104 votes

Altealice avatar

Le principe "HTTPS Everywhere" est-il toujours d'actualité ?

Demandé el 27 de Octobre, 2019
Quand la question a-t-elle été
28647 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

HTTPS partout est une extension de navigateur, une collaboration entre le Projet Tor et l'Electronic Frontier Foundation, qui automatise la réécriture des requêtes pour les URL HTTP vers l'alternative sécurisée HTTPS si elle est disponible. Il existe apparemment depuis une dizaine d'années, mais je ne l'avais jamais vu jusqu'à ce que quelqu'un me le demande récemment. En essayant de faire des recherches sur le sujet, j'ai obtenu un mélange d'informations.

  1. Indépendamment du besoin, il n'est pas évident de savoir dans quelle mesure il est utile "prêt à l'emploi". Divers articles font référence à la nécessité de compléter les valeurs par défaut par des listes blanches et des règles pour en tirer tous les avantages. Sa mise en œuvre ne semble donc pas être une tâche triviale.

  2. À une époque au moins, une grande partie des sites Web étaient uniquement basés sur le protocole HTTP, de sorte que l'utilisation d'un tel logiciel ne pouvait offrir que des avantages limités. Il semble que les sites traitant de données personnelles sensibles soient passés au HTTPS uniquement. Google a mis en œuvre diverses mesures pour inciter les sites Web à se convertir au HTTPS. Il n'est pas certain que le HTTP soit toujours un problème (ou, s'il l'est toujours, que le problème disparaisse rapidement).

    On ne sait pas non plus si les sites qui se convertissent au HTTPS conservent les liens HTTP pour les anciens visiteurs et les redirigent automatiquement vers leur site HTTPS.

  3. Les principaux navigateurs semblent tous avoir intégré une logique permettant de préférer les sites HTTPS lorsqu'ils sont disponibles, ou sont en passe de le faire. Au moins Google (je n'ai rien vu concernant les autres moteurs de recherche), dispose d'un programme du même nom (il n'est pas certain qu'il s'agisse du même produit), qui tente automatiquement une connexion HTTPS lors des recherches.

  4. Il y a environ trois ans, des articles ont été publiés sur le thème "pourquoi vous devez installer HTTPS partout". Un certain nombre d'articles plus récents ont suggéré que les gens devraient arrêter de suggérer aux gens d'installer ce logiciel. L'essentiel semble être lié au fait que les navigateurs dupliquent déjà cette fonctionnalité.

Il n'est donc pas certain que le protocole HTTP soit toujours un problème de fond à résoudre et, dans l'affirmative, que les logiciels qui essaient d'abord les liens HTTPS puissent résoudre ce qu'il en reste. Cette question a-t-elle été dépassée par les événements ?

Je recherche le contexte plutôt que l'opinion (c'est-à-dire les faits décrivant la situation actuelle plutôt que l'opinion sur la façon dont elle est bonne ou mauvaise, ou si j'ai besoin du logiciel). Par exemple, les principaux navigateurs offrent-ils désormais le remède pour lequel HTTPS Everywhere a été développé ? Le protocole HTTP est-il désormais pratiquement limité aux sites où il n'y a pas de données personnelles ? Existe-t-il une réglementation gouvernementale ou sectorielle destinée à faire disparaître ce problème ? En d'autres termes, le genre d'informations objectives qui me permettront (ainsi qu'à d'autres) de comprendre l'état actuel des choses afin de me forger ma propre opinion et de déterminer la pertinence pour moi-même.

Demandé el 27 de Octobre, 2019 par Altealice

Réponses

Trop de publicités?

79voto

pinpinokio avatar
pinpinokio Points 101

HTTPS Everywhere était certainement plus nécessaire à l'époque des contenus mixtes et des configurations de sites Web peu rigoureuses. Le web est certainement plus mature aujourd'hui, avec des technologies telles que HSTS qui peut être utilisé par n'importe quel site, et l'épinglage des clés publiques pour les plus gros joueurs (maintenant déprécié en faveur de Transparence des certificats - merci à Justin de m'en avoir informé).

L'utilité de l'extension dépend donc fortement de votre cas d'utilisation individuel. L'extension excelle dans l'élaboration de règles personnalisées pour les sites Web qui utilisent à la fois le protocole HTTP et le protocole HTTPS, et je ne connais aucune autre extension qui fasse un travail similaire. Même dans les situations où un site Web ne prend pas en charge HTTPS, l'extension veillera à ce que toute référence à des domaines tiers tels que les CDN soit mise à niveau vers HTTPS, même si la référence d'origine était neutre sur le plan protocolaire.

Répondu el 27 de Octobre, 2019 par pinpinokio (101 Points )

13voto

John Jacq avatar
John Jacq Points 31

En tant qu'ancien contributeur à l'ensemble des règles de HTTPS Everywhere, j'ai le commentaire suivant à faire.

  • Le projet HTTPS Everywhere teste périodiquement toutes ses règles de réécriture et désactive celles qui échouent pour une raison quelconque. Cela garantit une réponse relativement rapide aux changements de configuration des sites Web, mais peut conduire à la désactivation d'une partie importante des jeux de règles, à moins qu'un effort de maintenance significatif ne soit déployé. Les suggestions selon lesquelles les jeux de règles centraux devraient être complétés proviennent principalement de l'ignorance du fait que ces jeux de règles centraux peuvent et doivent être corrigés. C'est une question de disponibilité des volontaires.

  • Des progrès considérables ont été accomplis dans le passage du web au HTTPS uniquement, mais de nombreux sites sont encore mal configurés et beaucoup d'autres n'ont pas mis en œuvre la protection de préchargement HSTS indispensable pour empêcher les attaques à la première connexion. Les sites qui mettent en œuvre cette protection sont peu après retirés des jeux de règles de HTTPS Everywhere.

  • La technologie des navigateurs Web est très utile, mais tout ce qu'ils font au-delà de la liste de préchargement HSTS est seulement agréable à avoir. HTTPS Everywhere est un palliatif pour les sites qui n'ont pas activé le HSTS via le navigateur et qui ont essentiellement besoin d'une configuration HSTS personnalisée et maintenue par la communauté.

En résumé, il n'y a pas de mal à le garder installé. Supportez-le pendant quelques années encore et, avec un peu de chance, tout cela deviendra superflu.

Répondu el 30 de Octobre, 2019 par John Jacq (31 Points )

9voto

AlphaD avatar
AlphaD Points 191

Si une meilleure connaissance de HTTPS et HSTS a certainement fait progresser les normes de sécurité, l'extension HTTPS Everywhere reste utile :

HSTS est un excellent moyen de protection contre les attaques HTTP downgrade, mais il faut savoir qu'il est basé sur un modèle de confiance à la première utilisation. Cela signifie que votre première connexion au site doit se faire via HTTPS, faute de quoi la protection HSTS peut être compromise (par exemple, une redirection 301 de HTTP à HTTPS est une fenêtre d'opportunité pour une attaque).

HSTS s'en protège normalement grâce à la liste de préchargement HTST, une liste de domaines intégrée au navigateur qui oblige la première connexion à utiliser uniquement HTTPS pour ces sites. Cependant, s'inscrire sur la liste (et attendre que le changement soit appliqué dans les navigateurs) prend un certain temps et tous les sites ne prennent pas la peine de s'enregistrer. C'est là que l'extension du navigateur intervient en garantissant que toutes les premières connexions se font uniquement par HTTPS.

Un autre cas plus restreint est celui où le HTTPS du site web est situé sur un chemin différent de l'habituel. Par exemple, un site web peut avoir http://www.example tout en ayant leur site sécurisé sur https://secure.example . HTTPS Everywhere conserve une base de données de domaines pour s'assurer que vous vous rendez à la bonne URL pour le HTTPS.

Note de bas de page : l'épinglage de la clé publique est également utile, mais même Chrome a décidé de le supprimer en raison de son faible taux d'adoption et de la possibilité d'être une arme à pied.

Répondu el 28 de Octobre, 2019 par AlphaD (191 Points )

8voto

Qwertie avatar
Qwertie Points 762

J'ai remarqué qu'il y a encore quelques sites web qui ont un support https mais qui ne redirigent pas le trafic http vers https. L'extension n'est cependant plus aussi utile qu'avant. Il y a quelques années, des sites web comme youtube, wikipedia et reddit avaient le support https mais redirigeaient par défaut vers http. HTTPS everywhere a résolu ce problème et continue de le faire pour la petite poignée de sites Web qui utilisent toujours le protocole http par défaut, mais qui sont compatibles https.

Répondu el 28 de Octobre, 2019 par Qwertie (762 Points )

0voto

Damon avatar
Damon Points 4442

Cela va certainement être considéré comme controversé, mais c'est néanmoins la façon dont je vois les choses...

Il y a un léger malentendu sur la nécessité du HTTPS, qui a très probablement été diffusé délibérément. Comme pour toute demi-vérité, il y a des erreurs. un peu de la vérité dans les arguments, mais aussi beaucoup de mensonges.

HTTPS (ou TLS) fait ont des propriétés très utiles et souhaitables (authentification et confidentialité) qui sont absolument obligatoires pour certains (pensez aux services bancaires), et sans doute nécessaires pour un certain nombre de services, voire la majorité. En fait, tout ce qui contient des données d'identification personnelle.
Cela étant, il y a beaucoup de choses pour lesquelles le HTTPS est totalement inutile, et d'un autre côté, le HTTPS utilisé incorrectement Les sites à contenu mixte peuvent être assez peu sûrs (presque comme s'ils n'avaient pas de HTTPS), ce qui a justifié l'adoption du HTTPS partout en premier lieu. Et oui, à la lumière de certains sites qui, à l'époque, offraient effectivement un service d'hébergement en ligne. HTTPS obligatoire type de service avec un contenu mixte, il est certain a eu un certain mérite.

Cela, et puis il y a bien sûr une bonne dose de paranoïa que certaines personnes ont et qui est activement encouragée, à propos du monde entier qui s'intéresse réellement à chaque petite chose sans importance dans les petites vies sans importance de tout le monde. Bien sûr, après avoir posté tout ce que vous avez fait aujourd'hui (avec photos et géotag !) sur Instagram où littéralement le monde entier peut le lire, bon travail de l'avoir fait de manière sécurisée, via un canal crypté. De plus, il est important que personne ne découvre ce que vous faites sur Internet en général. Ça, et il y a cette conspiration où ils modifient les articles de presse et vous nourrissent de fausses informations pour, euh... je ne sais pas pour quoi (en fait, il y a un peu de C'est également vrai, car c'est exactement ce que fait Google, par exemple, mais à un niveau différent, ce qui est modifié n'est pas le contenu réel, mais le contenu qui vous est montré, et ce, indépendamment de l'utilisation de HTTPS). La balle d'argent HTTPS empêche toutes ces mauvaises choses ! Il est donc clair que tout doit être en HTTPS/TLS.

Quoi qu'il en soit, même lorsqu'il est utilisé correctement mais HTTPS ne fournit toujours pas le service que vous souhaitez. En effet, toute la chaîne de certificats repose sur l'hypothèse que vous pouvez "faire confiance" à quelqu'un (Comodo, par exemple) qui gagne de l'argent en vendant des certificats, sans avoir de raison de lui faire confiance. Et puis, non seulement les gouvernements mais aussi les grandes entreprises (et les écoles, et les antivirus, et qui sait qui d'autre...) subvertissent activement la chaîne de certificats en installant des certificats racine dans le seul but de, eh bien, effectivement... rupture le système.
Donc, non, les communications ne sont pas garanti d'être confidentiel, et non, ils ne sont pas authentifiés de manière fiable. Pas autant qu'on pourrait le croire, en tout cas. Vous utilisez l'ordinateur portable de votre employeur ? Utiliser l'ordinateur de votre enfant ? Cause perdue. Antivirus installé sur votre ordinateur ? Les paris sont ouverts.
Mais au moins, vous savez qu'un site est sûr, le truc vert de votre navigateur vous le dit, et il vous avertit des sites à risque. En fait, tout le monde peut obtenir un certificat non vert gratuitement (ce qui évite l'avertissement effrayant), et un certificat vert pour un prix très modique. Cela n'a absolument aucune signification.
J'espère sérieusement que vous avez activé TLS pour accéder à votre compte gmail, aussi. Parce que, vous savez, ça rend sécurisé vous ne voulez pas que quelqu'un sur le fil lise vos mails, n'est-ce pas ? Bien sûr, Google ne sera pas lire vos mails entièrement non cryptés pendant qu'ils sont stockés sur leur serveur. Bien sûr, comme il s'agit d'une société américaine, elle ne fournira pas le contenu à une organisation gouvernementale particulière.

Maintenant, le réel La raison pour laquelle vous devez avoir HTTPS partout est que des entreprises comme Google, Microsoft ou Amazon, et avec elles tous les fournisseurs qui vendent de la bande passante, le veulent.

Ils ne veulent pas que tout le monde et sa grand-mère configurent un ordinateur à carte de crédit comme un proxy web transparent qui non seulement réduit votre consommation de bande passante en mettant en cache les ressources, mais filtre également leurs publicités et leurs traces. Bien sûr, vous pouvez toujours ajouter un plugin de navigateur qui fait la même chose. Sauf que vous devez le maintenir sur chaque L'ordinateur que vous avez à la maison, et sur certains (Fire TV) c'est carrément impossible sans rendre l'appareil inutilisable, ou vous devez le rooté (pensez au téléphone Android) ce qui n'est pas non plus nécessairement sans destruction (merci beaucoup pour Samsung Knox, tellement génial).
Heureusement, vous pouvez juste arrêter les conneries. globalement, pour tous les appareils au sein de votre réseau en ayant un proxy transparent juste derrière votre modem câble/dsl, qui vous coûte 20€ et 3 minutes d'installation. Oh là là, quelle catastrophe ! Vous devez télécharger exactement la version qu'ils veulent (y compris la "personnalisation"), et quand ils le veulent, y compris toutes les balises et autres. C'est donc le vrai raison pour laquelle vous avez besoin de HTTPS partout.

Ironiquement, les entreprises qui ont fait la promotion de HTTPS et qui ont souligné comment, par exemple, TLS ne cache pas seulement le contenu réel, mais aussi l'URL exacte sur laquelle vous avez cliqué (par exemple http://somesite.com/dirty_porn_pic.jpg ) et autres... en réalité ils sont exactement ceux qui font tout pour prendre les empreintes digitales de votre système, vous identifier, conserver un historique infini, suivre le moindre de vos clics et collecter toutes les informations possibles, y compris où vous allez et quand, et les battements de votre cœur. Ou encore, le contenu de tout fichier sur votre ordinateur. Vous vous êtes déjà demandé comment Amazon fait pour que par hasard recommander XYZ sur votre PC après avoir fait une recherche Google pour XYZ sur votre téléphone cinq minutes plus tôt ? Entreprise différente, appareil différent, on ne peut pas savoir que les deux appareils appartiennent à la même personne. I a en fait Je me demande comment ils s'y prennent, car d'après ce que j'ai compris, tout ce qu'ils doivent faire pour y parvenir n'est certainement pas conforme à la loi (dans l'UE du moins). Mais apparemment, ce n'est pas un obstacle.

HTTPS aide en fait à faire toutes ces choses à la limite de la légitimité, à la fois en donnant un faux sentiment de sécurité, en masquant ce qui est envoyé et en évitant que les gens posent des questions : "Hé, c'est quoi ce trafic crypté qui vient de mon appareil de toute façon !". . Parce que, tu sais, todo le trafic devrait être crypté, c'est une bonne chose. Les choses cryptées ne sont pas suspectes, elles sont probablement inoffensives. Personne ne cache quelque chose.

Répondu el 29 de Octobre, 2019 par Damon (4442 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X