🔒 HTTPS vs HSTS

Подписаться 68 тыс.

Просмотров 23 тыс.

50% 1

💌 Télécharger le guide complet pour débuter dans la cybersécuirté : www.hacking-au...
⏬ Pour aller plus loin ⏬
Plus d’infos sur le HSTS (et sur une attaque dont je n’ai pas parlé) ➜ (www.invicti.co...)
Encore des autres attaques au HSTS (www.pentester....)
Histoire du HTTPS ➜ (en.wikipedia.o...)
Quelques autres faiblesses du HTTPS ➜ (www.cloudflare...)
Bonus : Historique du protocole HTTP (de 0.9 a 2.0) ➜ (www.oreilly.co...)
🔗 Plus de contenu :
Mes Formations ➜ www.hacking-au...
Me Contacter ➜ www.hacking-au... (en bas de la page)
❗ Disclamer ❗
Attention, cette vidéo est à but uniquement éducatif et documentaire : je n’incite personne à commettre des actes illégaux avec le contenu de cette vidéo/chaîne : mon objectif à travers cette vidéo/chaîne est de vous enseigner le hacking "éthique". Je ne serai pas responsable de vos bêtises en cas de problème avec la loi.

Опубликовано:

30 сен 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 83

@faridlannabi Год назад

Dsl mais ton titre est un peu racoleur, HTTPS n'est pas vulnérable, si je me base sur tes argumentations ce sont les navigateurs, les serveurs web et par-dessous tout l'utilisateur qui sont vulnérables. Pas le protocole en lui-même.

@HafniumSecuriteInformatique Год назад

Oui, si vous le voulez :) Cependant comme je l'ai indiqué a la fin de la vidéo (sans plus de précision), certaines versions de TLS et SSL sont vulnérables a certaines attaques.

@iancarter724 Год назад

Pour le client : S'il ne fait pas attention Pour le site : S'il ne prend pas de précaution En somme, le titre n'est pas "racoleur". Le contenu pourrait ne pas suprendre des vétérans. C'est mon avis.

@faridlannabi Год назад

@@iancarter724 Pour préciser, j'ai fait preuve d'euphémisme, en disant un PEU racoleur, mais je réitère une vérité : HTTPS n'est pas cassé, il n'y a pas de vulnérabilités, donc racoleur, si ce que je dis est faux, alors merci de me donner la CVE qui n'est pas corrigée, je serais le premier à l'exploiter si c'est le cas, cdt

@first-info Год назад

Oui c'est pas trop grave vue que le contenu est intéressant

@sebastienl2140 Год назад

Faut juste avoir confiance que le serveur ait reussi à garder une cle privé non compromise. On y croit fort avec les gafa, personne n'est jamais aller discuter avec ces mainstreams pour leur expliquer que pour lutter pour de nobles causes, ce serait normal qu'il est un petit trou de securité qui permette à une personne chanceuse et bien attentionné de tomber sur vos cles privés.

@Niz__ Год назад

Vidéo très clean, les explications sont très claires et j'apprends beaucoup grâce à toi ! Je serai heureux de voir de nouvelles vidéos sur de la sécurité web :) Merci pour ton magnifique travail !

@FabriceGASNIERProfessional 2 месяца назад

Instinctivement je me dis que si j'étais développeur de navigateur WEB je coderais une fonction qui imposerait de d'abord tenter une connexion https quand l'adresse saisie est en http ... puis de basculer sur http si le https n'a pas répondu. Est-ce que ce comportement de https "par défaut" poserait problème ?

@jbledaron Месяц назад

Avant let's encrypt on ne devait pas payer pour avoir https, on devait payer pour avoir un certificat valide. En effet, on peut très bien avoir une connexion sécurisée sans certificat mais le navigateur affichera une erreur que l'on peut choisir d'ignorer et donc naviguer sur le site.

@hackmaster6669 Год назад

Vidéo très intéressente ! Le montage est lean, tes explications n'ont rien à voir avec des profs spécialisés en sécurité informatique. Tu expliques même beaucoup mieux qu'eux ! Continue comme ça... Regarder tes vidéos est un vrai régal😁

@HafniumSecuriteInformatique Год назад

Merci :)

@bobo32756 Год назад

Ta vidéo est comme toujours passionnante, force à toi!

@h_le_neg Год назад

Chui débutant j'aimerais savoir la où à commence

@bernardcaulier3121 5 месяцев назад

Video tres intéressante. Question: pourquoi ne peut on pas afficher un site web en https avec son adresse IP ?

@petitloukoum0 Год назад

Quel bonheur de voir une nouvelle vidéo de ta part ! merci bcp

@franklin6341 Год назад

La condition est que le client doit forcement se connecter en HTTP, ce qui n'est pas evident. Par contre une telle attaque ne rend pas le HTTPS vulnerable!

@skwalex Год назад

Bonjour, je me pose une question depuis un bout de temps... Pour établir une connection securisée avec un serveur, le client et ce dernier doivent échanger un handshake ? un code qui leur permettra de dechiffrer les communications, ce code peut-il etre intercepté par un acteur malveillant ce qui lui permettra d'acceder aux requetes?

@faridlannabi Год назад

non c'est tout l'intérêt, je t'invite à te renseigner sur les algo d'échange de clé, en l'occurrence éphémère

@ouedraogoleopold8302 Год назад

Puis-je vous contacter sur Instagram ou Facebook ?

@knoxfactory4626 Год назад

*Une voix très ASMR ( reposante ) facile à écouter ... C'est un PLUS !*

@HafniumSecuriteInformatique Год назад

Merci du compliment :)

@user-nono Год назад

Super vidéo, toujours très intéressant même pour moi qui reste très débutant. Est-ce que quelqu’un connaît un peu les mac M1/M2 etc car j’aimerai savoir si ce choix de pc est possible pour travailler en cybersécurité car le processeur M1 et les autres sont compatible avec seulement quelques machines virtuelles (Virtualbox ou UTM par exemple) mais j’aimerais savoir si la machine règle le problème du processeur pour la compatibilité avec les logiciels par exemple est-ce qu’un mac M1 saura faire fonctionner Nmap (ou un autre logiciel) sur Kali Linux sur une machine virtuelle. Merci d’avance pour toutes les informations que vous avez à m’apporter sur ces puces.

@KnightCK Год назад

Bonjour je ne sais pas si c'est vraiment fait pour la cyber securité je penses que c'est plus pour la création. Par contre si c'est possible de faire de la cyber securité prend le.

@user-nono Год назад

La grande question justement c’est est-ce que c’est possible et/ou recommandé car les nouvelles puces M1 sont très attrayantes mais j’ai peur de faire un achat que je regretterai dans ma future vie professionnelle

@user-nono Год назад

@Madinko12 Год назад

@@user-nono Si la question c'est "est-ce que c'est possible", la réponse est certainement oui. Kali peut tourner en natif sur ARM64 et peut aussi probablement être virtualisé dans n'importe quel hyperviseur supportant ARM64 (c'est-à-dire désormais presque tous sur MacOS j'imagine). Cependant, le support hardware reste médiocre pour le moment. La situation tend à s'améliorer (notamment grâce aux super taf des développeurs d'Asahi Linux), mais ça reste léger à mon sens si ton activité principale sera du pentesting. À noter que tous les outils disponibles normalement dans Kali ne le sont pas nécessairement dans la distribution ARM64/M1/M2.

@obrik9523 Год назад

La musique de mr robot quelle dingz

@brigitteanagonou5534 Год назад

Bonjour hafnium je veux avoir accès à la formation "hacking révolution" !! Mais je veux payer les frais en crypto !! C'est possible !??

@brigitteanagonou5534 Год назад

Il est possible de vous contacter directement ???

@HafniumSecuriteInformatique Год назад

@@brigitteanagonou5534 Bonjour, contactez moi par e-mail : contact@hacking-autodidacte.fr Je vous donnerai les instructions.

@rahff99 Год назад

qui ecrit encore les protocol avec l'url de nos jours ?

@thony7992 Год назад

Yo, Hafnuim est t'il possible de fake la sécurité. Je m'explique admettons que je click sur un lien que je voit Https est que le cadna y soit en haut à gauche. Mais qu'en faite ça soit pas le cas est que le site derrière soit en http. Je sais pas si ces compréhensible ^^

@HafniumSecuriteInformatique Год назад

La question est difficilement compréhensible.

@thony7992 Год назад

@@HafniumSecuriteInformatique En gros faire croire a l'utilisateur qu'il est en site HTTPS alors que non. Genre un phishing seulement au niveau du cadenas

@franck34 Год назад

Hormis le titre marketing sauce 2022 (révoltant, et qui m'a poussé à regarder la vidéo pour initialement aller y chercher des éléments de langages et techniques incorrectes), et en tant que professionnel du secteur depuis 1999), le contenu, les explications, les sources citées etc sont impeccables. Bravo.

@Madinko12 Год назад

Ahah, exactement pareil 😬 . J'ai vu le titre, ça m'a énervé, donc j'ai voulu relever tous les détails techniques incorrects et les imprécisions pour pinailler. Je suis finalement tombé sur une vidéo très correcte, bien écrite et bien faite. Quelle frustration.

@sebastienl2140 Год назад

google ce document m3aawg-forward-secrecy-recommendations-2016-01-french.pdf, youtube supprime les commentaires avec un lien https educatif Ce document indique clairement en conclusion que l'echange de cle ephemere (Diffie-Hellman3 Ephémère) ne protege uniquement que si la cle prive du serveur est decouverte apres la capture des donnees chiffrees. Si l'attaquant dispose de la cle prive avant la capture, il peut tout decoder en live donc https n'est pas sur à 100% surtout si on parle de volume de traffic ou les maintreams representent une vaste part de marché cad que sur les gafa on est en slip, sans même avoir de backdoor sur leur serveur.

@Madinko12 Год назад

@@sebastienl2140 À ma connaissance, tous les serveurs et clients web un minimum "récents" savent négocier un cipher TLS permettant la forward secrecy depuis très longtemps (98.8% des serveurs en 2020 d'après SSL Labs). Les serveurs et clients moins récents doivent de toute façon être vulnérables à plein d'autres choses pas ultra funs. Si la préoccupation est les GAFA, compromettre la SK pour déchiffrer les communications semble quand même être une attaque inutilement sophistiquée alors qu'ils possèdent tous une autorité de certification racine reconnue par les systèmes d'exploitation du monde entier, ce qui leur permet basiquement de faire du man-in-the-middle à peu près partout. La limite d'HTTPS sur est plutôt là à mon humble avis, côté client : le pouvoir démesuré conféré aux autorités racine ou le fait que les clients donnent plus de crédit à un site en HTTP plutôt qu'à un site utilisant un certificat auto-signé. L'approche de SSH me semble bien plus saine, mais peut-être contre-productive pour le grand public.

@sebastienl2140 Год назад

@@Madinko12 c'est vrai que le man in middle par le vol d'identite serveur est sans aucun doute une realité mais si on veut enregistrer, stocker, decortiquer la data à large echelle pour en faire plein d'outils qui donne plein de super pouvoir geopolitique et d'intelligence technico economique, compromettre la clé privee reste optimal = pas de flux supplementaire sur le reseau, pas de routage complexe de la capture in middle, pas de preuves tangible coté administrateurs infra serveurs donc facilité à forcer la main. C'est un peu trop recurent les ecoutes de cables sousmarins, les supers centre de stockage pour debusquer les talibans, les points reseau ou etrangement tout le traffic passe à des centaines de km à la ronde (un americain avait fait sauté un noeud à priori important), les boites noires FAI, ect ... Internet est quand même bien deglingué avec leur obscession du controle pour si peu de resultat contre la delinquence, il est important de poser un diagnostique pour voir emerger de possible solutions

@ds2kx Год назад

Le HSTS est majoritairement utile dans le fait de jouer le rôle de "policier" ssl, c-a-d que sans hsts, l'utilisateur peut se permettre de poser une exception sur une alerte de certificat invalide.. avec hsts activé, impossible de continuer la navigation avec un certificat invalide

@francoismorin5094 Год назад

😛salut un grand merci pour la réponse par e-mail sa fait plaisir sûr ceux très bonne journée à vous et au plaisir .

@FatalBcr Год назад

Content que tu sortes une nouvelle vidéo 🎉 😊 Super d’ailleurs

@gonzalezsheiila Год назад

Bonsoir, est-il possible de prendre contact avec vous en privé ?

@HafniumSecuriteInformatique Год назад

Bonjour, Sur mon site internet (dans la description), vous avez mon adresse e-mail.

@gonzalezsheiila Год назад

@@HafniumSecuriteInformatique merci pour votre réponse je viens de vous envoyer un mail

@nadersetayesh Год назад

Bien sûr http est vulnérable mais pas https.

@ugob9005 Год назад

👍

@katakuri7742 Год назад

wsh hafnium comment t aller sur serv disc mdrr

@HafniumSecuriteInformatique Год назад

Je ne suis sur aucun serveur discord

@katakuri7742 Год назад

@@HafniumSecuriteInformatique att tu connais getfenv()[\(★ω★)/] lui apparament cest un hacker

@Feignant Год назад

Top ta vidéo, mais la musique est trop forte je trouve

@masenate Год назад

Très bonne vidéo. Merci

@rasaliladasi Год назад

Bonjour Halfium! 🙂, dans le cas où nous avons un VPN comme Cyberghost, nous sommes normalement protégés contre ces pirates?

@HafniumSecuriteInformatique Год назад

Un VPN chiffre les communications donc oui dans ce cas la.

@chaine_cybersecurite Год назад

bonjour, disons, qu'ils ont une porte d'entrée en moins mais ils leurs restent encore bcp de possibilités d'attaques. je tiens à préciser que c'est pas parce qu'un site est en HTTPS qu'il est fiable... quant à la vidéo, good explications, juste expliquer ce que j'ai dis sur la ligne juste au dessus ;) et ca aurait été parfait.