MESSAGE CRYPTE SIGNE AUTHENTIFIE !!!

Meme en HTTPS vous laisser des traces partous
Site dynamique original : Reload page

     Que peut faire un site web de vos infos privees

      * comment les sponsors associes peuvent les exploiter ...


FIL A LA PATTE !

  A QUI PEUVENT SERVIR VOS CERTIFICATS (https ou vos cookis) ?

 J'ai utilise SeaMonkey sous linux pour ce test ;
      Mais avec d'autres seurfeur on obtiends un resultat similaire !

       Proteger globalement le surfeur, par un mots de passe,
      sur le logiciel qui gere les certificats et autres donness privees.
      (ce genre de mots de passe "protege" du millieu interieur)

      - /edition/preferences/avance/fonction interpretation des pages web :
            decochez l'utilsation de java
      - /edition/preferences/avance/script & plugin :
            cocher la case "activer java script pour le navigateur"
      - /edition/preferences/confidentialitee/cookis :
            cocher la case "interdire les cookis"
      - /edition/preferences/confidentialitee/images :
            cocher la case "ne pas charger les images"

      - /edition/preferences/confidentialitee/ssl : interdisez tous ssl et tls "Decocher tous"

       Vous etes dans une configuration minimum qui autorise en gros flash player !

       Arreter et relancer votre surfeur
      la premier chose qu'il demande est votre mots de passe; que vous lui refuser !!

       Lancer alors une url commerciale http, par exemple
      un test de debit graphique de votre liaison
       Il y en a pas mal du style testadsl test-debit.html etc etc
      conviviaux avec de la pub etc etc..
       Le test adsl se deroule sans probleme, les aiguilles bougent, etc etc

       Autoriser maintenant ssl
      - /edition/preferences/confidentialitee/ssl : cocher la case autoriser SSL
      et relancer le meme test :
       Maintenant votre surfeur vous demande plus de 5 fois votre mots de passe,
      que vous lui refuser, et il recommence enfin votre test de debit graphique ...

       La difference entre les deux configurations c'est que vous avez autorisee SSL !

       les site commerciaux et surtouts les 5 publicitaires associes, s'interessent a ssl !
      pas vraiment que pour securiser la transaction,
      mais surtout pour recuperer les infos de votre certification Publique
      (c'est pas en soit un delit, puisque c'est des donnees publique !).
       Et ensuite ils vous taillent un constard sur mesure d'une viste a l'autre ...
      (et pour ca, par contre, y a des proces en cours !)

       Vous pouvez penser, le publicitaire prepare une liaison crypte .. securisee...
      Mais pourquoi alors votre seurfeur demande VOTRE mot de passe ?
       De plus, meme si le serveur n'a que votre clef publique,
      il pourras alors vous identifier a la prochaine connection ...
       Et peut etre meme, recuper ces infos avec votre CA de certifications
      (gratuis) qu'il gere peut etre, de par ailleurs !

      En fait votre seurfeur peut basculer de http a https (et vis et versa)
      sans meme vous le dire
      Il peut meme dans la liaison https , vous identifier en envoyant votre certificat !
      ( dans les RFC vous verrez que dans https, identifications du client est optionelle;
       Mais certains seurfeurs ne se prive pas de la faire, par defaut )

       Vous pouvez essayer aussi le coup du certificat pourris
      ou qui a une erreur de codage, et vous verez remonter,
      de la part de certains site web en http, des erreurs pas tristes,
      que vous n'attendiez pas la !!!

      RQ : Le fait de ne pas cocher la case SSL,
        n'interdit pas le decodage des mails recus !
          les mails couriels et le web sont normalement independants !
       Certains seurfeurs libre vous proposent un menus de parametrage,
        qui vous laisse le choix de diffuse ou pas votre certificat,
         pendant une connexion securisee HTTPS !

      RQ : Le crytage et authentification sont deux notions idependantes,
        que d'habilles commercants, vous presente sous le terme general floux de securite,
         et qui est avant tous une peches a vos infos privees (Datamining) !

      RQ : * sous Konqueror, par exemple a la section Cryptographie-Identification
         vous pouvez decider de ne pas envoyer, par defaut, votre certificat
         au premier venus qui le demande !
         par definitions votre certificat vous identifis !

       D'autres seurfeurs passent leur temps a vous dire que ssl n'est pas demarre,
      et insiste plusieur fois pour la mise en service de ssl ... ;
      mais la aussi vous pouvez refuser d'activer ssl, tous en continuant a seurfer !

       Certains site web exige la mise ne place de cookis dans la page principale ..
      pour pouvoir acceder alors au sous pages url du web (ou le contraire) ..
      (c'est en fait une demande des publicitaires sponsor)
       Une fois que s'est fait et que vous etes alles dans les sous pages ...
      supprimer alors le cookis, que vous venez de mettre, et continuer a seurfer !

    Le pb n'est pas pour ou contre la securite HTTPS !
   Mais le fait que meme securise,
   Vous ne devez pas baisser la garde,
   et mettre inutillement et sythematiquemet vos info privees,
   dans un tuyau ,sous preteste qu'il est dite securise,
   car a l'autre bout de ce tuyau (ou juste a cote, en parallele)
   vous ne savez pas ce qui se passe vraiment !

  MEFIES VOUS DE LA CONFIGURATION PAR DEFAUT DES SERFEURS BAVEURS ! 

    Voir aussi le chapitre PFS : Perfect Forward Secrecy




Meme si la laison est securisee ne laisser pas trainer vos infos privees !!!
Ne laisser pas votre seurfeur exporte inutilement vos certificats !!!
Placer le minimum infos utiles dans vos certificats !!!


Retour a la page d'appel du web source

NC imcp.ba@trousperdu.org imcp.ba@free.fr IMCP Blandy Alain

Statistiques