• [^] # Re: Qui programme l'obsolescece?

    Posté par (site web personnel) . En réponse au journal Brother ne mettra pas à jour les micrologiciels des imprimantes qui utilisent TLS 1.0. Évalué à 3. Dernière modification le 08 octobre 2022 à 15:54.

    TLS est un élément de sécurité. Et quand un algo de chiffrement n'est plus sécurisé, il ne doit plus être utilisé.

    Dans la théorie on est d'accord.
    Dans la pratique "plus sécurisé" dépend fortement de l’intérêt de la cible, à un moment il faut se dire aussi qu'une imprimante sur un réseau local pour une TPE lambda n'a pas besoin d'un niveau "top secret" et que ça va très bien avec TLS 1.0 au moins en backup.

    Alors certes il semble vu les commentaires que Brother devrait être critiqué pour ne pas avoir utilisé la version courante de TLS au moment de la sortie du matos, mais on peut aussi critiquer la désactivation d'un truc qui n'est plus au plus haut niveau de sécurité mais encore largement acceptable pour du vieux matos qui marche encore.

    Openssl va supprimer le code TLS v1.0 et v1.1 dans pas longtemps, alors ça va devenir très compliqué, voir impossible de continuer à utiliser cet algo en utilisant les nouvelles versions des dépendances.

    Ou alors il ne faudra pas en vouloir aux gens qui restent sur d'anciennes versions d'Openssl (ou de navigateur, ça peut faire mal), ils auraient une raison légitime de ne pas mettre à jour avec une version avec des corrections de failles pour leurs autres matos qui pourraient être mieux sécurisés mais on a décidé pour eux de les emmerder à choisir entre 2 versions ayant chacune 1 problème pour leur usage.

    A un moment, la volonté de sécuriser au maximum sans prendre en compte la réalité du monde va créer plus de failles qu'en colmater (et ça ne sera pas la première fois qu'on fera ce genre de bêtise, souvenons-nous des "listes blanches" de sites et les employés emmerdés connectaient un modem à côté pour pouvoir faire leur taf, et plein de failles car non surveillé).