fois, la probabilité de mourir d'un accouchement dans sa vie est du même ordre de grandeur que la probabilité de mourir lors d'un accouchement en particulier.
Dans le cas d'HTTP la situation est bien différente: si je vais sur https://korben.info, mon navigateur fait une centaine de requête vers ce domaine par page chargée, admettons que j'aille 1 fois par jour sur ce site et que j'ouvre en moyenne 2 page, ça fait 200 requêtes effectuée par jours sur ce domaine. En 5 mois d'existence de la faille, ça fait donc 30 000 requêtes effectuées vers ce domaine. Là, d'un coup la probabilité qu'une de mes requêtes se soit retrouvée dans la nature avec un cookie d’authentification valide s'approche de 1%.
Bon OK pour Korben.info je m'en tape un peu. Si je regarde la liste des sites potentiellement affectés je vois des sites un peu moins anodins tels que transferwise.com, uber.com ou encore okcupid.com. OK les gens passent plus de temps à glander sur le net qu'à transférer de l'argent ou à commander des VTC, mais en 5 mois à raison de 2 courses en uber par semaine, ça fait encore plus d'une chance sur mille, et cela pour chacun des sites affectés : c'est clairement loin d'être négligeable.
Il y a donc bien un problème et il vient du fait que le nombre de requête effectuées par chaque personne est monstrueux.