serveur arduino et TLS 1.2

Je n'ai pas remarqué spécifiquement sur mes logs le "bavardage" que vous voyez en dehors de la phase d'activation de l'appareil la première fois sauf si bien sûr vous laissez activés toutes le fonctions de synchronisation iCloud. Dans ce cas les onglets, l'historique de navigation, le back-up passe bien sûr par le web mais va dans le compte privé de l'utilisateur. Ils ont des engagements assez forts sur le sujet. ils disent d'ailleurs "Le Trousseau iCloud stocke vos mots de passe et les données de vos cartes bancaires de telle sorte qu'Apple ne puisse ni les lire, ni y accéder". C'est un peu le fonds du débat lors des demandes du FBI - ils n'ont pas accès aux clés.

si tu savais tout ce qu'il se passe en négo sur un hotspot wifi avec un iphone/ipad.
je ne divulguerais pas ici les servers, car comme professionnel et revendeur de mes solutions wifi, je suis tenu au secret.
mais en gros, l'iphone s'il ne peut accéder via le wifi au captive portail apple ne se connectera pas au wifi du hotspot, et ce n'est qu'une partie de l'iceberg.
android depuis peu fait la même chose.

Dans cet article, Google mentionne qu'ils prennent aussi le virage et selon l'étude de ssl-pulse sur 140,000 sites courants, 80% supportent déjà le TLS 1.2 mais seulement 37% le Forward Secrecy.

non, rien a voir avec les sites, ce sont les servers qui sont ou non configurés via les mod apache et openssl nouvelle génération, sans compter les dates d'expiration des clefs, la possibilité de bavarder sur du 443 https ou non, etc.....
sur du mutualisé, c'est l"hébergeur qui fait le boulot, sur du dédié, c'est le propriétaire/responsable réseau qui se tape le boulot.

donc ce qui est idiot, c'est que pour une appli qui va ouvrir ou fermer un rideau, lire une temp dans une couveuse, on ne pourra plus le faire comme on veut en hébergeant son propre server, car il n'aura pas les couches de protection suffisante pour tel ou tel appareil voulant s'y connecter.
sous chrome/FF, on peut désactiver cette option, sous safari avec la nouvelle version, apparemment, on ne peut pas.

passer par le cloud comme tu le fais, c'est bien, MAIS ce que tu oublie, c'est entre la box et tes modules, on peut intercepter les données et remonter sur ton réseau car non crypté, sauf si on maitrise très bien la sécurité des transmission radio (wifi/433mhz, etc...), ce qui n'est pas donné à tout le monde.

infobarquee:
mais en gros, l'iphone s'il ne peut accéder via le wifi au captive portail apple ne se connectera pas au wifi du hotspot, et ce n'est qu'une partie de l'iceberg.

ah oui pour les captive portal c'est une autre histoire. des fois c'est la galère

Ce qu'ils font n'est pas idiot d'un point de vue sécurité et simplicité et oui Google et Microsoft font la même chose dans leur OS mobile. (j'ai lu que iOS va en plus faire de l'obfuscation des addresses Mac tant qu'il n'est pas connecté pour ne pas que les utilisateurs soient traqués même s'ils ne se connectent pas au wifi - bonne idée).

ils essayent d'atteindre cette URL chez eux et si l'appareil reçoit "Success" c'est que le client est déjà bien sur internet et routé correctement. si ça ne passe pas, alors ils attendent la page présentée par le portail et la font apparaître s'ils n'ont pas une session utilisable déjà pour ce point d'accès - sans besoin d'aller dans un navigateur.

j'avais suivi (j'aime bcp voyager donc suis souvent dans les aéroports) en début d'année le pb qu'ils ont fixé et je pense qu'à ce moment là ils ont aussi durci tout le process de connexion à des portails car le risque de MitM est vraiment fort et donc effectivement il y a pas mal de vérifications. mais bon je ne suis pas un pro du truc comme vous l'êtes.

infobarquee:
passer par le cloud comme tu le fais, c'est bien, MAIS ce que tu oublies, c'est entre la box et tes modules, on peut intercepter les données et remonter sur ton réseau car non crypté, sauf si on maitrise très bien la sécurité des transmission radio (wifi/433mhz, etc...), ce qui n'est pas donné à tout le monde.

Oui tout est possible effectivement. je ne suis pas un pro de la sécurité, mais j'aime bien explorer et c'est un hobby d'amateur - vous êtes bcp plus calé que moi sur tout ça sans aucun doute.

Cela dit ce ne serait pas super simple quand même parce que ça rentre sur un routeur dédié qui n'écoute qu'une range de mac address connues et envoie cela à un serveur linux dédié qui est physiquement totalement séparé de mon réseau "perso" à la maison (2 fibres chez 2 opérateurs distincts parce que justement je ne veux pas que mes bidouillages parfois un peu en mode explorateur fasse tomber le reste du réseau à la maison.

Et pour de la "bidouille de base" je fais comme tout le monde de l'IP direct mais j'ai un routeur wifi dédié pour cela sur un VLAN séparé généralement sans connexion à Internet.

Bref je trouve que tout cela est bien intéressant à explorer et on se rend compte des challenges liés à l'explosion de ce soit disant internet des objets et des risques associés...

il y a d'autres liens maintenant pour apple en plus de celui cité.
c'est la fête du slip avec les différents constructeurs et chacun y va de sa sauce.

je n'ai rien contre la sécurité, car de plus en plus de personnes utilisent leur téléphone pour un oui ou un non.
mais on rentre dans un autre débat qui vole plus haut et sort du contexte du topic.