Cela m'amène à réfléchir à la détection, puis la parade de ce genre de problème.
Prenons un cas où il est clairement inadmissible de déchiffrer/chiffrer le flux de manière transparente, à l'insu de l'utilisateur:
Admettons que je travaille dans une SSII. Je suis en déplacement chez un client. J'utilise mon ordinateur portable. Je me connecte au réseau local de l'entreprise pour faire mon travail. Et de temps en temps j'ouvre une session SSH vers un serveur de ma SSII.
Dans ce cas, qui n'est qu'un exemple parmi d'autres, il est parfaitement inadmissible que mes communications soient interceptées.
Si l'entreprise m'indique que les communications sont interceptées, j'ai le choix de faire attention.
Par contre il y a probablement pas mal de cas où l'administrateur ne le dit pas, pour la simple raison qu'il le fait en cachette.
On peut imaginer qu'un FAI le fasse. Pour de bonnes raisons... ou pas.
Pour le 2, une solution est d'avoir un VPN vers une machine extérieure "fiable". La clef publique du VPN étatant stockée sur ma machine. Ce n'est pas totalement trivial, mais c'est efficace.
Pour le 1, une fois qu'on a le VPN, il suffit de comparer la clefs d'un site web en passant par le VPN et en passant par le réseau de l'entreprise.
Ca n'est pas totalement trivial non plus.
# Parade ou détection ?
Posté par Kerro . En réponse au message Solution pour filtrer du contenu HTTPS. Évalué à 6.
Prenons un cas où il est clairement inadmissible de déchiffrer/chiffrer le flux de manière transparente, à l'insu de l'utilisateur:
Admettons que je travaille dans une SSII. Je suis en déplacement chez un client. J'utilise mon ordinateur portable. Je me connecte au réseau local de l'entreprise pour faire mon travail. Et de temps en temps j'ouvre une session SSH vers un serveur de ma SSII.
Dans ce cas, qui n'est qu'un exemple parmi d'autres, il est parfaitement inadmissible que mes communications soient interceptées.
Si l'entreprise m'indique que les communications sont interceptées, j'ai le choix de faire attention.
Par contre il y a probablement pas mal de cas où l'administrateur ne le dit pas, pour la simple raison qu'il le fait en cachette.
On peut imaginer qu'un FAI le fasse. Pour de bonnes raisons... ou pas.
1 - comment détecter cela _simplement_ ?
2 - comment contourner cela _simplement_ ?
Pour le 2, une solution est d'avoir un VPN vers une machine extérieure "fiable". La clef publique du VPN étatant stockée sur ma machine. Ce n'est pas totalement trivial, mais c'est efficace.
Pour le 1, une fois qu'on a le VPN, il suffit de comparer la clefs d'un site web en passant par le VPN et en passant par le réseau de l'entreprise.
Ca n'est pas totalement trivial non plus.