Polyamour.info



Les messages appartiennent à leurs auteurs. Nous n'en sommes pas responsables.

Merci de consulter notre charte de discussion pour connaître les règles qui régissent les conversations sur ce site.

Connexion au site sur plusieurs clients en parallèle et certificat SSL

Polyamour.info
#
Profil

gdf

le lundi 25 janvier 2016 à 21h40

Hello
petites questions sur le site lui même (j'ai mis un titre bien pourri pour pas donner envie aux gens d'ouvrir ce message).
Je le consulte en général sur mon téléphone, mais il m'arrive d'y accéder à partir de mon PC. Quand je me connecte sur un appareil, cela me déconnecte automatiquement sur l'autre. Est-il possible de rester connecté sur deux clients en parallèle ? ça ne me tue pas de rentrer mon mot de passe, mais quand je peux éviter, ça m'arrange.
Par ailleurs, le certificat SSL n'est pas certifié. C'est pas très grave non plus, mais c'est ballot de faire du https et d'avoir des alertes de sécurité. Pour ma part, je me fous si la NSA intercepte mes lectures sur polyamour.info, mais bon, pour le principe...

Merci aux administrateurs du site, ce forum est un service indispensable pour tous ceux qui découvrent le polyamour !

Gdf

#

Shteatawm3 (invité)

le mardi 26 janvier 2016 à 09h57

> Par ailleurs, le certificat SSL n'est pas certifié. C'est pas très grave non plus, mais c'est ballot de faire du https et d'avoir des alertes de sécurité. Pour ma part, je me fous si la NSA intercepte mes lectures sur polyamour.info, mais bon, pour le principe...

Il est certifié, mais par CACert, qui n'est plus intégré par défaut sur beaucoup de navigateurs. Tu peux heureusement l'ajouter manuellement − si tu lui fais confiance. Et, même, les instructions pour savor comment faire sont indiquées sur ce site-même à l'adresse suivante :
/membre/securite/

Sinon, tu peux demander directement par courriel chiffré à Bohwaz si l'empreinte SHA-256 est bien la suivante, et l'accepter manuellement (ce qui est beaucoup plus sûr que de faire appel à une « autorité » de certification.

E:A0:5A:0B:FC:44:D2:A9:6D:3B:99:9F:89:D4:81:06:21:18:17:78:F3:B7:02:EB:5C:0E:30:D1:87:54:B3:0F

#
Profil

LuLutine

le jeudi 28 janvier 2016 à 16h38

gdf
(j'ai mis un titre bien pourri pour pas donner envie aux gens d'ouvrir ce message).

Sauf les informaticiens :D !

;)

#
Profil

bohwaz

le mercredi 25 mai 2016 à 00h51

Hello,

J'avais loupé ce message, désolé.

Il n'est pas possible d'avoir des connexions permanentes sur plusieurs clients en même temps (ça permet d'être sûr que tu es déconnecté des autres postes, sans avoir un gestionnaire de sessions, ça serait un peu compliqué), mais tu peux avoir une connexion permanente sur une machine et une connexion "normale" (case non cochée) sur d'autres machines.

#
Profil

gdf

le mercredi 25 mai 2016 à 01h36

Ha faut pas que je coche la case alors...
Je n'utilise que le téléphone, mais pour faire des posts longs, c'est pas très pratique.
En même temps, ca m'evite de faire des posts trop longs....

Message modifié par son auteur il y a 3 ans.

#

EbVucnoa (invité)

le mercredi 25 mai 2016 à 21h53

#
Profil

Anarchamory

le mercredi 25 mai 2016 à 22h29

Cela dit tu peux faire mémoriser ton identifiant + mot de passe par ton téléphone, et ainsi ça va plus vite pour te connecter. Personnellement c'est ce que je fais.

#
Profil

bohwaz

le jeudi 26 mai 2016 à 06h14

@EbVucnoa: comme tu peux le voir le serveur est bien configuré, mais ton test ne connaît pas CACert, donc il considère que le certificat n'est pas secure.

Comme l'indique la page, la note est "B", donc pas de souci niveau sécurité sur le HTTPS pour PA.info. C'est juste que Qualys a choisi de ne pas inclure notre CA dans sa chaîne de confiance car ce n'est pas un CA commercial.

Comme tu peux voir ici d'autres outils notent PA.info en "A" : https://www.htbridge.com/ssl/?id=0be3b95e036c24147...

Par contre il est impossible d'activer HSTS pour augmenter le score sinon pas mal de visiteurs derrière des proxys d'entreprise ne pourraient plus visiter le site (dont moi).

#
Profil

gdf

le jeudi 26 mai 2016 à 07h57

bohwOz
Par contre il est impossible d'activer HSTS pour augmenter le score sinon pas mal de visiteurs derrière des proxys d'entreprise ne pourraient plus visiter le site (dont moi).

Polyamour.info est classé "adulte" et est de toute façon bloqué par les logiciels de filtrage, certificat ssl ou pas (vrai dans ma boîte actuelle et la précédente).

#
Profil

bohwaz

le jeudi 26 mai 2016 à 10h59

Ah ? C'est pas le cas ici.

Si tu peux m'envoyer par mail un copier/coller de la page d'erreur que tu as, comme ça je peux m'adresse au truc de filtrage pour être déclassé.

Parce que ce n'est pas censé. On a certaines pages étiquetées ICRA (thème Sexualités) mais ça devrait être bon normalement, ça devrait ne bloquer que ces pages-là.

#

GuasOygmav (invité)

le vendredi 27 mai 2016 à 11h39

«  Comme l'indique la page, la note est "B", donc pas de souci niveau sécurité sur le HTTPS pour PA.info. C'est juste que Qualys a choisi de ne pas inclure notre CA dans sa chaîne de confiance car ce n'est pas un CA commercial. »

Je sais. Par contre il y avait du RC4 que, je crois, tu as supprimé depuis. :)

#
Profil

bohwaz

le samedi 28 mai 2016 à 04h03

Yep j'ai mis 3DES à la place pour la compatibilité.

#

Juccotzoc (invité)

le samedi 28 mai 2016 à 18h35

D'ailleurs, tu ne paserais pas à Let's Encrypt, pour éviter de faire couiner la plupart des navigateurs ?

#
Profil

bohwaz

le dimanche 29 mai 2016 à 00h52

Je ne suis pas chaud…

- Ils ne permettent pas les certificats wildcard ou multi-domaine.
- Durée du certificat trop courte (6 mois c'est le mini pour moi, j'ai autre chose à foutre que passer ma vie à renouveller des certifs)
- Ils encouragent de mauvaises pratiques en matière de sécurité (lancez donc ce script inconnu sur votre serveur, hum ok ou pas)
- Niveau vie privée c'est pas bon : chaque visiteur fait une requête au serveur pour savoir si le certificat est révoqué ou pas. Donc Cisco qui gère le service sait qui visite quel site à quel moment. Cisco n'a pas vraiment un historique de protection de la vie privée mais plutôt d'espionner ses utilisateurs ou de collaborer avec la NSA. Ce sont aussi eux qui participent à la censure de l'Internet en Chine.
- On peut dire la même chose de Akamai, autre sponsor principal du projet, qui a également collaboré avec la NSA.
- On peut légitimement avoir de forts soupçons sur le fait que Let's Encrypt permette à des acteurs malveillants (NSA au hasard) de compromettre le chiffrement des sites qui utilisent un certificat Let's Encrypt en fournissant de faux certificats.

Et finalement : non seulement leurs sponsors sont discutables, mais en plus c'est une cible idéale, car ils concentrent toute une ribambelle de sites alternatifs et activistes qui sont une cible de choix pour les acteurs malveillants.

Enfin, il y a eu plusieurs initiatives de nouveaux CA ouverts : CAcert, OpenCA, etc. Mozilla a toujours refusé d'investir le moindre centime dans ces projets communautaires et d'intégrer leur certificat root. Mais là d'un coup il faudrait leur faire confiance parce que c'est leur truc alors que ça fait 15 ans qu'ils refusent d'aider à sécuriser les sites ? C'est du foutage de gueule.

Je pense que l'avenir du SSL est dans des solutions comme MonkeySphere, pas dans la création de nouveaux CA qui ne règlent rien au problème.

#

Thijaylpap (invité)

le dimanche 29 mai 2016 à 07h20

Autant, je peux comprendre le coup pour Cisco, autant d'autres arguments me semblent plus spécieux. Cesses-tu d'utiliser GnuPG parce-que Facebook fait maintenant partie des financeurs (ainsi qu'Amazon Web Services, Cisco Systems, Dell, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm, VMware, ​​Adobe Systems, Bloomberg L.P., Hewlett-Packard, Huawei, et Salesforce.com, via la Core Infrastructure Initiative lancée par la Linux Fondation) ? Et oui !
Je partage ton avis, hein : ça fait certes chier de voir certains chouettes outils financés (même marginalement) par ces boîtes. Ce n'est pas forcément ça qui les rend mauvais, inefficaces, voir malveillants : le produit du travail est finalement bien ouvert et vérifié, au point de rester installé en standard sur tous les Linux et BSD.

De même, Letsencrypt n'est pas un script si «   inconnu » que ça : le code en est libre, et a suffisament été audités par des gens suffisamment compétents pour se retrouver dans les dépôts /main/ de Debian. Debian qui, même lui, a d'ailleurs fini par virer CACert de sa liste d'autorités de certifications, faute d'audits.

Enfin, je pense que tu sais aussi bien que moi que tu n'as pas à renouveler les certificats à la main tous les trois mois ou moins : tu balances un script de dix lignes dans un crontab, et c'est parti. J'ai connu pire. :)

Ceci dit, je préfère comme toi des trucs à la MonkeySphere, que j'utilise, mais bon… je ne suis pas certain que Letsencrypt mérite toute la mauvaise réputation que tu veux lui tailler.

#
Profil

bohwaz

le lundi 30 mai 2016 à 06h04

La différence avec GnuPG c'est que gpg est un logiciel, LE n'en est pas un c'est simplement un instrument de pouvoir, un truc centralisé, et il n'est pas que financé par Cisco, il a été fondé par Cisco, Akamai et EFF/Mozilla. Enfin, les certificats ont été signés par Comodo (maintenant par IdenTrust), qui a aussi un historique carrément déplaisant. Bref c'est une combinaison d'acteurs louches qui propose un produit attractif (forcément, c'est gratuit) pour attirer une masse d'utilisateurs. Je ne dis pas que ce n'est pas securisé, ou malveillant, juste que tout pousse à ne jamais leur faire confiance.

Et oui c'est mieux que les outils Let's Encrypt se retrouvent dans Debian, mais ils ne sont toujours pas en stable, quand ils le seront on en reparlera, mais je n'installe pas de paquet non signé sur un serveur de production, et je ne vois pas pourquoi un CA devrait avoir besoin que j'installer quoi que ce soit sur mon serveur.

Mais ça reste problématique à mon sens, particulièrement pour un truc qui se dit vouloir augmenter la sécurité, de ne pas proposer de paquets ou de dépôt signé et de dire en premier : copiez-collez cette commande en root qui télécharge un exécutable (non signé) et tout ira bien.

Enfin, LE n'est pas dans Debian car ils n'ont pas de CA à proprement parler, ils ont juste un CA intermédiaire signé par IdenTrust. Avant c'était Comodo, un CA qui a eu de nombreux problèmes de sécurité et qui aurait dû être retiré de Debian, Firefox, etc. Alors pourquoi retirer CACert et pas Comodo ? Facile : l'un n'a pas d'argent, l'autre plein. Parce que CACert n'a jamais créé de faux certificat pour google.com à ma connaissance, mais Comodo si : https://www.schneier.com/blog/archives/2011/03/com...

The browser companies -- Microsoft, Mozilla, Opera, etc. -- could do that, but my guess is they won't. The economic incentives don't work properly. Comodo is likely to sue any browser company that takes this sort of action, and Comodo's customers might as well. So it's smarter for the browser companies to just ignore the issue and pass the problem to us users.

Et ça ne règle pas le problème principal même si LE était parfait niveau réputation : ils ne proposent pas de wildcard ou de altName.

Mais ça ne veux pas dire que je n'utiliserais jamais LE, étant donné qu'il semble que la tendance soit à étouffer les méthodes alternatives (refus d'implémenter HTTP2 sans TLS par exemple), et qu'on va être obligés à y arriver si on veut continuer à pouvoir être accessible (message d'erreur dans Firefox quand tu envoie un login en HTTP), mais tant que je peut l'éviter j'utiliserais une alternative communautaire qui œuvre réellement à améliorer le quotidien et la sécurité et pas simplement à faire du marketing.

#
Profil

bouquetfleuri

le lundi 30 mai 2016 à 07h41

J'aime assez ce fil de discussion, assez métaphorique de l'univers polyamoureux où certaines notions sont sensibles et perceptibles par certains et totalement hermétiques pour d'autres...
La dénonciation de l'univers de la consommation, ou la certification qui renvoie à la légitimité pose de bonnes questions, transposables celles-ci alors que ne l'est jamais un cheminement intérieur

Répondre

Chercher dans cette discussion

Autres discussions sur ce thème :


Espace membre

» Options de connexion