Le 7 décembre 2017 à 19:51, frsag@jack.fr.eu.org a écrit :
Autoriser le trafic en clair, c'est punir le bon avec le mauvais, en fragilisant l'ensemble de ton système, pour tous (et pas que pour le gueux avec son fax)
Tout à fait.
Le 7 décembre 2017 à 22:11, Raphael Mazelier raph@futomaki.net a écrit :
En quoi TLS/SSL assure une meilleure sécurité ? certes cela ne coute pas bien cher de nos jours et c'est pas pire. Mais bon clairement si l'on recherche à échanger des informations confidentielles ce n'est certainement pas le mail qu'il faut utiliser. (à la limite avec du GPG/PGP et encore).
Sans TLS, les identifiants sont transmis en clair au serveur. Ce qui pour moi est une raison suffisante pour déployer TLS.
J'ai un peu de mal avec les discours du type : on est secure parce qu'on a activé du 's' partout ; surtout quand il est dogmatique; aka les mecs qui ne font pas sont des idiots. C'est bien plus compliqué que cela. La sécurité c'est aussi/souvent d'abord une analyse de risque, et des procédures adaptés en conséquences.
Personne n'a dit que déployer TLS allait résoudre tous les problèmes de sécurité. Je dis juste que c'est la base. Devoir argumenter sur ça en 2017 sur FRSAG me déprime un peu.