On Tue, 21 Aug 2001, Marc Mongenet wrote:
> Et le problème ne se situe pas au niveau du transfert de l'information.
> C'est la conservation de l'information qui est le point le plus critique,
> le moins bien protégé et le plus passé sous silence.
Oui, je suis d'accord: un piratage d'un serveur de transaction suffit pour
avoir plein de numéros de cartes de crédit: effort plus simple que de
pirater des machines invididuelles (sauf avec un worm/virus,
éventuellement, comme l'avait montré il y a déjà longtemps le
CCC/Allemagne avec Microsoft + Money).
> > -> la seule façon est de vérifier le `fingerprint' de la clé SSL
> > du serveur
>
> Mais comment vérifier cette empreinte ? Il n'y a pas de bouton vérifier
> dans la fenêtre du certificat de Navigator.
Ben lorsque tu reçois ton code d'accès au compte, tu reçois aussi la
fingerprint à vérifier manuellement (Netscape te la donne si tu la
demandes). Bien sûr quelle banque fait cela ? Aucune à ma connaissance,
ils se contentent de se faire certifier par une autorité de certification
supportée par Netscape (donc pas de warning).
Depuis le certificat microsoft.com délivré incorrectement par VeriSign, on
a des raisons d'avoir des doutes.
> > Netscape permet de vérifier ce fingerprint,
>
> Comment ?
Pardon: vocabulaire, Netscape permet de l'afficher. La vérification c'est
toi.
> As-tu déjà observé un cas réel ?
oui, j'ai changé la clé de search.alphanet.ch et Netscape a effectivement
relancé le bastringue `nouvelle clé'. Mais peut-être est-ce parce que ma
clé n'est pas certifiée [par Verisign et.al ]
> Donc il faut noter l'empreinte sur un papier et la vérifier à chaque fois ?
C'est juste. Et d'ici 8-9 mois elle expire.
> Certes Yellownet aurait pû l'envoyer par lettre, mais bon, l'intérêt du
> Web étant de pouvoir se passer du papier...
ben ils envoient les codes sur papier.
> Ce que je regrette énormément en revanche, c'est de ne pas avoir de reçu
> immédiat (informatique) de mes opérations Yellownet.
Qu'entends-tu par là ?
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
