samedi 23 octobre 2010

Protégeons nos accès SSL!

Plusieurs extensions de Firefox permettent de protéger nos connections SSL avec nos sites préférés. En voici quelques unes:

  • HTTPS-Everywhere
  • Force-HTTPS
  • Force-TLS

De nombreux sites offrent un support limité de l’encryption avec HTTPS. Ils peuvent par exemple proposer HTTP par défaut ou remplir des pages encryptées avec des liens non encryptés. Ce type d’extensions essaie de résoudre ces problèmes en redirigeant toutes les requètes vers HTTPS.



HTTPS-Everywhere

Cette extension peut être installée à partir de https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension en cliquant sur "this link"


Les sites pris en compte par HTTPS-Everywhere sont ceux disponibles dans Modules complémentaires / HTTPS-Everywhere / Options


ScreenShot025


HTTPS-Everywhere permet par exemple de convertir automatiquement http://www.google.com/ en https://www.google.com/ ou bien de convertir http://twitter.com/ en https://twitter.com/


Pour ajouter un nouveau site que l’on souhaite protéger, le process est décrit sur: https://www.eff.org/https-everywhere/rulesets


J’ai essayé de créer un répertoire HTTPSEverywhereUserRules sous “C:\Program Files\Mozilla Firefox\defaults\profile” et d’y ajouter un fichier monsite.xml contenant:


<ruleset name="monsite"><rule from="^http://www.monsite.com" to="https://www.monsite.com"/></ruleset>


Mais la règle ne semble ne pas être prise en compte avec la version 0.1.1 de HTTPS-Everywhere



Force-HTTPS


Collin Jackson et Adam Barth ont définit les spécifications de Force-HTTPS dans https://crypto.stanford.edu/forcehttps/
et ils ont également réalisé une implémentation de leur solution avec ForceHTTPS 0.4.4


ForceHTTPS 0.4.4 ne fonctionne malheureusement pas avec mon Firefox 3.5.10 (j’ai un problème de vérification de signature)



Force-TLS

Force-TLS s’inspire ouvertement des spécifications de ForceHTTPS (Collin Jackson et Adam Barth)
L’installation de Force-TLS se fait via les Modules complémentaires de Firefox


Comme HTTPS-Everywhere, Force-TLS permet de convertir automatiquement http://www.facebook.com/ en https://www.facebook.com/ (si Force-TLS a été configuré pour gérer le site “facebook”)


La configuration d’un site se fait dans Firefox:

- Soit via Outils / ForceTLS Configuration


ScreenShot027


- Soit, la première fois que l’on accède à notre site, via
Outils / Information sur la page / Permissions en cochant Secure Connection / Always access content from this site securely
ainsi que Require HTTPS on subdomains too.


ScreenShot026


Qu’un peu plus de sécurité vous accompagne!

Aucun commentaire:

Enregistrer un commentaire

Partager avec...