Https sert a se protéger des attaques MITM, il ne les rend pas impossible.
- Quid si un utilisateur essaye de se connecter en HTTP ? (même si le serveur n'a pas le port 80 ouvert.. HSTS :) ) -> un attaquant peut se mettre en coupure
- Le certificat est signé par quelle autorité ? Un attaquant peut très bien mettre en place un serveur https..
- Présence d'un serveur crl / ocsp ? -> aucun moyen de révoquer un certificat volé..
- Quelles suites crypto sont employées ? -> algo faible = pas de protection
- Quel protocoles sont supportés ? SSL ? TLS ? quel version ? ce n'est pas pour rien que plusieurs protocoles / versions existent ;)
- etc..
Ce n'est pas en installant une alarme dans 3 pièces de ton logement que tu empêchera tous cambriolage :)
Commentaires de yolo4ever
🔒😬 Documents confidentiels
K1nggor: J'ai enfin fini de sécuriser mes papiers administratifs.
K1nggor: J'ai tout installé sur un serveur hébergé en local, protégé en HTTPS derrière un proxy et une DMZ avec un port du turfu qu'aucun sniffeur aurait idée de tester. J'ai crypté l'accès avec un mot de passe encodé en SHA-256 (je passerais en 512 quand ce sera nécessaire) de 15 caractères alpha numériques avec signes et majuscules en plus. J'ai ajouté une double authentification avec le numéro de téléphone et un code qui expire en 10 minutes. Je n'y accède qu'avec un VPN et un navigateur en navigation privée pour éviter les "man in the middle".
K1nggor: Manque plus que la triple d'authentification avec une clef USB ou un google authenticator et j'ai genre le système le plus sécurisé qui soit !
jAnus: Moi j'ai tout mis sur Google Drive dans un dossier "prout".
Https sert a se protéger des attaques MITM, il ne les rend pas impossible.
- Quid si un utilisateur essaye de se connecter en HTTP ? (même si le serveur n'a pas le port 80 ouvert.. HSTS :) ) -> un attaquant peut se mettre en coupure
- Le certificat est signé par quelle autorité ? Un attaquant peut très bien mettre en place un serveur https..
- Présence d'un serveur crl / ocsp ? -> aucun moyen de révoquer un certificat volé..
- Quelles suites crypto sont employées ? -> algo faible = pas de protection
- Quel protocoles sont supportés ? SSL ? TLS ? quel version ? ce n'est pas pour rien que plusieurs protocoles / versions existent ;)
- etc..
Ce n'est pas en installant une alarme dans 3 pièces de ton logement que tu empêchera tous cambriolage :)