GuiGui's Show

@Oros :

Je vais te le remettre en place. (édit: c'est de retour avec un 1er correctif)

Il ne fallait pas. Je n'en avais pas besoin puisque j'ai installé le mien, de serveur. Mais, c'est cool, ça permet à d'autres personnes de tester ton taff. Merci.

Sur la partie plugin firefox, il reste du dev à faire et je manque de motivations ces dernier jours pour ça :-/
Ça ressemble plus à un POC qu'à une version beta.

Oui bah il faut bien commencer quelque part un jour. C'pas un problème, ça.

De mémoire, lors d'un ajout d'un serveur, il y a un test pour vérifier s'il fonctionne.

Ben, moi j'ai le formulaire qui se vide immédiatement quand je clique sur le bouton « Save » alors qu'aucune requête réseau est émise (wireshark). Y'a pas un contrôle de syntaxe en amont que je n'ai pas vu en parcourant viteuf le code ? Même en mémorisant les infos de ton serveur, en effaçant ton serveur puis en ajoutant un serveur en copiant les infos mémorisées, ça ne fonctionne pas.

Pour la panneau latéral, perso, en l'état, je ne l'aime pas. Mais il sert à afficher facilement les infos du certif et la liste des URL appelés.

Le plus problématique, selon moi, c'est que ce menu s'ouvre quand on active l'extension. C'est déroutant.
De plus, je n'ai pas trouvé comment le ré-ouvrir à la demande une fois que je l'ai fermé. :D
Tu pourrais mettre les infos du panneau dans l'infobulle qui apparaît quand on clique sur l'icône de ton extension dans la barre d'outils.

Mon idée est que si un publicitaire héberge checkcertif il ne pourra pas avoir de statistique fiable sur les visites de sites :-)

Certes, mais la limite de ton concept, c'est quand même de faire confiance à un serveur tiers, donc bon, ça me semble inutile. On fait confiance ou non, mais pas à moitié.
Pourrait-on imaginer une case à cocher pour activer / désactiver ça ? Je ne suis vraiment pas fan (en plus de ne pas être convaincu de l'intérêt) : je n'aime pas les trucs qui font des trucs dans mon dos.

Il y a plusieurs cache.

Cool. :) Ça se voyait un peu (wireshark côté l'extension, utilisation de redis côté serveur).
20 min, c'est court. Tu peux largement augmenter. Il y a peu de chance qu'un MitM se déclenche subitement entre la première vérification et la fin de la journée… Go pour 6 heures de cache, moi je dis.

J'ai réfléchie à comment offusquer les appels mais j'ai fini par laissé ça de côté.

L'obfuscation, tu vas t'y casser les dents, rien qu'à voir le boulot autour de TOR / obfsproxy… Ton contenu est déjà aléatoire (à cause de GnuPG / AES). Reste le contexte (surtout la fréquence des requêtes), et ça, ça me semble impossible à cacher. Reste l'entête HTTP « Host: » (si connexion en HTTP) ou le SNI (si HTTPS). Tu ne peux rien y faire, mais quand Encrypted SNI sera normalisé, la seule fuite sera l'adresse IP de destination… qui sert à rien si le serveur est installé en compagnie d'autres sites web.

- pour les CDN, je prévoyais d'essayer de les détecter et du coup de lever une alerte.

Ça risque d'être compliqué.
Soit repérer les noms de domaine qui contiennent le mot « cdn » ou assimilé (trou dans la raquette).
Soit mémoriser les plages IP des principaux CDN (trou dans la raquette / difficulté pour tenir la liste à jour).
Soit demander au serveur de transmettre à l'extension le hash du certif' et le hash de l'adresse IP qu'il a vu de son côté.
Soit, encore mieux, transmettre au serveur le domaine et l'adresse IP, et, depuis le serveur, ne pas effectuer de résolution du nom de domaine, mais aller taper directement sur l'adresse IP communiquée par l'extension (avec SNI, ça fonctionnera). On peut faire ça avec openssl s_client, par exemple. Reste à voir si la bibliothèque de fonctions que tu utilises le permet.

- ajouter un install un docker-compose (qui reste optionnel)

Y'a intérêt que ça reste optionnel. Dans le cas contraire, je te dirais : va bien manger tes morts. :P