Re: e-Business
On Wed, 22 Aug 2001, Marc Mongenet wrote: > Web avec un site. Dans ce cas le fingerprint ne peut pas servir à autre que on peut imaginer qu'il soit signé par une clé GPG, et de proche en proche (PKI, amis GPG/PGP) certifié. Ou par une véritable initiative de PKI SSL, comme p.ex. Swisskey ou son successeur (pas VeriSign). > Au fait, le fingerprint, c'est juste une signature du certificat ? à ce que j'en sais, c'est comme l'équivalent GPG/PGP schaefer@defian:~% gpg --list-keys --fingerprint Debi pub 1024D/0E6B6C29 2001-01-14 Debian Switzerland Distributor <[EMAIL PROTECTED]> Key fingerprint = 550D 0C93 715A 42A2 C96D F6DA A9CD D02A 0E6B 6C29 sub 2048g/BB142D8D 2001-01-14 un résumé (MD5sum, hash quelconque) de la clé. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: e-Business
Marc SCHAEFER wrote: > > On Tue, 21 Aug 2001, Marc Mongenet wrote: > > Certes Yellownet aurait pû l'envoyer par lettre, mais bon, l'intérêt du > > Web étant de pouvoir se passer du papier... > > ben ils envoient les codes sur papier. C'est juste. En fait je pensais au cas général ou l'on n'a que des contacts Web avec un site. Dans ce cas le fingerprint ne peut pas servir à autre que de vérifier qu'il ne change pas d'une fois à l'autre, non ? Cela est assez maigre. Je suis content d'avoir une 'autorité' connue de Netscape qui garanti ce certificat. Au fait, le fingerprint, c'est juste une signature du certificat ? > > Ce que je regrette énormément en revanche, c'est de ne pas avoir de reçu > > immédiat (informatique) de mes opérations Yellownet. > > Qu'entends-tu par là ? Lorsque j'effectue une opération, j'aimerais bien que Yellownet n'indique pas simplement "opération effectuée", mais "opération blablabla... effectuée, signature PGP 1932742..." Bien sûr il n'y a pas de moyen automatique de vérifier cela dans un navigateur, mais ce serait un début pas cher d'avoir une preuve de mes actions. Marc Mongenet -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: e-Business
On Tue, 21 Aug 2001, Marc Mongenet wrote: > Et le problème ne se situe pas au niveau du transfert de l'information. > C'est la conservation de l'information qui est le point le plus critique, > le moins bien protégé et le plus passé sous silence. Oui, je suis d'accord: un piratage d'un serveur de transaction suffit pour avoir plein de numéros de cartes de crédit: effort plus simple que de pirater des machines invididuelles (sauf avec un worm/virus, éventuellement, comme l'avait montré il y a déjà longtemps le CCC/Allemagne avec Microsoft + Money). > >-> la seule façon est de vérifier le `fingerprint' de la clé SSL > > du serveur > > Mais comment vérifier cette empreinte ? Il n'y a pas de bouton vérifier > dans la fenêtre du certificat de Navigator. Ben lorsque tu reçois ton code d'accès au compte, tu reçois aussi la fingerprint à vérifier manuellement (Netscape te la donne si tu la demandes). Bien sûr quelle banque fait cela ? Aucune à ma connaissance, ils se contentent de se faire certifier par une autorité de certification supportée par Netscape (donc pas de warning). Depuis le certificat microsoft.com délivré incorrectement par VeriSign, on a des raisons d'avoir des doutes. > > Netscape permet de vérifier ce fingerprint, > > Comment ? Pardon: vocabulaire, Netscape permet de l'afficher. La vérification c'est toi. > As-tu déjà observé un cas réel ? oui, j'ai changé la clé de search.alphanet.ch et Netscape a effectivement relancé le bastringue `nouvelle clé'. Mais peut-être est-ce parce que ma clé n'est pas certifiée [par Verisign et.al ] > Donc il faut noter l'empreinte sur un papier et la vérifier à chaque fois ? C'est juste. Et d'ici 8-9 mois elle expire. > Certes Yellownet aurait pû l'envoyer par lettre, mais bon, l'intérêt du > Web étant de pouvoir se passer du papier... ben ils envoient les codes sur papier. > Ce que je regrette énormément en revanche, c'est de ne pas avoir de reçu > immédiat (informatique) de mes opérations Yellownet. Qu'entends-tu par là ? -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: e-Business
Marc SCHAEFER wrote: > > Réponse qui peut intéresser ici, ou causer des réactions. Une réaction et une question. > > Quelle est la sécurité d'un payement on-line ? Faible. > S'il est effectué en `https' avec encryption (Konqueror vous dit quand Et le problème ne se situe pas au niveau du transfert de l'information. C'est la conservation de l'information qui est le point le plus critique, le moins bien protégé et le plus passé sous silence. Actuellement, surtout depuis qu'on utilise tous des cryptages 128 bits, HTTPS c'est utiliser un convoyeur de fond triplement blindé pour amener son argent dans une banque qui ressemble à la premièree hutte de l'histoire des trois petits cochons... > vous passez dans ce mode et vous pouvez faire Details; comparez > http://search.alphanet.ch avec la version sécurisée > https://search.alphanet.ch) il y a garantie que les données entre vous et > le serveur ne sont pas visibles par un tiers... compréhensibles > Vous voyiez donc une fausse clé, qui sert à pirate à déchiffrer, puis à > réenchiffrer pour l'ordinateur marchand. En pratique, pour faire cela il > faut 1. que vous ne vérifiez pas la clé du marchand 2. qu'un ordinateur ou > routeur sur le chemin ait été piraté. > > Comment être sûr ? > >-> la seule façon est de vérifier le `fingerprint' de la clé SSL > du serveur Mais comment vérifier cette empreinte ? Il n'y a pas de bouton vérifier dans la fenêtre du certificat de Navigator. J'en ai trouvé un dans la liste des autorités de certification, mais je n'ai pas compris ce que ça vérifie. >-> on peut aussi faire confiance à une autorité de certification > mais je ne le ferais pas. > > (PS: pour la Suisse, Swisskey a fait faillite, mais: >http://www.igtop.ch) > > [ dans mon cas je n'ai rien payé, donc mon certificat de > search.alphanet.ch est reconnu par Netscape avec un warning > ] > > Notez que si votre machine ou la machine du serveur est compromise par un > pirate, SSL ne sert à rien. La plupart des piratages l'ont été d'ailleurs > sur le serveur. On ne le répétera jamais assez. > > Doit-on configurer son navigateur (konqueror) de façon particulière ? > > Non. La seule critique que je ferais à l'encontre de Konqueror c'est qu'il > ne permet pas de vérifier le `fingerprint' (résumé) de la clé SSL: > opération que l'on devrait faire à chaque fois. > > Netscape permet de vérifier ce fingerprint, Comment ? > et avertit si cette clé > change (ce qui signifie: serveur a changé sa clé, ou piratage par > machine interceptrice comme ci-dessus). As-tu déjà observé un cas réel ? > On peut aussi critiquer Yellownet qui ne donne pas cette fingerprint dans > son courrier officiel ni un moyen de la vérifier (autre que de se > connecter une fois et de le vérifier manuellement par la suite). Donc il faut noter l'empreinte sur un papier et la vérifier à chaque fois ? Certes Yellownet aurait pû l'envoyer par lettre, mais bon, l'intérêt du Web étant de pouvoir se passer du papier... Ce que je regrette énormément en revanche, c'est de ne pas avoir de reçu immédiat (informatique) de mes opérations Yellownet. Marc Mongenet -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: e-Business
Réponse qui peut intéresser ici, ou causer des réactions. > Quelle est la sécurité d'un payement on-line ? S'il est effectué en `https' avec encryption (Konqueror vous dit quand vous passez dans ce mode et vous pouvez faire Details; comparez http://search.alphanet.ch avec la version sécurisée https://search.alphanet.ch) il y a garantie que les données entre vous et le serveur ne sont pas visibles par un tiers ... mais la définition de `serveur' ne correspond pas forcément à celui du marchand! Voyez le petit cadenas. Par contre il n'y a pas garantie que le serveur est bien celui qu'il prétend. En effet, vous vous connectez peut-être ainsi: vous --- ordinateur pirate - ordinateur marchand clé SSL pirate clé SSL marchand Vous voyiez donc une fausse clé, qui sert à pirate à déchiffrer, puis à réenchiffrer pour l'ordinateur marchand. En pratique, pour faire cela il faut 1. que vous ne vérifiez pas la clé du marchand 2. qu'un ordinateur ou routeur sur le chemin ait été piraté. Comment être sûr ? -> la seule façon est de vérifier le `fingerprint' de la clé SSL du serveur -> on peut aussi faire confiance à une autorité de certification mais je ne le ferais pas. (PS: pour la Suisse, Swisskey a fait faillite, mais: http://www.igtop.ch) [ dans mon cas je n'ai rien payé, donc mon certificat de search.alphanet.ch est reconnu par Netscape avec un warning ] Notez que si votre machine ou la machine du serveur est compromise par un pirate, SSL ne sert à rien. La plupart des piratages l'ont été d'ailleurs sur le serveur. > Doit-on configurer son navigateur (konqueror) de façon particulière ? Non. La seule critique que je ferais à l'encontre de Konqueror c'est qu'il ne permet pas de vérifier le `fingerprint' (résumé) de la clé SSL: opération que l'on devrait faire à chaque fois. Netscape permet de vérifier ce fingerprint, et avertit si cette clé change (ce qui signifie: serveur a changé sa clé, ou piratage par machine interceptrice comme ci-dessus). On peut aussi critiquer Yellownet qui ne donne pas cette fingerprint dans son courrier officiel ni un moyen de la vérifier (autre que de se connecter une fois et de le vérifier manuellement par la suite). > Existe-t-il un service qui effectue, sur mandat ou à la commission, l'achat > on-line pour de tierces personnes ? Je n'en connais pas. NB: si vous commandez par carte de crédit, vérifiez attentivement vos relevés, et faites opposition si nécessaire! A mon avis c'est suffisant. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.