novembre
2005
L’équipe de developpement de Konqueror a hébergé une réunion entre différents membres des équipes de developpement des principaux navigateurs, c’est à dire d’Internet Explorer, de Firefox et d’Opera. L’objectif était de discuter des différentes approches concernant la sécurité…
Deux principaux points étaient à l’ordre du jour : l’encryption des données et le moyen à adopter pour informer l’utilisateur sur la confiance qu’il peut accorder au site qu’il est en train de visiter…
Encryption des données
Premier point, il semble que tout le monde est d’accord pour supprimer le protocole SSL v2, et d’utiliser des clefs de plus de 56 bits. Opéra affiche depuis sa version 8.0 un message d’avertissement lorsque un site utilise un tel certificat, et les équipes de développements de Mozilla et de Microsoft avait déjà annoncé cette décision sur mozillaZine et sur l’IEBlog…
Le protocole SSL a été développé par Netscape, et la version 2 qui date de 1994 souffre de plusieurs défauts qui la rendent beaucoup moins fiable. De même, les clefs d’encryption de 40 et 56 bits sont complètement obsolète, de nos jours elles peuvent être cassées en moins d’une heure !! Toutefois, cela ne devrait pas poser beaucoup de problème car très peu de serveurs devraient être concernés par ce changement (la plupart des serveurs supportent le SSL v3 et des clefs de 128 bits ou plus).
Ainsi, les navigateurs ne devraient plus utiliser que les protocoles SSL v3 et TLS 1.0 (qui n’est ni plus ni moins qu’une version normalisé du SSL v3) et des clefs de 128 bits minimum lors des connections en HTTPS…
Informer l’utilisateur
Le second point nous concerne plus particulièrement puisqu’il concerne les utilisateurs de ces navigateurs. Le but est d’utiliser un moyen simple et facilement reconnaissable pour donner une idée de la confiance qu’on peut accorder à un site web. En effet, la fameuse icône du cadenas qui apparaît en bas à droite sur les sites sécurisés n’est pas très visible…
Pour cela il semble que ce soit la barre d’adresse qui sera utilisée. A l’instar de Firefox qui l’affiche en jaune lorsqu’on visite un site sécurisé, Microsoft a proposé sur le blog d’IE7 un système similaire basé sur plusieurs couleurs/icônes pour identifier les différents types de site :
Pour les sites dangereux, la barre d’adresse devient rouge et affiche une icône et un message décrivant le type de danger :
De même, les sites suspects ou potentiellement dangereux se verraient appliquer une couleur jaune :
Alors que les sites de confiance seront affichés en vert :
Cette solution est vraiment intéressante car elle permet de mieux informer l’utilisateur sans pour autant le déranger pendant son surf… Je dois dire qu’avec Firefox je m’y suis habitué et c’est vraiment pratique. Le seul problème vient du fait que le code des couleurs utilisé par Microsoft est différents de celui de Firefox (qui utilise la couleur jaune pour les sites sécurisés), mais d’ici là les navigateurs devraient harmoniser leurs comportements afin de ne pas troubler les utilisateurs…
Bref on est loin de la guerre des navigateurs comme ce fut le cas entre Netscape et Internet Explorer à la fin des années 90, et c’est une bonne nouvelle puisque cette « concurrence » profite au contraire à tous les utilisateurs, quelque soit leurs navigateurs !!!
Il faudrait maintenant que les développeurs se mettent d’accord sur les normes du web à implémenter en priorité, afin de pourvoir les utiliser massivement sans avoir à attendre 5 ans comme ce fut le cas pour l’AJAX…
Mise à jours :
On en parle également sur le site d’Opera : A Truce in the Browser Wars : Toronto Ideas Create Common Ground
Mise à jours (2) :
Un article d’un developpeur Mozilla : CAs, certificates, and the SSL/TLS UI
2 Commentaires + Ajouter un commentaire
Tutoriels
Discussions
- [ fuite ] memoire
- Difference de performances Unix/Windows d'un programme?
- [REFLEXION] Connaitre toutes les classes qui implémentent une interface
- Possibilité d'accéder au type générique en runtime
- Recuperation du nom des parametres
- Classes, méthodes private
- L'apparition du mot-clé const est-il prévu dans une version à venir du JDK?
- jre 1.5, tomcat 6.0 et multi processeurs
- Définition exacte de @Override
>> Et pour les gens qui comme moi masquent la barre d’adresse?
Dans ce cas le problème est le même pour ceux qui n’affiche pas la barre d’état…
Par contre je ne pense pas que le cadenas disparaisse de la barre d’état car il s’agit quand même d’un repère assez connu…
Et pour les gens qui comme moi masquent la barre d’adresse?
J’aime bien profiter de toute la place pour surfer alors je masque les boutons et la barre d’adresse. Mes bookmarks et les liens sont suffisants pour atteindre ce que je veux, pas besoin de taper une adresse.
Le cadenas de Firefox est quand meme pratique, même s’il est peu visible. J’espère qu’ils vont le laisser.