On Thu, Jan 24, 2013 at 10:12:30PM +0100, s l wrote: > Ça reste du Chrome/Chromium. Je commence à me dire que l'opensource > n'est pas nécessairement une garantie de sécurité. Concrètement, QUI > ira vérifier les lignes de code ?
Ça se fait parfois pour des fonctions critiques, mais surtout le fait de ne pas pouvoir le faire est clairement un critère de choix pour ceux pour qui c'est important (avec 2 questions: "comment je peux vérifier le code?" et encore plus important "comment je répare une vulnérabilité sans les sources?"). En l'occurence, le concept me laisse un peu perplexe. Ce que je comprend de la description haut niveau (https://github.com/cryptocat/cryptocat/wiki/Design-and-Functionality) c'est qu'on rajoute une couche d'anonymat pour que le serveur ne connaisse pas les utilisateurs. Le traffic n'est chiffré que de client à serveur, et le serveur peut lire le traffic. J'aurais tendance à penser qu'il manque donc au moins un échange de clé client/client pour que les clients puissent chiffrer leurs message de bout en bout. Mais ce qu'il manque cruellement au site Web, c'est les hypothèses d'environement: quel est le cas d'utilisation, qui essaie de nous attaquer, et de quoi on se protège. "Chiffrer le trafic", c'est vague. Ici, mes questions seraient: "En tant que client, comment je sais à qui je parle?" (ici, j'ai l'impression qu'on se retrouve dans une chatroom sans pouvoir déterminer l'identité des autres utilisateurs) et "qu'est-ce que le serveur sait exactement?" (j'ai l'impression que le trafic n'est pas chiffré pour le serveur, et c'est pas clair sur la description fonctionnelle du programme). Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130125081412.gv8...@naryves.com