Firefox 32

Posté par (page perso) . Édité par Davy Defaud, Jiehong, Benoît Sibaud, BAud, woprandi, ZeroHeure et palm123. Modéré par patrick_g. Licence CC by-sa
Tags :
52
4
sept.
2014
Mozilla

Firefox 32 vient de sortir, et voici un petit résumé des changements qui valent la peine d’être notés. Vous trouverez donc en seconde partie, des informations sur un début d’amélioration de la mémoire, un nouveau cache HTTP plus efficace, un menu contextuel simplifié, et des trucs pour développeurs : HTML 5, Scratchpad, éditeur audio web, etc.

Changements communs

Ramasse‐miettes générationnel

L’idée d’un ramasse‐miettes générationnel est de limiter la fragmentation, et de gérer la mémoire différemment. C’est la première étape de ce nouveau ramasse‐miettes.

Aujourd’hui, la consommation mémoire n’a pas changé, mais les performances ont légèrement augmenté.

L’étape suivante sera de comprimer les ensembles mémoire pour qu’ils prennent moins de place, et ainsi réduire l’empreinte mémoire de Firefox.

Une autre priorité est l’amélioration de la gestion des pages contenant des images lourdes qui pourrait prendre moins de place. Ce travail est en cours, et devrait voir le jour plus tard.

Nouveau cache HTTP

Après plus d’un an de développement, le nouveau cache HTTP est maintenant activé par défaut.

Les données pour l’ancien cache sont supprimées de manière transparente pour ne pas gâcher d’espace et, globalement, les performances sont améliorées.

Par exemple, Firefox utilise maintenant une heuristique appelée frecency qui modélise la probabilité de revisiter une page en fonction des visites précédentes couplée à une demi‐vie d’un mois. Cette loi de demi‐vie est exponentielle, un peu comme en physique.

Le menu contextuel change

Le menu contextuel change un peu pour devenir plus simple, et les actions importantes sont plus visibles :

Nouveau menu contextuel

Du côté des développeurs

HTML 5

Voici les nouveaux paramètres activés par défaut :

Version de bureau

Affichage du nombre d’éléments trouvés dans la barre de recherche

Le résultat en image : Nombre de résultat dans la barre de recherche

Du côté des développeurs

Outils

Les outils pour développeurs gèrent maintenant mieux les écrans à haute densité de pixels.

Un nouvel éditeur audio web fait son apparition (pouf !).

Enfin, la nouvelle Ardoise (Scrachpad en anglais), pour expérimenter avec du code JavaScript, s’est agrémentée de la complétion automatique de code et de la documentation à la volée.

Version mobile

Le passé

La prise en charge d’Android 2.2 et des processeurs ARMv6 n’est plus assurée pour les nouvelles versions de Firefox. La version 31 va être maintenue pour ces utilisateurs jusqu’en janvier prochain.

GamePad API

L’API permettant de gérer les manettes de jeux est terminée et activée par défaut.

  • # Pourquoi je vois les captures, sous Firefox, justement ?

    Posté par (page perso) . Évalué à 3.

    Je viens de me rendre d'un truc, justement, en comprenant que tu proposais des captures : je les vois pas, tout simplement, avec Firefox ni Chrome, quand je suis en https.
    Si je me déconnecte du site et que je passe en http, alors je les vois.
    C'est normal ?
    Sinon, Firefox 32 est vraiment chouette, mais une des mes extensions préférées, Send To Kindle, ne marche plus avec lui, c'est bien dommage.

    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

      Posté par (page perso) . Évalué à 10. Dernière modification le 04/09/14 à 16:19.

      Clique sur ça :
      https://img.linuxfr.org/img/687474703a2f2f6935392e74696e797069632e636f6d2f323633673231342e6a7067/263g214.jpg
      Accepte le certificat sur confiance (parait que c'est secure cette façon de faire, du moins c'est la seule que l'équipe LinuxFr te laisse) en te disant que tu es sur un réseau de confiance.
      Et ça ira ensuite bien mieux.

      En fait tu as accepté de croire linuxfr.org, mais pas img.linuxfr.org (moins facile à comprendre que tu dois le faire).
      Dit merci à l'équipe LinuxFr de choisir un certifcat SSL avec une racine à laquelle quasi personne ne fait confiance (CACert en l'occurence) (c'est volontaire de leur part), et à Mozilla/Google/etc de ne pas prévenir dans le cas où le SSL pas sûr est sur des images dans la page.

      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

        Posté par (page perso) . Évalué à 2.

        Yes, merci ! J'avais bien accepté le certif' pour linuxfr.org, mais pas img.linuxfr.org, en effet. Quel idée, aussi de ne pas mettre les images dans un dossier linuxfr.org/img, comme tout le monde !
        Sinon, pour Cacert, je ne sais pas… C'est une bonne idée de créer une autorité de certification libre et non-commerciale, non ? Mozilla et les autres semblent considérer que seules les commerciales sont sérieuses dans leurs garanties de sécurité, c'est quand même sujet à discussions…
        En tout cas, merci !

        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par (page perso) . Évalué à 7. Dernière modification le 04/09/14 à 16:50.

          C'est une bonne idée de créer une autorité de certification libre et non-commerciale, non

          C'est une trés bonne idée de créer une autorité crédible de certification libre et non-commerciale, oui.
          Mais c'est pire que de ne rien faire que de créer une autorité non crédible (elle n'ose même pas sse faire auditer par Mozilla) de certification libre et non-commerciale : d'une c'est un faux sentiment de sécurité, et de deux on t'incite à accepter tout et n'importe quoi comme certificat donc à l'opposé de la sécurité.

          Mozilla et les autres semblent considérer que seules les commerciales sont sérieuses dans leurs garanties de sécurité

          Dans le cas de CACert, c'est CACert qui ne veut pas se risquer à passer l'audit de Mozilla (voir les discussions sur le sujet), rien à voir avec commercial contre pas commercial, juste sécurité contre non sécurité.

          J'aimerai beaucoup avoir autorité crédible de certification "libre". Par crédible, c'est au minimum être accepté (validé) par les navigateurs libres et les distros libres (CACert en est loin), je ne demande pas à ce qu'ils payent leur dîme à Microsoft ou Apple, juste déjà être accepté par le "libre". Le "libre" ne fait pour le moment pas confiance à cette association, pourquoi moi devrais-je croire qu'ils sont sérieux?

          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

            Posté par . Évalué à 10.

            d'une c'est un faux sentiment de sécurité

            Parce que les autres autorités sont un vrai sentiment de sécurité ?

            J'aimerai beaucoup avoir autorité crédible de certification "libre".

            Communautaire, pas libre.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

            Posté par (page perso) . Évalué à 3.

            Dans le cas de CACert, c'est CACert qui ne veut pas se risquer à passer l'audit de Mozilla

            Sauf erreur de ma part, après avoir lu le wiki on dirait plutôt qu'ils font un audit interne pour pouvoir passer les critères de Mozilla.

            Mais merci pour ce merveilleux troll.

            http://wiki.cacert.org/InclusionStatus
            http://wiki.cacert.org/Audit

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par . Évalué à 10.

              Oui, c'était crédible, le problème c'est que cela ne l'est plus. Cette histoire dure depuis 2004, et les choses ne bougent pas. Pour un acteur de la sécurité qui se veut important, ne pas avoir avancé en dix ans, c'est au mieux inquiétant.

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par (page perso) . Évalué à 10. Dernière modification le 05/09/14 à 07:40.

              1/ Si ils s'arrêtent pour faire un audit interne, c'est qu'il y a un problème : pas besoin d'audit interne si on est sûr d'avoir bien fait le travail avant (qu'on avait un audit permanent de sa sécurité).
              2/ Cette histoire d'audit interne a commencé il y a des années (2004? donc 10 ans). Il te faudra combien d'années avant de comprendre que c'est du vent? La durée d'un audit ne se compte pas en années, sauf chez les gens qui essayent de défendre comme ils peuvent ce qu'ils aiment en faisant l'autruche. Cette histoire d'audit qui n'en finit pas fait perdre encore plus de crédibilité au sérieux de cette entité.
              3/ Troll? Désolé de me baser sur les faits (que quasi personne ne fait confiance, même dans le libre, à CACert, est un fait. Même Debian, à fond communautaire, a lâché l'affaire, donc plus aucune distro majeure ne l'inclut). J'attends que tu me démontres que ce que j'ai écrit est faux (base d'un troll non?).

              Encore une fois, j'aurai bien aimé une autorité communautaire de certification, mais force est de constater que ça n'existe pas (une autorité non crédible ne compte pas), et à part me traiter de troll, tu ne dis rien pour donner confiance (si pour toi lire 1 page d'un site web donne confiance, je n'aurais pas confiance en toi pour s'occuper de ma sécurité).

              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                Posté par (page perso) . Évalué à 0.

                Si ils s'arrêtent pour faire un audit interne, c'est qu'il y a un problème : pas besoin d'audit interne si on est sûr d'avoir bien fait le travail avant (qu'on avait un audit permanent de sa sécurité)

                C'est bien joli en théorie mais combien de projets, libres ou non, ont un audit de sécurité permanent ?

                Certainement pas openSSL, et pourtant il est bien massivement utilisé :)

                plus aucune distro majeure ne l'inclut

                C'est pas que personne ne fait confiance, c'est que (presque) tout le monde se base sur Mozilla parce qu'ils ne se sentent pas en mesure de juger. Ne pas se poser la question est différent de ne pas faire confiance.

                Cette histoire d'audit interne a commencé il y a des années (2004? donc 10 ans). Il te faudra combien d'années avant de comprendre que c'est du vent?

                Ne sachant pas ce que ça représente comme travail, ni le fonctionnement du processus, ni les résultats précédents, je me garderai bien de porter un jugement.

                J'attends que tu me démontres que ce que j'ai écrit est faux (base d'un troll non?).

                Quand tu dis « elle n'ose même pas se faire auditer par Mozilla », c'est faux. Sauf si j'ai mal compris, Mozilla ne fait pas d'audit, c'est à l'autorité qui demande son inclusion d'apporter la preuve qu'elle respecte la policy Mozilla. L'audit est en cours (certes depuis longtemps) et a apparement subit de nombreux rebondissements, je n'en connais pas les raisons. Je n'ai pas lu non plus les résultats intermédiaires ni si l'audit a fait changé des comportements ou autre.

                Bref, c'est beaucoup plus compliqué que ce que tu laisses entendre (une entité communautaire non-crédible face aux entités commerciales crédibles).

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par (page perso) . Évalué à 2. Dernière modification le 05/09/14 à 10:53.

                  C'est pas que personne ne fait confiance, c'est que (presque) tout le monde se base sur Mozilla parce qu'ils ne se sentent pas en mesure de juger. Ne pas se poser la question est différent de ne pas faire confiance.

                  Ca veut rien dire comme phrase.
                  La conclusion reste que personne ne fait confiance (que ce soit par le biais de Mozilla ou pas).
                  Les gens (moi compris, car oui je n'ai pas les compétences pour regarder mais on s'en fou de mes coméptences, je fais confiance à Mozilla pour leurs compétences en la matière) font confiance à Mozilla pour ne pas avoir confiance quand Mozilla n'a pas confiance.

                  Bref, c'est beaucoup plus compliqué que ce que tu laisses entendre (une entité communautaire non-crédible face aux entités commerciales crédibles).

                  C'est beaucoup plus simple que tu le laisses entendre : quasi-personne n'a confiance en cette entité, qui n'est même pas capable de dire qu'elle se conforme au minimum demandé par Mozila, c'est tout. Tu parles d'OpenSLL, justement il y a plus de confiance dans OpenSSL que dans CACert (Debian continue d'inclure OpenSSL, mais n'inclut plus CACert), c'est dire le niveau de confiance, que tu te le caches à toi-même ne changera pas le niveau de confiance de la "communauté" envers CACert.

                  Sinon, je n'ai jamais parlé de commercial contre non commercial, j'ai parlé de crédible contre non crédible.
                  Lees entités commerciales que tu n'as pas l'air d'aimer sont peut-être pas top, mais force est de ocnstater que quasi tout le monde fait encore moins confiance à CACert pour la sécurité.
                  La confiance dans CACErt est moindre que dans les autres organismes de SSL, moindre que dans OpenSSL, mais tu penses que ça vaut quelque chose, sérieusement? Je me répète peut-être, mais à la vue de ce que tu dis, je n'aurai vraiment aucune confiance dans ta gestion de la sécurité.

                  L'audit est en cours (certes depuis longtemps)

                  Oui, et la marmotte… Dans 100 ans, l'audit sera toujours en cours et tu demanderas d'attendre encore? Cet annonce d'audit ne vaut plus rien. Il n'y a pas/plus d'audit.


                  LinuxFr préfère faire passer le principe communautaire avant la sécurité, même quand Debian les lâche sur le sujet, OK, mais pas la peine d'essayer de faire croire qu'il y a une quelconque recherche de meilleure sécurité, ce n'est pas la priorité des admins du site (c'est leur choix après ce que j'écris est public donc on parle de principe, car il n'y a rien d'important sur ces serveurs).

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par (page perso) . Évalué à 1.

                    La confiance dans CACErt est moindre que dans les autres organismes de SSL, moindre que dans OpenSSL, mais tu penses que ça vaut quelque chose, sérieusement?

                    Non, je dis que je n'ai pas confiance dans le mécanisme actuel d'audit des autorités de certification.

                    Je dis aussi qu'il faut savoir faire la part des choses, on est sur LinuxFR, par sur le site d'une banque.

                    Je dis aussi qu'il ne faut pas dénigrer totalement une organisation dont le but est louable, même si les moyens ne sont pas à la hauteur de leur charge de travail.

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par (page perso) . Évalué à 4.

                      dont le but est louable

                      Et c'est la où est sans doute notre desacccord : pour moi, avoir un but louable ne justifie dee faire empirer le problème en pratique.

                      même si les moyens ne sont pas à la hauteur de leur charge de travail.

                      Il vaut mieux parfois ne rien faire que de travailler à moitié.
                      Je veux bien croire qu'au début il y avait un espoir, mais à un moment il faut savoir faire le deuil et enterrer la chose plutôt uqe de laisser croire que ça peut marcher (promis, demain ça ira).

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par . Évalué à 3.

                      Non, je dis que je n'ai pas confiance dans le mécanisme actuel d'audit des autorités de certification.

                      Donc j'imagine que tu peux nous decrir le mecanisme et les parties qui ne t'inspirent pas confiance?

                      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                        Posté par (page perso) . Évalué à 10.

                        Tu peux voir un message récent de la personne qui a fait l'audit de CACert pendant très longtemps ici : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#239

                        Il dit tout un tas de choses très intéressantes.

                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                          Posté par (page perso) . Évalué à 10. Dernière modification le 06/09/14 à 13:40.

                          Vraiment super intéressant, merci pour le lien.

                          Résumé pour ceux qui ont choisi de TL&DR : Le processus d'audit des CAs ne sert à rien. Il ne vise en fait qu'à protéger les CAs de toute responsabilité en cas de problème. CACert est le seul CA qui se préoccupe réellement des users et c'est pourquoi il se fiche un peu de la procédure d'audit.
                          Alors pourquoi Debian a retiré CACert ? Parce qu'une distro n'a pas les moyens de vérifier et donc ils ont suivi Mozilla. Et pourquoi Mozilla a retiré CACert ? Pareil, c'est parce que la Mofo n'a pas les moyens de vérifier et donc se base sur les audits formels, même si la procédure est viciée.

                          A la suite de cette analyse de la part de quelqu'un qui connaît de première main tout ce processus, je suppose que Zenitram va complètement changer d'avis au sujet de CACert…non ?

                          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                            Posté par . Évalué à -3.

                            Cool, argument du genre tous les autres sont des crétins sauf moi ;) Grâce à lui le monde va enfin pouvoir avancer.

                          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                            Posté par . Évalué à 6.

                            CACert est le seul CA qui se préoccupe réellement des users et c'est pourquoi il se fiche un peu de la procédure d'audit.

                            De quels users on parle, là? Parce que si c'est les utilisateurs de navigateurs et autres logiciels clients, ça serait totalement s'en "préoccuper réellement" que de ne pas négliger l'adoption de la CA dans des outils grand public. Non?

                            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                              Posté par . Évalué à 1.

                              Je pense que ça se discute. En utilisant CACert tel quel aujourd'hui :

                              1. le fait qu'il ne fasse pas parti des truststores amène des débats sur le fonctionnement de SSL, des CA, etc (comme le montre les commentaires ici)
                              2. le fait qu'ils prennent soin des vérifications donne potentiellement plus confiance aux certificats CACert qu'aux autres (mais ça c'est une question de point de vu)

                              Bien sûr pour le point 1 c'est quelque chose qui marche bien ici, mais qui n'est pas applicable partout. Les utilisateurs d'une banque, d'un service publique en ligne ou d'un site d'e-commerce n'ont pas envie de débattre de la manière dont c'est sécurisés, ils veulent que ça marche sans avoir à se poser la moindre question.

                              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                Posté par . Évalué à 6.

                                Les utilisateurs d'une banque, d'un service publique en ligne ou d'un site d'e-commerce n'ont pas envie de débattre de la manière dont c'est sécurisés, ils veulent que ça marche sans avoir à se poser la moindre question.

                                Même les utilisateurs de LinuxFR. C'est du web, ça m'arrive de l'utiliser de plein d'ordinateurs différents, et ça me fait profondément ch*er de devoir me refarcir les messages d'erreur à chaque fois.

                                J'ai joué avec CAcert fut un temps, j'aime beaucoup l'objectif. Mais je rejoins Zenitram : aujourd'hui, c'est un échec. Si j'ai besoin d'un certificat SSL pour un serveur, et que pour une raison ou une autre je ne peux/veux pas de StartSSL et consorts, j'ai davantage intérêt à m'autosigner qu'à utiliser CAcert :

                                • plus simple à mettre en place
                                • je suis maître de ma sécurité (au lieu de la confier à une structure qui fait surement les choses mieux que Verisign & co, mais qui reste un tiers de confiance)
                                • à moins que mon public ne soit l'amicale des utilisateurs de CAcert, les navigateurs qui reconnaîtront d'office CAcert et pas mon autosigné sont quantité négligeable.

                                En tant que CA, Cacert fait très bien son boulot, et j'aime beaucoup l'idée. En pratique, elle est inutilisable pour autre chose que des usages extrêmement spécifique, à tel point que même sur site potentiellement acquis à la cause comme DLFP, ça coince.

                                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                  Posté par . Évalué à 2.

                                  j'ai davantage intérêt à m'autosigner

                                  La gestion des autosignés par les navigateurs n'est pas génial je trouve, je pense (mais ce n'est qu'une hypothèse qu'il y a plus de monde qui ajouent CACert que de gens qui utilisent certpatrol - qui est nettement plus contraignant au quotidient).

                                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                    Posté par . Évalué à 2.

                                    La gestion des autosignés par les navigateurs n'est pas génial je trouve

                                    C'est clair, aucune objection là-dessus. Plus ça va, plus j'ai l'impression que la gestion des certificats non-reconnus a été dictée aux navigateurs par un lobby de vendeurs de certificats.

                                    il y a plus de monde qui ajouent CACert que de gens qui utilisent certpatrol

                                    Moui, ça se discuterait. Ce qui est clair, c'est que même la somme des deux est négligeable dans pratiquement tous les cas d'utilisation "réels" du web, et en particulier ceux où tu ne connais pas d'avance tes visiteurs.

                                    En l’occurrence, un certificat "CACert" chez 99% des internautes du globe, c'est exactement la même page d'erreur qu'un certificat autosigné.

                                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                      Posté par . Évalué à 4.

                                      C'est clair, aucune objection là-dessus. Plus ça va, plus j'ai l'impression que la gestion des certificats non-reconnus a été dictée aux navigateurs par un lobby de vendeurs de certificats.

                                      C'est moche de lire ça :-/
                                      Comment veux-tu que ça puisse être fait autrement sachant que la propriété de confiance que l'on peut avoir d'un certificat vient (en très grande partie(*)) du fait que la racine dont est issue la hiérarchie qui a signé ledit certificat est connue du brouteur ?

                                      Donc un certificat autosigné, c'est quoi ? Un truc légitime ou une tentative pas très subtile de MitM ? Comment décider ? Que dire à l'utilisateur ? "Attention, ton certificat il est chelou, on pourrait t'écouter. Normalement, ça ne devrait pas se produire et les sites devraient être reconnus correctement(**). Si d'habitude c'est pas comme ça, y a probablement un truc pas net. Si vous voulez vraiment, vous pouvez bypasser".
                                      Ca tombe bien, c'est ce que dit firefox.
                                      Non, sérieusement, je ne vois pas ce qu'un éditeur de brouteur pourrait dire d'autre (surtout vu le niveau moyen des gens quand ça parle de sécurité sur internet).

                                      (*) en positif. En négatif, il y a la présence dans une CRL ou une réponse OCSP négative.
                                      (**) i.e. via une CA reconnue du brouteur

                                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                        Posté par (page perso) . Évalué à 2.

                                        Attention, ton certificat il est chelou, on pourrait t'écouter. Normalement, ça ne devrait pas se produire et les sites devraient être reconnus correctement(*). Si d'habitude c'est pas comme ça, *y a probablement un truc pas net.

                                        Non. Un truc « chelou » ou « pas net », c’est un certificat invalide — expiré, révoqué, dont le sujet ne correspond pas au nom du serveur, ou dont la signature est incorrecte. C’est un certificat au sujet duquel on peut dire « je sais qu’il n’est pas correct.¹ »

                                        Un certificat autosigné, c’est un certificat dont on ne peut que dire « je ne sais pas », ce qui est très différent. Et mettre un tel certificat « untrusted » au même niveau qu’un certificat invalide n’est pas justifié (dans un cas on a la certitude qu’il y a un problème, dans l’autre on n’en a aucune).

                                        Non, sérieusement, je ne vois pas ce qu'un éditeur de brouteur pourrait dire d'autre

                                        La vérité. « Je ne peux pas confirmer que ce site est bien ce qu’il prétend. » La dernière fois que j’ai vérifié, c’était peu ou prou ce que disait Firefox. Sans chercher à faire peur à l’utilisateur avec un gros message d’erreur sur fond rouge comme le font ou l’ont fait certains navigateurs, et sans sous-entendre qu’il y a forcément quelque chose de « chelou ».

                                        Et pour être encore plus honnête, le navigateur devrait aussi prévenir, en allant sur un site dont le certificat est signé par une autorité reconnue, que cela n’apporte pas pour autant la garantie qu’il est bien sur le bon site ou qu’il n’y a pas un homme du milieu sur le chemin…

                                        ¹ Ce qui ne veut pas forcément dire qu’il y a un acte malicieux derrière. Il peut aussi s’agir d’une erreur ou de laxisme de part de l’administrateur légitime du serveur (qui laisse passer la date d’expiration du certificat par exemple).

                                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                          Posté par (page perso) . Évalué à 3.

                                          Franchement un certificat invalide est moins louche qu'un certificat auto-signé.

                                          Parce quelqu'un de malicieux, quitte à faire un faux certificat, il ne s'amuse pas à faire un certificat invalide…

                                          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                            Posté par . Évalué à 5.

                                            Surtout un certif expire.
                                            Le 8 septembre, t'es tartempion.com, garanti jure sur la tete de ma mere, vas y fonce.
                                            Le 9 septembre, oooolala, mais t'es qui toi?

                                            Entre ca et "nan mais, j'te jure, c'est moi tartempion.com, bon j'ai pas mes papiers, juste ma carte de bibliotheque, mais croit moi, c'est bien moi", j'ai vite fait mon choix.

                                            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                              Posté par (page perso) . Évalué à 0.

                                              Entre ca et "nan mais, j'te jure, c'est moi tartempion.com, bon j'ai pas mes papiers, juste ma carte de bibliotheque, mais croit moi, c'est bien moi

                                              Alors qu’en face, on a « c’est moi tartempion.com, regarde mes papiers, bon ils sont signés par quelqu’un dont tu n’as jamais entendu parler, mais crois-moi — crois-les — c’est bien moi. »


                                              Comme il suffit qu’une seule AC du magasin (quelle qu’elle soit) reconnaisse un certificat pour qu’il soit jugé trusted, il suffit d’une seule AC non digne de confiance pour faire s’écrouler toute la confiance qu’on peut avoir en un certificat « reconnu ».

                                              Il faut un bel optimisme béat pour faire encore confiance à un système pareil. (Et au passage, un optimisme tout aussi béat pour croire que CAcert change quoi que ce soit au jeu.)

                                              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                Posté par . Évalué à 2.

                                                il suffit d’une seule AC non digne de confiance pour faire s’écrouler toute la confiance qu’on peut avoir en un certificat « reconnu ».

                                                Oui. D'où l'intérêt d'auditer sur un point de vue opérationnel et techniques les CA pour s'assurer qu'elles ne font pas n'importe quoi et que si elles le font, on a des traces. Non, la démarche est globalement cohérente et c'est le modèle que j'ai expliqué deux trois posts plus haut qui veut ça. En face, pour moi les réseaux de confiance sont super compliqués à faire monter à l'échelle et le certificate pinning à la chrome montrera très rapidement ses limites.

                                                J'imagine bien dans quelques années les empreintes des certificats valides pour un site directement dans le DNS avec un machin comme DNSSEC pour assurer l'authentification, mais c'est un peu désespérant.

                                                N'en reste pas moins que les certificats autosignés, c'est tout pourri (sauf bien sûr à connaître toutes les empreintes à l'avance).

                                                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                  Posté par (page perso) . Évalué à 4.

                                                  J'imagine bien dans quelques années les empreintes des certificats valides pour un site directement dans le DNS avec un machin comme DNSSEC pour assurer l'authentification

                                                  Comme DANE ?

                                                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                  Posté par (page perso) . Évalué à 0.

                                                  Oui. D'où l'intérêt d'auditer sur un point de vue opérationnel et techniques les CA pour s'assurer qu'elles ne font pas n'importe quoi

                                                  Toutes les CA qui ont fait parler d’elles ces dernières années avaient été auditées, ça ne les a pas empêché de se révéler non-fiable.

                                                  « Comment je sais si je peux avoir confiance en ce site ?
                                                  – On a des Autorités de Certification pour ça.
                                                  – Comment je sais si je peux avoir confiance en (toutes) les Autorités de Certification ?
                                                  – On a des Auditeurs pour ça.
                                                  – Comment… »

                                                  J’arrête avant d’entrer dans une boucle infinie.

                                                  Quand bien même les CA et leurs auditeurs seraient fiable (ce n’est pas le cas), ça n’apporte aucune sécurité face au risque d’une CA bidon introduite dans le magasin par un tiers tel que l’employeur. Et avant qu’on me dise que les CA ne sont pas responsables de ce genre de choses, mon point est que c’est le principe même d’avoir un magasin de CA auxquelles il est fait une confiance absolue qui rend ça possible.

                                                  Non, la démarche est globalement cohérente

                                                  Pour fournir une illusion de sécurité, peut-être, mais pas plus.

                                                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                    Posté par (page perso) . Évalué à 2.

                                                    Toutes les CA qui ont fait parler d’elles ces dernières années avaient été auditées, ça ne les a pas empêché de se révéler non-fiable.

                                                    Il y a des couacs, certes, mais dire "non-fiable" est à mourir de rire, surtout quand on parle de CACert qui ne peut même pas faire ça, et qui ne parle pas non plus de changer le système, juste y participer.

                                                    Et avant qu’on me dise que les CA ne sont pas responsables de ce genre de choses, mon point est que c’est le principe même d’avoir un magasin de CA auxquelles il est fait une confiance absolue qui rend ça possible.

                                                    A partir du moment où ils ont le controle de ta machine, rien ne peut aider. Hop, on accuse le système CA quand on parle d'un problème général, trop facile.


                                                    Mais sinon, pas de problème, propose ta solution, dieu des bonnes solutions qu'on peut déployer au niveau mondial.
                                                    Qu'on rigole.
                                                    La critique est facile, proposer plus dur.

                                                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                      Posté par (page perso) . Évalué à -1.

                                                      Il y a des couacs, certes, mais dire "non-fiable" est à mourir de rire, surtout quand on parle de CACert qui ne peut même pas faire ça, et qui ne parle pas non plus de changer le système, juste y participer.

                                                      Selon ce lien déjà posté ci-dessus, ton affirmation est fausse. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#239

                                                      Mais sinon, pas de problème, propose ta solution, dieu des bonnes solutions qu'on peut déployer au niveau mondial.

                                                      DANE.

                                                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                        Posté par (page perso) . Évalué à 3.

                                                        ton affirmation est fausse.

                                                        Pour le moment, le seul projet visible rend mon affirmation vraie.
                                                        Après, des fantasmes sur le futur, tout le modne peut en faire au bar du coin.

                                                        DANE.

                                                        Merci pour la démo : le truc qui ne part pas rapidement (vraiment pas), car techniquement lourd (faut DNSSEC, par exemple).

                                                        Ca y vient, et pas grace à CACert, pas grace aux gens qui proposent 36 solutions avec des noms sortis au pif (PGP etc…), mais à une longue réflexion, et la création de protocole dont on sait que ça met du temps, et sans se dire que ça va résoudre tous les problèmes du monde d'un coup, dont on ne sait pas si ça va marcher (on tente), et on y va doucement sans balancer que les CA actuelles sont "non fiable" de manière bourine.

                                                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                          Posté par (page perso) . Évalué à 0.

                                                          surtout quand on parle de CACert qui ne peut même pas faire ça, et qui ne parle pas non plus de changer le système, juste y participer.

                                                          Je croyais avoir été clair sur le fait que je ne considérais aucunement CAcert comme une solution.

                                                          Allez, je tente une dernière fois : ce ne sont pas les CA le problème, c’est le fait de faire une confiance absolue à une poignée de CA et de regarder tout le reste comme forcément suspicieux.

                                                          Mais sinon, pas de problème, propose ta solution

                                                          C’est ce que j’ai fait dès le début de mon intervention… j’ai proposé que linuxfr.org promeuve des alternatives aux CA (notamment DANE) au lieu de promouvoir une CA alternative.

                                                          Sans aucun espoir que cela fasse décoller DANE du jour au lendemain bien sûr, mais pour moi c’est un pas dans une meilleure direction que CAcert.

                                                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                          Posté par . Évalué à 2.

                                                          car techniquement lourd (faut DNSSEC, par exemple).

                                                          En même temps, y a pas vraiment le choix, sauf à re-réinventer la poudre, pour faire un truc qui sera aussi lourd, mais différent.

                                                          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                            Posté par (page perso) . Évalué à 3.

                                                            J'aimerais bien voir une comparaison entre DNSSEC/DANE et Certificate Transparency.
                                                            Apparemment Google a choisi de bosser sur la seconde solution.

                                                            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                              Posté par (page perso) . Évalué à 4.

                                                              Il y a une comparaison proposée par les auteurs de Certificate Transparency eux-mêmes. À prendre pour ce que ça vaut.

                                                              Personnellement, je note que contrairement à ce qu’ils prétendent, la cohabitation de DANE et de Certificate Transparency n’est pas sans problème.

                                                              Some consider DANE to be an alternative to CT, which we disagree with and document here. But DANE could also be used with CT, which seems much more reasonable.

                                                              Seuls les profils PKIX-TA et PKIX-EE de DANE (où le certificat validé par DANE doit en plus être validé par le système PKIX) sont utilisables conjointement avec Certificate Transparency. Les profils DANE-TA et DANE-EE (où DANE remplace complètement le système PKIX, et permet notamment l’utilisation de certificats auto-signés ou signés par une AC inconnue des navigateurs) ne sont pas admis.

                                                              En effet, avec CT un certificat DOIT avoir un « SCT » (sorte de jeton, émis par un « log » CT, qui prouve que le certificat a bien été ajouté au log) pour que le client l’accepte. Or un log ne doit accepter un nouveau certificat (et donc lui donner le SCT qui lui permettra de montrer patte blanche) que si celui-ci est émis par une AC de confiance. La recommandation ne dit pas comment chaque log choisit les « AC de confiance », mais en pratique (les auteurs du RFC le suggèrent), ce seraient les mêmes que celles reconnues par les navigateurs.

                                                              Exit donc les CA peu connues et les certificats auto-signés, même s’ils sont publiés dans le DNS, et un des principaux intérêts de DANE vole en éclat…

                                                              Les auteurs justifient ça par le besoin de limiter le risque de spam : « This effectively excludes self-signed and DANE-based certificates until some mechanism to control spam for those certificates is found. » Je ne suis de comprendre de quoi ils parlent (je suppose qu’ils craignent que les logs ne soient surchargés de requêtes si tous ceux qui ont un certificat auto-signé et/ou publié dans le DNS veulent l’ajouter aux logs), mais ça me paraît fallacieux.

                                                              Une façon de résoudre ça serait de considérer que Certificate Transparency fait en réalité partie du système PKIX (ce qui est à mon sens complètement vrai si les logs n’acceptent rien d’autres que des certificats venant des AC de confiance publiquement reconnues). Dans ce cas, en présence d’un enregistrement TLSA avec un profil d’utilisation réglé sur DANE-TA ou DANE-EE, le navigateur devrait être autorisé à accepter le certificat même en absence de jeton SCT (puisque ces profils servent précisément à bypasser le système PKIX).


                                                              Je note par ailleurs un tout petit peu de mauvaise foi dans l’élément « Unmodified Servers » de leur comparaison. D’après eux, un avantage de Certificate Transparency sur DANE est que le premier ne nécessite pas de modifications côté serveur. Sauf que :

                                                              – CT peut s’utiliser sans modification côté serveur, seulement dans un mode d’opération, celui où le SCT est directement intégré au certificat ; s’il ne l’est pas, le serveur doit être capable de transmettre lui-même le SCT au client. Le premier mode semble être le favori des auteurs, mais il requière la coopération des CA (qui doivent envoyer le certificat au log avant de le signer).

                                                              – Dire que DANE requière des modifications côté serveur parce qu’il faut « servir des enregistrements DNS », c’est du foutage de gueule. N’importe quel site a déjà besoin pour être joignable qu’un serveur DNS serve des enregistrements pour lui…

                                                              Les serveurs DNS doivent supporter DNSSEC. Oui, et ça tombe bien la plupart des serveurs DNS le supportent.

                                                              Les enregistrements TLSA doivent être modifiés chaque fois qu’un certificat est changé. Oui, et chaque nouveau certificat doit être ajouté à un log Certificate Transparency.

                                                              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                                Posté par (page perso) . Évalué à 2.

                                                                Merci pour vos deux commentaires très intéressants !

                                                              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                                Posté par (page perso) . Évalué à 3.

                                                                (je suppose qu’ils craignent que les logs ne soient surchargés de requêtes si tous ceux qui ont un certificat auto-signé et/ou publié dans le DNS veulent l’ajouter aux logs)

                                                                Ce n'est plutôt le problème d'un nom de domaine signé par deux CA, comment tu départage ?

                                                                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                                                                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                                  Posté par (page perso) . Évalué à 2.

                                                                  Ce n'est plutôt le problème d'un nom de domaine signé par deux CA, comment tu départage ?

                                                                  C’est un problème, oui, mais je ne vois pas ce que ça a à voir avec l’enregistrement de certificats auto-signés et/ou publiés dans le DNS…

                                                                  Et dans le cas que tu cites, Certificate Transparency ne départage pas : si deux CA reconnues soumettent un certificat pour un même nom de domaine, les deux certificats seront enregistrés et auront leur SCT. C’est au propriétaire du nom de domaine qu’il appartient de surveiller les logs publics : s’il voit passer un certificat pour son domaine, autre que celui qu’il a lui-même demandé auprès de son AC, c’est que quelqu’un joue au con.

                                                                  En pratique, je suppose que la surveillance des logs sera proposée directement par les AC en tant que service supplémentaire (« on vous fournit un certificat qui sera accepté automatiquement par les navigateurs — ça c’est ce qu’on faisait déjà —, et en plus maintenant on surveillera que personne n’obtient un certificat pour votre domaine, et on vous préviendra si ça arrive »).

                                                                  Certificate Transparency ne change rien au fait qu’une AC indélicate peut émettre un certificat valide et accepté pour un domaine déjà certifié par une autre AC, mais cela permet à tout le monde (et notamment le propriétaire légitime du domaine) de s’en apercevoir.

                                                                  Ce qu’il advient une fois que tout le monde s’en est aperçu, en revanche, n’est plus de ressort de Certificate Transparency et est complètement non spécifié. En théorie, l’AC indélicate devrait immédiatement perdre son statut d’AC « de confiance » et être donc retirée du magasin des navigateurs, mais c’est une décision qui est à la discrétion des éditeurs de navigateurs (je soupçonne pour ma part qu’il faudra fournir aux éditeurs beaucoup d’exemples de certificats illégitimes — avec à l’appui les preuves fournies par les logs CT — avant qu’ils ne considèrent le retrait d’une AC).

                                                                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                                    Posté par (page perso) . Évalué à 3.

                                                                    si deux CA reconnues soumettent un certificat pour un même nom de domaine, les deux certificats seront enregistrés et auront leur SCT.

                                                                    Le truc, c'est que s'il en a 100000 pour chaque nom de domaine, ça devient ingérable.

                                                                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                                                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                                                    Posté par . Évalué à 4.

                                                    Toutes les CA qui ont fait parler d’elles ces dernières années avaient été auditées, ça ne les a pas empêché de se révéler non-fiable.

                                                    Il n'a pas vraiment été prouvé non plus que c'était l'audit qui était à l'origine des couacs. Donc en déduire qu'il vaut mieux ne pas auditer est, au mieux, spécieux.

                    • [^] # Certificats

                      Posté par . Évalué à 10.

                      Je dis aussi qu'il faut savoir faire la part des choses, on est sur LinuxFR, par sur le site d'une banque.

                      Oui, mais si tu installes le certificat racine de CACert pour LinuxFr, ton navigateur acceptera aussi sans sourciller tout autre site qui est certifié par CACert.

                      Si tu considères ce niveau de sécurité acceptable uniquement pour LinuxFr, alors il faut uniquement que tu acceptes le certificat de LinuxFr, sans installer le certificat racine de CACert, et alors la certification par CACert ne donne rien de plus qu’un certificat autosigné…

                      Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par . Évalué à 10.

                  C'est bien joli en théorie mais combien de projets, libres ou non, ont un audit de sécurité permanent ?

                  Le truc c'est que quand tu veux être une autorité de certification, tu est tenu d'avoir un audit permanent, contrôler qui a le droit de faire quoi, qui le fait, qui a les clefs, et qui s'en sert à chaque action est la définition même d'une autorité de confiance.

                  Certainement pas openSSL, et pourtant il est bien massivement utilisé :)

                  Tu confonds deux types distincts d'audit, un audit technique et un audit production. L'audit technique d'OpenSSL a péché assez largement, mais son audit production est plutôt bon (on sait qui fait quoi, quand il le fait, les droits de commit sont plutôt bien validé etc.)
                  Une autorité de confiance n'est pas une organisation qui peut demander aux utilisateurs de reprendre leurs transactions d'il y a 15 jours pour les patcher.

                  une entité communautaire non-crédible face aux entités commerciales crédibles

                  Je pense que CACert a très largement sous-estimé la charge de travail pour devenir une autorité de certification et que le boulot qu'elle accompli aujourd'hui est de mauvaise qualité. Par mauvaise qualité je veux dire en dessous des "gros" comme Verisign qui font déjà un travail de qualité tout à fait médiocre. Pour avoir testé un certain nombre d'autorité de certification je peux te dire qu'il n'y en a pas une qui tienne la route comparé aux autorités tiers du système bancaire*, mais qu'elle sont toutes largement devant CACert.
                  Ca ne veut pas dire qu'une autorité de confiance communautaire ne peut pas exister, mais CACert est loin d'avoir les arguments nécessaire pour être reconnu.

                  L'audit est en cours (certes depuis longtemps) et a apparement subit de nombreux rebondissements, je n'en connais pas les raisons

                  A ma connaissance toutes les demandes d'inclusion ont été retirées en 2007. Tout l'historique du truc est ici :
                  https://bugzilla.mozilla.org/show_bug.cgi?id=215243

                  TLDR : La dernière fois qu'on a eu des nouvelles d'un auditeur c'était pour dire que l'organisation était chaotique, l'infrastructure en morceau, le système de validation inopérant et les relations entre CACert et les autres assureurs ou clients complètement déséquilibrées.

                  Depuis plus rien.

                  • La création d'un nouveau certificat se passe généralement de façon assez propre chez les gros (sauf chez le plus gros qui est aussi en charge des nom de domaine et qui a racheté le produit du créateur d'Ubuntu) - par contre au renouvellement c'est souvent un festival.
        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par . Évalué à -1.

          C'est une bonne idée de créer une autorité de certification libre et non-commerciale, non ?

          Fail. You have been zenitramed.

          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

            Posté par (page perso) . Évalué à 4.

            Bon sang, je jure sur tout ce que j'ai de plus précieux (les mains de Kirk Hammett) que j'ai posé cette question sans vouloir déchaîner les Enfers, et que c'était mon simple ressenti, je ne connais que de très loin la situation. J'ai lu le fil, les enjeux m'apparaissent maintenant un peu mieux et je ferai un peu plus attention la prochaine fois, promis !

        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par . Évalué à 5.

          Quel idée, aussi de ne pas mettre les images dans un dossier linuxfr.org/img, comme tout le monde !

          Cela peut avoir une justification fondée. En effet les images sont envoyés par les utilisateurs, et il est possible d'embarquer du javascript dans les SVG. Je ne sais pas si c'est la vrai raison, mais ça me paraît complètement légitime de procéder ainsi pour cette raison.

      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

        Posté par (page perso) . Évalué à 3.

        Accepte le certificat sur confiance (parait que c'est secure cette façon de faire, du moins c'est la seule que l'équipe LinuxFr te laisse) en te disant que tu es sur un réseau de confiance.

        À ce propos et oublié dans la news, Firefox 32 ajoute le certificate pinning.

        A quand une implementation du pinning standardisé (TACKS?) qui permettrait enfin de mettre à la poubelle le système de CA corrompus qu'on se trimballe par défaut ?

        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par . Évalué à 2.

          Firefox 32 ajoute le certificate pinning.

          Oui et c'est une fonctionnalité qui modifie la façon de gérer les certificats.

          Où l'on voit que des sites importants comme Twitter servent à valider les clés de certifications afin de limiter les risques d'ameçonnage (fishing). Tor est prévu pour la suite.

      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

        Posté par . Évalué à 2.

        Dit merci à l'équipe LinuxFr de choisir un certifcat SSL avec une racine à laquelle quasi personne ne fait confiance

        C'est sympa Zenitram de te proposer de payer le cheque pour un certificat issu d'une CA commerciale !

        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par (page perso) . Évalué à 5.

          Pas sûr que la banque accepte un chèque de 0 €.

          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

            Posté par . Évalué à 4.

            Merci pour l'info, j'ignorais qu'il y avait moyen d'avoir un vrai certificat gratuitement.

            Du coup, ce que je prenais pour un troll m'induit une question légitime : pourquoi dlfp n'utilise pas ces certificats ? Peut être quelque chose de trop contraignant dans les "subscriber obligations" (désolé, pas lu, trop long et chiant)?

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par . Évalué à 3.

              Merci pour l'info, j'ignorais qu'il y avait moyen d'avoir un vrai certificat gratuitement.

              Linuxfr a déjà un vrai certificat.

              Du coup, ce que je prenais pour un troll m'induit une question légitime : pourquoi dlfp n'utilise pas ces certificats ? Peut être quelque chose de trop contraignant dans les "subscriber obligations" (désolé, pas lu, trop long et chiant)?

              La FAQ est là pour ça : Pourquoi ne prenez-vous pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ?.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                Posté par . Évalué à 6.

                Linuxfr a déjà un vrai certificat.

                Certes, mais je pense que tu as compris ce que je voulais dire.

                Être reconnue par défaut par les navigateurs est un plus, mais si on se limite à ce critère, on encourage un oligopole d'autorités de confiance, (…)

                Mauvais argument : le jour où CACERT est reconnu, vous changerez pour un qui ne soit pas reconnu, parce que CACERT sera rentré dans cet oligopole ?
                C'est pas comme si n'importe qui qui démontre (plus ou moins) son sérieux pouvait entrer dans le club.

                (…) dont certaines ont déjà fait montre de pratiques plus que discutables (liste non exhaustive) :

                Alors il suffit d'en prendre une qui n'a rien à se reprocher (de connu).
                Parce que sinon, il faut aussi arreter d'utiliser des humains : certains d'entre eux ont déja fait montre de pratiques plus que discutables.

                Désolé, apparement je relance un vieux débat (enfin, s'pa moi, c'est Zenitram, mais c'est moi qui continue), mais j'aimerais comprendre, car je suis sur qu'il y a de bonnes raisons qui m'echappent.

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par . Évalué à 6.

                  Mauvais argument : le jour où CACERT est reconnu, vous changerez pour un qui ne soit pas reconnu, parce que CACERT sera rentré dans cet oligopole ?

                  Je pense que c'est l'inverse. L'idée c'est de dire que considérer que CACERT c'est mal parce qu'il ne fait pas parti du club pousse à créer une oligopole. L'argument c'est qu'il ne faut pas que ce soit l'appartenance au club qui guide le choix.

                  Alors il suffit d'en prendre une qui n'a rien à se reprocher (de connu).

                  Comme quoi ça va dans le même sens que ce qui est dis avant l'appartenance au club n'implique pas que l'autorité soit correcte.

                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par . Évalué à 4.

                    Ceci dit, de nos jours il y a Gandi qui fait des certificats et à mon avis ils pourraient même l'offrir à Linuxfr (vu qu'ils aiment soutenir des projets liés au libre).

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par (page perso) . Évalué à 4. Dernière modification le 05/09/14 à 12:47.

                      Soit ils l'offrent, soit je suis prêt à leur acheter un certificat 3 domaines (ça serait bien 1 domaine, mais je vois déjà 2 domaines avec img.) à 100€ pour 3 ans, si ça peut aider les gens à ne pas comprendre pourquoi il y a une alrte "attention danger" quand on passe le site en HTTPS puis des images qui manquent sans comprendre.

                      Le problème n'est pas financier, il est "politique".

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par (page perso) . Évalué à 4.

                      C'est pas une grosse AC commerciale derrière l'AC de Gandi ?

                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                        Posté par (page perso) . Évalué à 3.

                        Si, Comodo.

                        alf.life

                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                        Posté par . Évalué à 2.

                        De toute façon Gandi est commercial également… Par contre je ne savais pas qu'ils sous-traitaient, c'est une info importante.
                        Apparemment, c'est seulement pour les certificats "business" ?
                        https://www.gandi.net/ssl/business?lang=fr#single

                        Nous avons donc passé un partenariat avec la société Comodo, la seule société de taille mondiale qui soit indépendante, pour permettre aux clients Gandi de choisir ce mode de certification s'ils le souhaitent.

                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                          Posté par (page perso) . Évalué à 2.

                          Quant tu prends un certificat standard chez Gandi, c'est Comodo qui fait la vérification. Par exemple, si tu fais une demande de validation par DNS, on va te demander d'ajouter ça dans ton fichier de zone DNS :
                          FC1F88C1ECDAE694F7DBE8A7A0A47A38.www 10800 IN CNAME A867AFAAB86408B3ADC0860F39B94545C9604C81.comodoca.com.

                          Ce que je trouve étrange là dedans, c'est que pour StartSSL comme pour Comodo (et donc Gandi), les certificats standards, c'est à dire ceux sans assurance, sont délivrés de manière automatique. Coté client il suffit de dropper un fichier à la racine du site, ajouter une entrée DNS ou encore cliquer sur un lien dans un email, et le robot valide automatiquement les certifs.

                          À partir de là, une CA, c'est juste une société qui s'engage a avoir fait un nslookup/wget avant de délivrer le certif, non ? Même Paypal a un process de validation de compte plus complexe.

                          alf.life

                          • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                            Posté par . Évalué à 3.

                            À partir de là, une CA, c'est juste une société qui s'engage a avoir fait un nslookup/wget avant de délivrer le certif, non ?

                            Ils s'engagent aussi à bien protéger leurs propres clés privées, etc.
                            Mais, oui, c'est automatisé, c'est pour ça que StartSSL propose les certificats de base gratuitement.
                            (et aussi que je trouve l'offre de Gandi un peu gonflée, à 12 €/an… en surfant en plus, bien sûr, sur les dates d'expiration que j'imagine obligatoirement fixées à un an, ce qui fait franchement chier au niveau gestion de certificats)

              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                Posté par (page perso) . Évalué à 10.

                Être reconnue par défaut par les navigateurs est un plus, mais si on se limite à ce critère, on encourage un oligopole d'autorités de confiance

                Mouais. Le simple fait de choisir une « autorité de confiance » (que ce soit CAcert ou une autre) revient déjà à encourager le système PKIX et le principe même des autorités de confiance, alors que c’est précisément ce principe qui est foireux.

                Je trouverais plus cohérent que vous encouragiez les alternatives à PKIX. DANE par exemple, pourquoi ne pas publier d’enregistrements TLSA dans la zone linuxfr.org ? Et expliquer dans la FAQ comment configurer un navigateur pour valider un certificat contre ces enregistrements ?

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par . Évalué à 10.

                  Enfin une approche constructive! Surtout que si un public est bien prêt à se casser le c*l pour implémenter DNSSEC en échange d'à peu près rien, c'est bien celui de LinuxFR.

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par (page perso) . Évalué à 10.

                  pourquoi ne pas publier d’enregistrements TLSA dans la zone linuxfr.org ?

                  Le temps principalement (*). Il faut mettre en place du DNSSEC, plus DANE. Et on pourrait aussi mettre en place la version via GPG. Pour le moment c'est juste dans les TODOlist (y compris le changement de fournisseur de certificat d'ailleurs, cf le suivi).

                  (*) il y a toujours plus d'idées chez nous, de propositions lancées par tout le monde et de critiques reçues, que de gens qui effectivement réalisent les choses. Quand on voit le temps passé à purement critiquer par certains…

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par . Évalué à 2.

                    Et on pourrait aussi mettre en place la version via GPG

                    Je connaissais DANE mais ça ça me dit rien du tout. Tu te réfères à quoi ?

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par (page perso) . Évalué à 4.

                      Probablement Monkeysphere.

                      En gros, le principe est de faire valider les certificats par la toile de confiance OpenPGP.

                      Côté serveur :

                      • L’administrateur du serveur utilise Monkeysphere pour générer, à partir de la clef privée du serveur, un certificat OpenPGP.
                      • Il signe ce certificat avec sa propre clef, et le publie d’une façon ou d’une autre (typiquement dans les serveurs de clefs).

                      Côté client, lorsqu’un visiteur qui utilise aussi Monkeysphere se connecte au serveur :

                      • Le serveur présente son certificat X.509 habituel.
                      • Le client cherche sur les serveurs de clef un certificat OpenPGP correspondant à ce serveur, et vérifie que les clefs des deux certificats sont identiques.
                      • Le certificat X.509 est considéré valide (et donc, le serveur est authentifié) si le certificat OpenPGP est signé par une personne en qui l’utilisateur a confiance.

                      Ou alors, il parle du RFC 6091, qui vise au même but mais remplace carrément les certificats X.509 par des certificats OpenPGP, éliminant ainsi la gymnastique de Monkeysphere — mais que seul GnuTLS prend en charge, à ma connaissance.

                      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                        Posté par . Évalué à 1.

                        Pour moi le concept de WoT pour le SSL n'est pas très applicable.

                        Quand on parle de WoT avec GPG, on se crée un réseau de confiance entre humains. On a un vrai moyen de valider de nouveaux humains dans notre réseau en se contactant, en se voyant "en vrai" avec validation de la carte d'identité…

                        Qui et comment valide un nouveau site web ? Le premier qui tombe dessus avec le certificat SSL va faire un whois puis téléphoner au gars indiqué sur le contact pour organiser un rendez-vous, lui demander de présenter la société qui est derrière ? Parce qu'à la base pour obtenir un certificat SSL c'est plus ou moins le travail de certification qui était fait (aujourd'hui si on ne demande pas d'extended validation, on obtient un certificat en quelques minutes et pour quelques $ sans aucune validation réelle…).

                        Bref, quand on ne peut pas valider quelque chose rapidement, soit on fini par assouplir sa politique de sécurité (accepter qu'il soit validé par n'importe qui et pas seulement par les personnes de premier niveau par exemple), soit on fini par le valider par lassitude sans faire de vérifications (et donc on trahi aussi tous ceux qui nous trustent).

                        Dur de penser qu'on peut arriver à avoir quelque chose de qualité.

                        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                          Posté par (page perso) . Évalué à 3.

                          Pour moi le concept de WoT pour le SSL n'est pas très applicable.

                          Je dirais pour ma part qu’il n’est pas applicable à tous les cas de figure, mais qu’il l’est très bien pour certain.

                          Plus généralement d’ailleurs, je conteste l’idée qu’il devrait y avoir un seul mécanisme d’authentification des serveurs, que ce soit le système PKIX actuel ou une des alternatives en gestation comme DANE, Monkeysphere, Convergence… Plusieurs mécanismes, répondant éventuellement à des situations différentes, doivent pouvoir co-exister.

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par (page perso) . Évalué à 6.

                    (*) il y a toujours plus d'idées chez nous, de propositions lancées par tout le monde et de critiques reçues, que de gens qui effectivement réalisent les choses.

                    Ca me fait penser que je dois laisser une idée d'amélioration dans le suivi : remplacer
                    "envoyer un commentaire"
                    par le bien plus pertinent, comme sur ce journal de haute tenue qu'est legorafi
                    "laisser un avis éclairé"

                    Cette modif n'est pas très compliquée à mettre en application (je crois, mais je ne suis pas un expert en Ruby)

                    (et puis on en trolldi, et d'ailleurs je suis déjà dehors !)

                    If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par (page perso) . Évalué à 2. Dernière modification le 05/09/14 à 10:58.

              ce que je prenais pour un troll

              Comme souvent…

              pourquoi dlfp n'utilise pas ces certificats ?

              Question de principes. Il y a déjà eu maintes fois le débat et ils ont fait leur choix, je ne penses pas qu'ils changent d'avis au fil des années même si CACert devient de moins en moins crédible, parait que ces principes sont plus forts que tous les inconvénients que ça apporte (voir le commentaire maitre par exemple, qui est un vrai problème pratique)

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par (page perso) . Évalué à 6.

              Merci pour l'info, j'ignorais qu'il y avait moyen d'avoir un vrai certificat gratuitement.

              L'entreprise qui offre ces certificats est israélienne. Comment croire que les services de renseignement ne sont pas derrière ces certificats généreusement offerts au monde entier ? :)

              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                Posté par . Évalué à 2.

                Elle t'offre peut être le certificat mais elle te fait payer la révocation…

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par (page perso) . Évalué à 0.

                  En gros, elle te fait payer si tu fais une énorme bêtise. Ca me semble bien honnete comme offre, tu ne voudrais pas le beurre et l'argent du beurre?

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par . Évalué à 8.

                    En même temps c'est logique, mais ça pose un problème au niveau de la sécurité. Des administrateurs radins peuvent ne pas révoquer un certificat à cause du prix de la révocation alors qu'ils ont potentiellement fuités. Ça encourage je trouve les administrateurs à se mettre la tête dans le sable quand il y a un problème. Si cela était possible il faudrait pendre ces administrateurs (de préférence avec une pendaison haute et courte, pour l'exemple), mais comme cela n'est pas possible il ne faut pas oublier que ce type d'administrateur peut exister.

                    Après personnellement, j'ai deux certificats que je n'utilise plus (mais qui n'ont pas fuités). La logique voudrait que je les révoque, mais comme ils n'ont pas pu fuiter, je ne le fais pas. Si ils avaient pu fuiter je le ferais, mais même si ils n'ont pas fuités, si ils ne sont plus utilisés la seule raison pour laquelle je ne les ait pas révoqués, c'est une raison financière.

                    En bref, pour chaque certificat de ce type, tu te demande si il avait pu fuiter, et si l'administrateur, radin, ne l'aurait pas révoqué uniquement à cause de ce coût.

                    • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                      Posté par (page perso) . Évalué à 2.

                      Après personnellement, j'ai deux certificats que je n'utilise plus (mais qui n'ont pas fuités). La logique voudrait que je les révoque, mais comme ils n'ont pas pu fuiter, je ne le fais pas.

                      Laisser les certificats expirer tranquillement sans rien faire ne me parait pas illogique. Je dirais même que c’est raisonnable, dès l’instant où ① tu es confiant que les clefs privées n’ont pas fuité jusqu’à présent et ② tu continues à t’assurer qu’elles ne fuitent pas jusqu’à la date d’expiration (la meilleure solution étant carrément de supprimer ces clefs que tu n’utilises plus de toute façon).

                      Et puis, clef privée compromise ou pas, de toute façon personne ne vérifie si un certificat est révoqué… et ceux qui tentent de le faire considèrent le certificat valide si la vérification ne peut aboutir, ce qui rend le principe même de vérification des révocations complètement inutile.

                  • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                    Posté par . Évalué à 6.

                    Je ne sais pas si on peut considérer « Heartbleed » comme étant une énorme bêtise de la part d'un administrateur…

                    C'est le seul cas où j'aurais souhaité révoquer mon certificat perso.

                    Mais à part ça, je suis d'accord qu'ils n'ont pas à m'offrir quelque chose de gratuit : juste que ce serait plus cool d'indiquer que la révocation est payante sur la page de présentation du produit.

            • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

              Posté par (page perso) . Évalué à 3.

              StartSSL n'est gratuit que ceux qui veulent un certificat, pas de la sécurité. La révocation est payante.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                Posté par (page perso) . Évalué à -1. Dernière modification le 07/09/14 à 12:54.

                Tu es un peu en retard déjà dit…
                Dit-moi en quoi StartSSL n'est pas de la sécurité en gratuit, qu'est-ce qui n'est pas sécurisé à 0€.
                Certes l'exception Heartbleed, mais sinon ce qui est payant c'est ton manque de sécurité (tu as laissé trainé le certificat avant sa date de fin, ta faute), pas la sécurité en général. Tu FUDes.

                • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

                  Posté par (page perso) . Évalué à 6.

                  Heartbleed n'est qu'un exemple, il y en a eu d'autres des failles OpenSSL/GnuTLS/… qui pouvaient laisser fuiter le certificat (tout ce qui est "remote code execution par exemple).

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

          Posté par . Évalué à 4.

          Ça n'est pas une histoire d'argent.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

        Posté par . Évalué à 1.

        Ah mais alors merci !! ça fait un bon moment que je me demandais pourquoi ça ne fonctionnait pas !

  • # Firefox Sync

    Posté par . Évalué à 2.

    J'ai pas encore fait la migration vers le nouveau système.
    En lisant, un peu à droite et à gauche, j'ai l'impression que c'est un peu moins sécurisé.
    D'autre part, il semble que ce soit un peu plus complexe à auto-héberger.
    Des retours ?
    Merci.

    • [^] # Re: Firefox Sync

      Posté par . Évalué à 6.

      D'autre part, il semble que ce soit un peu plus complexe à auto-héberger.

      s/un peu/beaucoup/

      Avec l'ancien système, tout pouvait se gérer avec une simple 'app' Owncloud (et quelques modifications par rapport au fonctionnement par défaut d'OC, notamment si on utilisait le backend LDAP).

      Avec le nouveau, c'est un peu "Mozilla ou rien", pour l'instant.

      • [^] # Re: Firefox Sync

        Posté par . Évalué à 8.

        Avec le nouveau, c'est un peu "Mozilla ou rien", pour l'instan

        Comme au début avec l'ancienne.

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Firefox Sync

          Posté par . Évalué à 3.

          Sans doute mais j'ai quand même l'impression qu'il faut un peu de python et un peu de nodejs là où python suffisait au départ.
          L'histoire de simplification de la sécurité semble nécessiter l'installation de plusieurs services. D'ailleurs, je trouve que la solution a l'air d'être un peu moins "sécurisé" car Mozilla dispose plus ou moins de clefs de ce que j'en comprends.

          • [^] # Re: Firefox Sync

            Posté par . Évalué à 1.

            Je ne vois pas qu'est-ce qui obligerais à avoir 2 techno.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Firefox Sync

              Posté par (page perso) . Évalué à 5.

              Je suis en train de faire les paquets pour Arch Linux de la nouvelle version de Firefox Sync et de Firefox Accounts. Et bien c'est très pénible. RIEN n'as été prévu pour que ce soit installé proprement (il n'y a même pas de target install dans le Makefile).

              Pour l'instant je n'arrive pas encore à faire fonctionner FFSync avec le FFAccounts de Mozilla (https://mail.mozilla.org/pipermail/sync-dev/2014-August/000955.html). Je n'ose pas imaginer ce que me réserve l'étape d'après (passer à un FFA self-hosted).

    • [^] # Re: Firefox Sync

      Posté par . Évalué à 1.

      Pour un utilisateur de base, c'est devenu plus facile. Certes, il faut faire confiance à Mozilla, mais c'est mon cas, jusqu'à preuve du contraire. Par contre on peut l'utiliser dans à peu près tous les environnements sauf dans le Firefox de FirefoxOS, ce qui est un peu surprenant.

      L'utilisateur de base, ça compte, non ?

      • [^] # Re: Firefox Sync

        Posté par . Évalué à 1.

        Bien sûr que l'utilisateur de base compte mais on aurait peut être pu garder un mode avancée avec une clef qui restait à la maison.
        Ce n'est pas tellement un problème de confiance en mozilla c'est plus un problème de confiance en un système qui repose sur un mot de passe seulement.

    • [^] # Re: Firefox Sync

      Posté par . Évalué à 3.

      Est-ce que quelqu'un sait combien de temps l'ancien Sync sera supporté par Firefox ?
      (je parle d'un Sync auto-hébergé)

      • [^] # Re: Firefox Sync

        Posté par (page perso) . Évalué à 1.

        Mon Firefox 32 ne voulait plus se connecter à mon FFSync 1.1 auto-hébergé. Je pense qu'il faut garder une "ancienne"/lts version de Firefox pour continuer à utiliser l'ancien FFSync.

        • [^] # Re: Firefox Sync

          Posté par . Évalué à 2.

          Chez moi ça marche (Firefox 32, pour la version de FFSync ce n'est pas très clair : "1.3.1" selon les tags Mercurial ou bien "rpm-1.0-8").

      • [^] # Re: Firefox Sync

        Posté par . Évalué à 2.

        Le temps que «le plus gros» migre vers la nouvelle version.

        https://support.mozilla.org/en-US/kb/how-to-update-to-the-new-firefox-sync#w_what-if-i-dont-want-to-update-to-the-new-sync

        What if I don't want to update to the new Sync?

        • While the old version of Sync will continue to work, the latest version of Firefox doesn't support adding new devices to the old version of Sync. This means that you won't be able to sync with a new device.
        • Mozilla will continue to host the old version of Sync for a limited time to allow for migration to Firefox Accounts. Self-hosted users will soon be able to run their own instance.
        • Learn more about Firefox accounts
  • # Quelqu'un peut confirmer le menu contextuel sous linux ?

    Posté par . Évalué à 5. Dernière modification le 04/09/14 à 18:08.

    J'utilise le binaire officiel Mozilla Foundation sous linux et le menu ne ressemble pas tout à fait à l'image de la dépêche. Pourquoi les icônes (enregistrer sous, etc.) ont-elles été supprimées ? Qu'est-ce que c'est que cette barre vide à gauche ? C'est quoi ce raccourci clavier Q (je ne l'ai pas chez moi et ce n'est vraiment pas malin de surcharger le raccourci pour Quitter) ? C'est un truc du thème GTK, un effet de la distro, ou l'image n'a pas été prise sous linux ?

    • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

      Posté par . Évalué à 5. Dernière modification le 04/09/14 à 18:12.

      Sous Archlinux + KDE, Firefox 32 (venant des dépôts officiels pour Archlinux), et quelques extensions :

      firefox-context-menu

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

      • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

        Posté par . Évalué à 0.

        C'est moche.

        Il y a moyen de remettre l'ancien panneau ?
        Parce que j'utilise assez souvent la majorité des options du menu contextuel, que je je trouvais justement assez bien fait et assez complet.

        • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

          Posté par (page perso) . Évalué à 4.

          C'est moche.

          Ça vole haut dit donc.

          Il y a moyen de remettre l'ancien panneau ?
          Parce que j'utilise assez souvent la majorité des options du menu contextuel, que je je trouvais justement assez bien fait et assez complet.

          Je ne comprends pas, c’est le même menu, sauf que précédente/suivante/rafraichir/ajouter aux marque-pages sont maintenant uniquement en icônes. Tu peux peut-être remettre l’ancien menu contextuel avec une extension.

          Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

            Posté par . Évalué à 5. Dernière modification le 05/09/14 à 23:42.

            c’est le même menu, sauf que précédente/suivante/rafraichir/ajouter aux marque-pages sont maintenant uniquement en icônes.

            Donc au lieu d'un menu qui se lit de haut en bas (la position horizontale de la souris n'importe pas pour exécuter une option), on a donc un menu qui se lit de haut en bas sauf la première ligne où la position de la souris importe de façon critique. On est déjà en chemin de la confusion du ruban tel qu'implémenté par Microsoft, avec des icônes de toutes les tailles et formats arrangées façon patchwork. C'est dommage de devoir subir des régressions ergonomiques sous excuse de préserver le hype. C'est sûr que c'est mieux chez Mozilla où on peut retrouver le comportement précédent avec une extension ou une clef de configuration (pour peu qu'on en connaisse l'existence), alors que chez Microsoft la seule option au menu c'est le gavage à l'entonnoir.

            • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

              Posté par . Évalué à 4.

              Pour info, pour restaurer le comportement antérieur :

              Classic theme restorer / Interface générale / faire défiler l'écran de droite vers le bas ☒ Remplacer les icônes du menu contextuel de la page de texte (Page précédente, Page suivante, Arrêter/Actualiser/ Marquer cette page)

            • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

              Posté par (page perso) . Évalué à 7. Dernière modification le 06/09/14 à 00:41.

              Bon déjà si tu étais allé lire les notes de version, tu aurais vu que ça n’est pas vraiment une volonté d’être à la mode.

              D’ailleurs, ç’aurait été moi, j’aurais viré ces boutons de navigation du menu contextuel — je trouve que ça n’a rien à faire là… Et tant qu’à faire j’aurais déjà fusionné depuis longtemps coupé/copié/collé.

              Écrit en Bépo selon l’orthographe de 1990

              • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                Posté par (page perso) . Évalué à 1. Dernière modification le 06/09/14 à 17:15.

                J'apprécie beaucoup ces explications. Au taf nous sommes souvent en désaccord sur ce qui est ergonomique ou pas. Pour résumer j'ai tendance à vouloir mettre des repères visuels (images, couleurs, bordures) pour permettre d'identifier en un clin d'oeil les zones qu'on cherche, mais dans l'équipe on a des personnes plus «textuelles» et qui au contraire n'en voient pas du tout l'intérêt vu que de toutes façons «les gens n'ont qu'à lire».

                Bref, le comparatif flouté me semble hyper clair, on voit de suite de quoi il s'agit.

                alf.life

              • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                Posté par . Évalué à 3.

                Les notes de version confirment ce que je dis, ce design est importé de la version mobile conçue pour gros doigts potelés, alors que moi j'ai la version de bureau et une souris. Les menus se parcourent de haut en bas (en général mon mouvement est diagonal de haut à gauche en bas à droite) ; ajouter une seconde dimension à la navigation dans un menu est un changement très important. Par ailleurs leur explication (flouté), si elle est certainement bien pensée, ne s'applique pas à tout le monde. Je me repère par rapport :

                • aux couleurs icônes (enregistrer-image-sous = deuxième icône bleue vers le milieu du menu), ce que la mode aux icônes monochromes fiche en l'air (heureusement sous linux on a encore des icônes colorées, mais à ce que je vois Mozilla travaille à les supprimer)
                • au numéro de ligne : ouvrir-nouvel-onglet = première position ; ouvrir-nouvelle-fenêtre = deuxième ligne. Je te racontes pas le bordel le jour où mozilla a inversé la position de ces deux options. J'utilise encore firefox 3 sur une vielle Redhat, c'est l'opposé et ça m'irrite déjà suffisamment.
                • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                  Posté par (page perso) . Évalué à 2.

                  au numéro de ligne : ouvrir-nouvel-onglet = première position ; ouvrir-nouvelle-fenêtre = deuxième ligne. Je te racontes pas le bordel le jour où mozilla a inversé la position de ces deux options. J'utilise encore firefox 3 sur une vielle Redhat, c'est l'opposé et ça m'irrite déjà suffisamment.

                  Nan mais à ce stade tu apprends le raccourci clavier, ça prend deux minutes.

                  Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                    Posté par . Évalué à 4.

                    à ce stade tu apprends le raccourci clavier, ça prend deux minutes.

                    Donc maintenant ça va être ma faute, j'avais qu'à apprendre les raccourcis clavier…

                    • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                      Posté par (page perso) . Évalué à 0.

                      Faut arrêter de se victimiser un peu. Si t’es si pressé que tu ne lis que tu perds du temps lors d’une inversion de boutons, alors tu fais partie des utilisateurs à qui ça serait bénéfique d’apprendre le raccourci clavier pour faire ça (en dehors du problème exposé précédemment).

                      À vrai dire, je ne pensais pas qu’il y avait des gens sur Linuxfr qui n’utilisaient pas Ctrl+T, c’est tellement pratique.

                      Écrit en Bépo selon l’orthographe de 1990

                      • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                        Posté par . Évalué à 4.

                        Ton argumentation n'est pas cohérente. On parle de quel menu graphique est le mieux disposé pour que l'utilisateur puisse trouver ses fonctions, et tu me réponds que je devrais apprendre des raccourcis claviers. Si c'est ça le deal, pourquoi ne pas garder l'ancien menu et dire aux mécontents d'apprendre les raccourcis ?

                        à ce stade tu apprends le raccourci clavier, ça prend deux minutes.

                        Je ne suis pas à un stade particulier, j'ai les mêmes besoins que les autres utilisateurs. J'ai juste appris à les expliciter avec des mots : les utilisateurs (dont moi) ne lisent pas le texte, ils se repèrent par rapport aux positions, aux formes, au contraste et aux couleurs.

                        D'ailleurs pour l'exemple que je cite, je n'ai pas été le seul à avoir été surpris quand Firefox 4.0 inversait la position des deux premières options du menu contextuel de lien. voir ici ou , ou encore .

                        à ce stade tu apprends le raccourci clavier, ça prend deux minutes.

                        J'ai essayé plus d'une fois, mais l'interface n'y aide pas. Comme tu peux voir dans l'image sous linux au début du fil de discussion, les raccourcis ne sont pas indiqués dans le menu (alors qu'ils devraient y être pour permettre l'apprentissage, d'ailleurs l'extension FlashGot le fait sur l'image, et je connais désormais le raccourci alors que je n'utilise même pas cette extension). Après une énième vérification, il se trouve que le raccourci pour précédent est ALT- flèches de gauche et droite, ce qui en fait apparemment le SEUL raccourci clavier du logiciel à utiliser Alt au lieu de Ctrl, ce qui met dans la confusion. En outre c'est le seul raccourci à utiliser un symbole (flèche) au lieu des lettres. Ça n'a l'air de rien, mais c'est très troublant quand on est habitué aux lettres ; voir aussi l'effet d'obfuscation obtenu en utilisant des émoticônes à la place de noms de variables Swift fun fact #1 You can use emoji characters in variable, constant, function, and class names.

                        je ne pensais pas qu’il y avait des gens sur Linuxfr qui n’utilisaient pas Ctrl+T,

                        Je l'utilise, j'ai pu l'apprendre vu qu'il est dans le menu Fichier. Mais si tu fais attention, dans l'exemple particulier où je parle de repérage de la ligne, je cite le menu contextuel de lien et il n'a pas de raccourci clavier (vu qu'il faut la souris sur le lien).

                        • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                          Posté par (page perso) . Évalué à 2.

                          J'ai essayé plus d'une fois, mais l'interface n'y aide pas. Comme tu peux voir dans l'image sous linux au début du fil de discussion, les raccourcis ne sont pas indiqués dans le menu (alors qu'ils devraient y être pour permettre l'apprentissage, d'ailleurs l'extension FlashGot le fait sur l'image, et je connais désormais le raccourci alors que je n'utilise même pas cette extension).

                          Je suis entièrement d’accord, ça devrait être indiqué dans Firefox. Il existe cependant d’excellentes pages de documentation, comme celle-ci (en français).

                          Je sais, c’est un pansement sur une jambe de bois, mais c’est mieux que rien.

                          Après une énième vérification, il se trouve que le raccourci pour précédent est ALT- flèches de gauche et droite, ce qui en fait apparemment le SEUL raccourci clavier du logiciel à utiliser Alt au lieu de Ctrl, ce qui met dans la confusion. En outre c'est le seul raccourci à utiliser un symbole (flèche) au lieu des lettres. Ça n'a l'air de rien, mais c'est très troublant quand on est habitué aux lettres ;

                          C’est un peu le raccourci standard pour cette action, les développeurs de Firefox n’y sont pour rien.

                          voir aussi l'effet d'obfuscation obtenu en utilisant des émoticônes à la place de noms de variables Swift fun fact #1 You can use emoji characters in variable, constant, function, and class names.

                          Ça n’a pas grand chose à voir (on parle ici de principe de moindre surprise, pas d’obfuscation). Par ailleurs, le délire avec Swift c’est pas nouveau, c’est juste que là bah au lieu d’être simplement des caractères unicode de la couleur de la police ils sont en couleur, rien de nouveau sous le soleil (la plupart des langages acceptent des caractères unicode dans leurs identifiants).

                          Mais si tu fais attention, dans l'exemple particulier où je parle de repérage de la ligne, je cite le menu contextuel de lien et il n'a pas de raccourci clavier (vu qu'il faut la souris sur le lien).

                          Pardonne-moi, j’utilise ce menu uniquement pour «sauvegarder le lien sous» et «copier l’adresse du lien». Mais le changement effectué par Mozilla me semble cohérent.

                          Par contre il y a un bien un raccourci clavier: tu peux maintenir Ctrl ou Maj quand tu cliques sur un lien. Les autres options ne sont pas très courantes (à part peut-être «copier l’adresse du lien»).

                          Écrit en Bépo selon l’orthographe de 1990

              • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                Posté par (page perso) . Évalué à 1.

                Perso elles me sont bien utiles ces actions dans le menu contextuel. Je serais malheureux de les voir disparaître.

                J'ai un usage de mon desktop majoritairement à la souris : PC portable sur table de salon, souris sous la main sur le canapé mais le clavier reste hors de portée directe. Donc les raccourcis clavier, dans mon cas d'utilisation, c'est pas très pratique (obligé de me pencher sur le PC).

                Donc si je veux faire un refresh/page précédente/page suivante, le chemin le plus court c'est un clic de souris, puis déplacer ma souris sur une de ces actions qui se retrouvent accessibles à quelques pixels de là où j'ai cliqué.

                Il se trouve que l'action que j'utilisais le plus souvent était recharger la page (sur l'index des forums que je parcours), et comme c'était en première position du menu, le chemin pour y arriver était très court (au pire, si le menu se déroulait vers le haut, je n'avais qu'un axe de déplacement à parcourir : la verticale). Maintenant, il est un peu plus loin de la position où j'ai cliqué, et surtout je dois me déplacer sur deux axes…

                Ça reste peut-être un cas d'utilisation marginal, je ne sais pas, mais n'empêche que ça marchait bien pour moi. Et pour les adeptes des raccourcis clavier, ça marchait bien aussi (ça ne leur enlevait rien).

                • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                  Posté par (page perso) . Évalué à 3.

                  Le but de Firefox est d’être optimisé pour les cas les plus courants. Pour les utilisateurs nouveaux et occasionnels de Firefox, les icônes un peu plus grosses, disposées dans le même ordre que la barre d’outils sont sans doute plus faciles d’utilisation et plus intuitif.

                  Dans tous les cas, ça n’est pas beaucoup plus loin. Pire, n’as-tu pas pensé que l’état précédent était mauvais? J’ai plusieurs fois cliqué sur page précédente sans faire exprès, j’imagine que cela peut également arriver avec actualiser — aujourd’hui c’est largement plus difficile de cliquer dessus sans faire exprès.

                  Au passage, il est possible de personnaliser un maximum de choses simplement avec le userChrome.css.

                  Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                    Posté par . Évalué à 5.

                    Après réflexion sur la page que tu as indiquée, je me corrige : les arguments de la MoFo sont fallacieux.

                    Ils montrent deux images : l'ancien menu flouté, le nouveau menu flouté. Leur conclusion est que le nouveau menu est plus visible, donc meilleur. Le raisonnement est correct, mais la démonstration est incomplète et ne s'applique pas à notre cas (linux autre que android).

                    Leur argument est que les gens ne vont pas lire le texte, ils vont se repérer par rapport à des indices visuels. En floutant l'image, ils font ressortir les indices visuels qui ne sont pas du texte : contours, contrastes. C'est un argument correct. Mais tout ce que cela montre, c'est que les icônes sont plus visibles que le texte (ce qui est évident). Or le premier menu était étrangement dépourvu d'icônes (ce n'est pas la version pour linux). Les mêmes arguments font que si le test avait inclus le menu (ancien) pour linux, c'est ce dernier qui aurait gagné. En effet les indices visuels y sont plus nombreux que sur les deux autres versions testées (présence d'icônes pour les fonctions importantes, et celles-ci sont en couleurs). Le flouté montre que la forme globale des icônes est importante pour une reconnaissance rapide par le cerveau (sans lire le texte), mais les couleurs permettraient un renforcement des indices visuels. Si l'argument est la facilité à reconnaitre le bouton sans avoir à lire, les couleurs apportent des avantage (même s'il ne faut pas se reposer seulement sur des indices colorés).

                    Enfin, s'ils ont montré que la présence d'icônes est un avantage, ils n'ont absolument pas étudié l'effet de l'espacement horizontal dans un menu habituellement monodimensionnel, en particulier cet effet de cette incongruité sur les nouveaux utilisateurs.

                    • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                      Posté par (page perso) . Évalué à 3.

                      Leur argument est que les gens ne vont pas lire le texte, ils vont se repérer par rapport à des indices visuels. En floutant l'image, ils font ressortir les indices visuels qui ne sont pas du texte : contours, contrastes. C'est un argument correct. Mais tout ce que cela montre, c'est que les icônes sont plus visibles que le texte (ce qui est évident). Or le premier menu était étrangement dépourvu d'icônes (ce n'est pas la version pour linux). Les mêmes arguments font que si le test avait inclus le menu (ancien) pour linux, c'est ce dernier qui aurait gagné. En effet les indices visuels y sont plus nombreux que sur les deux autres versions testées (présence d'icônes pour les fonctions importantes, et celles-ci sont en couleurs). Le flouté montre que la forme globale des icônes est importante pour une reconnaissance rapide par le cerveau (sans lire le texte), mais les couleurs permettraient un renforcement des indices visuels. Si l'argument est la facilité à reconnaitre le bouton sans avoir à lire, les couleurs apportent des avantage (même s'il ne faut pas se reposer seulement sur des indices colorés).

                      Tu oublies tout de même le fait que les icônes soient plus grosses. Et tu affirmes que le menu ancien pour GNU/Linux aurait gagné, mais tu n’en sais rien.

                      Enfin, s'ils ont montré que la présence d'icônes est un avantage, ils n'ont absolument pas étudié l'effet de l'espacement horizontal dans un menu habituellement monodimensionnel, en particulier cet effet de cette incongruité sur les nouveaux utilisateurs.

                      Ils ont fait le même genre de choses dans le menu (pas le menu contextuel) de Chromium (plusieurs boutons sur une ligne).


                      En vérité je me fais l’avocat du diable depuis le début, mais j’imagine que ça peut être plus pratique ou intuitif pour la plupart des gens. Pas pour moi mais vu que j’utilise soit les boutons de la souris, soit les raccourcis clavier pour la navigation, ces changements m’affectent peu.

                      Écrit en Bépo selon l’orthographe de 1990

                    • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                      Posté par . Évalué à 2.

                      Enfin, s'ils ont montré que la présence d'icônes est un avantage, ils n'ont absolument pas étudié l'effet de l'espacement horizontal dans un menu habituellement monodimensionnel, en particulier cet effet de cette incongruité sur les nouveaux utilisateurs.

                      Tu parle du fait qu'avant il fallait être précis à 12px près alors que maintenant c'est à 24 près (grosso modo) ?

                      Tu ne t'es jamais raté ou tu n'a jamais vu personne se rater d'option avec les menus verticaux ? (tu sais où est l'option, tu la voie mais tu clique à coté)

                      Pour ce qui est des repère visuels le fait d'être horizontal donne en plus un repère spatiale non négligeable

                      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                      • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                        Posté par (page perso) . Évalué à 3.

                        Le fait d'être horizontal et vertical demande une précision à deux dimensions, là où avec un menu vertical, il n'y avait à peu près que la précision verticale qui comptait (le menu étant assez large).

                      • [^] # Re: Quelqu'un peut confirmer le menu contextuel sous linux ?

                        Posté par . Évalué à 3. Dernière modification le 12/09/14 à 00:37.

                        avant il fallait être précis à 12px près alors que maintenant c'est à 24 près (grosso modo) ?

                        Je critique seulement la disposition horizontale des icones de la première ligne. Tu as peut-être raison de demander des icones plus grandes au moins pour les options les plus utilisées, mais c'est un autre problème.

                        Pour ce qui est des repère visuels le fait d'être horizontal donne en plus un repère spatiale non négligeable

                        C'est là que je ne suis pas du tout d'accord.

  • # mise à jour transparente, franchement c'est très sympa :)

    Posté par . Évalué à 3.

    J'utilise le binaire officiel depuis la 30.0 sur Ubuntu 12.04 LTS, alors que je lisais la dépêche et arrivais au paragraphe traitant du nouveau menu contextuel, je clique simplement pour comparer et voilà que je découvre le nouveau menu en direct!

    je dois dire que c'est plutôt agréable, ai-je été corrompu?

    • [^] # Re: mise à jour transparente, franchement c'est très sympa :)

      Posté par . Évalué à 6.

      Personnellement ça ne me conviendrait pas. Parfois ce n'est pas le moment de faire une mise à jour. Je peux avoir un truc important et urgent à faire avec mes logiciels, je ne peux pas me permettre qu'une extension cesse de fonctionner sans prévenir ou que le comportement du logiciel change. Les mises à jour de logiciels critiques, c'est pour le week-end quand je peux tester tranquillement, et en tous cas pas sans me demander la permission.

    • [^] # Re: mise à jour transparente, franchement c'est très sympa :)

      Posté par . Évalué à -4.

      Je trouve ça très moche de la part de Mozilla d'enlever le droit à l'utilisateur de faire ses mises à jours quand il le souhaite et donc de les faire à son insu. On peut vouloir choisir le moment de ses MAJ pour pleins de raisons (problèmes de compatibilités, réseaux etc.).

      Apparemment il existe une possibilité de supprimer la MAJ automatique dans :
      Options > Advanced > Update

      Chez moi sous Linux et Firefox 32 cette option n'est pas présente.
      Dans le about:config non plus je n'ai pas trouvé d'entrées qui permettent de couper court à l'auto update. Ces clefs existent mais seulement pour couper la MAJ auto des extensions et des moteurs de recherche.

      • [^] # Re: mise à jour transparente, franchement c'est très sympa :)

        Posté par . Évalué à 1.

        Chez moi sous Linux et Firefox 32 cette option n'est pas présente.

        Sous GNU/Linux il n'y a pas de mise à jour automatique, c'est le gestionnaire de paquet qui s'en charge.

        de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

        • [^] # Re: mise à jour transparente, franchement c'est très sympa :)

          Posté par . Évalué à 0.

          Pour le passage à Firefox 31, je n'avais pas fais de mise à jour depuis un moment et je me suis retrouvé avec la nouvelle version de Firefox (sous Ubuntu).

          Donc pour l'instant je suis dans le doute, je vais tacher de faire gaffe à ça pour le passage à FF 33, mais je ne suis absolument pas sûr de ce que tu affirmes.

          • [^] # Re: mise à jour transparente, franchement c'est très sympa :)

            Posté par . Évalué à 1. Dernière modification le 06/09/14 à 15:43.

            moi je te confirme, tu peux mettre à jours firefox via apt-get upgrade (je viens de le faire à l'instant). Et pour désactiver les mises a jours de firefox tu peux les bloquer via le gestionnaire de paquet synaptic (très utile pour virer les paquets de langues inutile).

            PS: firefox ne peut pas se mettre a jours sans votre (sudo) permission

  • # Balise Video et Audio HTML 5

    Posté par . Évalué à 5.

    Je suis très déçu de n'avoir aucune mise à jour concernant le lecteur interne pour les balises video et audio en HTML 5. Le contrôle du volume est vraiment mal foutu il ne change pas de couleur, il faut laisser appuyer et glisser à gauche ou droite pour monter ou baisser le volume, et le volume change très vite, ce n'est pas très engageant… aucun soucis sous chromium au passage… suis-je le seul ?

    de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

  • # Nouvelles pages d'erreurs

    Posté par (page perso) . Évalué à 6.

    J'ai aussi découvert le nouvelles pages d'erreurs. Par exemple si je tape http://fdihshfwiufrh.sufidfu Mais ça ne date peut-être pas de cette version. J'attends avec impatience le renouvellement de la page de mauvais certificat où on pourra visiter le site sans avoir par défaut le certificat enregistré pour les prochaines visites. Je trouve la version mobile bien mieux sur ce point.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Nouvelles pages d'erreurs

      Posté par . Évalué à -1.

      J'ai aussi découvert le nouvelles pages d'erreurs. Par exemple si je tape http://fdihshfwiufrh.sufidfu

      En effet le fond est gris et la police aussi, ça change tout… Hum.

    • [^] # Re: Nouvelles pages d'erreurs

      Posté par . Évalué à 0.

      Euh, si tu te connecte sur un site ayant auto-signé son certificat, firefox te demande s'il doit accepter la connexion et si oui, s'il doit sauvegarder le certificat pour le futur ou non. Si tu choisis de ne pas le conserver ce dernier est supprimé a l’arrêt de firefox si je ne m'abuse.

      • [^] # Re: Nouvelles pages d'erreurs

        Posté par (page perso) . Évalué à 3.

        Justement, c'est faisable en un clic avec la version mobile, pas besoin d'y penser à chaque fois.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Nouvelles pages d'erreurs

          Posté par . Évalué à 0. Dernière modification le 15/09/14 à 18:59.

          Tu veux retenir le faite de ne pas sauvegarder le certificat mais de l'accepter si je comprends bien?

          Si non pour supprimer des certificats il me semble qu'on peut le faire facilement dans les options :)

          • [^] # Re: Nouvelles pages d'erreurs

            Posté par (page perso) . Évalué à 3.

            Pour la plupart des sites1, je veux une alerte, même si le certificat est invalide, comme ça, j'ai un rappel de ne pas transmettre des données sensibles.


            1. une exception étant pendant le développement par exemple, mais dans ce cas, on s'en fout des données sensibles. 

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.