Le site forum.openoffice/fr devient sécurisé

Les dernières nouvelles du front du libre, débats et autres informations générales sur nos suites bureautiques préférées ou sur ce site, en évitant de provoquer toute polémique (troll).
Aucun support assuré ici : posez votre question dans la section appropriée.

Modérateur: Vilains modOOs

Le site forum.openoffice/fr devient sécurisé

Messagepar Papayes » 05 Nov 2013 10:22

Bonjour,
A partir du 2 novembre 2013, les forums OpenOffice des différentes langues sont devenus sécurisés :
l'adresse http a gagné le s de la sécurité ...

https: //forum.openoffice.org/fr/ , signifie que votre ordinateur est en conversation avec le site Web en toute sécurité et que personne ne peut voir ce que vous faites sur votre ordinateur.

Message traduit de Janvier Iversen sur la liste de diffusion dev a écrit:Salut
Je suis heureux d'annoncer que https://forum.openoffice.org est maintenant ouverte.
Toutes les liens http://forum.openoffice.org sont redirigées de façon permanente à
https://forum.openoffice.org
Les sites ont été brièvement testés, et quelques problèmes de mélange http / https existent sur
forum, tout comme le wiki.
Merci à tous ceux qui ont contribué à rendre cela possible.
Au nom de l'équipe d'infrastructure
Janvier I.
    Nota : Depuis, le wiki est exécuté également sur https.
    La lenteur provoquée par la présence dorénavant d'un Proxy devrait être corrigée également rapidement.

Les utilisateurs du forum ne devraient ensuite constater aucune différence : chaque lien http sera redirigé vers https,
mais cela signifie une plus grande sécurité lors de la connexion, ce qui est important pour les modérateurs et les administrateurs.


Cordialement,
"Tout ce qui n'est pas donné est perdu"
Avatar de l’utilisateur
Papayes
Membre fOOndateur
Membre fOOndateur
 
Message(s) : 4154
Inscrit le : 07 Déc 2005 15:55
Localisation : Vic-Fezensac dans le Gers

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Dude » 05 Nov 2013 16:19

Salut,

Cet aspect n'est pas un vain mot. Il intervient à un moment où les débats sur la confidentialité et la sécurité sur internet occupent le devant de la scène.

Notamment après les révélations de l'ex consultant de la NSA, Edward Snowden, on sait désormais que l'agence américaine intercepte le trafic Internet en amont quand il transite par le réseau mondial et collecte directement des données auprès des FAI.

Le HTTPS peut donc prévenir cette interception de données à condition que sa mise en œuvre soit assez forte. Ce protocole peut également empêcher le piratage comme par exemple le vol du cookie d'authentification sur des réseaux sans fil non sécurisés ou les attaques de type XSS.
Avatar de l’utilisateur
Dude
Grand Maître de l'OOffice
Grand Maître de l'OOffice
 
Message(s) : 19558
Inscrit le : 03 Mars 2006 09:45
Localisation : 127.0.0.1

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Churay » 05 Nov 2013 20:03

Salut,

Dude a écrit:Le HTTPS peut donc prévenir cette interception de données à condition que sa mise en œuvre soit assez forte. Ce protocole peut également empêcher le piratage comme par exemple le vol du cookie d'authentification sur des réseaux sans fil non sécurisés ou les attaques de type XSS.

Mouais.... peut et parfois ne peut pas...

[MODE PARANO=ON]

Pour faire simple :
    https repose sur SSH/TLS et sur des autorités de confiance : tiens les soucis arrivent...
      un navigateur lamba va faire confiance à près de 600 autorités
      accessoirement ces autorités sont mal sécurisés : quand tout est calme il y a au moins une autorité compromise tous les mois (aux heures de pointe, on dépasse les 15 : 27/10/2011)
      une autorité compromise signifie qu'on peut usurper n’importe quel site quel que soit le navigateur utilisé
      les-dites autorités, quand elles sont compromises, se voilent du sceau du secret, rendant difficile la mesure de l'étendue des dégâts
      certaines de ces autorités étant par ailleurs sous contrôle d'états au travers d'agences spécialisées comme la star du moment
    il existe des matériels pour intercepter les communications TLS utilisant des certificats foireux : condition = avoir accès à des certificats maîtres (y'a du monde qui peut y prétendre : cf la ligne ci-dessus...)
    autre côté accessoire : les navigateurs permettent de passer outre la sécurité définie en autorisant les execptions et FF peut être paré de 3 extensions qui permettent beaucoup de choses...

Je veux bien admettre que ça peut limiter un peu la casse, mais faut pas rêver.
Après oon peut être d'accord sur mise en œuvre forte, mais même forte, ça reste mou...
Quant au wifi, personnellement je pense, persiste et signe : on ne sécurise rien ou si peu...

Si on veut un peu de sécurité, il y a
    IPSEC (RFC 4301) qui a le mérité d'opérer en couche 3 et le rend indépendant des applications et qui fait qu'il n'y a rien à configurer par les utilisateurs. C'est peut-être un bon plan, non ?
    TOR qui même s'il n'a pas la solidité théorique d'autres approches(dont https), mais qui a le mérite d'être moins gruyère...
    Pour mémoire, le FBI a pu intercepter et lire sur TOR, mais grâce à une faille de FF, faille corrigée depuis et la NSA n'a pas pu casser TOR : elle reconnaît
      n'aura jamais les moyens de « désanonymiser » tous les utilisateurs de Tor à tout moment
      L'analyse manuelle ne nous permet de désanonymiser qu'une très petite fraction des utilisateurs de Tor (comprendre en plaçant sur le réseau ses propres noeuds (nombreux) et en attaquant les logiciels vulnérables (ie par définition, FF ponctuellement)
      jamais parvenue à trouver l'identité d'un utilisateur en réponse (à une demande spécifique)
et peut-être quelques trucs comme BleachBit, TrueCrypt, Silent Circle et quelques autres
certains avancent GPG, perso je reste plus dubitatif.

[MODE PARANO=OFF]
J'arrête là, mais il y aurait tant à dire (et souvent à redire)...

Conclusion
https c'est mieux que rien, comme l'AV de Bilou ou de Norton (encore que Bilou a fait des progrès), ou le FW de Norton...

ecoutes_telephoniques.gif
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 4.2.8.2 Debian 7.8 & Ubuntu 14.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
 
Message(s) : 2582
Inscrit le : 30 Avr 2009 06:54
Localisation : CATALUNYA

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar richard_g » 05 Nov 2013 20:09

Bonjour.

Pour être sécurisé, c'est sécurisé, à tel point que Firefox 25 considère que c'est un site piraté ! :evil:

Actuellement, je suis en voyage et je me connecte via le portail Wifi de mon hôtel. Alors que je peux me connecter sans problème à tous mes sites habituels, le forum Openoffice me donne ça:
sécurité.png
Avertissement de sécurité de Firefox 25


J'ai donc rajouté une exception de sécurité permanente en supposant que ce site n'hébergeait pas les Pirates des Caraïbes ou pire encore.

Alors soit Firefox 25 devient complètement parano à la vue d'un https, soit il y a du mou dans la corde à nœuds chez OpenOffice !

A+
AOO401 Vista SP2 32 bits
Utilisez la Sauvegarde incrémentale!
richard_g
SuppOOrter
SuppOOrter
 
Message(s) : 1333
Inscrit le : 14 Mai 2009 10:58

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Churay » 05 Nov 2013 20:51

Je suis aussi en 25, sans soucis en dehors du fait que ça rame copieux...

soit il y a beaucoup de mou, soit beaucoup de noeuds
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 4.2.8.2 Debian 7.8 & Ubuntu 14.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
 
Message(s) : 2582
Inscrit le : 30 Avr 2009 06:54
Localisation : CATALUNYA

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Vulcain » 07 Nov 2013 13:57

Bonjour,

Il s'en passe des choses intéressantes pendant que je ne suis pas là :D
Je pense que c'est une bonne chose.
Le https va permettre protéger les mots de passe qui sont trop souvent les mêmes d'un site à un autre (je pense qu'Apache les sécurise avec tout le processus habituel, sel + somme hachée ...).
Si Firefox permet d'autoriser des certificats non signés c'est dans le cas des petits sites qui ne souhaite pas s'investir dans une infrastructure lourde mais protéger les flux au moyens d'un tunnel SSL.

@ Churay: La sécurité un processus, pas une technique. Le problème des autorités de certifications est connu, j'espère que Firefox prendra en charge rapidement la possibilité de publier un certificats dans le DNS. Il semblerait qu'IPsec soit très compliqué à mettre en œuvre car trop fourre tout, il serait intéressant surtout pour les VPN. TOR peux être compromis par la NSA, il leur suffit d’inonder le monde avec des entrée/sorties TOR<->Internet qui soient sous leur contrôle. Et comme on sait qu'ils savent écouter les entrées sorties de Yahoo, Facebook & Co ...

@ richard_g : je ne reproduis pas, peut-être du à un problème de cache de ton navigateur.
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
 
Message(s) : 989
Inscrit le : 01 Juin 2009 11:52
Localisation : Poitou

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar richard_g » 07 Nov 2013 14:41

Bonjour

Vulcain a écrit:je ne reproduis pas, peut-être du à un problème de cache de ton navigateur.

Au bureau, où je me connecte à travers un proxy, je ne reproduis pas non plus.
Sur mon PC personnel, l'avertissement de sécurité est arrivé le jour où le forum est passé en https, mais après avoir ajouté une exception de sécurité pour le forum, il n'y avait plus de problème. Je me demande si cela ne venait pas du fait que je me connectais via le portail Wifi non sécurisé d'un hôtel. De retour chez moi avec ma connexion directe en bas débit, je ferai un essai sur un nouveau profil utilisateur.

 Ajout : Après suppression dans Firefox 25 de l'exception de sécurité que j'avais ajoutée pour le forum, ma connexion directe à bas débit vers mon FAI Orange me permet d'accéder au forum sans injure, comme d'habitude. 8)
Il faut croire que Firefox n'apprécie pas que les connexions sur des sites https transitent par un portail Wifi non sécurisé.
Affaire classée au rayon bizarreries. :lol: 


A+
AOO401 Vista SP2 32 bits
Utilisez la Sauvegarde incrémentale!
richard_g
SuppOOrter
SuppOOrter
 
Message(s) : 1333
Inscrit le : 14 Mai 2009 10:58

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Churay » 07 Nov 2013 23:56

Yeap

Vulcain a écrit:Il faut croire que Firefox n'apprécie pas que les connexions sur des sites https transitent par un portail Wifi non sécurisé.
Affaire classée au rayon bizarreries. :lol:

Je dirais que ce devrait presqu'être une approche normale...
La sécurité c'est très politique : de grands principes, de grandes déclarations et on voit les résultats...

Sur la notion de ralentissements notoires => ça c'est sérieusement amélioré : la gestion des redirect devaient laisser à désirer...

:arrow:
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 4.2.8.2 Debian 7.8 & Ubuntu 14.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
 
Message(s) : 2582
Inscrit le : 30 Avr 2009 06:54
Localisation : CATALUNYA

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Churay » 08 Jan 2014 09:18

Yeap

Un retour sur le sujet, juste pour signaler que la dernière livraison de MISC développe un gros dossier sur SSL et TLS. Comme je ne l'ai reçu qu'hier, je n'ai fait que survoler, mais j'ai le chic pour tomber sur des trucs utiles soit techniquement, soit pour conforter mon propos :lol: : ...la confiance dans les autorités de certification ne suffit pas pour garantir la non-intrusion, dans les conversations chiffrées, que l'intrusion soit frauduleuse ou d'état. Quand c'est le cofondateur de La Quadrature du Net qui l'écrit, il me plait à penser que cela conforte mon propos précédent sur ce point.

Et puisqu'on y est :

Vulcain a écrit:La sécurité un processus, pas une technique.

On est d'accord. Cela dit, les contournements passent par une bonne connaissance des protocoles et de la technique ;)
Côté technique : associer SANE à DNSSEC permet de monter le niveau de confiance.

TOR peux être compromis par la NSA, il leur suffit d’inonder le monde avec des entrée/sorties TOR<->Internet qui soient sous leur contrôle

En effet, l'une des faiblesses de Tor réside (AMHA) dans son nombre de noeuds (publics + cachés) dont la moitié, en gros, tournent sous Win...
Même sans inonder...
Pour terminer, même si la NSA est pointue, il ne faut pas oublier qu'ils avaient (et ont toujours) les NSA_Key : ça aide aussi...
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 4.2.8.2 Debian 7.8 & Ubuntu 14.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
 
Message(s) : 2582
Inscrit le : 30 Avr 2009 06:54
Localisation : CATALUNYA

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Vulcain » 09 Jan 2014 00:30

La perte de confiance dans les autorités de certification est acquis avec les affaire de GODaddy & Co Mais le chantier est titanesque et difficile à migrer.
Si tu veux voir le co-fondateur causer du sujet:
https://confs.fr/
http://data.confs.fr/ssl-tls-sonntag/72 ... g_720.webm
Il repasse le 7 févier pour causer des courriels. Je parie qui va nous dire que la confidentialité des échanges y est ridicule, l'absence de vérification de l'envoi par le bon domaine inexistant (il existe bien DKIM et SPF, mais les FAI qui se plaignent du SPAM ne l'intégre pas dans leur solution maison). Espérons que le ramdam sur la NSA provoquera une amélioration de la confidentialité.
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
 
Message(s) : 989
Inscrit le : 01 Juin 2009 11:52
Localisation : Poitou

Re: Le site forum.openoffice/fr devient sécurisé

Messagepar Churay » 06 Nov 2016 09:46

Yeap


MISC n° 88 (nov/déc 2016) a écrit:HTTPS : BIENTÔT LE FOND DE L'ABÎME ?
Assaillie de tout côté, la forteresse HTTPS vacille. Malgré les cadenas affichés par les butineurs et les certificats renforcés, l'épine dorsale du commerce en ligne et de nombreuses autres activités digitales a plus que jamais besoin de consolidation. Nous allons revenir sur quelques épisodes douloureux de son passé récent et orienter notre regard vers l'horizon, là où le salut se trouvera peut-être.
Les plus intéressés investiront 8€90 pour lire l'article...

Churay 05/11/2013 a écrit:https c'est mieux que rien

Je persiste, mais aujourd'hui c'est guère plus que rien, si en face il y a une réelle volonté de passer outre...

Concernant le protocole HTTP/2 (+ SPDY) qui encode les messages + trames binaires + entrelacement des messages, on peut penser que la sécurité est un peu meilleure, mais il ne faut pas perdre de vue que que la surface d'attaque s'est élargie du fait de la multiplication de canaux virtuels.

Au SSTIC 2016, G.BOSSERT a fait une présentation intitulée Comparaisons et attaques sur HTTP2 (vidéeo) ou (le slide seul)
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 4.2.8.2 Debian 7.8 & Ubuntu 14.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
 
Message(s) : 2582
Inscrit le : 30 Avr 2009 06:54
Localisation : CATALUNYA


Retour vers Nouvelles du front et Tribune du Libre

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité