Florent Fourcot a écrit 398 commentaires

Sur un squid récent (version 3.1 minimum je dirais), tu peux utiliser l'option ssl-bump qui devrait te permettre de faire ce que tu veux. Je ne pense pas qu'il soit nécessaire d'utiliser d'autres outils.

J'ai pas mal hésité à répondre, car tu es tout de même relativement agressif. Clairement, simuler de l'homme du milieu avec un proxy, non ce n'est pas sécurisé. Si quelqu'un prend le contrôle de ton serveur, il pourra intercepter tous les flux que les utilisateurs peuvent penser sans risques. Et je ne parle même pas du risque d'un administrateur qui s'ennuie...

Prendre l'exemple des grosses boîtes et grosses administrations pour parler d'éthique me fait bien rigoler... Si tu souhaites vraiment mettre cela en place, fait le. Mais ne vient pas dire que c'est sans risque. Et surtout, n'oublie pas de prévenir tes utilisateurs sur les risques et sur ce que vous faites vraiment (sans prévenir les utilisateurs, je trouve cette pratique vraiment malhonnête).

Je préviendrais demain mon employeur qu'il a un gros trou de sécu dans son réseau, il me laisse utiliser du ssh vers chez moi...

GPG ne règle pas tout, mais il règle certains problèmes. Typiquement tous les spams du genre hameçonnage. C'est plus compliqué de se faire passer pour paypal si tous les mails émis par paypal sont signés (de même et plus récemment, pour Hadopi).

Un journal pour parler d'un truc :

* Un peu pourri, qui tente de répandre des mensonges à la plus grand portion de population possible
* Qui n'est actuellement pas libre.

Appeler à la libération, ça se fait souvent sur linuxfr. Mais aujourd'hui, la ficelle est quand même un peu grosse...

Que linux n'est pas prêt pour le Desktop.

Sur ce, je ~~>[]

En réalité suite à cette décision de justice, le site a de lui-même commencé à filtrer les IP françaises. Ce n'était pas le cas quand le filtrage a été ordonné.

Oui, c'est possible, des solutions les plus simples (utilisation d'autres DNS...) aux solutions plus complexes comme TOR, en passant par le simple proxy socks fait par un ssh.

L'outil à utiliser et les inconvénients dépendent fortement des mesures mises en places par la censure. Si on parle juste de DNS, le contourner sera simple. S'il y a un blocage de l'IP, il faudra déjà faire un peu plus complexe.

Autrement les logiciels permettant un surf anonyme ont aussi des mécanismes anti-censure. À mon avis le plus abouti et le plus "user-friendly" est pour moi le logiciel JAP : http://anon.inf.tu-dresden.de/index_en.html

La société JonDos fournie au passage des paquets Debian du même logiciel : http://anonymous-proxy-servers.net/en/jondo/download/linux

Autrement dans nos démocraties un simple "aptitude install tor" (ou équivalent sous autres distributions) devrait suffire. Depuis la version 0.2 Tor utilise sa propre résolution DNS et n'a donc plus besoin de configuration supplémentaire (en cas d'utilisation de Tor, le mettre en relais est également apprécié).

Si Tor et JAP ont globalement le même objectif, l'architecture du système est complètement différente (serveurs centralisés contre p2p).

Mais bon, ce sont des solutions extrêmes, qui ne devraient pas exister dans un monde idéal et démocratique. À un blocage technique il faudrait à mon avis mieux avoir une réponse politique, autant que possible...

Je voudrais tout de même nuancer un peu le propos. Git est loin d'être obligatoire, un patch fait avec "diff" peut largement suffire. C'est certain que c'est plus propre de suivre les règles et de suivre la documentation, mais pour quelqu'un de discret les développeurs du noyaux sont tout de même relativement compréhensifs (pour en tout cas mon expérience individuelle).

Bravo en tout cas pour ces explications pas à pas, je pense que la peur de mal faire peut bloquer beaucoup de contributeurs à franchir le pas.

Cet argument est relativement léger. Rien n'empêche des comptes manuels réguliers sur les lignes pour vérifier leur utilisation. C'est moins "précis", t'as pas toutes les données, mais personnellement j'ai l'impression que mon bus de 18h42 le lundi il contient environ exactement le même nombre de personnes tous les jours...

Personnellement entre ces statistiques (dont je me demande l'impact réel par rapport à quelques mesures régulières manuelles) et les désavantages de la solution (se prendre une amende en cas d'oubli de compostage alors qu'on est en règle, soucis sur la vie privée...), je sais ce que je choisis sans hésiter.

s/conducteurs/contrôleurs en effet...

Il faut encore pour ça que les contrôleurs surveillent et vérifient. Ce qui n'est souvent pas le cas, et ce n'est d'ailleurs par leur travail qui est de conduire un bus.

Oui, mais c'est une très mauvaise réponse en fait. Le système de validation à chaque montée dans un transport en commun, j'ai connu à Rennes. Et à *toute* montée, c'était vraiment effroyable. Exemple : tu prends un ticket de bus valable pour une certaine durée, pour un même trajet tu dois valider trois fois car tu prends trois correspondances. Mais pardon, je disgresse.

Donc Rennes, qui a gagné un article sur le site des big brothers awards : http://bigbrotherawards.eu.org/article719.html
L'anonymat est possible, car obligatoire par la CNIL. Sauf que ça interdit du coup les réductions et les abonnemens. On ne peut payer que par trajet (un peu moins cher qu'acheter les tickets à l'unité, mais tout de même...). Le prix de l'anonymat est très élevé. Et pour avoir essayer d'acheter une carte anonyme à Paris, les guichetiers sont le plus souvent pas informé de son existence et sont incapables d'en vendre. Donc incapacité financière tout d'abord (être anonyme serait donc un privilège de riche ?) et incapacité de fait devant la difficulté d'un achat.
Enfin, ces cartes anonymes le seraient vraiment si un nombre suffisant de personnes les utilisaient. Si je suis le seul à posséder une carte anonyme, pas besoin d'être un génie pour savoir qui je suis quand je valide quelque part.

Cette "obligation" de la CNIL est donc pour moi une fumisterie. Et ne répond pas au besoin, à savoir, que si on a un abonnement, on ne devrait pas être obligé d'être tracé. Et que d'autres systèmes sont possibles, l'histoire le prouve. Et même actuellement, je suis dans une ville allemande ou l'abonnement au semestre c'est un simple morceau de papier avec nom et prénom. Même pas de photos, et en cas d'oubli il suffit de se rendre au bureau et payer une modique somme pour frais de dossier...

Ainsi, c'est plus simple « pour fixer au plus vite ». Le défaut c'est les petits trous qui vont avec.

D'après le point 12 de la RFC rfc3315, c'est possible de faire des adresses temporaires en DHCPv6. Mais j'ai personnellement jamais testé. Autrement, un vlan par machine avec les bonnes RA... (oui, ceci est une machine à gaz)

Bonne question si les Privacy Extensions fonctionnent sans auto-conf avec un préfixe "en dur". Je ne vois pas techniquement ce qui empêcherait que ça marche, j'essaierai ce soir tiens.

J'ai oublié un truc, c'est le défaut du /64 par machine. Quand tu utilises les Privacy Extensions, c'est a priori pour que ton ordinateur ne soit plus discernable parmi l'ensemble des machines de ton réseau (au moins sur l'adresse IP, les autres moyens de traces sur Internet sont laissées au lecteur en exercice).

Quand tu définis un /64 par machine, tu « casses » cette protection. Pour peu que l'on sache que tu utilises ce /64 pour cette machine, on est certain que c'est toujours elle qui communique. À mon avis ce n'est pas très grave, car qui serait en mesure d'obtenir cette information (par analyse de la signature TCP, par analyse des flux, de l'entropie de ton navigateur, etc) te trace de toutes façons déjà...

La première solution (et à mon avis la plus efficace pour ce que tu recherches), c'est un /64 par machine. Ainsi tu ouvres les ports que tu souhaites sur tout le /64 où se trouve la machine, et le problème est réglé sans pour autant permettre l'accès aux autres machines de ton réseau (qui seront sur d'autres sous-réseaux). On peut même généraliser à "un /64 par politique de sécurité". Avec he.net, tu as un /48 il me semble, soit plus de 65000 sous-réseaux possibles, pour un besoin domestique cela devrait suffire.

La seconde c'est un firewall/routeur d'entrée un peu moins parano, et qui autorise pour l'ensemble du réseau les ports des applications que tu utilises (à charge ensuite à chaque machine locale de fermer ce port avec un firewall personnel si elles le souhaitent). On revient à la notion de firewall de "première ligne" qui filtre le gros en laissant un peu de flexibilité derrière.

La troisième c'est la mise à jour en temps réel du firewall. Il n'existe pas de solutions pour l'instant pour ce que j'en sais (hormis un script un peu brouillon que tu pourrais écrire pour remettre à jour le firewall, une solution un peu lourde...). On peut espérer qu'on pourra un jour utiliser de l'UPNP ou un mécanisme approchant dans le futur pour demander l'ouverture de ports à la demande.

D'après leur site, c'est un logiciel en GNU GPLv2. Par contre leur site et le communiqué de presse ne parle que d'Open Source, le côté « libre » ne semble pas vraiment mit en avant. Le fait de devoir donner une adresse mail pour télécharger les sources est un peu désagréable.

Pour ce qu'il fait, j'ai pas encore bien compris non plus. A première vue il analyse des logs pour fournir la preuve d'une agression, mais c'est vraiment à première vue...

Euh, source ?

En OCaml tu peux tenter d'augmenter l'inline et virer la vérification sur les tableaux (qui sur ce genre de programmes doit prendre du temps).

Ce sont les options -inline et -unsafe de ocampopt (après tout si on compile en -O3 pour le C, autant tricher aussi en OCaml...)

Pour information, les entrées de gammes d'aujourd'hui n'ont pas vraiment 4Go de ram, et pas un processeur aussi rapide non plus...

Mon avis à moi : quand tu décryptes, c'est que tu tentes de casser la protection d'un message dont tu ne possèdes pas la clef.

Quand tu déchiffres, tu utilises la clef et tu la connais. Donc FireGPG déchiffre, mais ne décrypte certainement pas (enfin c'est juste mon interprétation et mon utilisation de ces différents mots)

Effectivement tout de suite les statistiques de linuxfr deviennent moins pertinentes... Merci pour cette information.

Je ne sais pas à quel point le site OMG Ubuntu est fréquenté, mais je me demande si ces chiffres sont vraiment pertinents pour parler de "part de marché sous linux".

Personnellement quand je regarde sur linuxfr (http://linuxfr.org/stats/web.html/usage_201005.html#TOPAGENT(...) car je ne suis pas certain que la balise passe...) Chrome ne semble pas vraiment exister dans le paysage. Ou alors utilise-t-il un User Agent trop classique qui ne le rend pas repérable ?

Ce qui est fou c'est que le titre est en minuscule...

Personnellement j'attends de trouver un juriste allemand capable d'expliquer entièrement la décision avant d'en tirer des grandes conclusions. Il semblerait que les juges aient justes demandés la mise en place d'un mot de passe, autre que celui par défaut (ou autre qu'un wifi ouvert, j'ai pas réussi à trouver de source fiable)

Je suis loin d'être certain que les juges te demandent un Wifi sécurisé, il est plus probable qu'ils demandent juste un minimum pour prouver ta bonne foi.

En Allemagne je connais des gens qui ont été accusés pour des téléchargement d'un seul morceau, le cas n'est pas unique, et je pense même qu'il se généralise. Typiquement tu reçois un jour dans ta boîte aux lettres un courrier exigeant que tu paies 800€, sinon on t'attaque au tribunal (vous pouvez remplacer 800 par une somme avoisinante, j'ai un exemple de 1200 exigés au total pour un film accompagné d'un morceau de musique (et étrangement le prix pour le morceau de musique est plus élevé...)).

Le truc c'est que je pense que pas mal de monde paie. Car le tribunal, ça coûte cher. S'écraser aussi, mais au moins on sait ce que l'on paie. Ce jugement était du coup très attendu, il allait donner plus ou moins la tendance pour savoir s'il vaut mieux payer ou attendre le tribunal...

Globalement je pense que ce jugement est une très mauvaise nouvelle. Il enterre le principe que c'est à toi de configurer ton routeur, alors que tous n'ont pas forcément les compétences pour ça. Il enterre aussi les Wifis ouverts. Au dela du caractère effectivement ridicule du « j'étais en vacance », la cour fédérale vient de confirmer le statut très précaire des internautes allemand on considérant l'adresse IP comme preuve suffisante de la localisation des faits.

Et c'est aussi un beau bazar pour le partage des connexions, vu que c'est le nom du mec sur le contrat qui prend cher, pas le coupable final.