voxdemonix a écrit 914 commentaires

Voir mon explication ci-bas avec le conky Popup. Ca permet de dire aux conkys "pas de conso nerwork par contre te gêne pas d'afficher les données locales".
Mais j'avoue que le zero étant le dernier né, pas encore implémenté et inspiré du mode Ghost de Backtrack : il n'est pas encore totalement défini.

Un bête filtre sur l'écran pour réduire l'angle de vision, ça ne suffirait pas amplement dans la plupart des cas?

On peut faire ca ? Sur tout écran (y compris branché sur hdmi ou sur vga)?

Pour tes points 1-2-3: j'ai créé et implé ce protocol pour gérer l'affichage de mes derniers conky qui font du remote monitoring. Je n'avais pas envie de devoir couper tout mes conky quand je fais un live twitch, je trouve plus sympa de virer tout ce qui est sensible (par ex pour le conky Popup que j'ai modifié, la conso CPU et RAM n'étant pas sensible, elles restent affichées, par contre les ip se censurent a la demande)
Tu peux aussi le voir comme un controlleur de verbosité.
Ca fait longtemps que j'aimerais avoir ce genre de fonctionnalité sur smartphone : quand tu montres une videos a la racaille du coin t'as pas toujours envie que tes notifications n'apparaissait et lâchent les noms des filles avec qui tu flirts.

Merci pour ton retour fort instructif.
A mon avis le démon sera de la partie pour la version suivante. (ensuite j'essayerai d'implémenter le tout sur android)

En tant que simple utilisateur sur la machine, je peux créer les fichiers pour tous les utilisateurs de la machine, et les forcer à se mettre en mode 5

Je n'ai pas trop chipoté avec /tmp, mais les fichiers d'un propriétaire peuvent être modifié par un autre dans ce dossier ? Ou ce n'est que si l'evil user crée en premier?

tous les softs vont devoir recharger ce fichier toutes les X secondes

Oui j’ai choisi cette position car facile à mettre en RAM et donc pas grave si 36 conkys rechargent le fichier de façon répétitive 😄

Les variables d'environnnement c'est pas top parce que c'est statique une fois le processus lancé.

Ok, je n'étais pas sur en lisant les threads sur ubuntu (j'espérais avoir fais une erreur d’interprétation). Donc on peut complètement oublier ces variables pour ce cas de figure.

Pour étayer un peu: nextcloud est géré par plusieurs personnes (à plein temps me semble) et une grosse communauté qui fait du bugs reports et du testing. Et pourtant ce dernier n'est pas exempt de bugs et les améliorations de sécurité évoluent.
De l'autre côté Shinobi et ZoneMinder sont géré par une personne chacun. Oconnor (dev de ZM) c'est plain plusieurs fois qu'il ne peut faire des miracles qu'il a une vie.
Et je n'arrive pas trop à savoir si Shinobi est réellement libre ou non (l'avis de Zeni serait probablement meilleur).

Donc les gens privilégient du proprio ou ispy sur windows.

Pfff que je hais les journaux et leur instant blocage de l'édition. (c'est le re-post de l'article, Firefox n'a rien trouvé de mieux de cracher lors de la précédente correction 😅)

Lien oublié dans

Téléchargez les images des boutons

voici la correction

[Téléchargez les images des boutons](https://gitlab.com/voxdemonix/privacon-protocols/tree/master/Buttons/Quickluncher)

Sur ce domaine, sans vouloir jouer au lanceur d'alerte se serait bien que la communauté se réveille. Là on est parti pour le scénario Die Hard 4.

bien entendu, le https sert a quelque chose mais il est utilisé a tord et a travers

Outre l'aspect protection de la vie privée, chiffrer tes données (avec TLS ou autres) empêche d'injecter des charges virales en javascript ou autre langage actif dans les pages que tu visionnes. C'est bien pratique pour éviter un exploit contre ton navigateur (ou de se retrouver avec un mineur bitcoin en javascript qui bouffe ton CPU sans savoir d'où sa vient).

tu es sûr de ton coup ? ca ne se scanne pas les services tor?

Si mais c'est plus difficile (là où mes logs pour les services exposé au WAN sont bourré de requêtes de boulets pas capable de changer l'User-Agent par défaut, les logs des services Tor sont d'un calme plat).
Par exemple voici un exemple en web avec des bots dont les crawls de l'un mettaient à genoux un de mes raspberry pi.

Les noms de domaines Tor étant aléatoire, avec une taille de 56 caractères avant le .onion (Tor V3+) et limité individuellement à certains ports entrant/sortants (défini par l'admin) : il faut arriver à récupérer la liste des noms de domaines pour ensuite scanner chacun avec des logiciels spécifique pour arriver à identifier se qui se cache derrière chacun. Impossible de faire un nmap de l'ensemble du serveur/sous-reseau comme à l'accoutumée.

concernant l'ip dynamique tu as le dyndns qui peut résoudre ce probleme.

Oui je connais. Mais cela signifie ouvrir le NAT (et donc exposer le service au WAN). Sans oublier que cela fait dépendre ton service d'un service externe avec ses propres règles/tracking/lois, etc. (là où Tor ne demande rien d'autre que d'ajouter deux lignes de confs)

Sur le principe je vois ce que tu veux dire, mais tu as un service qui a pour but de masquer les ip source et destination et tu l'as détourné pour exposer un service plus ou moins facilement, pourquoi pas mais c'est pas fait pour et le but premier de tor ne t'est pas utile.

Le but de cet outil réseau est de rendre accessible de façon sécurisée un service. J'aimerais me dire que j'ai hacké Tor Hidden Service 😁, mais je ne pense pas. C'est juste que la partie anonymat n'est pas toujours requise en utilisation privée.

dans ton cas précis, quel est le but recherché et en quoi tor répond a ton besoin

Dans ce cas précis, c'est simplement de pouvoir joindre le serveur :

1. sans dépendre d'un nom de domaine tiers y compris en IP Dynamique
2. sans avoir besoin d'accéder au routeur (pas toujours accessible, dèche oblige) et donc sans avoir besoin d'ouvrir une redirection NAT (qui deviendrait une cible pour les pirates)

Typiquement, si tu as un logiciel avec une WEBUI, Tor Hidden Service te permet d'y accéder facilement sans avoir besoin de tiers autre que le réseau Tor en lui même.

en quoi tor entre dedans ? tu mets ton IP en direct sans nom de domaine, tu pourrais le faire sans tor ?

Voir le fonctionnement des Tor Hidden Service.

En très très gros résumé :

1. Sur ton serveur : Tor te permet de générer un nom de domaine aléatoire en .onion qui renvoie vers un ou plusieurs ports. Utilisant une connexion sortante, pas besoin de toucher au NAT.

2. Sur ton client, après avoir adapté /etc/ssh/ssh_config : dans ton shell tu entres le noms de domaine en .onion et tu te connectes comme d'habitude. La seule différence c'est la latence qui augmente et l'adresse IP cliente qui est 127.0.0.1.

et toi alors ta justification de tor c'est quoi ?

Jouer avec des bots D2 depuis chez mamy, grâce à VNC via SSH tunneling sans exposer ce dernier au WAN ni dépendre d'un nom de domaine ? 😁 (en photo)

Du coup, je me posais la question d'un VPN qui ajouterai une couche de stegano, mais faudrait le faire en temps réel et trouver un protocol anodin et bidirectionnel…

Pas suffisants s'ils checkent l'IP du VPN comme suit :

root@ServerName:/# cat /var/log/openvpn.log | grep "TLS Error"
Nov 11 10:23:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]202.107.226.3:31791
Nov 11 10:59:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.36:39681
Nov 11 22:28:15 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]122.228.19.80:56971
Nov 11 23:14:32 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.66:53042
Nov 12 11:01:31 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.56:52420
Nov 12 13:30:41 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]146.88.240.4:58943
Nov 12 22:19:35 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.68:52158
Nov 13 10:59:22 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.67:41351

Est-ce que je suis exclu de la société parce que je ne passe pas mes soirées affalé passivement sur mon canapé à regarder des séries, non pas vraiment

Et voila le dédains des vieux bourges sur linuxfr.

"Ah ces fainéants qui passent leur temps à fumer des petards et squatter dans la rue|jouer à des meuporgs".

Ton message c'est du vieux débat "pour où contre les copyrights".

mon sentiment tout personnel est que tu craches allègrement sur cette liberté

Plusieurs choses :

• La liberté des uns s'arrêtent là ou commence celle des autres (je t'invite à regarder le générique de début de cette vidéos de Cyril qui est démonstrative des ravages de l'article 17)
• Ce genre de point de vue n'est soutenable que pour ceux ayant un vrai salaire. Ceux qui, comme moi, survivent avec 500 balles (avant de payer le loyer): en gros vous voulez les exclure (dis toi que je n'ai pas les moyens de me payer une connexion internet à moi, alors le coffret GoT L O L …). Sachant qu'être exclu de l'accès à la culture, outre d'augmenter la frustration qui mène droit au côté obscure de la force, c'est aussi vouloir forcer les gens à devenir des chtarbés. (franchement tu dis devant ma dernière ex que tu connais pas GoT tu te tapes la honte de ta vie au point de te griller devant toutes ses potes)
• En restant pragmatique et en virant l'aspect philosophique : si Peertube n'a rien à apporter à part "les entreprises privées ne peuvent plus vous espionner" ("mais l'état que vous accusez de tout vos maux, lui peut continuer à vous espionner et censurer"), alors personne ne va voir d’intérêt de migrer
• Il y a clairement un écart philosophique générationnel entre les adeptes du copyright qui ont majoritairement tous plus de 40 ans et sont occidentaux, et les autres qui estiment qu'"osef c'est pas mon problème".

Tu adoptes le même raisonnement que tous les éditeurs de logiciels propriétaires qui "empruntent" du code GPL: c'est disponible, pourquoi se préoccuper des conditions d'utilisation souhaitées par ceux qui en sont à l'origine ?

A chaque fois pour défendre les copyrights des gens invoquent cet argument ("meuh c'est comme les gens qui ne respectent pas la GPL").
Êtes-vous capable d'appréhender que le monde n'est pas uniquement peuplé d'adeptes des bouts de papiers qui te disent ce que tu peux faire ou ne pas faire ?
Nous sommes nombreux à utiliser les logiciels libre non pas pour la licence (le bout de papier qui dis "fais pas ci fais pas ça" et qu'on ne lit pas plus que la licence d'un jeu vidéos), mais parce qu'ils sont généralement mieux conçu (aka pas de prise de tête pour adapter le code, pas restreint à une marque de matériel, les devs sont souvent plus cools et ouverts à la discu, etc) et surtout gratuit.

Qu'est-ce qui empêche encore la migration, ou au moins la duplication vers des plateformes respectueuses de la vie privée?

Quand ils sont venu présenter PeerTube sur LinuxFR, c'est en signalant qu'on ne verrait pas de Game of Throne dessus. Donc pas plus de liberté d'expression que les autres et autant de censure. (*1)
Quant à la vie privée : comment savoir si le serveur peertube t'espionne moins|pas (que tu sois consommateur ou producteur) ?

Et ne pas oublier la monétisation inexistante sur Peertube il me semble.

*1 la censure risque même d'être encore plus violente vu que les admins derrière les instances n'auront pas le courage d'un Youtube devant la moindre menace juridique.

Mais ce n'est pas ce qui se passe chez tous les FAI dans le monde. Donc tu ne peux pas dire que c'est une fonctionnalité d'IPv4

Pourtant c'est une belle et bien une feature.
Si la majorité des français sont en statique, la majorité des belges sont en dynamique.
Le protocole permet donc les deux types de connexions (se serait chiant pour configurer un LAN avancé si non), avec conditions suivant le FAI (IP dédiée ou partagée, nombre d'IP, etc, etc) .

Si tu fais ça vraiment toutes les dix minutes. Tu ne peux pas regarder un film en streaming. Alors, que c'est bien possible en IPv6.

Changer d'adresse IP volontairement s'accompagne généralement d'une action côté logiciel client :
- que se soit sur Diablo2 ou tu déconnectes ton bot de Battlenet avant de changer d'IP pour échapper au Realm Down
- que se soit sur ton navigateur ou tu quittes l'onglet Uptobox puis tu supprimes cookies, caches etc (CTRL+MAJ+DELETE => all) avant de relancer ton download.

La "transition douce" ne va guère changer grand chose vu que tu es obligé d'attendre que l'IP précédente soit morte pour être sur de ne pas te voir ré-affecter ton identité/token de la précédente à la nouvelle IP.
Ou alors il faut que ton logiciel soit spécifiquement prévu pour (se qui est possible pour un truc comme JDownloader, pour Firefox c'est plus douteux).

Ensuite, tu n'as aucune garantie que l'IP soit différente, même si ça marche la plupart du temps.

Bête question, mais qu'est-ce qui dit qu'en IPv6 il n'y aura pas strictement pareil ? Que les smartphone sur connexion 5G ne se verrons pas attribuer des IPv6 statiques (complète ou préfix) afin de faciliter le tracking chers à nos dictatures ?

Tant de mauvaise foi… La mouvance habituelle "pro-IPv6 anti-IPv4".

existence de situations particulières où via une bidouille

On parle de millions de BBOX qui changent d'IP toutes seules en cas de reboot, coupure réseau ou simplement a la demande.
Loin du cas particulier…
Pourquoi vouloir propager de la fausse information techniques sur linuxfr ?

On parle d'Internet pas du réseau en Belgique.

Ne t'en déplaise, c'est un morceau d'internet. Et si JDownloader a créé une option spécifique pour les connexions en IP dynamique, c'est que de nombreux fournisseurs d'accès internet proposent ce type de connexion à travers le monde.

Donc l'affirmation de départ comme quoi "on ne peut changer d'adresse IPv4 toutes les dix minutes" est bien fausse. Le protocole ne l'interdit pas et plein de gens peuvent l'expérimenter par eux-mêmes.

Non, pour un serveur ce n'est pas pratique du tout de changer d'IP en fonction du client.

Je pensais plus tôt aux communications inter-serveurs 😋

Tiens en passant : qui attribue les IPv6 ?
C'est le routeur qui reçoit une plage puis la distribue aux clients réseau; ou bien c'est le FAI qui attribue directement les plages aux clients réseaux du routeur ? (le second cas de figure permettant de faire entrer Big Brother dans le LAN)

Tu mélange un peu tout. C'est une autre problématique que l'IP source et n'a pas grand chose à faire dans une comparaison IPv4/IPv6.

Tu parles d'un mécanisme permettant de perturber le tracking via IP. Mais sur smartphone les options sont très très très limitées (sauf éventuellement a passer par des apps rarement gratuite, encore moins libre), hors Tor fait déjà le job de façon plus simple et efficace (y compris en 3-4-5G).
Donc même si l'un empêche pas l'autre, ce mécanisme sera plus réservé aux féru de réseaux ou au dev d'apps.

Ce que tu décris est un fonctionnement particulier de ton FAI,

C'est juste de l'IP dynamique. En .Be le FAI principal ayant un monopole propose cette offre par défaut : c'est donc un cas général ici.

tu n'as aucune garantie de changer d'IP.

Ça dépends des offres des FAIs.
Voir les petites lignes sous les offres, où on trouve entre autre qu'illimité pour un marketeux ça signifie entre 250Go et 700Go. 😅

avec un peu de bricolage, tu peux même utiliser des IP différentes pour des sites différents.

Pratique pour des serveurs, du point de vue user par contre Tor Browser/Orbot reste bien plus facile et sécurisé. Sans compter l'aspect smartphone (et la galère du bridage tout azimut).

tu peux en changer toutes les 10 minutes. Ce qui n'est pas possible en IPv4.

Tu peux tout a fait changer d'IPv4 toutes les dix minutes ou mieux encore : quand ton logiciel de téléchargement a dépassé les quotas de téléchargement (comportement de JDownloader).

tu filtres des parties de CSS, de scripts ou autres qui expliqueraient une information incomplète pour toi ?

Bo, possible. Sur la page principale il n'est strictement rien indiqué et quand je clique sur "Faites une donation" je tombe sur une page de ban.
(screenshot pris sous le seul vrai navigateur : Tor Browser)

En tout cas ça ne concerne pas LinuxFr.org

C'est tout de même linké sur chacun des articles. Michu qui tombe dessus depuis un article pourrait penser "je vais ainsi soutenir LinuxFR, les auteurs, RMS, le grand Jojo".

et donc pas TLS

Ah, tu as en partie raison : "As such, we believe TLS is an excellent choice for the authentication and key exchange mechanism of a VPN product." (source)

Ce qui explique pourquoi "TLS" revient régulièrement dans les logs d'OpenVPN.

comment tu fais pour avoir des problèmes de charge avec TLS. Surtout pour de la communication entre un faible nombre de machine. Si tu as un cas d'exemple, je suis vraiment preneur.

OpenVPN utilise TLS et ses limitations sont facilement testable avec pivpn et wget.

Infos pour ceux qui suivent cet article : un gros update a été fait depuis la création 😉 (voir le sommaire)

Un retour si ça tourne en IPv6 serait le bienvenue 😉

Et toi, tu exposes ton point de vue avec crainte ?

Tu t'es déjà fait jeter par terre par des flics pour un splif ?

Sur le présent site, c'est archi faux.

Quelle hypocrisie.
Le lecteur qui veut rigoler peut aller lire les derniers threads qui traitent de Tor où les "bien pensants" résument leur argumentation à "Tor c'est pour les vilains terroristes".