L'administrateur aurait-il été cité sur PEBKAC, puis se serait vengé ?

Nan, franchement, PEBKAC est bien plus chronophage et nuisible que Facebook. La preuve, je ne vais jamais sur Facebook, alors que PEBKAC...

...

Oui, je sais, cas particulier, généralisation, toussa.

Il n'aurait pas bloqué FB pour éviter de s'interdire l'accès ?

Enfin, surtout l'accès du management ;)

@Clem : il y a combien de visiteurs par jour/mois sur le site?

Facebook peut être utilisé de manière professionnelle (recrutement, pages pros, vitrines...). Faire sa promo sur un site tel que Pebkac est plus compliqué...

D'accord, je me fais l'avocat du diable.

Petit indice : Facebook est en HTTPS, donc l'admin réseau ne peut le bloquer que par DNS ou par IP, et j'imagine que comme dans presque toute entreprise, le blocage des sites se fait par un proxy (transparent ou non), pas par DNS.

Le proxy ne peut pas analyser le trafic HTTPS, les sites en HTTPS sont donc impossibles à bloquer. Voilà pour l'explication.

Le plus rigolo c'est qu'on va ptet voir l'admin débarquer ici, du coup.

Y'a aussi une étude indépendante qui a prouvé que l'interdiction de facebook nuisait à la productivité (parce que les gens sont frustrés de ne plus pouvoir y aller)

J'ai pensé pareil ! ;)

Ben si regarde, y a Aaaaaargh!!! qui fait de la pub pour sa boite sur PEBKAC ^^
Ok je sors -> [ ] clac

Moi aussi.

Hmm, les downvoters, expliquez-moi en quoi j'ai tort SVP.

J'ai hâte de vous lire.

Et du coup il va savoir que Zozoinno passe son temps de travail sur FB au lieu de travailler.
Mais du coup il risque de se faire licencier, de ne plus trouver de travail --> divorce, pension alimentaire, dépression, alcoolisme --> suicide --> exclusion sociale ...
Comment ça j'exagère ?! ^^

Une astuce : Google Reader. ;)

L'exclusion sociale vient après le suicide?

va faire le café ou des photocopies plutôt que de venir ici, non mais dis donc!!!

Ahhh, ces stagiaires...

FBM ça veut dire FaceBookMan ?

Bah oui vu que t'es suicidé tu peux plus avoir de relation sociale. CQFD.

Tout dépend de l'âge du stagiaire. On a récemment eu un collégien en stage pour une semaine, il lui fallait un tabouret pour pouvoir se servir de la photocopieuse.

Non, rien à voir :)

J'attends toujours une explication, cela dit, sur ce qui mérite tant de downvotes dans mon commentaire initial.

Je te renvoi vers wikipedia sur le filtrage web:http://fr.wikipedia.org/wiki/Filtrage_d%27Internet

Plus particulièrement : http://fr.wikipedia.org/wiki/Filtrage_d%27Internet#Filtrage_IP_et_DNS

Et oui, le proxy fait du blocage par DNS ou par IP

_EDIT : ce commentaire n'ajoute rien, ok, mais j'avais envie_

Rien à voir avec le problème donné.

Quelqu'un peut-il m'expliquer comment un admin réseau, qui a à sa disposition un proxy comme seul moyen de blocage, peut bloquer la consultation d'un site en HTTPS ?

Le seul moyen que je vois serait que le proxy intercepte le trafic, remplace le certificat du site par son propre certificat, afin de pouvoir décoder le trafic.

Mais... Ça générerait une grosse alerte rouge sur le navigateur du client, du genre "Attention ! Le certificat est pourri, n'y va pas !".

En moyenne dans les 4.000 visites / jour.
Dans les 100.000 visites / mois, et environ 300.000 pages vues / mois.

http://trac.zentyal.org/wiki/Documentation/Community/HowTo/SelectRight[...]

Partie : Explicit (non transparent) proxy mode
Je cite : "HTTPS is handled by proxy. No need for extra firewall rules. Content filtering doesn't work because of encrypted session between client and server (TLS) but domain filtering works."

Lorsque tu fait une requête vers un site en HTTPS, l'adresse du destinataire ( _ie_ le site) que tu contactes est transmise en clair, seules les données sont cryptés, sinon, il serait impossible de router les paquets vers la destination.

D'ailleurs, tu peux configurer ton proxy pour refuser toutes les connexion HTTPS

@Garf365 : blocage DNS ou IP pour des sites en HTTP.

Mais en HTTPS, ce n'est pas le proxy qui fait la résolution DNS, mais le navigateur client, qui envoie ensuite au proxy une requête du type :
CONNECT 217.23.143.34:443

Après quoi, tout le trafic est chiffré. Le proxy joue alors le rôle de simple relais entre le navigateur et le serveur, et ne peut pas déchiffrer le trafic.

Et j'ai bien précisé dans mon premier message que l'admin réseau pouvait bloquer par DNS ou par IP, mais que c'est une pratique très peu répandue dans les entreprises.

Je n'ai pas downvoter ton premier post, mais j'ai downvoté le deuxième. Pour rappel, les votes sont libres, personnes n'a le devoir de se justifier.

J'ai bien précisé dans mon premier message qu'un blocage par DNS ou IP restait possible, mais que c'était très peu répandu dans les entreprises...

Mon admin réseau doit être très fort alors, parce qu'ici aussi FB est bloqué...

Il reste le café.

Ouvre un wireshark pour observer une communication en HTTPS, il y a suffisamment d'information en clair pour identifier facilement destinataire et émetteur et bloquer les reqûetes

@Sihn : quand j'écris une connerie, j'aime qu'on me le fasse remarquer et qu'on m'explique pourquoi.

Le nombre de downvotes m'a fait penser que c'était le cas, donc j'étais vraiment curieux de savoir ce qu'il en était.

@Garf : encore une fois, j'ai toujours dit qu'il était possible de bloquer facebook par DNS ou IP, donc forcément facebook peut être bloqué pour toi. Essaye d'aller directement sur https://www.facebook.com/ au cas où :)

Et sinon, le seul moyen que je vois serait d'analyser à la volée le certificat, qui contient le domaine du site auquel il appartient, et qui passe en clair (normal, il contient la clé publique qui permet de commencer la négociation de chiffrement). Mais à ma connaissance aucun proxy n'est capable de le faire.

Bon, c'est toujours bien de discuter, on apprend des choses d'un côté comme de l'autre.

@FBM :comme prévu, https://www.facebook.com est bien bloqué par le proxy

Mouais, c'est un peu plus que de la curiosité, j'ai trouvé la formulation limite franchement désagréable. D'ailleurs hop, downvote.

Google peut se faire bloquer. Le truc : un lecteur de flux RSS auto-hébergé.

"En moyenne dans les 4.000 visites / jour." => Visiteurs uniques ?

T'as plusieurs solutions :
-Tu bloques toute la plage IP de Facebook (iptables). A un moment, il faut bien établir une connexion tcp.
-Tu bloques toute tentative de connexion avec un certificat de domaine Facebook (oui le certificat rsa est en clair).
-Tu t'enregistres le proxy en certificat racine sur toutes les machines et tu fais du man in the middle en interdisant les autres. (limite illégale - sauf si tu préviens les employés).
-Tu disposes d'un DNS et tu bloques toute résolution extérieure (c'est le plus faible).

{{Référence nécessaire|très peu répandu dans les entreprises...|date=janvier 2013}}

Nope, visites tout court.
Dans les 2.000 VU / jour.

Il risquerait de se brûler. Tu veux vraiment avoir sa mort sur la conscience ?

+1 :D

@Sihn : Dans le cas de Link c'est plutôt un stagiaire capafé grand chose...
Acorah s'enfuit très très loin

Vous inquiétez pas les gars, on est plus nombreux qu'on ne le croit à ne pas être sur postérieur de chèvre !

...

Quoi, j'ai bien le droit de rêver, non ?

Upvote, rien que par esprit de contradiction <3

Funfact: sur Windows phone, dans l'app quoties, le fait de mettre PEBKAC. dans la citation fait considérer a l'app qu'elle est finie (je n ai donc eu que le début de la citation)

L'admin peut tout simplement bloquer l'accès au domaine facebook.com, que ce soit http ou https le proxy voit bien les entêtes (source et destination) des paquets circuler mais pas le 'contenu'.
Me trompe-je ?

"Facebook est en HTTPS, donc l'admin réseau ne peut le bloquer que par DNS ou par IP"
"les sites en HTTPS sont donc impossibles à bloquer."

Tu te contredit et tu te demande pourquoi on moissoie?

Et le proxy ne voit certainement pas l'adresse IP non plus?

"Mais en HTTPS, ce n'est pas le proxy qui fait la résolution DNS, mais le navigateur client, qui envoie ensuite au proxy une requête du type :
CONNECT 217.23.143.34:443"

C'est moi ou la requête que tu donne en exemple contient ... une adresse IP?
À partir de là, c'est super facile pour le proxy de bloquer la requête en fonction du site.

Pas sûr que ça apporte énormément de clients, entre des vendeurs incompétents, un patron fada, une secrétaire qui éteint l'écran en beuglant qu'elle a éteint l'ordi (je vous laisse deviner ce que pensent les clients à qui elle répond et donne son avis sur leurs pannes...).

Si encore je disais l'inverse...

Note que le boss m'a augmenté pour ne PAS que je cite le nom de la boite (quoi, on peut rêver !)

+1

Pour ta gouverne, on écrit : "me trompé-je ?", même si c'est au présent !
Tu le sauras pour la prochaine fois !

http://www.windowsphone.com/fr-fr/store/app/quoties/dcc31f89-3226-410e[...]

> L'application requiert
>
> identité du téléphone
> identité du propriétaire
> services de données
> WVGA (480 x 800)
> services de localisation
> bibliothèques multimédia
> capteur de mouvement
> HD720P (720 x 1280)
> WXGA (768 x 1280)

O_o

FBM : "comment un proxy peut bloquer la consultation d'un site en HTTPS ?
Le seul moyen serait que le proxy remplace le certificat du site par son propre certificat, afin de pouvoir décoder le trafic. Mais... Ça générerait une grosse alerte rouge sur le navigateur du client"

Yep, c'est exactement ce qui se fait dans ma boîte, avec un truc supplémentaire : l'IT distribue le certificat du proxy (sur l'intranet) en disant aux gens de l'installer sur leur navigateur (et en fait, c'est fait d'office pour IE qui est le navigateur officiel -- oui, je sais... -- donc la plupart des gens ne s'en rendent même pas compte).

Si je comprends bien, ça veut dire que les admins du proxy peuvent lire toutes mes communications en https, merci la confidentialité...