Le 2016-04-12 17:07, Edouard Chamillard a écrit :
> sérieux compromettent carrément la session complète sur tout internet au > lieu de la compromettre en interne sur un seul équipement, et pire, > rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre > de gens sérieux ? on est déja trolldi ? Va falloir m'expliquer comment compromettre une «session complète sur tout internet» avec simplement un proxy d'entreprise, parce que ça à l'air intéressant comme faille. Oui, la plupart des boites sérieuses ont un proxy avec un filtrage sur les FQDN. -Demande de connexion HTTPS au site d'une banque : OK -Demande de connexion HTTPS à Facebook : KO Si tu a le droit d'accéder au site, tu y accède, si le site n'a pas d'intérêt professionnel ou présente un danger (webmail, fishing etc) ben tu reçois un joli code HTTP 403 t'interdisant d'y accéder. C'est aussi simple que ça et ça permet de protéger le réseau d'entreprise sans mettre en œuvre de solutions qui ELLES seraient dangereuses pour la confiance que peuvent avoir les utilisateurs envers le modèle X.509/TLS au niveau global. Au delà de l'aspect technique, je considère à titre personnel et éthique que toute volonté d'interception (contrairement au blocage) n'a pour but que d'espionner les salariés et les utilisateurs de manière disproportionnée. Et j'attends encore la preuve du contraire. Solarus --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
