Https

[jipet 0]

Salut les cannaweedeurs,

 

J'ai remarqué en essayant de me connecter en https, qu'il y avait un service TLS ouvert sur le serveur de Cannaweed, sans doute pour son administration. Ne serait-t'il pas possible d'offrir un accès sécurisé (https), certains d'entre nous ne voulant pas nécessairement faire passer leur prose en clair sur le Net ?

Je viens de penser à ça en voyant qu'un membre se trouve en Chine, pays où Internet est particulièrement surveillé...

[lissyx 0]

Si les liens n'étaient pas hardcodés ... Et si on avait de quoi payer un certificat, ainsi que de quoi tenir face à une utilisation massive du SSL ...

[jipet 0]

- Pour les liens en dur, c'est sans doute modifiable avec un bon gros script qui les convertit en liens relatifs dans la base de données.

- Pour le paiement du certificat, ce n'est pas si cher que ça, et surtout pas obligatoire, le module TLS actuel utilise sa propre clé non certifiée qu'il faut manuellement accepter, mais crypte tout de même les données avec celle-ci, dont la partie publique pourrait être proposée sur le site.

- Pour la charge CPU, ne pas oublier que ce n'est qu'optionnel. L'accès principal pouvant rester en http simple.

 

Rien d'insurmontable là dedans. Juste un peu boulot en perspective pour faire chier le gouvernement Chinois pour le coup... et les autres en prime. (:

[lissyx 0]

- Pour les liens en dur' date=' c'est sans doute modifiable avec un bon gros script qui les convertit en liens relatifs dans la base de données.

[/quote']

Oui, c'est juste un peu relou. Et c'est aussi sans compter sur les bouts de code fait n'importe comment dans tous les sens ...

 

Quand on aura changé ça, peut être ...

 

- Pour le paiement du certificat' date=' ce n'est pas si cher que ça, et surtout pas obligatoire, le module TLS actuel utilise sa propre clé non certifiée qu'il faut manuellement accepter, mais crypte tout de même les données avec celle-ci, dont la partie publique pourrait être proposée sur le site.

[/quote']

Je sais comment ça fonctionne, merci. Mais les certificats auto-signés, on a vu mieux quand même. On a déjà une CA en "interne", mais ça supposera que les GENS fassent confiance ... Quant à imaginer acheter un vrai, en plus de l'argent, il faut passer les "contrôles".

- Pour la charge CPU' date=' ne pas oublier que ce n'est qu'optionnel. L'accès principal pouvant rester en http simple.

[/quote']

Quitte à déployer du SSL, on peut au moins forcer le login en SSL, et là l'impact du SSL n'est pas négligeable du tout, tout du moins suffisant pour risquer de nous mettre borderline

Rien d'insurmontable là dedans. Juste un peu boulot en perspective pour faire chier le gouvernement Chinois pour le coup... et les autres en prime. (:

Rien n'est jamais insurmontable, mais j'ai mieux à faire. Et pas spécialement le temps de modifier ce code de merde. Triste, hein.

[jipet 0]

les certificats auto-signés, on a vu mieux quand même

On a certes vu mieux, mais entre ça et voir un p'tit gars en Chine qui se retrouve en taule - au mieux - pour avoir innocemment posté des photos de ses pieds sur cannaweed et s'être fait bêtement sniffer, ce serait encore plus triste.

 

Et en ce qui concerne la méthode, des certificats md5 à récupérer manuellement sur des sites web, pour authentifier un fichier "sensible" téléchargé sur le même site, on en trouve pléthore, ça ne doit pas être si naze que ça. (;

[lissyx 0]

les certificats auto-signés' date=' on a vu mieux quand même[/quote']

On a certes vu mieux, mais entre ça et voir un p'tit gars en Chine qui se retrouve en taule - au mieux - pour avoir innocemment posté des photos de ses pieds sur cannaweed et s'être fait bêtement sniffer, ce serait encore plus triste.

 

Et en ce qui concerne la méthode, des certificats md5 à récupérer manuellement sur des sites web, pour authentifier un fichier "sensible" téléchargé sur le même site, on en trouve pléthore, ça ne doit pas être si naze que ça. (;

Le MD5 ça n'a rien à voir (et ça a été cassé, au passage).

 

On parle pas d'authentification, mais bien de chiffrement de communication ...

 

Quant au petit gars en Chine, il gagnera à se monter un proxy pour se camoufler, pas que sur Cannaweed.

 

Petit rappel qui ne fera de mal à personne ... https://fr.wikipedia.org/wiki/Transport_Layer_Security

[jipet 0]

Bon, on va entamer le hors sujet.

Le MD5 ça n'a rien à voir (et ça a été cassé, au passage).

On peut savoir ce que tu entends par "cassé", vu que le md5 ne sert pas à chiffrer mais à signer des données ?

md5 reste un algorithme sûr pour signer des données, mais tu as sans doute des sources à me montrer pour dire le contraire...

[lissyx 0]

Bon' date=' on va entamer le hors sujet.

Le MD5 ça n'a rien à voir (et ça a été cassé, au passage).

On peut savoir ce que tu entends par "cassé", vu que le md5 ne sert pas à chiffrer mais à signer des données ?

md5 reste un algorithme sûr pour signer des données, mais tu as sans doute des sources à me montrer pour dire le contraire...

 

MD5 ne signe rien. MD5 permet au mieux de vérifier l'intégrité.

 

Quant au cassage, c'est pas récent, j'ai pas dit que c'était forcément exploitable. Le but c'est d'arriver à avoir la même somme de contrôle pour deux entrées différentes.

 

https://www.schneier.com/blog/archives/2005/06/more_md5_collis.html

 

C'est la Parole de Saint Bruce Schneier.

 

Bref, quand on migrera vers la nouvelle solution, je comptais bien regarder ça de toute façon. Ne serait-ce que parce que ça m'amusera bien.

[jipet 0]

Oui, donc MD5 reste d'actualité, tu me rassures. (:

Et je parlais de "méthode" qui consisterait à récupérer une clé sur le site pour ensuite s'en servir via https. MD5 n'était qu'un exemple.

 

[edit]

MD5 ne signe rien.

Juste pour faire mon chieur: une recherche google sur "signature MD5" retourne environ 150 000 réponses... d-:

[/edit]

[SAMOURAI888 0]

C'est sympa de votre part d'essayer de faire changer les choses pour moi entre autres...

 

Mais bon il y a toujours le proxy integre a mozilla... et puis on est tellement nombreux j'espere ne pas me faire sniffer...

 

Faudrait deja que ca pousse correctement... mdr, apres j'aurais peut etre plus besoin de poster

[kempachi-da 3]

HAÏ

 

J'ai rien compris

++

[Baozi 0]

Salut,

 

je comprend rien à ce que vous racontez, mais je peux parler de mon expérience en tant qu'ancien résident en Chine où j'ai passé plus de trois ans (j'y retourne très souvent). C'est vrai que l'internet est surveillé,particulièrement là où les étrangers se regroupent. Mais d'un autre côté plus con qu'un flic chinois, tu meurs. Dans le nord du pays, 99,9% de la population ignore complètement ce que c'est que la weed. Pour vous donner un exemple, juste à côté de chez moi un petit malin avait planté un pied dans un parterre de fleur juste en face du comico du quartier, personne n'a jamais bronché même quand ça a commencé à sentir vers le milieu de l'été. Et dans le sud, c'est le contraire y en a partout mais les gens le cultivent pour sa fibre. Il y a des bleds dans le Yunnan où certains vendent de la vrai herbe qui défonce mais c'est marginal. On fume plutôt de l'afghan où du "marocain" du Xinjiang dans le nord. Tout ça pour dire, même en admettant qu'un condé chinois te trace et vois que tu te connecte sur ce site, il y a très peu de chance pour que tu ai des problèmes.