Bonjours a tous

Tout d'abord, il ne s'agit pas d'un de ces nombreux topics en relation avec le surf anonyme meme si ca peut s'y apparenter (de loin uniquement).
Si on peut éviter que ce topic parte en vrac a coup de trolls, ça serait génial

Problématique
 On est tous amenés a utiliser un jour ou l'autre un ordinateur, et/ou surtout une connexion qui n'est pas la notre. (boulot, école, amis, cybercafés, gares, McDo, ...)
Jusque la, rien d'exceptionnel.
Seulement, un réseau digne de ce nom est censé être un minimum surveillé.

Pour surfer tranquillement et faire du google, c'est pas trop grave, encore que. En revanche, pour aller voir mes mails (perso), ou encore consulter des sites tels que le site de ma banque, ... là ca me pose un sérieux problème.
Sans compter que je ne vais pas changer mon mot de passe après chaque utilisation...

But
L'idée est donc d'arriver a sécuriser un minimum (crypter) ces données sensibles. (Il s'agit de crypter principalement les données http(s), pas forcément d'autres protocoles)
Encore une fois, je le répète, le but n'est pas malhonnête, mais simplement de protéger mes données personnelles.
Il n'y a aucun rapport avec du surf anonyme.

Pour diverses raisons, j'ai écarté le VPN. (pas forcément ma machine mais une autre machine cependant "trusted" donc ni rootkit, keylogger, ...).
J'ai pensé a des solutions comme anonymouse.org, a savoir coder une page dispo sur un server HTTP avec SSL (ce qui implique que je me balade avec la signature du certificat) mais il va falloir que je code ca, sans compter que je veux pouvoir accèder à des sites en SSL depuis.
En gros, on se sert d'une page web https comme d'un bête navigateur. (je sais pas si je suis très clair la )

J'ai un peu fouillé sur le net, fais diverses recherches et je me demande si je ne suis pas en train de couper des cheveux en quatre...

Mes questions
Un proxy ne me serait pas très utile je pense.
J'ai de quoi hoster avec une bande passante correcte et faire ce que je veux sur le serveur web donc pas trop de contraintes technique de ce coté là.
Connaissez-vous des solutions similaires à ce que je recherche ? (payantes, gratuites, ...)
Des idées concernant le sujet ? (un truc que j'aurais loupé, autre?)

Merci d'avoir lu jusqu'au bout.  

edit: si ya un truc a coder, Tkz sera enchanté de m'aider qu'il dit...

tien, je connais le tkz en question
ce parano trolleur à choisis le vpn lui, mais il n'a aps d'autre idées ?

La solution est plutôt d'utiliser des pages en HTTPS seulement non ? Pour ton mail perso et ta banque ça doit déjà être le cas.

Bon, le post me parait pas super bien place (je l'aurai plutot vu dans reseaux ou securite, pourquoi OSA ?)
Ensuite, on dit chiffrer et non crypter ..
Par contre, l'idee est bonne (normale, c'est la mienne   ).
 
Les exemples choisis sont abominablement mauvais (aiiie, pataper !), comme constate par leto3.  
Donc je vais en donner un autre : on a envie de poster sur HFR, et on a pas envie que son mot de passe se retrouve dans la nature, a la portee de l'admin du reseau, ou d'un utilisateur mal intentionne. Et pour ce type d'utilisation le fait de passer par une page (un cgi ?) hebergee chez soi en https, c'est bien pratique. La seule contrainte est d'avoir le certificat sous la main quand on fait ca, pour eviter les man in the middle.

Dans ce cas là, utiliser un VPN ou un tunnel SSH vers ta machine chez toi.
Mais la bonne solution serait qu'HFR passe en https

 
Tout à fait! L'erreur est trop courante en français, merci de l'avoir relevée.

L'idee a la base etait de pouvoir avoir un peu d'intimite pour son surf, sans aucun logiciel (en dehors d'un navigateur qui supporte le ssl/tls -> a peu pres tous), et sur tous systemes d'exploitations. Donc ca met hors jeu les solutions type VPN, bien que ce soit effectivement la meilleure et la plus efficace.

zecrazytux> au meme titre que tu m'as pris pour lui la derniere fois
 
leto3> l'idee étant que je souhaite cacher tout a l'admin reseau qui gere le reseau en question. Mes passwords en particulier, mes logins, mon addresse email, ... ma vie privee quoi
 
TKz> OSA ? hum.. sujet trop sensible pour expliquer... me pousse pas dans mes retranchements, un troll des cavernes des temps anciens pourrait bien pointer son nez ^^
Et au passage, l'idée, c'est moi qui l'ai lancee (suis pas chez moi pendant un mois, je trust pas la connexion de ma copine, toussa )
Et enfin, les exemples, certes, mais j'etais a sec d'exemples.. pis bon, il etait ricard moins 58minutes (GMT +9, patapay).
 
Et en gros le cgi, c'est ce qu'on disait la derniere fois qu'on en a parlé. Apres je te cache pas que j'ai pas eu le temps de me pencher dessus (je t'avoue meme que j'etais plus en train de tenter de me souvenir du nom du lieu ou je devais aller...)
Ah et pour chiffrer, les temps doivent etre en train de changer :
http://fr.encarta.msn.com/encnet/r [...] ?q=crypter
http://www.larousse.fr/encyclopedie/#recherche/crypter
http://www.quid.fr/2007/Internet_E [...] echnique/3
pwned eheh (private inside)

ou pas puisque c'est restreignable au niveau proxy... (bon tout comme un site web ssl, mais bon)

Dans ce cas ce que vous cherchez c'est ce que Cisco appelle un "clientless ssl vpn".
par exemple:
http://www.cisco.com/en/US/product [...] a271.shtml

Reste plus qu'a trouver un équivalent dispo sous linux.

edit : PAr exemple : http://en.wikipedia.org/wiki/SSL-E [...] ty_Edition
edit2 : je suis pas sur que SSL Explorer permette de sortir sur des sites publics via son VPN (à confirmer). En tout cas la solution Cisco le permet. Il suffit de se connecter sur le VPN puis de s'identifier. Après il est possible de surfer à l'aide d'un "navigateur dans le navigateur". Tout le trafic passant par le lien HTTPS entre ton client et le firewall cisco ASA.

hm
yummy, vais voir ca de ce pas
thx

Bon .. bah on a notre reponse. Merci leto3 !
Plus qu'a trouver une solution libre et efficace

Sinon, pourquoi ne pas simplement regarder du coté de squid et faire un proxy https authentifié ?

On y a pense ... mais ca necessite de configurer le navigateur. C'est plus simple a faire, plus chiant a utiliser.

En fait j'ai pas eu le temps de faire le proxy https, je vais vois ca plus tard, mais ton alternative leto3 m'interesse
 
TKz> libre ou pas, tant que ca marche comme je veux et que c'est pas payant, ca me convient...

Ouais enfin si c'est pas libre, pas trop la peine de se poser la question de la securite, vaut mieux se pencher sur autre chose ... la couture, ou le cheval ...
Ou alors faut monitorer toutes les connections, ainsi que les acces disque, pour verifier que tu te fait pas entuber (et encore).
De plus, pas libre ET gratuit, a mon avis ca sent l'arnaque.
Je vois mal l'interet d'une telle chose.

leto3 > d'apres ce que j'ai compris, les "clientless vpn" sont bases sur des applis javas qui sont envoyees au client (browser) et executes dans le browser. Ca necessite donc les droits d'administration, ainsi que la machine virtuelle java, et c'est un poil overpowered pour l'utilisation prevue, qui n'est que du surf. A creuser, mais ca ne me semble pas parfaitement adapte.

C'est le cas lorsqu'on souhaite utiliser le VPN SSL pour accéder à des applications non web.
Par exemple accéder à un serveur interne à l'entreprise via VNC/TSE depuis l'extérieur. Dans ce cas l'utilisateur externe va sur le vpn ssl, lance l'applet java qui ouvre un port en local (par exemple localhost:1222). Puis se connecte avec le client TSE à ce port.

En restant en mode web seul, les systèmes de vpn ssl n'imposent pas de java.

Dans ce cas, ca peut etre interessant.
Reste a voir si on peut acceder a des sites exterieurs au reseau avec ssl explorer. Sinon il faudra tweaker/trouver une autre solution.

Bonjour à tous. Je vais mettre mon habit de vilain petit canard, mais bon...
Pour dire vrai, je ne comprends pas vraiment ta problématique. Pour ma part (et l'utilisation que je fais d'Internet), voilà comment je me débrouille, selon les deux grands cas que je peux distinguer (j'en oublie peut être justement...):
1/ tu disposes de TON poste et tu te connectes à un réseau dont tu ne peux assurer la sécurité. Typiquement: McDo, université avec Wifi, aérogares, etc. Dans ce cas, tu peux, je pense, utiliser une solution de fw de port SSH vers une box soit chez toi, soit chez un hébergeur vers un SQUID, et ton navigateur, fièrement doté d'un plugin type SwitchProxy ou FoxyProxy sera configuré en 2 clics.  
 
2/ tu te connectes sur une machine que tu ne contrôles pas du tout, typiquement Cybercafé, ou PC d'un pote. Et ben là, tu peux faire ce que tu veux: https over ssh over squid over télékinésie, le poste pourra toujours avoir un bon RK ou même simplement un keylogger ou autre spyware en tout genre, tes données confidentielles, elles y passent.
 
Ce que je veux dire en gros: tu te connectes sur ton poste ou un poste dont tu peux assurer la sécurité ? Forwardes un squid via ssh et rulez. Depuis un poste que tu ne contrôle pas ? Tenter d'assurer la confidentialité des échanges avec un site Web serait perte de temps, ne te connectes pas à tes comptes mail ou autre.
La seule solution que je voies par contre pour les mails c'est du OTP. C'est ce que j'utilise pour ma part. Une solution One Time Password qui s'interface avec PAM + Squirrelmail par exemple va répondre au besoin des mails depuis une borne Internet; mais tu pourras faire ça que sur des "sites" internet que tu gères, donc exit le forum HFR, gmail et consorts.
 
Voilà, désolé encore de "critiquer" le principe même du post, mais même si je respectes l'initiative, je pense que c'est un combat perdu d'avance.

Comme il a ete dit : c'est une machine trusted, sur un reseau non trusted.
Machine trusted ne veut pas dire machine sur laquelle on fait ce que l'on veut (sur laquelle on est admin). Typiquement : machine d'un pote, machine d'un collegue, machine perso au travail ...
Sur ces machines, on peut avoir confiance (a tort ou a raison, la question n'est pas la), sans pour autant pouvoir installer un plugin / un navigateur / une application ...
L'idee du proxy : oui c'est jouable, mais ca demande un tout petit peu de configuration.
Alors que l'ideal serait : on lance le navigateur, on entre son ip (ou son domaine) en url, et rulez ...

Moi le truc le plus simple que je vois c'est de faire un tunnel SSH vers une machine "sûre" hors du réseau ..  
Tu te prends l'exécutable (bin + exe, le tout compilé statiquement) sur une clef USB et voilà.. Au pire tu te crées un script batch ou shell qui fait le lien des différents ports que tu utilises généralement (HTTP, SMTP, IMAP) et voilà. Le seul truc "chiant" c'est que tu dois avoir une machine allumée en permanence (au fond même pas, si tu peux l'allumer en WOL)

Ok, j'avais donc mal compris le problème. Dans ce cas, ce qui demanderais un minimum de configuration, serait d'utiliser toujours un proxy via ssh (avec un putty configuré), de modifier la conf de ton navigateur... mais avec des scripts ? Des scripts peuvent tout à fait modifier la conf. proxy de IE par exemple (au passage, même si les restrictions pour les utilisateurs sont activées, je pense en particulier aux machines d'entreprises) ou de firefox. Dans ce cas, une clef USB avec un batch + putty + l'exe de modification du proxy et voilà...

Oui mais pourquoi mettre un proxy alors qu'un tunnel SSH suffi ?

Pour allumer à distance une machine en WOL, il faut de toute facon une machine en marche et accessible de l'exterieur sur ton LAN    
Enfin, techniquement c'est pas trop le problème, on a des machines allumées 24/7.

 
Absolument pas, si ton router est bien configuré tu peux le faire depuis l'extérieur  

Routeur = machine accessible de l'extérieur.
Ce que je voulais dire, c'est que on peut pas faire un WOL à travers le net.

D'accord ... Enfin bon pour moi ça coulait de source qu'on puisse pas faire un WOL (ou communiquer) avec un réseau dont toutes les machines sont éteintes (= n'ayant pas d'adresse IP répondante)

euh, rassurez moi, pour le tunnel ssh vous ne parlez pas de x-forwarding?
Au passage, s'il ne s'agit pas de x-forwarding, j'avoue ne pas voir dans l'absolu de quoi vous parlez (matin, pas reveillé, toussa)

Comme je l'ai dit, j'ai une machine up h/24 avec bonne bp, donc c'est pas vraiment le probleme. Ya pas moyen d'eviter le tunnel ssh ?

Ah, je parlais bien de machine trusted. Genre mon laptop, ou alors je fais confiance a TKz (grossière erreur a tous points de vus ^^ sans rancune) et j'utilise sa machine pour surfer 3 minutes.

Je pense pour ma part que je vais observer de plus pres la conf squid, meme si elle va bloquer dans certains cas.

edit: et toujours troll a part, libre ou pas, ca change rien pke l'audit de code j'aurai pas trop le temps pour (ni meme toi TKz va pas faire croire ce genre de choses ^^)

http://formation-debian.via.ecp.fr/ch35.html#id2589161

Dans ce cas, je suis obligé de re-établir le tunnel ssh a chaque nouveau site que je visite ou ca forwarde comme il faut? (la premiere reponse me semble evidente, mais je demande quand meme...)
(je dois avouer que j'avais un peu peur qu'on me sorte un moche X-forwarding d'un malheureux firefox sur un poste a la connexion trusted ^^)

Mais non Oo Tu forward juste un port et tu dis à FF de l'utiliser, c'est tout

edit: euh je reserve l'espace, je sens que j'ai dit une connerie, donc je relis attentivement
reedit en fait j'avais bel et bien mal compris mais c'est asolument pas ce que je veux je crois...

En gros, je veux pas acceder via tunnel au http d'une machine a moi, https est la pour ca, mais surfer depuis cette machine.

Ce que je pense faire c'est ca :

En gros, les data sont non secure entre un tiers de confiance et le server que j'interroge. En revanche, les données sont cryptées entre le tiers de confiance et mon poste.

Le simple fait de *pouvoir* audit le code, et le fait que probablement pas mal de gens l'auront fait avant toi, te donne la garantie qu'il est clean (oui c'est un peu le concept en fait   ).
Par contre sur un logiciel propriétaire .. la seule chose que tu peut faire, c'est faire confiance à l'éditeur (tu vend ton âme et ta vie privée quoi ..). Et personnellement, je fait pas confiance "pq le site il est joli et c'est gratuit !!!".

c'est pas franchement le sujet tom... on cherche des solutions existantes, qu'elles soient viables ou pas selon toi, peu importe, juste un pannel de solutions.
On triera apres selon nos criteres, égouts et odeurs

Dans ce cas la, autant ne pas limiter non plus aux solutions "gratuites" le panel de solutions.

Regarde bien le topic, ou ai-je dis que je ne voulais pas de payant ? cf. mon premier post au passage, je parle de "payant, gratuit, ..."

 
Je faisait reference a :  
 

 
Dans ce cas achète toi un équipment type Cisco ASA et voilà.

arf, toujours chercher le meme mot que celui qu'on cite... ca m'apprendra a faire F3 gratuit et a parler de pas payant ^^
shame on me

1/ je parlais de similaire a un proxy/equivalent
2/ suis un particulier
3/ suis pas crésus
4/ tu me files les sous pour un équipement type Cisco ASA et voila ? =)