- Le format jpeg est vieux, on peut faire mieux actuellement.
- Le jpeg2k fait ça mais n'a pas percé, alors on lance le notre qui (forcément) est encore moins répandu
- Regardez, en prenant des images au hasard sur Internet on peut gagner 39% en moyenne avec une dégradation faible "non visible" de l'image
Et c'est ce dernier argument que j'achète le moins.
- Ceux qui ont déjà essayé savent qu'en retirant toutes les méta-données des images on gagne déjà un volume non négligeable. WebP n'ayant pas pour l'instant de méta-données, il est forcément plus petit. Retirer les vignettes embarquées et les méta-données ça peut déjà être fait dans jpeg, et côté performance web on conseille déjà de le faire justement pour gagner en volume.
- Si vous regardez, la plupart des images jpeg sur le web sont enregistrées avec franchement trop de qualité pour ce qui est nécessaire. On trouve pas si rarement des 95 ou 99%, rarement en dessous de 90%.
Souvent (pas tout le temps) baisser à 80% ne montre pas d'artefact horrible, et on gagne facilement du poids sur l'image.
Un gain moyen de 39% sur un échantillon jpeg aléatoire du web, en retirant les méta-données et en s'autorisant une perte légère mais peu visible de qualité, je sais faire aussi hein. Pas besoin de changer de format de fichier pour ça.
Bon, je ne nie pas qu'ils ont pu faire une compression un peu meilleure à qualité visible égale, je leur fait confiance, mais le résultat ne me semble franchement pas justifier "encore un format de plus". Donc, à part, "oui mais celui là c'est *notre* format et on adore réinventer la roue", qu'est-ce qu'on y gagne ?
> Ben si on utilise un tier de confiance, pourquoi le site ne se fait pas signer son certificat par ce tier de confiance pour qu'il ne soit plus autosigné ?
Parce que déclarer "je vois le même certificat que toi" n'a pas la même force et ne demande pas la même infrastructure/sécurité que certifier le site.
> Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
La signature de l'autorité de confiance est un moyen d'identifier le site, pas le seul. On peut passer par une certification "de masse" (on sait que le site est le bon parce que la masse déclare qu'il est le bon). On peut aussi certifier par soi même (ce qui est fait pour la plupart des intranet ou applis persos).
Ces moyens ne sont pas forcément plus mauvais que de faire confiance à Verisign qu'on ne connait pas et dont on ne peut pas contrôler la bonne foi ou l'absence de faille.
> Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
vas voir cacert.org
Mais ce n'est pas si simple. Il va te falloir une infrastructure de sécurité qui convainque tous les éditeurs de navigateur que ta clef maitresse ne sera pas compromise. Il va aussi te falloir assurer que tu ne certifies que le propriétaire du site et pas n'importe qui.
Ca demande une organisation, une infrastructure, et ça coute des sous.
CaCert n'est toujours pas dans Firefox justement pour ça, ils n'ont pas encore pu prouver par un audit qu'ils apportaient toutes les garanties nécessaires (et pas à cause de questions de monopole ou de non-commercial)
Pour les auto-signés qui l'ont toujours été, je pense qu'il y a vraiment moyen d'améliorer la chose. Il suffit d'un tiers de confiance qui peut confirmer :
- que le certificat n'a pas changé ce dernier mois (donc pas de compromission du côté du serveur ou du réseau global)
- que le certificat qui est vu d'une autre partie du réseau est bien le même que celui que je vois (donc pas de compromission du côté du réseau que j'utilise)
Avec ces deux critères, un simple warning à la première connexion devrait suffire (sans labyrinthe j'entends)
Ca ne coute pas grand chose à faire, qui se lance ?
Tout d'abord non, la plupart des gens ne souhaitent pas simplement accéder à ce ** de site. Ils veulent le faire *et* ne pas compromettre la sécurité (sinon autant aller en http simple).
Ensuite non, nous ne sommes pas dans une configuration similaire à SSH. SSH se fait souvent dans des conditions idéales :
- peu de destinations, toutes connues,
- généralement ces destinations sont fortement maitrisées (souvent on est l'administrateur de la machine)
- généralement accédé depuis son poste et d'un réseau connu, maitrisé
- on ne rencontre jamais de nouveau serveur "par hasard" ou par découverte, la liste change rarement
- si le serveur ssh change de certificat on le sait, on sait facilement que c'est anormal dans le cas contraire
- on s'adresse à des utilisateurs tous très avertis
Là côté web c'est tout le contraire :
- il y a facile une centaine de destinations même pour l'utilisateur de base
- aucune n'est maitrisée (mais alors *pas* du tout)
- pas si rarement accédées en situation de mobilité, à partir de réseaux non contrôlés
- on découvre fréquemment de nouveaux serveurs, qu'on ne connait pas auparavant, la liste change souvent
- on ne sait jamais si un nouveau certificat est normal ou s'il est révélateur d'une malveillance
- on s'adresse en partie à des utilisateurs qui n'y connaissent rien (voire pire : qui se méprennent)
Et ça change tout.
- On me signale par mail un problème avec mon compte en banque, je vais sur le wifi du mac do avec mon téléphone portable, c'est ma première connexion au site avec ce téléphone, je fais quoi ?
- Un copain me conseille un site par mail, j'y vais pour la première fois, le certificat semble auto-signé, je fais quoi ? est-ce normal ?
- Le certificat de Linuxfr.org change, il est auto-signé (imaginons), comment sait-je s'il y a eu un problème ou s'il a réellement changé ?
Le résultat c'est que le comportement par défaut doit bien être d'abandonner. Le fait d'avertir si le certificat a changé n'est pas suffisant. Si on reprend les habitudes de ssh sur le web, on revient rapidement à ce qu'il y avait avant sous Mozilla : aucun labyrinthe, juste une popup qui retient le statut ensuite. C'est simple, excellent, mais finalement la popup ne sert quasiment à rien, on cliquera toujours sur "continuer" ou presque.
On est d'accord que un changement est un critère principal dans l'équation, mais la problématique n'est pas simple pour autant. Dans mon exemple le navigateur avait bel et bien prévenu que le certificat avait changé (puisque tous ont eu le labyrinthe Mozilla, sinon ça serait passé direct). Ca n'a pas suffit.
En fait une des solutions serait d'avoir enfin une autorité de confiance gratuite *ET* qui fait son boulot (donc qui vérifie réellement la propriété du domaine avant d'envoyer le certificat) *ET* qui passe un audit pour être intégrée dans les navigateurs courants (l'intégration de cacert dans les distributions Linux n'a pas été une bonne chose amha)
Certes ils en font des tonnes, mais justement parce que les utilisateurs ont trop l'habitude d'avoir des boites de dialogue et de valider sans vraiment comprendre.
Moi j'aime bien les pages de Mozilla où ajouter une exception n'est pas une simple validation et où clairement le bouton si on ne réfléchit pas est "je m'en vais".
Pour ce qui est de la banalisation, même avec les pages de Mozilla, on y est déjà.
Je me rappelle à une conférence de développeurs web, probablement des développeurs du haut du panier, des gens qui comprennent, qui savent, et qui font attention.
On avait du wifi prêté pour des ateliers, géré par une école (peut être par l'administration, peut être par des étudiants, on n'en sait rien). Là dessus ils avaient un proxy filtrant aussi le HTTPS (donc cassant les certificats, tous apparaissaient comme des certificats auto-signés).
Et bien ... tous se sont connectés à gmail et à twitter, en validant les erreurs "certificat ssl incorrect". Tous sans exception, j'ai fait un sondage.
Le réflexe est tellement ancré tous se croient plus sachant que le système et que jamais les erreurs du système ne sont acceptées comme bloquantes. Le "Je veux" de l'utilisateur ne s'arrête plus aux "non" du système, quelle que soit la forme qu'on leur donne ou la connaissance de l'utilisateur.
La seule solution que je vois serait de permettre aux navigateurs :
- de faire la différence entre un certificat sans CA de confiance visité pour la première fois (probablement un auto-signé) et un certificat sans CA de confiance pour un site qui était certifié auparavant (probablement un problème de MITM)
- de faire la différence entre un certificat à problème sur une connexion cable habituelle et sur une connexion wifi publique (avec une gravité supplémentaire pour ce dernier cas qui rend plus vraissembable l'attaque)
- d'utiliser un tiers de confiance pour savoir si la signature du certificat auto-signée est la même que celle que les autres ont et ont eu par le passé ou pas (auquel cas si je suis le seul, c'est certainement un MITM)
Pour éviter les emmerdements aussi, à se battre avec la SACEM après coup pour leur faire comprendre qu'on ne leur doit rien. Tous ceux qui ont eu des avocats sur le dos comprendront. On a beau avoir raison que ça n'empêche pas les emmerdes.
Et puis malheureusement certains artistes ne sont pas si clean que ça. Certains croient pouvoir jouer gratuitement s'ils le souhaitent en oubliant qu'ils ont déposé à la SACEM. D'autres font des reprises. Etc. Parfois s'y prendre à l'avance c'est aussi éviter les mauvaises surprises (et ça peut montrer la bonne foi éventuelle si jamais mauvaise surprise il y a)
Bon, je ne connais pas les textes, mais je ne peux que dire "ah ben non".
La SACEM n'est "que" une société de gestion des droits. Tous les auteurs et ayants droits divers sont habilités à collecter directement les revenus de leurs droits s'ils n'ont pas délégué la gestion à une structure (type la SACEM).
Et par la même rien ne les empêche de déléguer la collecte à une société (qui percevra donc les cotisations) ou carrément de vendre les droits patrimoniaux à une société (qui sera donc ayant droit et collectera à ce titre). Je vois mal pourquoi ou comment ce serait la seule à percevoir les cotisations.
La SACEM a un rôle public. Je ne sais pas ce qu'elle perçoit (ou pas) de l'état à ce titre, ou les droits qu'elle a en retour. Par contre il m'apparait extrêmement peu probable que ça empêche les autres de faire jouer leurs propres droits, et donc de percevoir des cotisations pour leur musique.
Je me demande à quel point c'est légal, au moins en France.
Certes, rien ne leur impose de rendre possible le flash et les rom personnalisées (même si j'ai toujours du mal à voir leur intérêt de les interdire).
Par contre il y a une différence entre rendre difficile ou impossible le changement, et rendre volontairement inutilisable l'appareil.
Si rien ne les oblige à laisser les gens changer la ROM, rien à priori ne leur permet de l'interdire légalement. En gros si la personne y arrive, tant mieux pour elle.
Du coup rendre l'appareil volontairement inutilisable n'a pas de fondement légal et je ne serai pas étonné que ce puisse être illégal quelque part (je doute qu'ils aient le droit de volontairement casser quelque chose qu'ils ont vendu).
Si, comme il le dit, le système du copyright fonctionnait ainsi, il serait impossible d'écrire un livre qui implémente la même histoire qu'un existant, un poème qui implémente les mêmes rimes qu'un existant, &c., sans l'accord des ayant-droits de ces derniers.
Très bon exemple, parce que justement, si tu te contentes refaire un livre en gardant toute l'histoire mais en changeant juste l'écriture et les noms (ou si tu reprends un tableau de maitre pour refaire la même chose au fusin dans un style différent), attends toi à perdre ton procès.
La limite entre le similaire, l'inspiration et le plagiat n'est pas tracée en rouge. Il y a une grosse zone grise, sujette à interprétation. En fait il n'y a quasiment qu'une zone grise d'ailleurs.
S'il s'est contenté de refaire Nagios en prenant pour base Nagios et en refaisant le code, franchement je ne sais pas. Je ne connais pas assez la jurisprudence pour affirmer quoi que ce soit.
Si par contre il a fait un logiciel similaire en repompant plein de bonnes idées de Nagios, alors il est probablement tranquille.
La question a poser est : est-ce une oeuvre originale ? est-elle basée sur l'oeuvre précédente ou s'en inspire t-elle ?
Ce qui est connu et dépassé pour les uns ne l'est pas pour les autres. Quant à la présence de nombreux articles et livres, certains viennent aux conférences pour ne justement pas avoir à suivre tout au long de l'année 150 sites et lire des livres pour se faire une idée. Ils attendent que d'autres comme toi ou moi le fassent pour voir le retour sur expérience.
Je ne dis pas que c'est bien ou mal, mais ça fait (aussi) partie du public. Pour beaucoup de gens, une conférence sur quelque chose qui n'a pas été mis en production sur un gros site avec un vrai retour sur ce que ça a donné et pourquoi, c'est inutile ou presque. Il en faut pour tous.
Mais sinon oui, il y en a aussi au forum pour découvrir ou apprendre de nouvelles choses. Peut être pas pour celui qui explore tous les blogs et qui a 200 fils RSS dans son client, mais pour la plupart des gens, si.
bof, déjà le but n'est pas forcément de faire des choses "à la mode" mais faire des choses utiles, sympa, instructives.
Je ne sais pas si des gens ont parlé de NoSQL (sous ce nom là ou un autre) dans une précédente édition mais ça ne m'étonnerait pas que ça ait pu être le cas.
Node.js ben disons qu'on est dans une conf PHP alors pour le langage de gestion serveur on va parler de PHP. Plutot logique. Pas sur qu'on parle de Node.js dans une conf Rails on plus. Et disons que (au moins jusqu'à PHP 5.3) PHP n'est pas super agile pour ce type de programmation.
Oauth j'ai au moins abordé le nom lors de l'édition 2009.
Mais surtout ... ben tout ça ça reste des sujets annexes. Le coeur du sujet c'est bien ce qui se fait avec PHP. Le forum PHP de l'AFUP reste un événement thématique "autour de PHP" et pas "tout ce que les gamins peuvent faire pour vous en mettre plein la vue".
Les critères qui semblent important c'est surtout "professionnel", "utilisé" et "php". Si en plus c'est à la mode et que ça en met plein la vue c'est génial, mais ce n'est pas ça l'important. Et ça c'est peut être justement un signe de maturité que les conf Rails n'ont pas toujours.
(ceci n'est que mon point de vue et n'engage certainement pas l'équipe du forum, à laquelle je n'appartiens pas)
Notes que le fait de ne pas avoir rempli l'upstream plus tôt on peut aussi le reprocher au rapporteur initial du bug. (ça n'empêche pas ta remarque d'être très pertinente ceci dit)
On leur rapporte un bug, ils le qualifient, le bug n'est pas chez eux mais sur le projet source, ils diffusent l'info et tentent de faire corriger par les gens qui savent.
Tout au plus tu peux reprocher à Ubuntu de ne pas corriger les bugs upstream de tous les projets mais bon, est-ce réellement leur rôle ?
Que les distributions doivent participer aux développements en finançant des développeurs, d'accord, mais leur rôle c'est l'intégration au départ. S'ils ont un dev compétent sur le sujet ils peuvent faire un patch et le proposer, mais sinon leur rôle s'arrête à mon avis à transmettre aux personnes compétentes, ce qu'ils ont fait (maladroitement peut être)
Mouais, sauf que c'est justement en ne montrant pas qu'on peut diffuser en libre que les gens vont assimiler partage et "pas bien". A force de simplification on envoie un message faux.
C'est justement s'il y avait un risque de mélange que le message était important. C'est *parce que* le reste de l'exposition risquait d'assimiler ça a du "pas bien" que justement il fallait dire le contraire.
Ils sont dégoutés, mais ils ont quand même un fonctionnement anormal eux aussi. Ils ne font pas leur travail et finissent par finalement se faire le relai de choix politiques / lobby, ce qui est anormal.
Peut être qu'interpeler la direction qui n'a pas assez soutenu ses organisateurs (ou ne leur a pas donné les moyens d'être en position de force) peut changer des choses
... à condition de faire des interventions polies, concernées, argumentées, et en ayant connaissance de plus d'informations que ce qu'on a ici.
Franchement pour que le mail cite expressément l'INPI il fallait vraiment que ça reste dans la gorge des organisateurs de l'expo. Chercher ailleurs c'est faire du FUD là.
Il ne faut pas toujours à tout prix chercher une relation avec MS pour tout justifier. Il y a plein d'intervenants qui sont prêts à faire des bêtises d'eux même.
Moi je trouve anormal qu'un établissement public (INPI) prenne un tel parti pris politique qui ne relève à priori pas de sa mission.
Je suis surpris que la cité des sciences se laisse faire à ce niveau sans avoir réussi à imposer un bête texte sur une affiche dans un coin d'une expo, et donc qu'elle soit à ce point soumise à ses partenaires.
Mais je suis aussi étonné qu'ils aient communiqué ainsi sur la source du problème, ça montre que la réaction de l'INPI était vraiment perçue comme non justifiée pour qu'ils en arrivent à laisser transparaitre ça.
J'espère par contre que l'organisateur qui a cité l'INPI ne le regrettera pas et ne se le verra pas reproché en interne.
En même temps il fallait bien décider quelque chose en attendant. Ne rien faire aurait été aussi faire tribunal (en acceptant la paternité de l'auteur de ce journal et en refusant celle de son ex-associé).
Je vois mal comment ils auraient pu s'en sortir autrement qu'en rendant une décision. Le journal laisse ici penser que c'est la personne légitime qui est flouée, mais si Gandi avait pris la décision pour celui ci, il aurait très bien pu se révéler une situation totalement contraire (et encore plus flagrante car l'autre au moins aurait eu des pièces administratives pour lui)
Mais attention, il ne s'agit pas de juger de l'héritage, mais de la propriété. Si à leurs yeux il y avait eu transfert (une procédure bien particulière pour eux), je pense que la décision aurait été différente
Tu peux quitter la sacem, mais si tu y es tu dois y mettre toutes tes créations, ce qui t'empêche, sauf accord exprès, de diffuser gratuitement meme un morceau promotionnel.
Ah mais du point de vue de Gandi ils n'ont pas transféré le domaine à une nouvelle personne sous prétexte d'un dépot de marque hein, ils ont tenté d'identifié qui était leur client réel (et pas forcément celui qui a payé ou qui était le contact alors).
Le domaine a été acheté à trois, les deux contestataires en font partie. Le fait d'avoir la marque est un élément de crédibilité, le seul qui leur a été fourni.
> En faisant cela, il y a eu transfert de propriété d'une société vers une personne physique qui n'est pas monsieur cegeb.
Non, pas de leur point de vue.
Il y avait un propriétaire, ils cherchent lequel c'est.
Pour parler de transfert de propriété il faudrait admettre que TU étais le propriétaire, en ton nom, ou que LA SOCIETE était propriétaire. Or ce n'était pas le cas, ou du moins tu n'as pas pu le prouver.
Ils n'ont pas transféré la propriété, c'est justement ce qu'ils te répondent par mail un moment à la fin, ils ont juste changé l'email de contact du propriétaire déjà existant et qui a leurs yeux est toujours le même.
De leur point de vue ils ont effectué une opération technique à la demande du propriétaire. Prestataire technique, mais ils faut quand même qu'ils sachent à qui obéir. Pour toi ça tombait sous le sens mais de leur point de vue il y avait contestation et ils ont du décider, avec les moyens qu'ils avaient.
Les "choix" ou "décisions" sont les mêmes que si tu avais pris le domaine à ton nom et que deux personnes se présentaient avec une carte d'identité à ce nom et réclamant un changement sur le domaine : on demande des papier permettant d'établir qui est le réel propriétaire et si l'un des deux conteste le fond c'est en justice que ça se fait.
> C'est comme si demain free donnait les codes ftp et root d'une dédibox loué pour le site "tartempion.com" détenu par X depuis 10 ans à un mec qui viens de déposer tartempion comme marque.
Ton ex-associé n'aurait pas été ex-associé ça aurait été certainement différent. Tu aurais répondu initialement à Gandi "Je ne connais pas ce monsieur, il a créé sa marque récemment et mon domaine date de plusieurs années auparavant" tu n'aurais certainement eu aucun problème.
Là tu leur a (honnêtement) montré qu'il y avait un litige dans lequel (de leur point de vue) les deux pouvaient légitimement être le propriétaire initial. L'un avait un minimum de papiers (mêmes si pas concluants, on est d'accord) et l'autre non.
Gandi est bien un prestataire technique. Il ne juge pas des actions que tu lui demandes ou même de ta légitimité à détenir le nom de domaine. Par contre, par la force des choses, ils sont bien tenus d'identifier qui est leur client et de ne répondre que à ce client pour peu qu'il y ait contestation sur l'identité. Ils n'ont fait que ça : identifier leur client réel et vérifier que la demande de changement d'email initiale n'était pas usurpée (et à leurs yeux elle ne l'était pas).
Si le "fraudeur" (en se fiant à la version du journal) était un inconnu, ok.
Là ce qu'il ressort des échanges c'est qu'ils ont posé le nom de domaine en temps qu'associés, hors structure juridique (donc pas de personne morale puisque CEGEB n'existe pas). Les associés se sont séparés (ça arrive), la marque CEGEB est par la suite déposé par un des trois.
A qui est-ce que je donne par défaut la propriété ? ben à celui qui semble avoir récupéré la marque dans la séparation vu qu'on ne peut pas définir une entité morale existante qui serait propriétaire. En tout cas sans plus d'informations c'est ce que je ferai. Après si ce dernier a usurpé la marque lors de la séparation, ça se règle en tribunal.
Oui, mais tu pars d'un axiome de base "tu es le propriétaire", or c'est justement ce qui est contesté et ce sur quoi Gandi fonde sa décision.
Le propriétaire c'est "CEGEB", pas "herve.couvelard@viva-vous.net". C'est (malheureusement) un fait. L'email n'est que le "où joindre ce propriétaire", et ce peut être l'email d'un associé, de sa femme, de sa secrétaire, de son DSI ...
Quelqu'un qui prétend être le propriétaire et qui a des éléments de son côté (en tout cas plus que toi) demande à changer ce "où me joindre".
En fait plus j'y pense et moins je vois comment Gandi pourrait refuser et sur quelle base d'après les texte.
Tout au plus il est clair qu'ils auraient pu prendre du temps de discussion/échange, mais ils auraient alors justement cessés d'être le simple "prestataire technique" que tu souhaites.
> Ce n'est pas à moi de porter plainte pour garder ce qui est mien.
Ton ex-associé pourrait dire la même chose. Dans un litige il est fréquent que chacun pense avoir raison (ou fasse comme si). Il y en a forcément pourtant un qui sera l'attaquant et un qui sera le défendeur.
# mouais
Posté par Éric (site web personnel) . En réponse à la dépêche WebP, le format d'image libre de Google. Évalué à 10.
- Le format jpeg est vieux, on peut faire mieux actuellement.
- Le jpeg2k fait ça mais n'a pas percé, alors on lance le notre qui (forcément) est encore moins répandu
- Regardez, en prenant des images au hasard sur Internet on peut gagner 39% en moyenne avec une dégradation faible "non visible" de l'image
Et c'est ce dernier argument que j'achète le moins.
- Ceux qui ont déjà essayé savent qu'en retirant toutes les méta-données des images on gagne déjà un volume non négligeable. WebP n'ayant pas pour l'instant de méta-données, il est forcément plus petit. Retirer les vignettes embarquées et les méta-données ça peut déjà être fait dans jpeg, et côté performance web on conseille déjà de le faire justement pour gagner en volume.
- Si vous regardez, la plupart des images jpeg sur le web sont enregistrées avec franchement trop de qualité pour ce qui est nécessaire. On trouve pas si rarement des 95 ou 99%, rarement en dessous de 90%.
Souvent (pas tout le temps) baisser à 80% ne montre pas d'artefact horrible, et on gagne facilement du poids sur l'image.
Un gain moyen de 39% sur un échantillon jpeg aléatoire du web, en retirant les méta-données et en s'autorisant une perte légère mais peu visible de qualité, je sais faire aussi hein. Pas besoin de changer de format de fichier pour ça.
Bon, je ne nie pas qu'ils ont pu faire une compression un peu meilleure à qualité visible égale, je leur fait confiance, mais le résultat ne me semble franchement pas justifier "encore un format de plus". Donc, à part, "oui mais celui là c'est *notre* format et on adore réinventer la roue", qu'est-ce qu'on y gagne ?
# Pour l'instant
Posté par Éric (site web personnel) . En réponse au journal LibreOffice. Évalué à 4.
[^] # Re: Certificat auto-signé
Posté par Éric (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 4.
Parce que déclarer "je vois le même certificat que toi" n'a pas la même force et ne demande pas la même infrastructure/sécurité que certifier le site.
> Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
La signature de l'autorité de confiance est un moyen d'identifier le site, pas le seul. On peut passer par une certification "de masse" (on sait que le site est le bon parce que la masse déclare qu'il est le bon). On peut aussi certifier par soi même (ce qui est fait pour la plupart des intranet ou applis persos).
Ces moyens ne sont pas forcément plus mauvais que de faire confiance à Verisign qu'on ne connait pas et dont on ne peut pas contrôler la bonne foi ou l'absence de faille.
> Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
vas voir cacert.org
Mais ce n'est pas si simple. Il va te falloir une infrastructure de sécurité qui convainque tous les éditeurs de navigateur que ta clef maitresse ne sera pas compromise. Il va aussi te falloir assurer que tu ne certifies que le propriétaire du site et pas n'importe qui.
Ca demande une organisation, une infrastructure, et ça coute des sous.
CaCert n'est toujours pas dans Firefox justement pour ça, ils n'ont pas encore pu prouver par un audit qu'ils apportaient toutes les garanties nécessaires (et pas à cause de questions de monopole ou de non-commercial)
[^] # Re: Certificat auto-signé
Posté par Éric (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 1.
- que le certificat n'a pas changé ce dernier mois (donc pas de compromission du côté du serveur ou du réseau global)
- que le certificat qui est vu d'une autre partie du réseau est bien le même que celui que je vois (donc pas de compromission du côté du réseau que j'utilise)
Avec ces deux critères, un simple warning à la première connexion devrait suffire (sans labyrinthe j'entends)
Ca ne coute pas grand chose à faire, qui se lance ?
[^] # Re: Certificat auto-signé
Posté par Éric (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 3.
Tout d'abord non, la plupart des gens ne souhaitent pas simplement accéder à ce ** de site. Ils veulent le faire *et* ne pas compromettre la sécurité (sinon autant aller en http simple).
Ensuite non, nous ne sommes pas dans une configuration similaire à SSH. SSH se fait souvent dans des conditions idéales :
- peu de destinations, toutes connues,
- généralement ces destinations sont fortement maitrisées (souvent on est l'administrateur de la machine)
- généralement accédé depuis son poste et d'un réseau connu, maitrisé
- on ne rencontre jamais de nouveau serveur "par hasard" ou par découverte, la liste change rarement
- si le serveur ssh change de certificat on le sait, on sait facilement que c'est anormal dans le cas contraire
- on s'adresse à des utilisateurs tous très avertis
Là côté web c'est tout le contraire :
- il y a facile une centaine de destinations même pour l'utilisateur de base
- aucune n'est maitrisée (mais alors *pas* du tout)
- pas si rarement accédées en situation de mobilité, à partir de réseaux non contrôlés
- on découvre fréquemment de nouveaux serveurs, qu'on ne connait pas auparavant, la liste change souvent
- on ne sait jamais si un nouveau certificat est normal ou s'il est révélateur d'une malveillance
- on s'adresse en partie à des utilisateurs qui n'y connaissent rien (voire pire : qui se méprennent)
Et ça change tout.
- On me signale par mail un problème avec mon compte en banque, je vais sur le wifi du mac do avec mon téléphone portable, c'est ma première connexion au site avec ce téléphone, je fais quoi ?
- Un copain me conseille un site par mail, j'y vais pour la première fois, le certificat semble auto-signé, je fais quoi ? est-ce normal ?
- Le certificat de Linuxfr.org change, il est auto-signé (imaginons), comment sait-je s'il y a eu un problème ou s'il a réellement changé ?
Le résultat c'est que le comportement par défaut doit bien être d'abandonner. Le fait d'avertir si le certificat a changé n'est pas suffisant. Si on reprend les habitudes de ssh sur le web, on revient rapidement à ce qu'il y avait avant sous Mozilla : aucun labyrinthe, juste une popup qui retient le statut ensuite. C'est simple, excellent, mais finalement la popup ne sert quasiment à rien, on cliquera toujours sur "continuer" ou presque.
On est d'accord que un changement est un critère principal dans l'équation, mais la problématique n'est pas simple pour autant. Dans mon exemple le navigateur avait bel et bien prévenu que le certificat avait changé (puisque tous ont eu le labyrinthe Mozilla, sinon ça serait passé direct). Ca n'a pas suffit.
En fait une des solutions serait d'avoir enfin une autorité de confiance gratuite *ET* qui fait son boulot (donc qui vérifie réellement la propriété du domaine avant d'envoyer le certificat) *ET* qui passe un audit pour être intégrée dans les navigateurs courants (l'intégration de cacert dans les distributions Linux n'a pas été une bonne chose amha)
[^] # Re: Certificat auto-signé
Posté par Éric (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 8.
Moi j'aime bien les pages de Mozilla où ajouter une exception n'est pas une simple validation et où clairement le bouton si on ne réfléchit pas est "je m'en vais".
Pour ce qui est de la banalisation, même avec les pages de Mozilla, on y est déjà.
Je me rappelle à une conférence de développeurs web, probablement des développeurs du haut du panier, des gens qui comprennent, qui savent, et qui font attention.
On avait du wifi prêté pour des ateliers, géré par une école (peut être par l'administration, peut être par des étudiants, on n'en sait rien). Là dessus ils avaient un proxy filtrant aussi le HTTPS (donc cassant les certificats, tous apparaissaient comme des certificats auto-signés).
Et bien ... tous se sont connectés à gmail et à twitter, en validant les erreurs "certificat ssl incorrect". Tous sans exception, j'ai fait un sondage.
Le réflexe est tellement ancré tous se croient plus sachant que le système et que jamais les erreurs du système ne sont acceptées comme bloquantes. Le "Je veux" de l'utilisateur ne s'arrête plus aux "non" du système, quelle que soit la forme qu'on leur donne ou la connaissance de l'utilisateur.
La seule solution que je vois serait de permettre aux navigateurs :
- de faire la différence entre un certificat sans CA de confiance visité pour la première fois (probablement un auto-signé) et un certificat sans CA de confiance pour un site qui était certifié auparavant (probablement un problème de MITM)
- de faire la différence entre un certificat à problème sur une connexion cable habituelle et sur une connexion wifi publique (avec une gravité supplémentaire pour ce dernier cas qui rend plus vraissembable l'attaque)
- d'utiliser un tiers de confiance pour savoir si la signature du certificat auto-signée est la même que celle que les autres ont et ont eu par le passé ou pas (auquel cas si je suis le seul, c'est certainement un MITM)
[^] # Re: Pourquoi ?
Posté par Éric (site web personnel) . En réponse au journal Concert libre et Sacem. Évalué à 5.
Et puis malheureusement certains artistes ne sont pas si clean que ça. Certains croient pouvoir jouer gratuitement s'ils le souhaitent en oubliant qu'ils ont déposé à la SACEM. D'autres font des reprises. Etc. Parfois s'y prendre à l'avance c'est aussi éviter les mauvaises surprises (et ça peut montrer la bonne foi éventuelle si jamais mauvaise surprise il y a)
[^] # Re: SACEM obligatoire ?
Posté par Éric (site web personnel) . En réponse au journal Concert libre et Sacem. Évalué à 5.
La SACEM n'est "que" une société de gestion des droits. Tous les auteurs et ayants droits divers sont habilités à collecter directement les revenus de leurs droits s'ils n'ont pas délégué la gestion à une structure (type la SACEM).
Et par la même rien ne les empêche de déléguer la collecte à une société (qui percevra donc les cotisations) ou carrément de vendre les droits patrimoniaux à une société (qui sera donc ayant droit et collectera à ce titre). Je vois mal pourquoi ou comment ce serait la seule à percevoir les cotisations.
La SACEM a un rôle public. Je ne sais pas ce qu'elle perçoit (ou pas) de l'état à ce titre, ou les droits qu'elle a en retour. Par contre il m'apparait extrêmement peu probable que ça empêche les autres de faire jouer leurs propres droits, et donc de percevoir des cotisations pour leur musique.
# Je me demande
Posté par Éric (site web personnel) . En réponse au journal Motorola: Une nouvelle étape dans l'ignominie ?. Évalué à 3.
Certes, rien ne leur impose de rendre possible le flash et les rom personnalisées (même si j'ai toujours du mal à voir leur intérêt de les interdire).
Par contre il y a une différence entre rendre difficile ou impossible le changement, et rendre volontairement inutilisable l'appareil.
Si rien ne les oblige à laisser les gens changer la ROM, rien à priori ne leur permet de l'interdire légalement. En gros si la personne y arrive, tant mieux pour elle.
Du coup rendre l'appareil volontairement inutilisable n'a pas de fondement légal et je ne serai pas étonné que ce puisse être illégal quelque part (je doute qu'ils aient le droit de volontairement casser quelque chose qu'ils ont vendu).
[^] # Re: Porte nawak
Posté par Éric (site web personnel) . En réponse au journal Différence de licence entre une réimplémentation complète et le projet source. Évalué à 4.
Très bon exemple, parce que justement, si tu te contentes refaire un livre en gardant toute l'histoire mais en changeant juste l'écriture et les noms (ou si tu reprends un tableau de maitre pour refaire la même chose au fusin dans un style différent), attends toi à perdre ton procès.
La limite entre le similaire, l'inspiration et le plagiat n'est pas tracée en rouge. Il y a une grosse zone grise, sujette à interprétation. En fait il n'y a quasiment qu'une zone grise d'ailleurs.
S'il s'est contenté de refaire Nagios en prenant pour base Nagios et en refaisant le code, franchement je ne sais pas. Je ne connais pas assez la jurisprudence pour affirmer quoi que ce soit.
Si par contre il a fait un logiciel similaire en repompant plein de bonnes idées de Nagios, alors il est probablement tranquille.
La question a poser est : est-ce une oeuvre originale ? est-elle basée sur l'oeuvre précédente ou s'en inspire t-elle ?
[^] # Re: Décalage
Posté par Éric (site web personnel) . En réponse à la dépêche Appel à conférenciers pour les 15 ans de PHP. Évalué à 3.
Je ne dis pas que c'est bien ou mal, mais ça fait (aussi) partie du public. Pour beaucoup de gens, une conférence sur quelque chose qui n'a pas été mis en production sur un gros site avec un vrai retour sur ce que ça a donné et pourquoi, c'est inutile ou presque. Il en faut pour tous.
Mais sinon oui, il y en a aussi au forum pour découvrir ou apprendre de nouvelles choses. Peut être pas pour celui qui explore tous les blogs et qui a 200 fils RSS dans son client, mais pour la plupart des gens, si.
[^] # Re: Décalage
Posté par Éric (site web personnel) . En réponse à la dépêche Appel à conférenciers pour les 15 ans de PHP. Évalué à 5.
Je ne sais pas si des gens ont parlé de NoSQL (sous ce nom là ou un autre) dans une précédente édition mais ça ne m'étonnerait pas que ça ait pu être le cas.
Node.js ben disons qu'on est dans une conf PHP alors pour le langage de gestion serveur on va parler de PHP. Plutot logique. Pas sur qu'on parle de Node.js dans une conf Rails on plus. Et disons que (au moins jusqu'à PHP 5.3) PHP n'est pas super agile pour ce type de programmation.
Oauth j'ai au moins abordé le nom lors de l'édition 2009.
Mais surtout ... ben tout ça ça reste des sujets annexes. Le coeur du sujet c'est bien ce qui se fait avec PHP. Le forum PHP de l'AFUP reste un événement thématique "autour de PHP" et pas "tout ce que les gamins peuvent faire pour vous en mettre plein la vue".
Les critères qui semblent important c'est surtout "professionnel", "utilisé" et "php". Si en plus c'est à la mode et que ça en met plein la vue c'est génial, mais ce n'est pas ça l'important. Et ça c'est peut être justement un signe de maturité que les conf Rails n'ont pas toujours.
(ceci n'est que mon point de vue et n'engage certainement pas l'équipe du forum, à laquelle je n'appartiens pas)
[^] # Re: Et la timeline ?
Posté par Éric (site web personnel) . En réponse au journal Canonical FAIL. Évalué à 2.
# Bof
Posté par Éric (site web personnel) . En réponse au journal Canonical FAIL. Évalué à 10.
Tout au plus tu peux reprocher à Ubuntu de ne pas corriger les bugs upstream de tous les projets mais bon, est-ce réellement leur rôle ?
Que les distributions doivent participer aux développements en finançant des développeurs, d'accord, mais leur rôle c'est l'intégration au départ. S'ils ont un dev compétent sur le sujet ils peuvent faire un patch et le proposer, mais sinon leur rôle s'arrête à mon avis à transmettre aux personnes compétentes, ce qu'ils ont fait (maladroitement peut être)
[^] # Re: Réponse de l'INPI et de la cité des sciences
Posté par Éric (site web personnel) . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 2.
C'est justement s'il y avait un risque de mélange que le message était important. C'est *parce que* le reste de l'exposition risquait d'assimiler ça a du "pas bien" que justement il fallait dire le contraire.
[^] # Re: Libre et contrefaçon
Posté par Éric (site web personnel) . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 3.
[^] # Re: Contacter la cité des sciences
Posté par Éric (site web personnel) . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 7.
Peut être qu'interpeler la direction qui n'a pas assez soutenu ses organisateurs (ou ne leur a pas donné les moyens d'être en position de force) peut changer des choses
... à condition de faire des interventions polies, concernées, argumentées, et en ayant connaissance de plus d'informations que ce qu'on a ici.
[^] # Re: Microsoft est un des soutiens de la conférence
Posté par Éric (site web personnel) . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 10.
Il ne faut pas toujours à tout prix chercher une relation avec MS pour tout justifier. Il y a plein d'intervenants qui sont prêts à faire des bêtises d'eux même.
Moi je trouve anormal qu'un établissement public (INPI) prenne un tel parti pris politique qui ne relève à priori pas de sa mission.
Je suis surpris que la cité des sciences se laisse faire à ce niveau sans avoir réussi à imposer un bête texte sur une affiche dans un coin d'une expo, et donc qu'elle soit à ce point soumise à ses partenaires.
Mais je suis aussi étonné qu'ils aient communiqué ainsi sur la source du problème, ça montre que la réaction de l'INPI était vraiment perçue comme non justifiée pour qu'ils en arrivent à laisser transparaitre ça.
J'espère par contre que l'organisateur qui a cité l'INPI ne le regrettera pas et ne se le verra pas reproché en interne.
[^] # Re: Libre et contrefaçon
Posté par Éric (site web personnel) . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 5.
[^] # Re: Ou comment remplir le Whois est important
Posté par Éric (site web personnel) . En réponse au journal Il y a prestataire technique et ...... prestataire technique.. Évalué à 1.
Je vois mal comment ils auraient pu s'en sortir autrement qu'en rendant une décision. Le journal laisse ici penser que c'est la personne légitime qui est flouée, mais si Gandi avait pris la décision pour celui ci, il aurait très bien pu se révéler une situation totalement contraire (et encore plus flagrante car l'autre au moins aurait eu des pièces administratives pour lui)
Mais attention, il ne s'agit pas de juger de l'héritage, mais de la propriété. Si à leurs yeux il y avait eu transfert (une procédure bien particulière pour eux), je pense que la décision aurait été différente
[^] # Re: Facile...
Posté par Éric (site web personnel) . En réponse au journal Diffusion d'œuvres musicales d'un artiste inscrit à la SACEM. Évalué à 1.
Tu peux quitter la sacem, mais si tu y es tu dois y mettre toutes tes créations, ce qui t'empêche, sauf accord exprès, de diffuser gratuitement meme un morceau promotionnel.
[^] # Re: Ou comment remplir le Whois est important
Posté par Éric (site web personnel) . En réponse au journal Il y a prestataire technique et ...... prestataire technique.. Évalué à 2.
Le domaine a été acheté à trois, les deux contestataires en font partie. Le fait d'avoir la marque est un élément de crédibilité, le seul qui leur a été fourni.
[^] # Re: Propriétaire
Posté par Éric (site web personnel) . En réponse au journal Il y a prestataire technique et ...... prestataire technique.. Évalué à 3.
Non, pas de leur point de vue.
Il y avait un propriétaire, ils cherchent lequel c'est.
Pour parler de transfert de propriété il faudrait admettre que TU étais le propriétaire, en ton nom, ou que LA SOCIETE était propriétaire. Or ce n'était pas le cas, ou du moins tu n'as pas pu le prouver.
Ils n'ont pas transféré la propriété, c'est justement ce qu'ils te répondent par mail un moment à la fin, ils ont juste changé l'email de contact du propriétaire déjà existant et qui a leurs yeux est toujours le même.
De leur point de vue ils ont effectué une opération technique à la demande du propriétaire. Prestataire technique, mais ils faut quand même qu'ils sachent à qui obéir. Pour toi ça tombait sous le sens mais de leur point de vue il y avait contestation et ils ont du décider, avec les moyens qu'ils avaient.
Les "choix" ou "décisions" sont les mêmes que si tu avais pris le domaine à ton nom et que deux personnes se présentaient avec une carte d'identité à ce nom et réclamant un changement sur le domaine : on demande des papier permettant d'établir qui est le réel propriétaire et si l'un des deux conteste le fond c'est en justice que ça se fait.
> C'est comme si demain free donnait les codes ftp et root d'une dédibox loué pour le site "tartempion.com" détenu par X depuis 10 ans à un mec qui viens de déposer tartempion comme marque.
Ton ex-associé n'aurait pas été ex-associé ça aurait été certainement différent. Tu aurais répondu initialement à Gandi "Je ne connais pas ce monsieur, il a créé sa marque récemment et mon domaine date de plusieurs années auparavant" tu n'aurais certainement eu aucun problème.
Là tu leur a (honnêtement) montré qu'il y avait un litige dans lequel (de leur point de vue) les deux pouvaient légitimement être le propriétaire initial. L'un avait un minimum de papiers (mêmes si pas concluants, on est d'accord) et l'autre non.
Gandi est bien un prestataire technique. Il ne juge pas des actions que tu lui demandes ou même de ta légitimité à détenir le nom de domaine. Par contre, par la force des choses, ils sont bien tenus d'identifier qui est leur client et de ne répondre que à ce client pour peu qu'il y ait contestation sur l'identité. Ils n'ont fait que ça : identifier leur client réel et vérifier que la demande de changement d'email initiale n'était pas usurpée (et à leurs yeux elle ne l'était pas).
[^] # Re: Propriétaire
Posté par Éric (site web personnel) . En réponse au journal Il y a prestataire technique et ...... prestataire technique.. Évalué à 2.
Là ce qu'il ressort des échanges c'est qu'ils ont posé le nom de domaine en temps qu'associés, hors structure juridique (donc pas de personne morale puisque CEGEB n'existe pas). Les associés se sont séparés (ça arrive), la marque CEGEB est par la suite déposé par un des trois.
A qui est-ce que je donne par défaut la propriété ? ben à celui qui semble avoir récupéré la marque dans la séparation vu qu'on ne peut pas définir une entité morale existante qui serait propriétaire. En tout cas sans plus d'informations c'est ce que je ferai. Après si ce dernier a usurpé la marque lors de la séparation, ça se règle en tribunal.
[^] # Re: Ou comment remplir le Whois est important
Posté par Éric (site web personnel) . En réponse au journal Il y a prestataire technique et ...... prestataire technique.. Évalué à 10.
Le propriétaire c'est "CEGEB", pas "herve.couvelard@viva-vous.net". C'est (malheureusement) un fait. L'email n'est que le "où joindre ce propriétaire", et ce peut être l'email d'un associé, de sa femme, de sa secrétaire, de son DSI ...
Quelqu'un qui prétend être le propriétaire et qui a des éléments de son côté (en tout cas plus que toi) demande à changer ce "où me joindre".
En fait plus j'y pense et moins je vois comment Gandi pourrait refuser et sur quelle base d'après les texte.
Tout au plus il est clair qu'ils auraient pu prendre du temps de discussion/échange, mais ils auraient alors justement cessés d'être le simple "prestataire technique" que tu souhaites.
> Ce n'est pas à moi de porter plainte pour garder ce qui est mien.
Ton ex-associé pourrait dire la même chose. Dans un litige il est fréquent que chacun pense avoir raison (ou fasse comme si). Il y en a forcément pourtant un qui sera l'attaquant et un qui sera le défendeur.