Post AAsGc4MQIi8PgLEf20 by dot@mastodon.mg
(DIR) More posts by dot@mastodon.mg
(DIR) Post #AArj3GcNRJPb4gUkoy by otyugh@pouet.chapril.org
2021-08-30T23:08:17Z
0 likes, 0 repeats
Quand on charge un site qui support http et https, firefox opte pour http sans essayer la version chiffrée ?...On est obligé d'installer httpseverywhere pour changer ça ?En 2021 ?C'est pas un peu bizarre de pas offrir ce comportement par défaut ? Je ne comprends pas.Genre tapez directement dans votre barre d'adresse "insecte.org". Moi il me balance du http.
(DIR) Post #AArwv5pN4a54eNZMie by AmarOk@mastodon.social
2021-08-31T01:43:37Z
0 likes, 0 repeats
@otyugh Dans les options y a "HTTPS-Only Mode" (J'ai pas d'extension pour ca perso).Mais ouai 2021 ¯\_(ツ)_/¯
(DIR) Post #AArzop7kYyl2yCrsu0 by Rooty@social.rooty.fr
2021-08-31T02:16:03Z
0 likes, 0 repeats
@otyugh C'est juste que le sysadmin fait pas sont taff aussi.La redirection forcée ou mieux le réécriture http->https côté serveur de publication Web devrait être une obligation, voire même le contenu http ne devrait même plus être délivré... On ne parle pas non plus des pages https "mixées" avec des contenus non https (images, vidéos, etc...)
(DIR) Post #AAsGc4MQIi8PgLEf20 by dot@mastodon.mg
2021-08-31T05:24:08Z
0 likes, 0 repeats
@otyugh Plutôt difficile pour Firefox de savoir si le https est bel et bien la version sécurisée du http. En 2021, il y a encore pas mal de sites hébergés en mutualisés où la version https est une des autres sites hébergés sur le même serveur, genre la version http est otyugh dot com mais le https livre le contenu de ovh dot com.La balle est encore dans le camp du gestionnaire du site, avec HSTS ou une redirection automatique vers https.
(DIR) Post #AAsJu0eh7DarGV1mwC by smortex@mamot.fr
2021-08-31T06:01:09Z
0 likes, 0 repeats
@otyugh C'est un truc en cours, commencé en 2015:https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/TL;DR C'est compliquay…La stratégie c'est de nécessiter https pour les nouveaux machins qui sont supportés de manière à forcer ceux qui veulent en bénéficier d'être en https.En attendant, rien n’empêche les gens qui gèrent des sites web de les rendre accessible en https uniquement, et de faire du HSTS preloading pour que le navigateur accède au site en https même si tu met http:// 😉
(DIR) Post #AAsTTliR2NE4wWu5C4 by PetitMote@ludosphere.fr
2021-08-31T07:48:28Z
0 likes, 0 repeats
@otyugh il me semblait que si pourtant 🤔 Enfin moi j'ai activé le mode https only
(DIR) Post #AAsTaMbqmPyn6Xy6DI by otyugh@pouet.chapril.org
2021-08-31T07:49:41Z
0 likes, 0 repeats
@Rooty Honnêtement je pense que c'est un tort partagé - mais que le navigateur devrait au moins faire son taff minimum d'opter pour https quand il existe. (et oui, je connais HSTS déjà, ie mon site, c'était pas du tout l'angle de ma question T_T)
(DIR) Post #AAsThz1MMiq4GLX8VM by otyugh@pouet.chapril.org
2021-08-31T07:51:03Z
0 likes, 0 repeats
@PetitMote Je pensais aussi. Avant de tester et de trouver le contraire, d'où mon message en fait 😖
(DIR) Post #AAsU6rDkVGyjJJBnto by otyugh@pouet.chapril.org
2021-08-31T07:55:33Z
0 likes, 0 repeats
@smortex @dot Je connais et utilise déjà HSTS. Cela dit ça ne m'explique pas pourquoi quand je tape "insecte.org" dans firefox je suis redirigé vers http://insecte.org, quand ff devrait me rediriger vers https://, en fait (c'est même documenté que ça devrait). Y a aucune norme sur l'autocomplétion à priori et http devrait être déprécié d'après ton post ? >_<Du coup... Je comprend pas ce qui se passe, vous arrivez à reproduire ? X_X
(DIR) Post #AAsW1xkgzam21lONP6 by breizh@pleroma.breizh.pm
2021-08-31T08:11:27.376426Z
0 likes, 0 repeats
@otyugh Active le mode HTTPS uniquement intégré à Firefox. Si un site n’a pas de HTTPS tu auras un avertissement et ça demandera confirmation pour le charger.
(DIR) Post #AAsW1yNgebxvyhdWBU by otyugh@pouet.chapril.org
2021-08-31T08:17:04Z
0 likes, 0 repeats
@breizh "Manuellement activez les airbags de votre voiture, sinon ils s'ouvrent pas, c'est prévu comme ça, à moins que les arbres aient activé HSTS"
(DIR) Post #AAsX51j4m2PfAvf2wa by breizh@pleroma.breizh.pm
2021-08-31T08:20:18.546374Z
0 likes, 0 repeats
@otyugh Ils ont l’intention de le mettre par défaut, à terme, je pense. Il est déjà par défaut en navigation privée.Mais je comprends qu’on ait pas envie d’avoir des milliers de Michus qui vont venir se plaindre partout qu’ils ont une erreur devant l’avertissement… ça sera forcément progressif.Je suppose qu’ils le mettront par défaut quand ils sauront gérer le fallback proprement (quitte à ajouter un niveau « fallback automatique », « fallback manuel », « pas de fallback ».Si tu te sens meilleur qu’eux, t’as à qu’à le faire, à un moment…
(DIR) Post #AAsX52GOm94GqHFesq by breizh@pleroma.breizh.pm
2021-08-31T08:23:29.159075Z
0 likes, 0 repeats
@otyugh (actuellement le fallback est pas automatique parce que tu as pas moyen de savoir si le site réponds pas parce qu’il gère pas HTTP ou pour une autre raison (lenteur réseau, serveur down, etc. J’ai déjà eu des cas où ça m’a demandé de charger le HTTP alors que le HTTPS était géré, mais y’avait juste une lenteur/défaillance ponctuelle)
(DIR) Post #AAsX52jp0kbUJX19kG by breizh@pleroma.breizh.pm
2021-08-31T08:24:06.766281Z
0 likes, 0 repeats
@otyugh (du coup ça laisse le choix entre réessayer si tu es sûr qu’il y a du HTTPS ou passer en HTTP, dans ce cas. Mais va pas demander ça à quelqu’un qui n’y connaît rien…)
(DIR) Post #AAsX53ICwu6q2B6cLI by otyugh@pouet.chapril.org
2021-08-31T08:28:48Z
0 likes, 0 repeats
@breizh A un moment est-ce que c'est coûteux d'essayer https avant http quand le protocol n'est pas précisé ?Et btw, l'extension "https everywhere" le fait, et sans avertissement ou quoique ce soit ; ma question étant plutôt "pourquoi c'est pas le cas par défaut ?"
(DIR) Post #AAsXQnfthG15y0YZPs by otyugh@pouet.chapril.org
2021-08-31T08:32:47Z
0 likes, 0 repeats
@breizh (Quant au "fait-le toi-même", j'avais jamais pensé combien cette réflexion avait un énooowrm côté "quoi t'as pas le capital culturel ou matériel de faire ce changement logiciel ? Ben c'est con pour toi, lol." :<)
(DIR) Post #AAsXXPYdlHpJCEJZ1k by breizh@pleroma.breizh.pm
2021-08-31T08:32:59.377152Z
0 likes, 0 repeats
@otyugh Comme je l’ai dit : parce que ça fout la merde dans certains cas, et que les mecs de Mozilla sont pas encore serein à l’idée de le balancer en comportement par défaut.HTTPS Everywhere implique de l’installer explicitement, rien que ça suffit à filtrer pas mal (d’ailleurs je ne savais pas qu’elle faisait ça maintenant, avant que Firefox le gère en natif j’utilisais Smart HTTPS justement parce que HTTPS Everywhere le gérait que sur une liste blanche de sites).Bref, pour l’instant Firefox l’a mis par défaut qu’en navigation privée, comme quand ils ont mis leur truc de protection des traceurs.Quand ça sera un peu plus éprouvé ils le mettront par défaut partout. Faut juste être patient.
(DIR) Post #AAsXXQ9VYDJj2ZZ0Ua by otyugh@pouet.chapril.org
2021-08-31T08:33:57Z
0 likes, 0 repeats
@breizh "parce que ça fout la merde dans certains cas" : tu peux donner un cas ?
(DIR) Post #AAsXh73FQGPghCFzfs by otyugh@pouet.chapril.org
2021-08-31T08:35:43Z
0 likes, 0 repeats
@breizh Je trouve ça assez ironique qu'on dise "c'est au webadmin d'obliger https" et "nah mais certains sites sont tellement mal fait qu'on va pas pousser https par défaut". => Ça te sembe pas un peu bizarre comme défense ? X_X
(DIR) Post #AAsXoeCcZ8OVXVEZcW by breizh@pleroma.breizh.pm
2021-08-31T08:34:49.896193Z
0 likes, 0 repeats
@otyugh Nan mais je trouvait le ton de tes propos assez… déplacé. Quand on sort des conneries comme « Manuellement activez les airbags de votre voiture, sinon ils s’ouvrent pas, c’est prévu comme ça, à moins que les arbres aient activé HSTS » avec un gros sous-entendu d’incompétence de leur part, on peut pas s’attendre à avoir une réponse sympathique…
(DIR) Post #AAsXoelMTyBRHFUJlo by otyugh@pouet.chapril.org
2021-08-31T08:37:04Z
0 likes, 0 repeats
@breizh C'est plutôt "je ne comprend pas ce qu'ils pensent" en faisant X, eux qui ont des salariés compétent sur le sujet ; convainquez-moi. T_T
(DIR) Post #AAsZKks9P24hRjX7JY by dot@mastodon.mg
2021-08-31T08:53:54Z
0 likes, 0 repeats
@otyugh @smortex HSTS doit être utilisé par le concepteur du site pour indiquer qu'il veut https par défaut sur son site. Donc, sans HSTS, la logique voudrait qu'on utilise par défaut le http. Cela a été la norme depuis la nuit des temps et pour changer cela, il faudrait que tout le monde ait conscience du changement, soit prêt pour ce changement et puisse y faire face.