못 옷 홋 ♨ a écrit 232 commentaires

Gratuits et acceptés par les navigateurs bien sûr. Pour ma part, un certificat signé par CACert n'a pas plus de valeur qu'un certificat autosigné.

Oui, et Mozilla en est bien sûr conscient :

It is true that this date is chosen by the CA and therefore WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots.

Si des certificats antidatés étaient à nouveau émis, ce serait détecté assez rapidement et dans ce cas tous les certificats WoSign/Startcom seraient purement et simplement révoqués.

L'autre possibilité serait de n'admettre que les certificats connus à ce jour (puisque WoSign est censé les avoir tous publiés sur https://crt.sh) sans tenir compte des dates d'émission, ce qui éviterait de la même façon les risques d'antidatage.

Au sujet des CSR, que j'ai abordé mais sans donner beaucoup de détails, je pense que je dois fournir une petite explication :

La CSR (Certificate Signing Request) contient en fait les diverses informations de la demande de certificat (nom du demandeur, et surtout domaine sur lequel il sera valide) associées à la clé publique de la paire clé publique/privée qui sera utilisée par la suite pour chiffrer les communications avec le serveur.

L'autorité qui délivre le certificat n'a besoin de valider que la CSR elle-même, qui n'est que la partie publique de la clé, sans accéder à la partie privée, ce qui signifie que l'autorité elle-même n'a aucun moyen de compromettre le certificat qu'elle vient de valider.

Finalement, le certificat fourni par l'autorité est la CSR signée par le certificat de l'autorité, et c'est ce certificat qui est envoyé par le serveur aux navigateurs qui le visitent pour leur permettre de chiffrer leurs données d'une manière qui ne pourra être déchiffrée que par le serveur, qui est seul à posséder la clé privée.

La clé privée n'est donc jamais passée par l'autorité de certification, elle ne quitte en principe jamais le serveur web, et il n'y a même pas besoin de faire confiance à l'autorité.

Mais tout ceci n'est vrai que si l'on génère la CSR soi-même sur le serveur, sans utiliser les outils souvent proposés par les autorités de certification pour simplifier la demande, avec lesquels c'est l'autorité elle-même qui génère clé publique, privée, CSR, et qui vous renvoie le tout, auquel cas il faut lui faire confiance pour ne pas stocker la clé privée de son côté.

Alors oui, on peut télécharger les fichiers sans Javascript avec &p=1 (ou &d=1 comment je vois sur ta capture d'écran) mais, c'est à la personne qui les partage de faire ce choix.

En tant qu'utilisateur qui tombe sur un lien partagé par un autre utilisateur sur une tribune, je me suis retrouvé avec une page :

qui contient deux boutons qui mènent à la page suivante si Javascript n'est pas activé :

Donc je me suis dit "Fichier envoyé !" cool, mais où ? Et aucun indice pour savoir comment faire pour arriver au fichier. Effectivement en regardant la source de la page précédente, on voit des onclick= qui donnent les URL avec &d=1 et &p=1 mais ce n'est pas évident : je pense que des <a> avec une href idoine seraient plus efficaces que des <input> dans le cas présent.

Maintenant, je ne cherche pas à basher Jirafeau du tout :) je sais que la plupart des utilisateurs auront toujours le Javascript activé, et il propose bien plus de fonctionnalités que mon petit projet, et c'est très bien, par contre ce n'est pas ce que je recherchais.

Tu as juste eu le malheur d'être l'élément qui m'a fait décider d'écrire le mien ! En fait je pense que l'élément principal de ma démarche, c'était de réussir à trouver un moyen de rendre un formulaire d'upload simple et pas trop moche sans recours au CSS. Il y a de quoi s'améliorer encore, mais pour l'instant je suis relativement satisfait.

C'est juste pour montrer que ça fonctionne aussi sur des hébergeurs pourris. Si jamais il y a plus de deux fichiers uploadés dessus par mois, je l'enlèverai et puis c'est tout.

Je propose le thermomètre digital pour mesurer la température des doigts, le podomètre stéréo qui mesure si on alterne bien correctement les jambes à chaque pas, ou le détecteur de mouvement de poisson rouge (éventuellement couplé à l'éclairage de l'aquarium).

C'est des chinois gentils ou des chinois méchants ?

Disons qu'il y a plus respectable :

https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com

Mais en fait, le manque de responsabilité d'une autorité ne change pas grand chose pour les utilisateurs de ses services en particulier, ça rend "juste" tout le système SSL moins fiable. Du coup, utiliser leurs certificats, en soi, ne pose pas vraiment de problème pour celui qui les utilise.

C'est fort possible !

Mais étant admin moi-même, je ne suis pas fan des solutions de ce type pour contourner des limites système, surtout quand ça nuit à mon user experience.

J'ai été obligé de me rabattre sur Wosign, un fournisseur (chinois, oulala ça fait peur) de certificats SSL gratuits et valides pour trois ans.

C'est plus pratique que StartSSL que j'utilisais avant Let's Encrypt, mais après avoir goûté à LE c'est vraiment pénible de revenir à un process tordu d'inscription, validation, téléchargement des certificats, envoi sur le serveur, et installation.

Pour la prononciation, j'ai envie de partir sur un simple "i" point fr, voire "i grec" si on veut faire du zèle. De toute façon, 99% des autres idiots qui ont acheté des noms d'une seule lettre en .fr n'en font rien, y compris i.fr et y.fr, donc ça n'a pas d'importance : je suis de facto le seul "i point fr" qui compte.

À l'époque il était sur feu moules.org, maintenant il est décrit à des endroits épars, entre autres :

• https://github.com/seeschloss/miaoli#miaoli
• https://linuxfr.org/suivi/backend-tsv-pour-la-tribune
• https://img.sauf.ca/pictures/2015-03-16/6ad1fef193d13acfa684d515419dc6f6.png
• https://linuxfr.org/wiki/tribune

Et d'autres que j'ai sur le bout des doigts (quelque part sur le github de devnewton/jb3 ?) mais que je ne retrouve plus :/

Croyant ou pas, le démon, c’est le prestige du mal

Seulement si on prend la mythologie chrétienne comme référence, qui ne représente même pas la majorité des humains.

En réalité, le daemon, à l'origine du logo BSD à travers l'appellation "daemon" utilisée pour les services Unix, est une référence aux daimons grecs, des esprits de la nature plutôt bienveillants et en aucun cas maléfiques.

Le démon représenté sur le logo ressemble certes plus à un démon stéréotypiquement chrétien, rouge avec ses petites cornes et sa fourche (ça c'est pour le jeu de mot BSD/Beastie/beast) mais enfin il sourit, donc ce n'est pas tout à fait ça non plus.

Bref ce logo n'est qu'un mic-mac de jeux de mots et ça n'a simplement aucun sens de dire que le démon [de BSD] est "le prestige du mal". Ici c'est ton propre esprit qui est un peu trop focalisé sur ta religion et qui te joue des tours.

Alors attends un peu là, parce que je vois très bien que tu es en train de mettre mon exemple d'url sensible sur le même plan que ce lien vers Égalité et Réconciliation posté par une personne peu recommandable :

C'est insultant et c'est une très mauvaise façon de faire passer tes idées. D'habitude ce sont plutôt les extrémistes de droite qui affichent leurs obsessions sur des sujets qui reviennent trop souvent à leur goût, c'est décevant de lire ça de la part de quelqu'un d'autre mais surtout, tu dessers ta cause.

Essaie d'utiliser la discussion intelligente au lieu de chouiner à la propagande.

Il ne faut pas voir de comparaison partout.

Je n'aimerais pas montrer les Brigandes (que j'ai euh, découvertes, récemment, "grâce" à la tribune) dans mon historique web, ça me semble clair.

D'autre part, il y a quelque temps sur la tribune on m'a carrément reproché d'avoir l'Humanité dans mes RSS, ce qui ferait de moi quelqu'un de radicalisé (oui !). Donc ça me semble coller comme autre URL qu'on pourrait vouloir cacher, du côté politique opposé à celui des Brigandes.

Par ailleurs tu noteras que les url ne sont pas cliquables, et, ce qui me semble le plus important, aucune personne saine d'esprit ne deviendra magiquement un fasciste chrétien identitaire antisémite dieudonniste pro-Vendéens en visionnant les vidéos des Brigandes. Par contre ça pourrait les faire bien rire. Et pour ceux qui ne sont pas sains d'esprit (et il y en a ici !) il faut bien aussi leur montrer qu'on les connait ! Ça leur fait plaisir j'en suis sûr.

Je pense que tu t'outres bien facilement alors que je n'ai jamais cherché à… je ne sais pas, comparer le niveau de subversité des deux URL, et que ton commentaire montre justement qu'il est impossible de convenir à quelqu'un comme toi : aurais-je seulement mentionné l'Huma que tu m'aurais accusé de l'accuser d'être subversif ou inacceptable d'une façon ou d'une autre, en revanche si j'avais uniquement parlé des Brigandes tu te serais plaint que je leur fasse de la publicité, j'aurais aussi pu passer du temps pour leur trouver un équivalent précis de gauche (qui n'existe pas à ma connaissance, la gauche et la droite n'étant pas un miroir l'un de l'autre) ou pour trouver un équivalent de l'Huma à droite (le Figaro en est loin, Valeurs Actuelles peut-être bien, je n'y avais pas pensé, peut-être l'aurais-je mentionné sinon) mais puisque comparer la gauche et la droite n'a à mon avis pas le moindre sens, je n'ai pas trouvé utile de le faire.

J'ai donc finalement préféré indiquer un lien sérieux et un ridicule, là est la comparaison que tu aurais dû faire entre les deux.

Je connaissais la problématique du MITM mais qui est tout de même bien réduite avec le SSL.

Je ne sais pas… est-ce que tu te rendrais compte si le certificat SSL d'un site que tu visites régulièrement était remplacé (à la volée) par un autre certificat tout aussi valide signé par une autre autorité (corrompue, compromise, etc) pour une requête sur cent, par exemple ?

Sans vouloir sembler trop paranoïaque, je pense que c'est de l'ordre du possible.

Cela signifie que lors de la consultation d'un site en .onion, le dernier node avant d'arriver sur le service caché n'est pas forcément un exit node ?

Exactement. Encore une fois je suis loin de comprendre les détails de l'implémentation, mais les exit nodes ne sont là que pour la communication avec l'extérieur du réseau Tor, les services cachés n'en ont pas besoin.

Ouip

(note, il vaut mieux continuer la discussion ici je pense)

Pour Scallion je n'ai pas eu trop de difficulté, il y a un paquet sur le repos AUR d'Arch Linux, j'ai juste eu à faire un yaourt -S scallion, mettre le bon DISPLAY (j'étais connecté par ssh) et ça a marché tout seul :)

ton site est accessible en http et https, quelle est donc la différence en terme de protection pour tes utilisateurs entre accéder à ton site en https + Tor et via le service caché ?

C'est plutôt dans l'autre sens qu'il faudrait poser la question : pourquoi obliger les utilisateurs à passer par un exit node de Tor pour accéder au site en HTTPS en passant finalement par le web, au lieu de servir le contenu directement de l'intérieur du réseau Tor ?

Pour le résultat final ça ne fait pas une grande différence, mais il y a quand même quelques points qui me semblent significatifs :

• le risque toujours présent de MITM de la part de l'exit node (ou de n'importe lequel des acteurs réseau intermédiaires entre l'exit node et le serveur)
• l'overhead lié à l'utilisation de HTTPS inutile quand on reste dans le réseau Tor
• l'utilisation inutile de la bande passante d'un exit node par rapport à servir le site de l'intérieur du réseau

D'un point de vue strictement lié à la sécurité, le risque de MITM me semble tout de même très faible évidemment, mais je pense qu'il y a de vrais avantages à fournir des services directement sur le réseau Tor.

L'alphabet est ARABE

Ce n'est pas tout à fait faux remarque : au moins pour l'alphabet arabe.

Maintenant, j'ai tout de même un peu de mal à voir en quoi l'origine d'un alphabet a grand chose à voir avec la maîtrise d'une langue qui l'utilise. Bien que je connaisse relativement l'alphabet latin, j'ai du mal à écrire le vietnamien par exemple.

Retourne plutôt créer des compotes avec ta grandmère pendant que les chevrelles attendent dans le truck à deux soupes.

J'ai rien mais alors rien pigé à ton journal, et moyennement plus au post de ton lien.

Alors après coup je me dis que "donner des sous et donner un pixel" c'était peut-être censé être "donnez des sous et donnez un pixel", mais le coup du "tonton René" je ne comprends pas d'où il sort. Même en lisant vite fait le lien que tu donnes, l'auteur est Philippe et il demande 45 000 €, tout en s'adressant au lecteur de manière plus ou moins passive-agressive. Apparemment on est des sortes de larves qui malgré les efforts importants que ce monsieur a faits, ne sommes pas au courant qu'il a besoin d'argent.

OK, merci de l'avertissement.

Hello,

Alors le problème c'est que je peux difficilement tester ça par moi-même :)
J'ai surtout supposé que théoriquement ça devrait aider, mais je pense que j'avais mal approché le problème. J'ai révisé un peu la matrice et d'après mes tests (avec de la récursion) ça devrait marcher mieux.

Si jamais tu as le temps, tu peux me dire si ça peut te servir à quelque chose, du coup ?

Le site est sous WTFPL et le code est simplement dans la source.

Pour le plugin… moui, enfin je dois avouer que je n'utilise pas souvent Firefox, je suis plutôt sous Chromium, et puis je n'ai encore jamais fait de plugin (ni Firefox ni autre chose).

Mais je vais regarder un peu comment faire, quand même.

Ok, ce n'est pas pas un proxy, même si je ne comprends pas vraiment comment ça marche.

Au lieu de passer par mon serveur, c'est le navigateur qui télécharge directement le site comme lui indique la balise <iframe src="http://linuxfr.org" /> et l'affiche à l'intérieur du cadre de cette balise "iframe" (qui sur mon site, fait toute la largeur de l'écran et presque toute la hauteur à l'exception du bandeau).

Donc rien n'est passé par mon serveur, et quand on clique sur un lien dans l'iframe le navigateur fait directement la requête sans même en informer ma page. Après ça, mon CSS indique au navigateur de transformer 43% du vert en rouge, 56% du rouge en vert, 24% du bleu en vert, etc, mais sans avoir eu accès à aucun moment à ce qui est sur le site.

En plus d'être mieux pour des raisons de sécurité, ça réduit aussi surtout largement la bande passante dont mon serveur a besoin (puisqu'au final, mon serveur ne fait rien d'autre que servir une petite page statique).

Le site n'est pas un proxy, ce n'est rien de plus qu'un bandeau au-dessus du site affiché avec un filtre qui en modifie les couleurs à l'affichage. Et un plugin Firefox, ça ne fonctionne que sous Firefox donc ça m'intéresse peu à côté d'un site qui fonctionne partout, en plus il faut l'installer sur chaque navigateur qu'on veut utiliser.

Ça permet aussi de tester les sites en HTTPS sans aucun problème, ou ceux sur lesquels on doit s'identifier. La politique des navigateurs en matière d'iframes est très stricte, le site "hôte" (le mien en l'occurrence) n'a absolument aucun accès à ce qui se passe dans l'iframe (même pas faire une capture d'écran ou y exécuter du javascript).

Quand on applique les filtres en série les images deviennent grises simplement à cause du filtre monochrome :)

Mais justement !

Tu noteras que pour http://ssz.fr/vaches/ j'ai utilisé des textures différentes pour chaque catégorie. J'ai aussi http://ssz.fr/compass/ (qui n'est pas trop fini et qui met un peu de temps à charger) qui utilise des textures, par exemple. Par contre c'est bien plus compliqué à faire. Et bien sûr, dans le cadre de colortest.it ce n'est pas possible d'ajouter automatiquement de telles textures aux couleurs (les filtres SVG ne le permettent pas, et je ne connais rien d'autre qui le pourrait).

Et puis dès que l'on sort de grands aplats de couleurs, quand il s'agit de photos, de dessins, les textures n'ont plus beaucoup de sens.

J'ai rien compris