On me souffle qu'étudier les charges patronales est potentiellement encore plus intéressant, avec un taux de prélèvement qui diminue quand les revenus augmentent.
La position de Cloudfare ne peut pas du coup être mis au même niveau que ton FAI ou tout autre transitaire. Le premier va déchiffrer ta communication (si elle est protégée, bien entendu), le second non.
Il est vrai que Cloudfare a obtenu l'autorisation du premier communicant pour cette position, il est moins certain que celui qui s'y connecte soit conscient du problème (surtout que l'alternative est de ne pas se connecter à une bonne partie d'Internet). Ils sont en position de lire tout le trafic TLS qui passe par chez eux, et ont donc bien la position parfaite pour passer du statut de « prestataire technique » à « homme du milieu » avec la connotation malveillante qui va avec.
Merci pour cette précision, je n'ai jamais regardé cette partie là en détail. David Miller disait juste « ove away from cached routes in ipv6, just like ipv4 ».
C'est effectivement un problème pour les longues absences/coupures (si tu es hors réseau pendant deux heures normalement pas de soucis). À voir ce qu'ils appellent 70% de dispo minimum pour bénéficier de ce service, car selon le mode de calcul ça pourrait ne pas résoudre le soucis des vacances longues.
Je pense que les plus grosses difficultés techniques pour l'auto-hébergement des mails sont de réussir à passer les filtres anti-spam (sinon ça réduit pas mal à qui on peut vraiment parler), et la sauvegarde propre des mails.
Le premier problème ne me semble pas traité sur leur site (j'ai peut-être raté quelques chose). Pour le second, je comprend assez mal la partie " Service en option de P2P backup : même si votre Own-Mailbox est temporairement hors-ligne, ne perdez aucun e-mail auto-hébergées, tant que votre box est en ligne au moins 70% du temps.".
Je ne comprend pas si c'est un MX secondaire (on parle de temporairement hors ligne. Sachant que bon, la plupart des serveurs vont émettre de nouveau si votre serveur est éteint), ou s'il s'agit de vrai sauvegardes.
Au sujet des liens HTTPS temporaires, quelques précisions sur les certificats SSL qui devront être déployés ne pourraient pas faire de mal non plus.
1) tu déclares des espaces réseaux différents (via le noyaux de ton ordinateur/station de travail). Ca ne change rien au niveau matériel
2) tu mets des règles de pare-feux sur tes espaces (du genre "espace avec le nom Firefox, tout est filtré sauf le port 443". En pratique ça sera de l'iptables sur tes interfaces virtuelles)
3) tu mets ton firefox dans l'espace qui va bien (en signalant au noyau que tel PID doit suivre les règles de tel espace).
Et voilà. Ca me semble parfaitement possible avec ce qui existe actuellement. J'ai jamais testé sur mon ordinateur personnel cependant (je vais peut-être faire ça ce week-end du coup).
Je pense qu'isoler les programmes dans un espace réseau différent, avec des règles de réseaux différentes (met à la poubelle tout ce qui n'est pas sur le port 443) marchera bien.
Le manuel sera plus efficace que moi pour introduire la solution :
Amateurisme qui s'est vu pour ma part confirmé par l'usage de boobank (par exemple aucune réponse des développeurs aux différents rapports de buggs et demandes d'aide pour les corriger). Beaucoup de temps perdu au final.
Lien vers les bugs sur bug tracker ?
Je ne dis pas qu'on en rate pas, mais tu parles de la partie la mieux testée de Weboob, alors je me renseigne…
Juste une petite remarque en passant : la discussion se focalise ici sur la sécurité des mots de passe et identifiants. Je pense qu'on a fait le tour du sujet.
Il est cependadnt à noter que beaucoup de modules utilisés par Weboob ne nécessitent pas ces informations. On peut notamment penser aux sites de vidéos, de météo, les journaux en ligne, etc. Réduire Weboob aux sites bancaires, c'est très réducteur.
Tu ne peux pas être responsable d'un bug qui ne serait jamais arrivé si l'utilisateur n'avait pas contrevenu aux conditions d'utilisation du site. Pourtant, en tant qu'établissement bancaire, tu vas être obligé de traiter le problème, et de rembourser le client.
C'est les mêmes qui ne sont pas responsables du bug si quelqu'un met des guillemets dans un champ, alors que ce n'était pas prévu ? Ce genre de trucs : http://xkcd.com/327/ ?
Apparemment on peu juste interroger mais pas créer de petite annonce
En effet. Je pense que l'ajout d'annonces est de toute façon beaucoup moins intéressante, car Weboob permet de gagner du temps surtout sur des tâches très fréquentes (à moins d'être un utilisateur très intensif du boncoin, je ne pense pas que ça vaille le coup de développer ça).
Pour la stabilité, on parle bien ici effectivement que du coeur et des outils associés. Les modules eux seront mis à jour durant le cycle de vie de la 1.0.
Comme c'est une version dans une Debian stable, on fera notre possible pour backporter les patchs sur les modules si nécessaire.
Je crois pas qu'on utilise de méthodes spécifiques pour leboncoin, ça doit donc pas être si pire que ça (si on parle des protections techniques, et pas des règles d'utilisation).
J'ai un GuruPlug qui tourne depuis des années (smartctl dit 33 000 heures de service pour le SSD branché dessus), qui sert de serveur mail, de routeur, etc. Et le tout sur une 100% Debian classique (la seule perte par rapport à la distribution fournie étant le pilote WiFi propriétaire).
J'ai certes fait un peu de bricolage avant (j'ai supprimé le ventilo "ajouté" par le constructeur, j'ai rajouté des radiateurs passifs, j'ai fait des trous dans la coque…), mais après ces petites modifications il était tout à fait utilisable. Ça reste cependant inadmissible que GlobalScale ait vendu un produit à ce point non terminé.
Et la mise à jour qui semble résoudre le problème :
UPDATE: After additional conversations with the open source community and the Gnome Foundation, we have decided to abandon our pending trademark applications for “Gnome.” We will choose a new name for our product going forward.
Le trajet est bien de bas en haut. Cependant, la rue Saulnier a un contre-sens pour les vélos, il n'y a donc pas de sens unique pour notre cas (ça ne se voit cependant pas avec ce fond de carte. Le fond de carte Cycle Map est beaucoup plus clair pour ces cas là).
Je suis très heureux de voir des nouvelles du projet, je me demandais il y a quelques temps ce qu'il devenait. J'ai toujours une instance qui tourne chez moi (pas mise à jour depuis le dernier journal…), que j'utilise de temps en temps.
J'aime beaucoup les résultats proposés par le routage, qui sont toujours très proches de ce que j'ai pu constater sur les trajets que je connais bien (j'ai même découvert une fois une astuce sur un trajet que je faisais quotidiennement depuis six mois).
Ajouter une notion d'accélération latérale maximum, ce qui implique de limiter la vitesse de passage dans un virage en fonction de son rayon de courbure. J'avais échoué par le passé à avoir quelque chose qui ne faisait pas n'importe quoi, mais j'ai réussi à tester une méthode d'approche du rayon de courbure qui donnait des résultats cohérents avec mes traces GPS
Ce serait une excellente idée. Je pense que ça permettrait en plus de corriger mon principal reproche à l'algo, qui gère parfois assez mal les enchaînements de carrefours. Petit exemple :
C'est certes plus court, mais avec autant de virages à 90 degrés, ça ne va pas plus vite et ça ne fatigue pas moins.
il faut considérer qu'une requête DNS est privée (ça contient peu d'information, quand même, et surtout, ça n'est pas nominatif)
Avec l'IP source, c'est très rapidement proche du nominatif. Sachant que les sites visités permettent (désolé, j'ai pas la référence rapide sous la main) d'identifier de manière très fiable de toute façon la personne, on a rapidement un soucis.
L'utilisation d'internet impose l'envoi d'informations : je veux voir tel site, voici mon mot de passe, je veux envoyer un email à l'utilisateur machin sur le serveur truc, etc. […] On l'a volontairement transmise à un tiers, quand même.
A priori le problème est surtout qu'avec le DNS tu envoies des informations à des gens qui n'ont rien à voir avec la communication. Le côté « transmission volontaire » me semble faux. Tu as voulu accéder à example.com, soit. Tu n'as pas forcément voulu que des extérieurs à l'ensemble (toi + example.com) puissent le savoir.
Sur le trafic DNS qui sort de ton navigateur, je t'invite à utiliser un analyseur réseau. On en émet bien plus qu'on ne pourrait le croire.
Ça dépend aussi du public concerné et des données manipulées. Là on a des données très sensibles (bancaire et autres), avec des développeurs provenant pour certains d'un monde vu par l'extérieur comme assez parano (mais pourquoi tu t'intéresses à la protection de ta vie privée ?).
Personnellement j'ai mis longtemps à utiliser Weboob, car j'étais également assez méfiant, ce que je respecte donc pleinement. Après, il me semble que le projet a toujours été très clair sur ses faiblesses (notamment auparavant, quand les certificats SSL n'étaient pas vérifiés). La bonne nouvelle c'est que c'est désormais corrigé, que les mots de passe peuvent être stockés non plus en clair mais par n'importe quel outil choisi par l'utilisateur, etc.
J'ai une hypothèse 3 : il tourne sous quel utilisateur le cron ? ifconfig n'est pas le PATH pour les utilisateurs simples chez Debian (contrairement à ip, qui pourrait être utilisé ici).
qu'est-ce qui me prouve […] ne contient pas du code malhonnête qui va récupérer et transmettre à des tiers lesdites données d'accès ?
Sans lire le code ? Rien. À noter que lire le code de Firefox et des éventuels plugins associés est probablement plus long.
Il y a des mécanismes de sécurité dans Weboob (signature des modules lors des mises à jour par exemple), mais il faut faire confiance aux développeurs. Sans ça, tu vas nulle part.
Parce que faut admettre que beaucoup d'escrocs doivent rêver de pouvoir implanter une backdoor dans de telles applications…
Honnêtement je doute un peu de cette affirmation. La communauté est trop réduite pour gagner beaucoup d'argent, par rapport à la complexité d'introduire un truc sans se faire griller. Des applications grand public sont beaucoup plus pertinentes.
A noter que les citoyens canadiens qui ne résident pas au Canada pendant une longue période perdent temporairement leur droit de vote.
C'est actuellement en débat judiciaire. Les canadiens de l'étranger pouvaient voter en juin en Ontario, par exemple (c'est en procédure d'appel pour les élections à venir).
[^] # Re: Les impôts, c'est pour les pauvres
Posté par Florent Fourcot . En réponse au journal [HS] L'impôt sur le revenu français, pas si progressif, voire régressif. Évalué à 4.
On me souffle qu'étudier les charges patronales est potentiellement encore plus intéressant, avec un taux de prélèvement qui diminue quand les revenus augmentent.
[^] # Re: Ca fout en l'air ton texte
Posté par Florent Fourcot . En réponse au journal CloudFlare au milieu. Évalué à 10.
La position de Cloudfare ne peut pas du coup être mis au même niveau que ton FAI ou tout autre transitaire. Le premier va déchiffrer ta communication (si elle est protégée, bien entendu), le second non.
Il est vrai que Cloudfare a obtenu l'autorisation du premier communicant pour cette position, il est moins certain que celui qui s'y connecte soit conscient du problème (surtout que l'alternative est de ne pas se connecter à une bonne partie d'Internet). Ils sont en position de lire tout le trafic TLS qui passe par chez eux, et ont donc bien la position parfaite pour passer du statut de « prestataire technique » à « homme du milieu » avec la connotation malveillante qui va avec.
[^] # Re: Cache IPv6
Posté par Florent Fourcot . En réponse à la dépêche Sortie du noyau Linux 4.2. Évalué à 3.
Merci pour cette précision, je n'ai jamais regardé cette partie là en détail. David Miller disait juste « ove away from cached routes in ipv6, just like ipv4 ».
À ce sujet, Facebook a détaillé ce changement : https://code.facebook.com/posts/1123882380960538/linux-ipv6-improvement-routing-cache-on-demand/
[^] # Re: Passer les filtres anti-spam
Posté par Florent Fourcot . En réponse à la dépêche La campagne Kickstarter de Own-Mailbox a commencé. Évalué à 3.
C'est effectivement un problème pour les longues absences/coupures (si tu es hors réseau pendant deux heures normalement pas de soucis). À voir ce qu'ils appellent 70% de dispo minimum pour bénéficier de ce service, car selon le mode de calcul ça pourrait ne pas résoudre le soucis des vacances longues.
# Passer les filtres anti-spam
Posté par Florent Fourcot . En réponse à la dépêche La campagne Kickstarter de Own-Mailbox a commencé. Évalué à 10.
Je pense que les plus grosses difficultés techniques pour l'auto-hébergement des mails sont de réussir à passer les filtres anti-spam (sinon ça réduit pas mal à qui on peut vraiment parler), et la sauvegarde propre des mails.
Le premier problème ne me semble pas traité sur leur site (j'ai peut-être raté quelques chose). Pour le second, je comprend assez mal la partie " Service en option de P2P backup : même si votre Own-Mailbox est temporairement hors-ligne, ne perdez aucun e-mail auto-hébergées, tant que votre box est en ligne au moins 70% du temps.".
Je ne comprend pas si c'est un MX secondaire (on parle de temporairement hors ligne. Sachant que bon, la plupart des serveurs vont émettre de nouveau si votre serveur est éteint), ou s'il s'agit de vrai sauvegardes.
Au sujet des liens HTTPS temporaires, quelques précisions sur les certificats SSL qui devront être déployés ne pourraient pas faire de mal non plus.
[^] # Re: Voyager dans le multispace (ou multivers, ce genre de trucs)
Posté par Florent Fourcot . En réponse au message Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S). Évalué à 2.
Oui.
1) tu déclares des espaces réseaux différents (via le noyaux de ton ordinateur/station de travail). Ca ne change rien au niveau matériel
2) tu mets des règles de pare-feux sur tes espaces (du genre "espace avec le nom Firefox, tout est filtré sauf le port 443". En pratique ça sera de l'iptables sur tes interfaces virtuelles)
3) tu mets ton firefox dans l'espace qui va bien (en signalant au noyau que tel PID doit suivre les règles de tel espace).
Et voilà. Ca me semble parfaitement possible avec ce qui existe actuellement. J'ai jamais testé sur mon ordinateur personnel cependant (je vais peut-être faire ça ce week-end du coup).
[^] # Re: Voyager dans le multispace (ou multivers, ce genre de trucs)
Posté par Florent Fourcot . En réponse au message Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S). Évalué à 2.
Oui enfin une fois que tu as séparé ton réseau, iptables ou NFtables vont faire le boulot très facilement.
# Voyager dans le multispace (ou multivers, ce genre de trucs)
Posté par Florent Fourcot . En réponse au message Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S). Évalué à 2.
Je pense qu'isoler les programmes dans un espace réseau différent, avec des règles de réseaux différentes (met à la poubelle tout ce qui n'est pas sur le port 443) marchera bien.
Le manuel sera plus efficace que moi pour introduire la solution :
http://man7.org/linux/man-pages/man8/ip-netns.8.html
[^] # Re: weboob
Posté par Florent Fourcot . En réponse au journal Weboob, la consécration. Évalué à 9.
Lien vers les bugs sur bug tracker ?
Je ne dis pas qu'on en rate pas, mais tu parles de la partie la mieux testée de Weboob, alors je me renseigne…
[^] # Re: Condoléance aux familles
Posté par Florent Fourcot . En réponse au journal Liberté d'expression sous les balles. Évalué à 4.
Message qui alterne avec une pub pour du chocolat et pour une voiture. L'effort reste appréciable.
[^] # Re: Watchwolf
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 8.
Juste une petite remarque en passant : la discussion se focalise ici sur la sécurité des mots de passe et identifiants. Je pense qu'on a fait le tour du sujet.
Il est cependadnt à noter que beaucoup de modules utilisés par Weboob ne nécessitent pas ces informations. On peut notamment penser aux sites de vidéos, de météo, les journaux en ligne, etc. Réduire Weboob aux sites bancaires, c'est très réducteur.
[^] # Re: le bon coin
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 5.
C'est les mêmes qui ne sont pas responsables du bug si quelqu'un met des guillemets dans un champ, alors que ce n'était pas prévu ? Ce genre de trucs : http://xkcd.com/327/ ?
[^] # Re: le bon coin
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 3. Dernière modification le 14 novembre 2014 à 14:38.
En effet. Je pense que l'ajout d'annonces est de toute façon beaucoup moins intéressante, car Weboob permet de gagner du temps surtout sur des tâches très fréquentes (à moins d'être un utilisateur très intensif du boncoin, je ne pense pas que ça vaille le coup de développer ça).
[^] # Re: What is stable?
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 3.
Pour la stabilité, on parle bien ici effectivement que du coeur et des outils associés. Les modules eux seront mis à jour durant le cycle de vie de la 1.0.
Comme c'est une version dans une Debian stable, on fera notre possible pour backporter les patchs sur les modules si nécessaire.
[^] # Re: Watchwolf
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 7.
Et également de ne pas le stocker du tout et de le rentrer à chaque appel.
[^] # Re: le bon coin
Posté par Florent Fourcot . En réponse à la dépêche Weboob atteint la maturité. Évalué à 3.
Je crois pas qu'on utilise de méthodes spécifiques pour leboncoin, ça doit donc pas être si pire que ça (si on parle des protections techniques, et pas des règles d'utilisation).
[^] # Re: Du matériel plus puissant qu'une FON et qui fasse tourner OpenWRT ?
Posté par Florent Fourcot . En réponse à la dépêche OpenWrt Barrier Breaker 14.07 guide vos routes. Évalué à 3.
J'ai un GuruPlug qui tourne depuis des années (smartctl dit 33 000 heures de service pour le SSD branché dessus), qui sert de serveur mail, de routeur, etc. Et le tout sur une 100% Debian classique (la seule perte par rapport à la distribution fournie étant le pilote WiFi propriétaire).
J'ai certes fait un peu de bricolage avant (j'ai supprimé le ventilo "ajouté" par le constructeur, j'ai rajouté des radiateurs passifs, j'ai fait des trous dans la coque…), mais après ces petites modifications il était tout à fait utilisable. Ça reste cependant inadmissible que GlobalScale ait vendu un produit à ce point non terminé.
[^] # Re: Que de naïveté
Posté par Florent Fourcot . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 9.
Et la mise à jour qui semble résoudre le problème :
UPDATE: After additional conversations with the open source community and the Gnome Foundation, we have decided to abandon our pending trademark applications for “Gnome.” We will choose a new name for our product going forward.
[^] # Re: Félicitations
Posté par Florent Fourcot . En réponse au journal rv/hervé : recherche d’itinéraire vélo minimisant l'énergie en utilisant les données d'OSM. Évalué à 3.
Le trajet est bien de bas en haut. Cependant, la rue Saulnier a un contre-sens pour les vélos, il n'y a donc pas de sens unique pour notre cas (ça ne se voit cependant pas avec ce fond de carte. Le fond de carte Cycle Map est beaucoup plus clair pour ces cas là).
# Félicitations
Posté par Florent Fourcot . En réponse au journal rv/hervé : recherche d’itinéraire vélo minimisant l'énergie en utilisant les données d'OSM. Évalué à 5.
Je suis très heureux de voir des nouvelles du projet, je me demandais il y a quelques temps ce qu'il devenait. J'ai toujours une instance qui tourne chez moi (pas mise à jour depuis le dernier journal…), que j'utilise de temps en temps.
J'aime beaucoup les résultats proposés par le routage, qui sont toujours très proches de ce que j'ai pu constater sur les trajets que je connais bien (j'ai même découvert une fois une astuce sur un trajet que je faisais quotidiennement depuis six mois).
Ce serait une excellente idée. Je pense que ça permettrait en plus de corriger mon principal reproche à l'algo, qui gère parfois assez mal les enchaînements de carrefours. Petit exemple :
C'est certes plus court, mais avec autant de virages à 90 degrés, ça ne va pas plus vite et ça ne fatigue pas moins.
[^] # Re: Qui est au courant ?
Posté par Florent Fourcot . En réponse au journal Création du groupe de travail IETF sur « DNS et vie privée ». Évalué à 5.
Avec l'IP source, c'est très rapidement proche du nominatif. Sachant que les sites visités permettent (désolé, j'ai pas la référence rapide sous la main) d'identifier de manière très fiable de toute façon la personne, on a rapidement un soucis.
A priori le problème est surtout qu'avec le DNS tu envoies des informations à des gens qui n'ont rien à voir avec la communication. Le côté « transmission volontaire » me semble faux. Tu as voulu accéder à example.com, soit. Tu n'as pas forcément voulu que des extérieurs à l'ensemble (toi + example.com) puissent le savoir.
Sur le trafic DNS qui sort de ton navigateur, je t'invite à utiliser un analyseur réseau. On en émet bien plus qu'on ne pourrait le croire.
[^] # Re: Weboob et la sécurité
Posté par Florent Fourcot . En réponse à la dépêche 0.joie, une nouvelle version de Weboob. Évalué à 5.
Ça dépend aussi du public concerné et des données manipulées. Là on a des données très sensibles (bancaire et autres), avec des développeurs provenant pour certains d'un monde vu par l'extérieur comme assez parano (mais pourquoi tu t'intéresses à la protection de ta vie privée ?).
Personnellement j'ai mis longtemps à utiliser Weboob, car j'étais également assez méfiant, ce que je respecte donc pleinement. Après, il me semble que le projet a toujours été très clair sur ses faiblesses (notamment auparavant, quand les certificats SSL n'étaient pas vérifiés). La bonne nouvelle c'est que c'est désormais corrigé, que les mots de passe peuvent être stockés non plus en clair mais par n'importe quel outil choisi par l'utilisateur, etc.
[^] # Re: Disponibilité du réseau lors du démarrage
Posté par Florent Fourcot . En réponse au message Problème resolution ip locale. Évalué à 7.
J'ai une hypothèse 3 : il tourne sous quel utilisateur le cron ? ifconfig n'est pas le PATH pour les utilisateurs simples chez Debian (contrairement à ip, qui pourrait être utilisé ici).
[^] # Re: Weboob et la sécurité
Posté par Florent Fourcot . En réponse à la dépêche 0.joie, une nouvelle version de Weboob. Évalué à 10.
Sans lire le code ? Rien. À noter que lire le code de Firefox et des éventuels plugins associés est probablement plus long.
Il y a des mécanismes de sécurité dans Weboob (signature des modules lors des mises à jour par exemple), mais il faut faire confiance aux développeurs. Sans ça, tu vas nulle part.
Honnêtement je doute un peu de cette affirmation. La communauté est trop réduite pour gagner beaucoup d'argent, par rapport à la complexité d'introduire un truc sans se faire griller. Des applications grand public sont beaucoup plus pertinentes.
[^] # Re: Le cas particulier des Francais de l'étranger
Posté par Florent Fourcot . En réponse au journal Vote électronique : on continue avec Java. Évalué à 3.
C'est actuellement en débat judiciaire. Les canadiens de l'étranger pouvaient voter en juin en Ontario, par exemple (c'est en procédure d'appel pour les élections à venir).