samedi 9 mai 2015
Jeffrey Zeldman s’interroge sur la volonté de Mozilla de déprécier HTTP non-sécurisé
Sur A List Apart, le blog réputé sur le design web, Jeffrey Zeldman déclarait hier :
La semaine dernière, Mozilla a annoncé qu’il fixait une date après laquelle les nouvelles fonctionnalités de Firefox ne seront plus accessibles qu’aux sites web sécurisés, c’est-à-dire ceux qui utilisent HTTPS au lieu de HTTP. Mozilla est de bonne volonté : ils veulent réduire les menaces qui pèsent sur les utilisateurs du web. Mais nous nous demandons quel impact cela peut avoir sur les sites qui ne peuvent pas ou ne veulent pas se convertir au HTTPS. Surtout si les autres navigateurs suivent le mouvement. Le droit d’entrée sur le web est très bas, et c’est ce qui fait qu’il est ouvert à tous.
Qu’en pensez-vous ? L’initiative de Mozilla serait-elle à double tranchant ?
Avantages:
– Les connections chiffrées rendent plus difficile l’écoute par un tiers malintentionné
– Certaines attaques de type « Man in the middle » seront compliquées (encore que… voir plus loin)
Désavantages:
– La barrière d’entrée sur le web devient encore plus haute
– La sécurité n’est pas vraiment augmentée (trop de gens ont l’habitude d’accepter des certificats invalides)
– On donne encore une fois énormément de pouvoir à quelques sociétés qui pourront décider de qui a le droit d’avoir un site internet
– Le traçage des utilisateurs va être encore simplifié puisque chaque accès à un site web implique une requête à un tiers qui peut facilement tomber sous le coup de législations comme aujourd’hui en France, aux USA ou en Chine. Ce sont des vies que l’on risque là.
La balance me semble assez claire.
Pas mieux que cym13. Je trouve le système de vente de certificats encore pire que celui de noms de domaines.
– Les coûts sont bien plus élevés, surtout si on veut un certificat wildcard. Et plus on paye, plus on nous fait confiance, sans aucun lien avec une quelconque sécurité réelle.
– On n’est jamais propriétaire de rien, il faut renouveler régulièrement les certificats, ce qui crée une rente pour des sociétés dont l’objectif est de maximiser les profits. On est à la merci d’une augmentation générale des tarifs.
– Les certificats sont produits par des systèmes opaques et fermés, des centaines de sociétés ont le droit d’émettre des certificat pour n’importe quel domaine sans quasiment aucun contrôle.
– Le ticket d’entrée technologique pour pouvoir héberger un site augmente considérablement. Il faut ajouter des compétences TLS pour pouvoir maintenir un serveur (autohébergé ou dédié).
Ca leur va bien après le coup des DRM EME. Ils jouent à quoi cehz Mozilla, à disparaître, à devenir comme les autres? En résumé c’est décevant.
Est-ce qu’ils ont le choix pour EME ? Si l’utilisateur moyen qui accorde plus d’importance à Netflix qu’au Logiciel Libre ne peut pas regarder Netflix dans Firefox, il passera à Chrome et Firefox disparaitra effectivement…
Il existe https everywhere et https finder. D’ailleurs on voit beaucoup de site peu utilisables car ils acceptent https pour leur pages, mais oublie les liens, css et tout ce qui va avec.
La priorité, mais est-ce possible, serait plutôt d’empêcher les sites de pulvériser les données partout avec des systèmes a étages. Quand on utilise en plus requestpolicy on comprend bien vite que, quelque part, le web est cassé.
Utiliser Gnu libreJS est intéressant aussi pour comprendre ce qu’il se passe (en exploitation c’est trop lent).