j'avais souligné ceci :
_ Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL._
donc, je clarifie mon propos :
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, collent la meme alerte quand on fait un GET avec parametres HTTPS -> HTTP .
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, trouvent une solution pour ce cas de figure avant de distribuer HSTS n'importe ou.
parce qu'une maniere de contourner le probleme est ... un GET avec parametres :p
Tout comme un formulaire POST n'est pas uniquement pour transmettre une CB ou son caryotype, on peut transmettre des informations critiques avec une méthode GET.
concernant ce qu'il me faut, je te rassure, j'avais trouvé la réponse sans toi, si tu relis mon propos, j'ai écrit : HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS
donc, je ne dis pas que HSTS est mal, je dis juste qu'il répond à un besoin précis mais qu'à partir du moment où l'on se retrouve à utiliser des protocoles faisant intervenir le browser, et si l'on ne restreint pas volontairement le périmètre uniquement aux sites proposant uniquement HTTPS, alors, il y a un probleme avec une hypocrisie dans le navigateur qui peut nuire au déploiement massif de HSTS.
Si j'étais méchante, je te rappellerai qu'il est meme possible de passer des informations en GET et sans parametre.
ben quoi ? c'est le GET ou le POST qui permette de déterminer si l'information est critique ou non ?
ce n'est pas un peu synonyme de " si tu fais du P2P , c'est que tu télécharge illégalement " ?
je vais me répéter :
HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire
[^] # Re: le seul soucis de HSTS ...
Posté par Mouns . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 2.
j'avais souligné ceci :
_ Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL._
donc, je clarifie mon propos :
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, collent la meme alerte quand on fait un GET avec parametres HTTPS -> HTTP .
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, trouvent une solution pour ce cas de figure avant de distribuer HSTS n'importe ou.
parce qu'une maniere de contourner le probleme est ... un GET avec parametres :p
Tout comme un formulaire POST n'est pas uniquement pour transmettre une CB ou son caryotype, on peut transmettre des informations critiques avec une méthode GET.
concernant ce qu'il me faut, je te rassure, j'avais trouvé la réponse sans toi, si tu relis mon propos, j'ai écrit :
HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS
donc, je ne dis pas que HSTS est mal, je dis juste qu'il répond à un besoin précis mais qu'à partir du moment où l'on se retrouve à utiliser des protocoles faisant intervenir le browser, et si l'on ne restreint pas volontairement le périmètre uniquement aux sites proposant uniquement HTTPS, alors, il y a un probleme avec une hypocrisie dans le navigateur qui peut nuire au déploiement massif de HSTS.
Si j'étais méchante, je te rappellerai qu'il est meme possible de passer des informations en GET et sans parametre.
ben quoi ? c'est le GET ou le POST qui permette de déterminer si l'information est critique ou non ?
ce n'est pas un peu synonyme de " si tu fais du P2P , c'est que tu télécharge illégalement " ?
je vais me répéter :
HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire