Aller au contenu

HTTPS

jackinow

Par jackinow
dans Vie INpactienne

Messages recommandés

SnipX Contributeur

SnipX

Posté(e)
Posté(e)

Si jamais tu as un poste Unix/Linux, tu peux utiliser Corkscrew.

J'ai un serveur chez moi, je fais binder SSH sur le port 443, comme ça je m'y connecte du boulot en passant par le proxy, je fais un tunnel SSH et comme ça c'est niquel :)

Tous mes flux web passent par SSH ;)

Pour info y'a de plus en plus de boites qui contrôlent même le HTTPS, c'est à dire que le proxy te présente un faux certificat, la connexion est juste sécurisé entre le site distant et ton proxy, mais pas entre toi et ton proxy... C'est juste du man in the middle... C'est juste de l'abus... Du coup dans ce cas là t'es walou !

Lien vers le commentaire
Partager sur d’autres sites
jackinow Mentor

jackinow

Posté(e)
  • Auteur
Posté(e)

Ah je ne pensais pas que c'était juste sécurisé jusqu'au proxy l'HTTPS...

Sinon, non je ne veux pas faire de SSH au boulot, pour plusieurs raisons:

- Ca sera surrement un peu plus difficile que ça à mettre en oeuvre, la partie wan de ma boite étant gérée par la maison mère qui est un grand groupe international

- Si je me fais choper c'est la porte direct

- Je ne cherche pas à aller sur des sites bloqués par mon proxy car c'est normal que je n'ai pas accès à tout, je suis avant tout au travail.

Je cherche juste à ce que quand je vienne dire des choses sur un forum ça ne me soit pas préjudiciable, même si je ne dis rien sur mon boulot / ma boite.

Lien vers le commentaire
Partager sur d’autres sites
theocrite Grand Maître

theocrite

Posté(e)
Posté(e)
Cela m'étonnerait, surtout en terme de coûts, mais à voir... peut-être qu'il y aura une réponse ?
Ça n'augmente pas énormément les couts.

Il y a un certificat à payer, mais ça coute une centaine d'euros par ans chez gandi. Ensuite, ça induit une légère augmentation de la charge serveur, mais, à moins que tous les membres ne se mettent à l'utiliser, ça ne casse pas trois pattes à un canard.

Et si c'est le cas, rien n'empêche de limiter le https à l'authentification et garder la navigation classique en clair (c'est toujours mieux que rien).

Je dis ça, c'est surtout pour les membres avec des droits, que ce soit sur les news ou dans le forum.

J'ai un serveur chez moi, je fais binder SSH sur le port 443, comme ça je m'y connecte du boulot en passant par le proxy, je fais un tunnel SSH et comme ça c'est niquel :)

Tous mes flux web passent par SSH ;)

Oui, mais ça ne change pas le fait que ton trafic est en clair entre chez toi et le site web.
Pour info y'a de plus en plus de boites qui contrôlent même le HTTPS, c'est à dire que le proxy te présente un faux certificat, la connexion est juste sécurisé entre le site distant et ton proxy, mais pas entre toi et ton proxy... C'est juste du man in the middle... C'est juste de l'abus... Du coup dans ce cas là t'es walou !

D'où l'utilité de vérifier le certificat quand on se connecte quelque part.

Le navigateur lèvera une alerte si le certificat présenté ne fait pas partie des chaines de confiance qu'il reconnait. Dans le cas d'un serveur perso qui n'aurait pas de certificat signé par une telle autorité, il suffit de connaitre son fingerprint.

Et le trafic est chiffré des deux côtés. PC->proxy et proxy->site distant. C'est juste que le proxy peut tout voir au milieu.

Lien vers le commentaire
Partager sur d’autres sites
SnipX Contributeur

SnipX

Posté(e)
Posté(e)

Oui, mais ça ne change pas le fait que ton trafic est en clair entre chez toi et le site web.

Oui, mais je préfère ça plutôt qu'en clair au boulot ;)

D'où l'utilité de vérifier le certificat quand on se connecte quelque part.

Le navigateur lèvera une alerte si le certificat présenté ne fait pas partie des chaines de confiance qu'il reconnait. Dans le cas d'un serveur perso qui n'aurait pas de certificat signé par une telle autorité, il suffit de connaitre son fingerprint.

Et le trafic est chiffré des deux côtés. PC->proxy et proxy->site distant. C'est juste que le proxy peut tout voir au milieu.

Oui, on est d'accord. Moi ça me gêne que le proxy puisse tout voir au milieu, on ne sait pas qui a accès à ce proxy ;) (en fait je n'ai rien à cacher, pour du surf classique OK. C'est juste que je ne voudrais pas qu'on récupère mes login/mdp des comptes mails, et des comptes de différents sites).

Lien vers le commentaire
Partager sur d’autres sites
theocrite Grand Maître

theocrite

Posté(e)
Posté(e)

Il y a un certificat à payer, mais ça coute une centaine d'euros par ans chez gandi.

Je pensais surtout à ça, je trouve que ce n'est pas donné ;)

Et encore si on veut un multi sous-domaines, c'est nettement plus cher non ?

Non bien dans les 100 euros HT (150 euros en fait, après vérification) pour les domaines wildcard.

Les domaines racine, c'est de l'ordre d'une dizaine d'euros.

Et pour une boite comme PCINpact où rien que les salaires dépassent plusieurs dizaines de milliers d'euros, une centaine d'euros en plus, ce n'est pas énorme.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...