®om a écrit 458 commentaires

Et en style xkcd ?

http://linuxfr.org/users/cykl/journaux/openjdk-jep-180-hashmap-collisions-attaques-par-la-complexite#comment-1536346

blog.rom1v.com

Merci pour le journal, très intéressant.

Une option intéressante est d’utiliser une méthode de secret réparti pour partager la clef privée en n fragments, dont m sont nécessaires pour reconstituer la clef complète. La clef peut ainsi répartie sur plusieurs supports sans que la perte de l’un d’entre eux ne fasse perdre toute la clef, et sans que le vol de l’un d’entre eux ne compromette toute la clef non plus.
Chez moi, j’utilise libgfshare, une implémentation de la méthode de secret réparti d’Adi Shamir, pour mettre en œuvre cette dernière option.

Il y a aussi l'outil ssss en ligne de commande (packagé dans Debian). Malheureusement, il ne permet que de gérer 1024 bits, ce qui est insuffisant (souvent de peu) pour stocker une clé privée. man ssss:

To protect a secret larger than 1024 bits a hybrid technique has to be applied: encrypt the secret with a block cipher and apply secret sharing to just the key.

Merci pour paperkey, je ne connaissais pas, minimiser le nombre d'octets nécessaires à la clé peut être bien pratique. Juste un questionnement néanmoins sur le fait de l'imprimer : les imprimantes sont-elles dignes de confiance? Les logiciels qui tournent dedans sont le plus souvent non-libres et opaques, et elles ont parfois un accès Wifi. À l'ère post-Snowden, il ne me paraît pas improbable qu'elles puissent leaker des informations dans le cadre d'une surveillance massive (et pas seulement ciblée).

blog.rom1v.com

Mis à jour de Wheezy vers Jessie hier, sans problème particulier.

Si vous chiffrez votre disque dur avec LUKS, lisez bien les apt-listchanges concernant cryptsetup (détaillé ici). Je n'ai pas eu de problème, car par défaut l'installeur Debian Wheezy utilise sha1 et manuellement j'utilise sha256, pas whirlpool.

Pour les serveurs, il y a des changements concernant la conf d'Apache. En particulier, plus de:

Order allow,deny
Allow from all

mais:

Require all granted

Sinon, tout roule.

Et maintenant, vous pouvez arrêter d'utiliser apt-get et apt-cache (dans pas mal de cas) :

$ apt
apt 1.0.9.8 pour amd64 compilé sur Apr 13 2015 12:50:11
Usage: apt [options] command

CLI for apt.
Basic commands: 
 list - list packages based on package names
 search - search in package descriptions
 show - show package details

 update - update list of available packages

 install - install packages
 remove  - remove packages

 upgrade - upgrade the system by installing/upgrading packages
 full-upgrade - upgrade the system by removing/installing/upgrading packages

 edit-sources - edit the source information file

blog.rom1v.com

man combinediff
man interdiff

blog.rom1v.com

J'ai pensé à la même chose, sauf que l'écran étant 16/9, la diagonale mesurant 13′, la longueur vaut :

13 × cos(tan⁻¹(9/16)) ≃ 11.33

Donc supérieur à 11′.

blog.rom1v.com

Je viens de tomber (aïe) sur ce lien (référencé par le compte-rendu du débat), par l'auteure elle-même :
https://juliareda.eu/le-rapport-reda-explique/

C'est intéressant pour avoir un résumé du contenu.

blog.rom1v.com

Un article récent sur le sujet : Si la police le demande, est-on obligé de donner son mot de passe ?

blog.rom1v.com

Cette faille ressemble à ce dont parlait Linus Torvalds à DebConf '14, non?
https://www.youtube.com/watch?v=1Mg5_gxNXTo (à 1h09)

EDIT: non, en fait: http://googleprojectzero.blogspot.fr/2014/08/the-poisoned-nul-byte-2014-edition.html

blog.rom1v.com

Après une mise à jour sans reboot sur Debian Wheezy, j'ai compilé GHOST.c fourni ici puis lancé l'exécutable :

$ ./GHOST
not vulnerable

Ça ne prouve pas qu'il ne faut pas rebooter (peut-être que d'autres trucs déjà lancés restent vulnérables), mais le résultat inverse aurait prouvé que le reboot était nécessaire.

blog.rom1v.com

Je n'ai pas dit ça. Mais dire que 150000€ / an c'est beaucoup pour une association avec 5 salariés…

blog.rom1v.com

C'est parce qu'il y a des permanents salariés. Cf ici.

blog.rom1v.com

Et ça fait beaucoup 150 000€ quand même.

C'est 50× moins que le budget de l'Hadopi (que nous finançons).

Oui, ça n'a rien à voir, mais ça donne une idée des montants.

blog.rom1v.com

s/requiert/requière/

blog.rom1v.com

Je ne pense pas :

Due to licensing restrictions, these apps cannot come pre-installed with CyanogenMod and must be installed separately.

source

blog.rom1v.com

Oui, c'est pour moi un non-sens que TextSecure requiert l'utilisation de Google Play Services (où Google peut donc à distance et silencieusement remplacer TextSecure par une autre version).

Il y a des discussions très intéressantes avec des bons arguments des deux côtés, que je vous conseille :
https://f-droid.org/posts/security-notice-textsecure/
https://github.com/WhisperSystems/TextSecure/issues/53
https://github.com/WhisperSystems/TextSecure/issues/127 (référencé par ton lien)

blog.rom1v.com

Pour les autres applis/services Google, tout est désactivable dans les paramètres sauf pour "Google Play Service"

Il est désactivable : il suffit de ne pas l'installer (il n'est pas présent par défaut avec CyanogenMod).

En l'installant, tu as dû d'ailleurs accepter une licence qui disait quelque chose comme :

Vous autorisez Google à faire ce qu'il veut quand il veut sur votre téléphone.

blog.rom1v.com

Peut-être qu'il veut enfermer des gens dans des cryptes… En rendant la liberté à des certificats.

Mais j'ai peut-être compris de travers.

blog.rom1v.com

Quelle est la justification à l'évasion fiscale, qui si elle n'existait pas, aurait permis des budgets à l'équilibre avec le même niveau de dépenses ?

Avec l'argent de l'évasion fiscale, les entreprises embauchent davantage, et c'est bon pour l'emploi, donc pour la population. Il faut encourager l'évasion fiscale !

Ceci était un message de l'éditocratie des économistes orthodoxes (c'est un pléonasme).

blog.rom1v.com

Tout-à-fait d'accord. Mais je parlais "légalement" ou "contractuellement", tu fais une appli GPL tu ne vas pas prendre l'API key de Mozilla (ou Twitter) si tu la diffuses.

Au passage, je n'ai peut-être pas tout compris, mais je ne vois pas le rapport avec OAuth (l'article d'ArsTechnica). OAuth c'est pas fait pour "protéger" des API key…

blog.rom1v.com

On peut accéder aux données de localisation via l’API en demandant des clefs au responsable.

Impossible donc d'utiliser ce service dans une appli GPLv3 ?

“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source. The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.

En effet, si une telle appli était en GPLv3, n'importe qui pourrait la recompiler en effectuant éventuellement quelques modifications (je donnais ici l'exemple de la modification du nom d'une Activité). Mais pour faire cela sans casser la fonctionnalité de localisation, cette personne devrait fournir une API key.

Deux cas :

• soit l'API key est fournie avec le code source, mais ça va à l'encontre même de la notion d'API key (à quoi bon donner une autorisation à quelqu'un en particulier si Mozilla accepte que cette personne la diffuse à tout le monde), ce que Mozilla n'accepte sûrement pas ;
• soit l'API key n'est pas fournie avec le code source, et ça rentre en conflit avec les termes de la licence (dans ce cas l'utilisateur serait obligé de récupérer de lui-même une API key, donc de demander l'autorisation à quelqu'un – ici, Mozilla).

Je ne suis pas sûr de mon raisonnement, des confirmations ou infirmations sont les bienvenues.

blog.rom1v.com

:-D

En l'occurrence, ni le svg ni le binaire ne sont nuls (enfin, je crois).

blog.rom1v.com

Bah, ça marche aussi, non ?

 a     b      a     x
--- = ---  ≡ --- = ---
 x     y      b     y

blog.rom1v.com

Quand ce sont les annonceurs qui décident (plus ou moins indirectement) du contenu des articles, ce n'est pas étonnant qu'ils descendent les outils décentralisés… non financés par la publicité.

20 minutes, c'est du publi-rédactionnel. Et les journaux gratuits, c'est 100% marchand… et c'est l'acheteur qui décide.

Dénouons d'abord l'aveuglant paradoxe communiqué à flots continus par les entreprises capitalistes ayant fait de la gratuité leur principal argument commercial.
[…]
Derrière l'apparence, il y a une transaction marchande classique, avec client, fournisseur et marchandise. Le client est un annonceur publicitaire, le fournisseur un diffuseur de programmes - ou d'informations -, et la marchandise un téléspectateur - ou un lecteur.
[…]
Le contenu est gratuit, et c'est bien normal, parce que le contenu, c'est l'asticot. Le pêcheur n'exige pas de la tanche qu'elle finance l'asticot. Gratuit pour la tanche, mais financé par le pêcheur, puis par l'amateur de tanche qui lui achète sa prise. Transaction cent pour cent marchande. Zéro gratuité.

La fabrique du conformisme, Vraie et fausse gratuité, p50.

blog.rom1v.com

C'est bien de cette page dont je parle.

Je viens de désactiver AdBlock pour cette page, et d'autoriser tout dans RequestPolicy à l'exception de facebook.net, google-analytics.com et twitter.com, et j'ai toujours le même problème…

EDIT: ah, en activant facebook.net, la page s'affiche bien ! :facepalm:
J'ai donc besoin d'informer Facebook afin de pouvoir donner à ce projet…

blog.rom1v.com

Moi j'utilise OSMAnd~, il est très complet (même si on s'y perd dans les options).

blog.rom1v.com