> Oliver varenne a écrit : > Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h > de test, tu > as pas envie de t'emmerder 600 fois dans la journée Tu utilise les certs > autosignés > présents dans tes applications de test et voila. Enfin bref, moi ça me gonfle.
+1, la quantité de travail nécessaire juste à pouvoir accéder à une page est débile. > Stephane Bortzmeyer a écrit : > Habituer les utilisateurs à avoir des alertes sur les certificats n'est pas > une bonne idée. Certes, mais concevoir un système qui demande tellement de travail que personne ne le mets en place, c'est pire. Demander à Claude Michu d'installer un certificat pour utiliser un machin IOT sur son réseau local, c'est tellement irréaliste que ce qui va arriver c'est justement l'habituer à voir les alertes et même à les détourner. > Francois Lesueur a écrit : > Alors perso, je n'ai rien contre le HTTP-pas-S. J'en fais tous les jours et > je m'en porte bien ;). Le risque > d'accepter trop facilement les certificats autosignés, c'est que ça a un côté > canada dry : on a l'impression > de faire du HTTPS, alors qu'en fait on a pas du tout le niveau de sécurité > attendu. Et oui, 99,9% du temps, > on parle bien avec le bon serveur, mais ce sont les 99,9% du temps où on > avait en fait pas besoin de HTTPS. > Le problème, c'est le 0,1% du temps où HTTPS aurait servi et où, du coup, on > se fait avoir. Je plussoie : sur le réseau local, il vaut mieux faire du HTTP non chiffré que d'habituer les utilisateurs aux alertes. Mais apparemment ce n'est pas la route prévue, maintenant HTTP c'est déjà marqué "not secure", bientôt ça va être en rouge. Yàplukà garder une VM avec XP et un vieux navigateur, c'est bon pour la sécurité ça aussi :-( Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
