alexylem
commented
7 years ago Je vais tenter une première approche avec ca: https://gist.github.com/dergachev/7028596
Closed ghost closed 7 years ago
alexylem
commented
7 years ago Je vais tenter une première approche avec ca: https://gist.github.com/dergachev/7028596
byackee
commented
7 years ago +1
JZacharie
commented
7 years ago +1
alexylem
commented
7 years ago Chrome n'aime pas les certificats auto-signés (avec openSSL)...
Ca marche mais il faut cliquer sur "J'accepte (Dangeureux)"...
alexylem
commented
7 years ago Voici à priori comment changer le https en vert (mais requiert une action côté client) http://stackoverflow.com/questions/7580508/getting-chrome-to-accept-self-signed-localhost-certificate Du coup je suis un peu coincé, car même si ca fonctionne, ca n'envoie pas un message très rassurant quand à la sécurité... Je peux toujours ajouter le token sans HTTPS, mais on n'est pas à l'abri du snif réseau... D'autres suggestions?
alexylem
commented
7 years ago @Sellig28 vu que c'est toi qui a créé ce ticket, tu es d'accord pour une approche "Token only" pour le moment? (voir mes avancées ci-dessus)
Sellig28
commented
7 years ago @alexylem , oui pour le token c'est un bon départ. Il reste aussi pour ce qui le veulent la possibilité de mettre en place un serveur nginx ou apache2 en proxy. Après tu manipules chrome pour donner un ordre à jarvis. Si tu utilises curl en ligne de commande le problème n'est pas le même, cela se gère différement. Si bien paramétré tu n'aura pas ce genre de mise en garde par exemple.
Ca serait sympa d'avoir une api sous tls 1.1 et 1.2.
Sachant que tls 1.2 est fortement recommandé en terme de sécurité.
A ceci il serait bien d'ajouter un token fourni dans le post json.
edit: Je ne sais pas en quel version de python tu es mais voici un lien à partir duquel on peut utiliser le TLS 1.2.
https://docs.python.org/3.4/library/ssl.html