Gnagna c'est pas sécure je veux pas ouvrir la page demandée.
Mais moi si j'EXIGE que tu l'ouvres la page !
@lord la même ce matin avec Firefox et Brave pour accéder à la conf de mon switch…
- replies
- 0
- announces
- 0
- likes
- 0
Sérieusement ce zèle sur la sécurité informatique de la part des navigateurs ça devient un réel problème…
Déjà qu’ils nous ont viré Internet Explorer parceque plus supporté toussa… ça ne laisse plus beaucoup d’alternatives.
@breizh Ouaip, une option “Je sais ce que je fais” et hop.
Ha et une option pour désactiver toutes les emmerdes liées à ssl/tls quand tu te connectes à une IP.
@lord
La dernière fois chez moi, Firefox : "Êtes vous sûr de vouloir télécharger ce pdf ? ça pourrait être dangereux !"
@sebsauvage @lord "êtes vous sûr de vouloir lancer Firefox ? vous pourriez aller faire n'importe quoi sur internet et attraper un sale truc"
@lord Tu peux toujours ouvrir la page en cliquant sur "avancé" puis "accepter". Je pense que ce sont des mesures nécessaires à grande échelle (et c'est une bonne chose qu'Internet explorer soit plus supporté), ça sauve vraiment certaines personnes ce genre de précautions dans les navigateurs.
@internetwanderer https://pleroma.lord.re/media/214f212f-8978-41cc-badd-043a24fcc7ae/IMG_20230116_143037_edit_1196677069654371.jpg Je n’ai pas de bouton avancé pour outrepasser le truc justement.
@duponin @internetwanderer non non pas d’hsts dans cet appareil. Ça n’existait pas à l’époque.
@duponin @internetwanderer Oui oui c’est bien ce que je dis. le serveur sur lequel je me connecte est en prod depuis avant que le hsts n’ait été inventé je pense ^__^
@lord @breizh Ouais enfin tu va pas demander à Firefox d’être shippé avec SSLv1… Ok dans ton cas d’usage TLS v1.2 c’est peut-être un peu strict, mais je te parie qu’un paquet d’autres apps on pas le protocole non plus x)
Et puis le principe du HSTS c’est justement de pas pouvoir bypass le TLS pour éviter le cas classique de l’utilisateur·ice qui sait pas ce que “unknown issuer” veut dire et clique sur “j’accepte le risque, continuer”, tombant dans le MitM comme Winnie dans un pot de miel…
Et mettre une option dans le about:config c’est pas mieux, typiquement mon grand père est capable d’aller modifier la base de registre pour bypass une protection windows et installer quand même un malware 
Ok l’infantilisation c’est dommage, mais quand je vois les emmerdes qu’on peut avoir sur les postes de travail au taf, ben tout ces trucs de protection ça marche pas si mal…
Après ok, sur le TLS c’est peut-être pas là où il aurait fallu concentrer tous les efforts, m’enfin x)
@Eldeberen @breizh Le GROS problème c’est que Google décide unilatéralement qu’il faut absolument améliorer la sécurité blablabla. Du coup ils rendent le contournement de plus en plus difficile et même ils rendent le truc juste pas contournable.
Ces blaireaux de Mozilla suivent bêtement de peur de perdre des parts de marchés. Les autres navigateurs ne sont que des UI et donc subissent ces mêmes choix.
Du coup en 2023, tu n’as plus moyen de te connecter à de vieux serveurs webs sous prétexte de sécurité.
Et malheureusement comme pour avoir un peu de crypto sur le web, ils ont fait le choix de se reposer sur un tier de confiance… bha quand tu as des appareils qui ne sont pas reliés au net, tu te retrouves à terme sur des appareils sur lesquels tu peux plus te connecter.
@sxpert @internetwanderer @duponin Quel intéret ?
Et puis dans six mois ils vont virer le support de tls1.1, puis ils vont juste bloquer les certifs auto-signés… Bref, je serai reniqué.
Je vais me retrouver à devoir me faire une VM juste pour avoir un vieux navigateur. Le nid à emmerde.
@lord Sur le fond ça me casse probablement autant les roupettes que toi, sur la forme très franchement tant qu’il n’y aura pas de la vraie formation (autre qu’apprendre à utiliser les services MS/Google j’entends), bah c’est un peu le seul moyen qu’il reste pour éviter que 95% de la population se fasse poutrer tous les 4 matins, parce que le site de méga promo était en fait un cheval de Troie pour te faire installer un ransomware (je pense en particulier à Apple qui empêche d’installer des apps non signées)
Surtout que du ransomware y'a un moment faut pas déconner, changer d'OS.
C'est pas au navigateur de faire en sorte de l'OS soit pas troué, il peut rien faire contre ça.
@lanodan @breizh @Eldeberen Bha après, je trouve ça dommage de castrer tous les navigateurs du monde et qu’il n’y ait pas d’alternatives pour protéger les neuneu en entreprise…
Le bestiau est pas relié au net ni même au réseau.
Je branche mon pc en direct quand je dois intervenir dessus. Je vais pas monter une pki juste pour ça.
@sxpert @internetwanderer @duponin Pas sûr et même si je le peux je ne le ferai pas. J’en ai des dizaines chez des dizaines de clients. Je préfère avoir un navigateur qui fait pas chier et qui permet d’outrepasser sa sécurité que de devoir passer sur des dizaines de machines pour mettre un certificat qui de toute façon va coincer à la prochaine update du navigateur.
bah non, justement si tu installes une PKI, avec le cert root de la dite PKI dans les navigateurs des machines qui peuvent accéder aux équipements, tu n'as plus de problèmes
@sxpert @internetwanderer @duponin Ouai mais je suis pas admin de mon pc ni de ceux de mes collègues…
Et là c’est même pas un problème de certificat, c’est carrément tls1 qui a été désactivé… donc même avec un certif valide j’aurai le même souci. Et après, ça sera le type de chiffrement que les navigateurs vont virer, après ça sera …
Bref, le souci n’est pas à corriger côté serveur quand le problème provient du client.
bah non, c'est un problème lié au serveur, le protocole TLS 1.0 est particulièrement vulnérable.
il faut donc que le serveur soit mis à jour
@sxpert @internetwanderer @duponin Vulnérable à quoi ?
La machine en question n’est pas reliée au réseau. Et quand elle est relié à du réseau c’est juste mon pc pour l’administrer.
La machine a déjà treize ans et tourne et tournera encore probablement cinq/dix/quinze ans.
Le serveur n’a pas bougé, c’est le client qui décide de déprécier des trucs parceque Google décide que le web c’est son web et qu’ils ont le droit de dicter son évolution forcé et l’obsolessence du reste. L’écosystème des clients web est vicié en grande partie par la toute puissance de Google (et Mozilla n’apporte aucun contre-pouvoir).
@sxpert @internetwanderer @duponin Demain ils décident que finalement ils virent le support de html pour ne laisser que du .docx de leur navigateur tu fais quoi ?
Tu gueules contre ton serveur web qui n’envoie que du html et du coup tu convertis tout ton contenu vers docx sans pester contre les choix de Google en disant que c’est la faute de ton contenu et non du client qui s’est auto-update en virant une fonctionnalité pour “le bien collectif” ?
De manière générale je suis assez partagé sur le comportement des navigateurs. Dans l'énorme majorité des cas, ça permet de protéger celles et ceux qui n'y connaissent rien contre un hameconnage. Quand ça n'en n'est pas c'est très rarement des faux positifs, et les quelques techos que ça concerne ont la main pour changer les choses.
Donner un bouton dans le navigateur pour outrepasser, c'est s'exposer à des neuneus qui croient aider leur entourage en disant de cliquer sur le bouton "Tout Accepter" sans comprendre ce qu'il y a derrière.
pas besoin qu'elle soit rattachée au réseau pour la poutrer...
du moment qu'elle est attachée a un réseau, elle est vulnérable.
et c'est pas bien nouveau
https://www.youtube.com/watch?v=EDgJ6ZfKi6M
@sxpert @internetwanderer @duponin Elle n’est pas connectée au réseau. Le port ethernet est vide 99.9% du temps. La seul fois où on y branche quelque chose c’est le pc pour configurer la bestiole.
Elle n’a pas de DNS de configuré, pas de passerelle. Elle est presque air-gapped.
@sxpert @internetwanderer @duponin Ha ouai on mais là tu parles d’attaques qui touchent pas le commun des mortels…
Je doute qu’il y ait beaucoup d’attaques qui ciblent mes pauvres pabx.
@nico @internetwanderer @sxpert @duponin Je passe par un “vieux” waterfox.
@Exagone313 @lanodan @sebsauvage @textoo Ha putain c’est pile le moment où j’ai quitté firefox. Ils ont tué vimperator :-/