Cela semble si simple: utilisez simplement SSL ou TLS pour des connexions Web sécurisées. Alors pourquoi 99 des 100 plus grands sites Web au monde ne sécurisent-ils pas automatiquement leurs connexions?
Moi et beaucoup d'autres personnes avons écrit de nombreuses histoires sur ce que vous pouvez faire pour protégez-vous de Firesheep; comment gardez votre connexion Wi-Fi plus sûre; et quoi Les administrateurs de sites Web doivent faire pour sécuriser leurs sites. Donc, je suis sûr que certaines personnes essaient au moins de pratiquer une navigation Internet sécurisée. Mais qu’en est-il des sociétés d’hébergement Web et des grands sites Web? Euh, pas tellement.
Là-bas au groupe Google Firesheep officiel
, il y a 143 messages au total, et la plupart sont des questions de type support technique. Je ne vois pas un seul message sur la façon dont quelqu'un s'y prendrait pour sécuriser son serveur Web. Attention, il n'y a rien de sorcier pour commencer à utiliser Transport Layer Security (TLS) et Secure Sockets Layer (SSL) ou TLS/SSL sur HTTP (HTTPS). Mais on pourrait penser que quelqu'un le demanderait. Ce n’est pas le cas.L'analyse d'AccessNow des 100 meilleurs sites Web est bien plus révélatrice. Selon Accéder maintenant, un groupe convaincu que la réalisation des droits de l'homme et de la démocratie au XXIe siècle siècle dépend de l'accès à Internet, seul un des 100 sites Web les plus populaires utilise actuellement TLS/SSL correctement.
Le seul site qui fait les choses correctement est Pay Pal. Là, votre connexion et toutes vos activités sont protégées par cryptage.
D'autres sites vous permettront de forcer une connexion sécurisée avec l'utilisation d'extensions Firefox telles que include HTTPS partout et Forcer TLS. Mais ils sont moins nombreux qu’on pourrait le penser et toutes leurs pages ne sont pas protégées par HTTPS.
Feuille de calcul du site Web d'AccessNow (format XLS), montre que seul Adobe; Fichier chaud, un site d'hébergement de fichiers; Mozilla; et Allez papa vous permettra de protéger manuellement toutes vos activités Internet. D'autres sites populaires, tels que Google, Facebook et YouTube, vous permettront de protéger manuellement certaines, mais pas toutes, vos activités sur leurs sites.
La grande majorité des sites Web populaires, notamment Baidu, le moteur de recherche chinois; Wikipédia; et les différentes versions nationales de Google, comme Google Inde et Google Hong Kong n'offrent pas de protection de connexion cryptée. Dans le cas de Google, selon AccessNow et mes propres tests, si vous essayez de forcer l'utilisation d'un connexion sur un site national tout ce qui se passe c'est que vous êtes redirigé vers un site Google américain non crypté site. Pas bon.
Comment pouvons-nous régler ceci? AccessNow nous suggère de signer une pétition, déclarant: « Aux dirigeants des 100 sites Web les plus visités au monde, nous exigeons la confidentialité et la sécurité pour tout le monde partout et nous vous demandons d'installer immédiatement la sécurité HTTPS sur toutes les pages de votre sites Internet."
Ce n'est pas une mauvaise idée. Je ne pense pas que cela fonctionnera, mais je pense que cela vaut toujours la peine d'essayer. La seule façon pour moi de voir la plupart des sites Web installer des protocoles de connexion de sécurité automatiques est après quelques les utilisateurs perdent des informations importantes sur leurs sites au profit d'une personne utilisant Firesheep ou un véritable renifleur de protocole réseau outil. Ensuite, une fois que le site Web aura enlevé ses pantalons poursuivis, et alors seulement, ils dépenseront enfin l'argent pour mettre à jour leurs sites.
En attendant, surveillez simplement ce que vous dites en ligne. Sur la plupart des sites Web, la plupart du temps, on ne sait jamais qui écoute.