• [^] # Re: M'ouaif

    Posté par . En réponse au journal HtmGem v1.0.0, un client Gemini en Php. Évalué à 3.

    Alors pourquoi chiffrer si le but n'est pas d'avoir une communication dont on est sûr qu'elle est confidentielle ? Autant transmettre en clair.

    Tout à fait. Personnellement, une simple signature type GPG serait à mes yeux largement suffisante pour de très nombreux cas d'usages du web.
    Le chiffrement est parfois utile, je ne le nie pas (pas envie que les empreintes de mon code bancaire passent sur un réseau en clair...).
    Si la signature change, je suis prévenu, et je peux me méfier. Si c'est un site sur lequel je vais souvent, il est possible que j'aie été prévenu à l'avance du changement. Il est aussi envisageable de signer la nouvelle clé avec l'ancienne.

    Tout ça fonctionne. D'ailleurs, contrairement au modèle usité par le web, le TOFU permets de donner à quelqu'un une URI et une empreinte, de sorte à s'assurer qu'on parle de la même chose.
    Dans le cas du web, c'est probablement faisable, mais clairement pas la philosophie retenue.
    J'allais dire:

    À la place, on à préféré fustiger les gens qui osent ne pas mettre en place l'usine à gaz nécessaire à la chaîne de confiance en disant "attention! danger! Vite, sauvez-vous!".

    Mais après vérification, ce n'est pas le cas sur mes 2 navigateurs. J'étais pourtant persuadé d'avoir eu à contourner des écrans à la con pour ce type d'accès par le passé, du coup j'imagine que je me suis fait des films. Ou alors, ça a changé pour revenir à un comportement plus sain. Les deux sont possibles...

    En cas de changement de clef, je n'ai aucun moyen de savoir si un changement de clef est légitime ou pas.

    Et je n'ai aucun moyen de savoir avec le web qu'il n'y a pas de typo-squatting, ni aucun moyen d'être sûr que le domaine n'a pas été racheté au bon moment et un site à la même tronche mis en place.
    Je n'ai donc aucune garantie dans les deux cas, à la première visite. Lors de la seconde, en revanche, avec un TOFU... si pas encore lu, voir le début de ce message (évitons une boucle infinie).