Pour ma part j’ai simplement besoin d’une extension qui trouve les flux RSS et qui me permette de copier l’URL. Si quelqu’un a une extension à proposer, je suis preneur :)
Il y a sur le site un lien vers la page où tu peux acheter ce jeu (non sponsorisé, je ne gagne rien à ce que quelqu’un passe par ce lien), je ne vois pas comment on peut rendre ça encore plus clair.
Bien que n’était pas tout à fait étranger au shell (mais relativement étranger au projet), je trouve qu’il n’est pas évident de deviner au premier coup d’œil que les deux premiers .sh (ceux marqués « scripts ») proviennent de play.it et le dernier (marqué « cible ») de GOG.
Quelque chose dans le goût de « Cible : version ${ver} distribuée par GOG <a href="${url_gog}">fichier_gog.sh</a> » serait plus parlante.
Je suis informaticien, donc feignant, donc devoir passer sa souris sur le lien pour savoir qu’il pointe vers gog.com est largement au dessus de mes capacités. (il faut déplacer sa main du clavier vers la souris, c’est déjà un acte de bravoure en soi)
Mais si pour le fixe la situation progresse plutôt rapidement ces derniers temps, le mobile est encore à la traîne, je ne connais pas d'opérateurs européens le faisant (ni même dans le monde en fait) et il ne semble pas y avoir des expérimentations en ce sens.
Dans le monde, c’est déjà le cas chez la plupart des opérateurs étasuniens. L’ARIN n’ayant plus d’IPv4 à refiler, et les réserves des LIRs se vidant petit à petit, il a bien fallu trouver un palliatif :D
Certes, mais compare le nombre de serveurs tournant avec des processeurs x86 et ceux tournant sur autre chose. Tu vas vite te rendre compte que si tu veux toucher un peu plus que les chercheurs, il faut supporter le x86.
Le temps de boot d’un serveur n’est clairement pas la priorité des constructeurs. En effet, on passe par le BIOS environ une fois par an. Que le reboot dure une ou quinze minutes ne change pas grand-chose au final…
Et comme dit lors des autre commentaires, un BIOS de serveur va vérifier l’état des alimentations, des ventilateurs, de la RAM, des batteries de secours, des cartes RAID, des cartes réseaux, etc.
Quelles sont les différences entre Apple et FreeBSD ? Dans les deux cas, c’est la même base, FreeBSD veut garder un système le plus libre possible, Apple veut séduire les hypesters avec une interface « ergonomique ». Apple n’aime pas que l’on compile soit-même ses programmes, il y a des ports sous FreeBSD.
Et on peut en avoir plein comme ça.
Pour résumer : Apple veut veut enfermer ses utilisateurs, FreeBSD veut les libérer. Les deux savent t’afficher un firefox et aller sur le web via Wi-Fi.
Et on règle comment le problème de l'authenticité des mails? Autrement qu'en utilisant GPG ou regardant les entêtes? Donc en étant lambda compatible ? Je suis bien d'accord que Gmail, Hotmail & Co ont bien trop de poids dans le flux des mails mais je n'arrive pas à comprendre comment je peux aussi facilement usurper un mail, juste en mentant sur le champ FROM.
Le problème de l’authenticité des mails est un vaste débat… Le problème majeur est qu’il n’y a aucune corrélation entre les entêtes SMTP et les entêtes du mail en lui-même. Absolument comme ce qui est marqué sur l’enveloppe que voit la poste, et ce qui est marqué dans la lettre qu’elle contient. Exemple :
12:30 alarig@kaiminus ~ % telnet togepi.gozmail.bzh smtp
trying 2a00:5884:124::1...
Connected to togepi.gozmail.bzh.
Escape character is '^]'.
220 togepi.gozmail.bzh ESMTP Postfix
HELO kaiminus.swordarmor.fr
250 togepi.gozmail.bzh
MAIL FROM: <alarig@gozmail.net>
250 2.1.0 Ok
RCPT TO: <alarig@gozmail.net>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
From: <alarig@swodarmor.fr>
To: <alarig@swordarmor.fr>
Subject: Faux destinataire et emetteur
Coucou.
.
250 2.0.0 Ok: queued as 7CD291A0075
QUIT
221 2.0.0 Bye
Connection closed by foreign host.
zsh: exit 1 telnet togepi.gozmail.bzh smtp
Et si je regarde ma boîte gozmail, j’ai bien un mail en provenance et à destination de mon adresse swordarmor. Tout simplement parce que postfix ne regarde pas du tout ce que l’on met dans la commande DATA, et que c’est là-dedans que l’on met les entêtes affichées par le client mail.
Après il est vrai que cela ne te donne pas de la sécurité, tu ne fais qu'offrir de la sécurité pour les autres en évitant que tes domaines ne servent d'émetteur à SPAM.
Même pas, ça empêche son domaine de servir d’émetteur à spam que si le domaine en face vérifie le DKIM et le SPF. Et encore faut-il que le message soit rejeté si ça ne correspond pas aux valeurs annoncées dans le DNS, ce qui en pratique n’est pas fait, car ça casserait pas mal de choses, à commencer par les listes diffusion. On le voit avec DMARC (qui est juste un publication de la politique de traitement à appliquer pour ce genre de cas).
Et pour revenir au thème principal, sans DNSSEC, un attaquant peut répondre de fausses entrées SPF et DKIM et ainsi le mail passera même si toutes les protections ont été mises en place.
Je ne connaissais pas ces projet. Merci :)
Pour ma part je ne suis pas développeur pour deux sous (je suis admin réseau), donc je vais voir du mal à leur pondre du code, mais je me garde ça sous le coude :)
(et unbound++, donc ça ne peut être que bien :)
Globalement, le DNSSEC est très peu déployé parce que ça ne sert pas à grand chose d’un point de vue business. Par contre, si ça permet d’avoir un petit logo vert dans la barre d’adresse, il y a moyen que ça en fasse bouger certains.
C’est un peu comme le BCP38 chez les opérateurs…
D’ailleurs, en parlant de BCP38, s’il était systématiquement déployé, il n’y aura plus de soucis d’attaque par amplification avec le DNS (mais avec des si on met Paris en bouteille…).
Mettre de la sécurité dans le DNS n’est pas plus dangereux que d’utiliser le DNS tout court. Mais on a l’avantage d’avoir un système certes hiérarchique, mais décentralisé. Là où le système des CA est totalement centralisé.
Pour SPF et DKIM (tout comme DMARC), ce sont des fioritures développées par les grands silos du mail pour faire chier les petits. Dans les faits, ça ne change presque rien, mais si tu ne l’as pas t’es un spammeur. Là, l’enjeu est tout autre, il s’agît d’arrêter de dépendre d’autres silos. Et avec DANE, c’est possible.
Si dyndns avait tous ses NS dans un seul AS, bah j’ai envie de dire « mauvis admin, changer admin ». Le problème est le même si on met tous ses MX dans le même AS (et si son cœur de métier est de servir du mail).
Je te rejoins pour le coup des FAI qui ne font pas de vérification DNSSEC. Là, je n’ai pas de réponse, rien ne les empêche de le faire. Mais après, c’est toujours pareil, on va te dire « Ça coûte combien ? » suivi de « Ça va nous servir à quoi ? ». Si les navigateur poussent cette technologie, il y a des chances pour que ça change.
Et justement, tu parles de let’s encrypt. Ils ont réussi à pousser x509 à l’époque de netscape, ils poussent maintenant let’s encrypt. Pourquoi pas DANE ?
Après, pour les questions de quoi faire quand la vérification classique de x509 et DANE se contre-disent, je ne sais pas. Je pense que ce sont des questions qui se réglerons en fonction de l’évolution. Si plus de monde utilise DANE, alors osef des CA. Si ça reste comme ça, on reste comme ça. Après, on peut aussi imaginer que ça soit réglable dans les préférences, comme l’est l’OSCP par exemple.
Je ne connais pas tous les domaines de mozilla, mais mozilla.org est signé avec DNSSEC.
J’espère avoir répondu à tes questions, dis moi si ce n’est pas clair.
La vérification de la validité du DNSSEC est faite par le résolveur (et non par l’OS, la glibc prend ça pour argent comptant), mais c’est bien à firefox de s’occuper du TLSA (ce qu’il y a derrière le DANE).
Je lis « Mozilla cherche à améliorer la sécurité sur le web », je n’en doute pas, c’est presque leur cœur de métier, au moins indirectement.
Je lis aussi « [WoSign] a joué au plus malin en anti-datant des certificats et leur permettre d'utiliser SHA-1 ». Et ils veulent virer WoSign. C’est une très bonne idée aussi.
Mais seulement, quand j’entends parler sécurité et CA dans la même dépêche, je ne peux pas m’empêcher de me demander quand est-ce que l’on aura une implémentation native (c’est à dire autrement que par un greffon) de DANE et du DNSSEC dans firefox ? Je pense qu’il est à peu près établi que le problème de x509 sont les CA. Avec DANE on peut s’en passer. On a une RFC pour ça. Qu’est-ce qui empêche de s’y mettre ?
Ça peut casser des choses parce que rajouter des couches n’a jamais aidé à rendre les choses simples. En théorie beaucoup de choses sont censées être faisables…
Le NAT66 est effectivement prévu pour faire du 1:1, mais en aucun cas du n:1 (je peux me tromper vu que je n’en ai jamais mis en place, mais ce n’est pas ce que je lis sur https://tools.ietf.org/html/rfc6296). Donc ça supposerait de refaire une spécification du NAT66 pour un cas d’usage déjà couvert par d’autres RFC (comme l’a déjà dit Adrien Dorsaz), puis de développer une implémentation, en prenant en compte le fait que des équipements sont déjà vendus avec une ancienne spécification.
Par contre je peux te dire d’expérience que les deux RFCs citées sont utilisables sans soucis.
Par exemple, il pourrait savoir quand un employé travaille sur Internet ou quand une personne est présente chez elle.
Que ce soit en IPv4 avec des adresses publiques, en IPv4 avec du NAT, ou avec de l’IPv6, on peut très facilement savoir si quelqu’un est chez lui ou au boulot.
Chez moi je sors avec des IPs (v4 et v6) grifon, en cours avec des IPs (v4 et v6) renater, et au boulot avec de l’IPv4 SFR. Si on sait utiliser un moteur de recherche pour le premier FAI et son cerveau pour le reste, il est facile de savoir où je suis, et quand.
Si on veut vraiment se protéger de ce genre d’attaque, la seule solution est de toujours utiliser un VPN. Et que le VPN fournisse que du v4, que du v6 ou de l’IPv4 et de l’IPv6, ça ne change rien non plus.
Parce que le NAT, tout simplement.
Le NAT t’oblige à garder un état de chaque connexion, ce qui n’est pas du tout gratuit en ressources.
Aussi, le NAT suppose de faire un bout de L4 (pour avoir la correspondance des ports UDP et TCP vers telle ou telle machine), alors qu’un routeur ne devrait faire que du L3 (tel bloc d’IP, je le route là, ma route par défaut est là).
De plus, Internet a été conçu en ayant en tête le fait que chaque machine a une IP publique. Avoir des IPs RFC1918 pour aller sur Internet est juste du bricolage pour retarder le passage à l’IPv6 et ça a cassé quelques protocoles au passage. On peut par exemple penser au FTP qui n’est pas du tout trivial à faire marcher avec du NAT ; c’est encore pire dans le cas du FTPS. Si le protocole ne se base pas sur UDP ou TCP, c’est pareil, etc.
Enfin, avoir un NAT66 n’apportera rien par rapport à des adresses temporaires puisqu’elles changerons régulièrement et qu’il sera impossible de tracer quelqu’un avec pour seule information son IP.
Il faut également garder à l’esprit que la plage d’IPv6 est tellement grande qu’il est difficile de tout scanner. Dans un /64 (ce que donne en général un FAI), tu as 72057594037927936 réseaux de 256 IP. Donc rien que pour ton réseau local, tu vas mettre 72057594037927936 fois plus de temps qu’en IPv4.
En regardant le code sur github, il est toujours en C#. Du coup je me demande si la migration vers node.js n’est prévue que pour la version entreprise ou si j’ai mal compris quelque chose.
Ha ha ha.
Sérieux, file moi 1000 €, promis je te les rend demain, tu vas me les prêter de suite tellement tu as confiance en une simple parole d'inconnus.
Ce fait n'existe pas. Le seul fait qui existe est qu'ils t'ont dit qu'ils ne le feraient pas (et ça n'a rien à voir).
Pour connaître les gens qui font tourner le service, ils font attention à la vie privée.
Et puis, ça, ben c'est pareil avec Google, personne ne lis tes mails chez Google non plus (une analyse par un ordinateur pour t'afficher des pubs n'ayant rien à voir avec une lecture de mail, et puis si tu penses que ça l'est ben j'espère qu'ils lisent aussi les mails chez toi rien que pour l'anti-spam)
Même pour l’anti-spam, les mails ne sont pas lus. Il se fait avec du greylisting et les réglages de postfix.
Dans ce cas :
- tu change de registrar
Ce ne sont pas mes sous, alors je ne peux rien y faire. Moi j’ai juste filé un coup de main pour la configuration de postfix et dovecot dans ce projet. Je ne vais pas aller râler pour un oui ou pour un non, moi j’ai mon serveur mail.
Et accessoirement, ça s’appelle une autorité de certification (on parle SSL), pas d’un registrar (DNS)
tu indiques comment faire pour enregistrer le certificat de Gandi
Tu peux envoyer un mail pour proposer ça. Je vais aussi le faire de mon côté.
Mais surtout pas "accepter tous les certificats". Tu en as encore en stock de telles blagues?
Se faire son propre serveur de mail à la maison. Ça bypass tout le problème.
[^] # Re: Double vie
Posté par SwordArMor (site web personnel) . En réponse au journal Alexandre Astier est un bépoiste convaincu. Évalué à 2.
Ce qui me freine le plus, c’est de devoir ré-apprendre tous les raccourcis, notamment ceux de bash et de vim.
[^] # Re: Fairphone 3
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Quel téléphone (plus ou moins) libre en 2021 ?. Évalué à 1.
Ah yes, merci ! J’avais raté ce billet de blog :p Du coup, d’ici à ce que mon FP2 meure, le FP3 sous /e/ devrait faire un bon remplaçant je pense.
[^] # Re: Fairphone 3
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Quel téléphone (plus ou moins) libre en 2021 ?. Évalué à 1.
J’ai un fairphone 2 depuis plusieurs années, et il tient beaucoup plus qu’une journée. Je suis de l’ordre de 3 ou 4j.
[^] # Re: Fairphone 3
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Quel téléphone (plus ou moins) libre en 2021 ?. Évalué à 2.
J’hésite à me prendre un FP3 sous /e/ mais je n’arrive pas à savoir si ça supporte le VoLTE, est-ce que vous savez par hasard ?
[^] # Re: Disparition du RSS
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 63. Évalué à 2. Dernière modification le 25 octobre 2018 à 15:03.
Ça a l’air bien, merci beaucoup :)
# Disparition du RSS
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 63. Évalué à 1. Dernière modification le 25 octobre 2018 à 14:35.
Pour ma part j’ai simplement besoin d’une extension qui trouve les flux RSS et qui me permette de copier l’URL. Si quelqu’un a une extension à proposer, je suis preneur :)
# IPv6
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Un incident et des opérations de maintenance sur le site. Évalué à 7.
Et à quand le support d’IPv6 sur le site ? L’entrée est ouverte depuis 2012 : https://linuxfr.org/suivi/support-ipv6
[^] # Re: "sans prise de tête" ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche ./play.it installe vos jeux sans prise de tête. Évalué à 3. Dernière modification le 05 mars 2018 à 15:49.
Bien que n’était pas tout à fait étranger au shell (mais relativement étranger au projet), je trouve qu’il n’est pas évident de deviner au premier coup d’œil que les deux premiers .sh (ceux marqués « scripts ») proviennent de play.it et le dernier (marqué « cible ») de GOG.
Quelque chose dans le goût de « Cible : version
${ver}distribuée par GOG<a href="${url_gog}">fichier_gog.sh</a>» serait plus parlante.Je suis informaticien, donc feignant, donc devoir passer sa souris sur le lien pour savoir qu’il pointe vers gog.com est largement au dessus de mes capacités. (il faut déplacer sa main du clavier vers la souris, c’est déjà un acte de bravoure en soi)
[^] # Re: Pourtant on a jamais été aussi proche :)
Posté par SwordArMor (site web personnel) . En réponse à la dépêche La fin des IPv4 est très proche ! Les ennuis aussi…. Évalué à 2.
Dans le monde, c’est déjà le cas chez la plupart des opérateurs étasuniens. L’ARIN n’ayant plus d’IPv4 à refiler, et les réserves des LIRs se vidant petit à petit, il a bien fallu trouver un palliatif :D
https://blogs.akamai.com/2016/06/preparing-for-ipv6-only-mobile-networks-why-and-how.html
https://www.extremetech.com/mobile/127213-ipv6-now-deployed-across-entire-t-mobile-us-network
Il y a sûrement d’autres articles sur le sujet, j’ai fait un recherche très rapide.
[^] # Re: Accéder aux caméras IP
Posté par SwordArMor (site web personnel) . En réponse à la dépêche La fin des IPv4 est très proche ! Les ennuis aussi…. Évalué à 8.
C’est très bête de la part du fabricant, parce que ne pas avoir son IPv4 à la maison, ça va finir par devenir la norme.
Après, tu peux aussi monter un serveur web en IPv6 qui fait proxy vers les v4 des caméras.
# Accéder aux caméras IP
Posté par SwordArMor (site web personnel) . En réponse à la dépêche La fin des IPv4 est très proche ! Les ennuis aussi…. Évalué à 5.
Salut,
Pourquoi tu voulais accéder aux caméras IP en IPv4 alors que tu avais de l’IPv6 à dispo ?
[^] # Re: Pourquoi X86 (Intel)
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Un pas en avant pour les serveurs libres : le projet NERF. Évalué à 1.
Certes, mais compare le nombre de serveurs tournant avec des processeurs x86 et ceux tournant sur autre chose. Tu vas vite te rendre compte que si tu veux toucher un peu plus que les chercheurs, il faut supporter le x86.
[^] # Re: Vitesse
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Un pas en avant pour les serveurs libres : le projet NERF. Évalué à 3.
Le temps de boot d’un serveur n’est clairement pas la priorité des constructeurs. En effet, on passe par le BIOS environ une fois par an. Que le reboot dure une ou quinze minutes ne change pas grand-chose au final…
Et comme dit lors des autre commentaires, un BIOS de serveur va vérifier l’état des alimentations, des ventilateurs, de la RAM, des batteries de secours, des cartes RAID, des cartes réseaux, etc.
[^] # Re: temps de parcours fortement sous-estimé ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche OpenRouteService : routage en ligne basé sur OpenStreetMap. Évalué à 1.
Pour ma part le temps est relativement correct, mais le trajet est loin d’être optimisé.
Il n’y a pas besoin d’être du coin pour s’en rendre compte : https://bulbizarre.swordarmor.fr/garbage/images/OpenRouteService-non_opti.png
[^] # Re: Pourquoi un fork hostile ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Wazo, le fork de XiVO, prend son envol. Évalué à -6.
Quelles sont les différences entre Apple et FreeBSD ? Dans les deux cas, c’est la même base, FreeBSD veut garder un système le plus libre possible, Apple veut séduire les hypesters avec une interface « ergonomique ». Apple n’aime pas que l’on compile soit-même ses programmes, il y a des ports sous FreeBSD.
Et on peut en avoir plein comme ça.
Pour résumer : Apple veut veut enfermer ses utilisateurs, FreeBSD veut les libérer. Les deux savent t’afficher un firefox et aller sur le web via Wi-Fi.
Donc, à part des généralités ?
[^] # Re: DANE: on met pas toute sa sécurité dans un seul panier ??
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 2.
Le problème de l’authenticité des mails est un vaste débat… Le problème majeur est qu’il n’y a aucune corrélation entre les entêtes SMTP et les entêtes du mail en lui-même. Absolument comme ce qui est marqué sur l’enveloppe que voit la poste, et ce qui est marqué dans la lettre qu’elle contient. Exemple :
Et si je regarde ma boîte gozmail, j’ai bien un mail en provenance et à destination de mon adresse swordarmor. Tout simplement parce que postfix ne regarde pas du tout ce que l’on met dans la commande DATA, et que c’est là-dedans que l’on met les entêtes affichées par le client mail.
Même pas, ça empêche son domaine de servir d’émetteur à spam que si le domaine en face vérifie le DKIM et le SPF. Et encore faut-il que le message soit rejeté si ça ne correspond pas aux valeurs annoncées dans le DNS, ce qui en pratique n’est pas fait, car ça casserait pas mal de choses, à commencer par les listes diffusion. On le voit avec DMARC (qui est juste un publication de la politique de traitement à appliquer pour ce genre de cas).
Et pour revenir au thème principal, sans DNSSEC, un attaquant peut répondre de fausses entrées SPF et DKIM et ainsi le mail passera même si toutes les protections ont été mises en place.
[^] # Re: Sécurité, CA, certes. Et DANE ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 1.
Je ne connaissais pas ces projet. Merci :)
Pour ma part je ne suis pas développeur pour deux sous (je suis admin réseau), donc je vais voir du mal à leur pondre du code, mais je me garde ça sous le coude :)
(et unbound++, donc ça ne peut être que bien :)
[^] # Re: DANE: on met pas toute sa sécurité dans un seul panier ??
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 5.
Je vais essayer de répondre dans l’ordre.
Globalement, le DNSSEC est très peu déployé parce que ça ne sert pas à grand chose d’un point de vue business. Par contre, si ça permet d’avoir un petit logo vert dans la barre d’adresse, il y a moyen que ça en fasse bouger certains.
C’est un peu comme le BCP38 chez les opérateurs…
D’ailleurs, en parlant de BCP38, s’il était systématiquement déployé, il n’y aura plus de soucis d’attaque par amplification avec le DNS (mais avec des si on met Paris en bouteille…).
Mettre de la sécurité dans le DNS n’est pas plus dangereux que d’utiliser le DNS tout court. Mais on a l’avantage d’avoir un système certes hiérarchique, mais décentralisé. Là où le système des CA est totalement centralisé.
Pour SPF et DKIM (tout comme DMARC), ce sont des fioritures développées par les grands silos du mail pour faire chier les petits. Dans les faits, ça ne change presque rien, mais si tu ne l’as pas t’es un spammeur. Là, l’enjeu est tout autre, il s’agît d’arrêter de dépendre d’autres silos. Et avec DANE, c’est possible.
Si dyndns avait tous ses NS dans un seul AS, bah j’ai envie de dire « mauvis admin, changer admin ». Le problème est le même si on met tous ses MX dans le même AS (et si son cœur de métier est de servir du mail).
Je te rejoins pour le coup des FAI qui ne font pas de vérification DNSSEC. Là, je n’ai pas de réponse, rien ne les empêche de le faire. Mais après, c’est toujours pareil, on va te dire « Ça coûte combien ? » suivi de « Ça va nous servir à quoi ? ». Si les navigateur poussent cette technologie, il y a des chances pour que ça change.
Et justement, tu parles de let’s encrypt. Ils ont réussi à pousser x509 à l’époque de netscape, ils poussent maintenant let’s encrypt. Pourquoi pas DANE ?
Après, pour les questions de quoi faire quand la vérification classique de x509 et DANE se contre-disent, je ne sais pas. Je pense que ce sont des questions qui se réglerons en fonction de l’évolution. Si plus de monde utilise DANE, alors osef des CA. Si ça reste comme ça, on reste comme ça. Après, on peut aussi imaginer que ça soit réglable dans les préférences, comme l’est l’OSCP par exemple.
Je ne connais pas tous les domaines de mozilla, mais mozilla.org est signé avec DNSSEC.
J’espère avoir répondu à tes questions, dis moi si ce n’est pas clair.
[^] # Re: Sécurité, CA, certes. Et DANE ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 5.
La vérification de la validité du DNSSEC est faite par le résolveur (et non par l’OS, la glibc prend ça pour argent comptant), mais c’est bien à firefox de s’occuper du TLSA (ce qu’il y a derrière le DANE).
# Sécurité, CA, certes. Et DANE ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 4.
Je lis « Mozilla cherche à améliorer la sécurité sur le web », je n’en doute pas, c’est presque leur cœur de métier, au moins indirectement.
Je lis aussi « [WoSign] a joué au plus malin en anti-datant des certificats et leur permettre d'utiliser SHA-1 ». Et ils veulent virer WoSign. C’est une très bonne idée aussi.
Mais seulement, quand j’entends parler sécurité et CA dans la même dépêche, je ne peux pas m’empêcher de me demander quand est-ce que l’on aura une implémentation native (c’est à dire autrement que par un greffon) de DANE et du DNSSEC dans firefox ? Je pense qu’il est à peu près établi que le problème de x509 sont les CA. Avec DANE on peut s’en passer. On a une RFC pour ça. Qu’est-ce qui empêche de s’y mettre ?
[^] # Re: NAT66 ou masquarade66
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 2.
Ça peut casser des choses parce que rajouter des couches n’a jamais aidé à rendre les choses simples. En théorie beaucoup de choses sont censées être faisables…
Le NAT66 est effectivement prévu pour faire du 1:1, mais en aucun cas du n:1 (je peux me tromper vu que je n’en ai jamais mis en place, mais ce n’est pas ce que je lis sur https://tools.ietf.org/html/rfc6296). Donc ça supposerait de refaire une spécification du NAT66 pour un cas d’usage déjà couvert par d’autres RFC (comme l’a déjà dit Adrien Dorsaz), puis de développer une implémentation, en prenant en compte le fait que des équipements sont déjà vendus avec une ancienne spécification.
Par contre je peux te dire d’expérience que les deux RFCs citées sont utilisables sans soucis.
# Travail, maison
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 6.
Que ce soit en IPv4 avec des adresses publiques, en IPv4 avec du NAT, ou avec de l’IPv6, on peut très facilement savoir si quelqu’un est chez lui ou au boulot.
Chez moi je sors avec des IPs (v4 et v6) grifon, en cours avec des IPs (v4 et v6) renater, et au boulot avec de l’IPv4 SFR. Si on sait utiliser un moteur de recherche pour le premier FAI et son cerveau pour le reste, il est facile de savoir où je suis, et quand.
Si on veut vraiment se protéger de ce genre d’attaque, la seule solution est de toujours utiliser un VPN. Et que le VPN fournisse que du v4, que du v6 ou de l’IPv4 et de l’IPv6, ça ne change rien non plus.
[^] # Re: NAT66 ou masquarade66
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 10.
Parce que le NAT, tout simplement.
Le NAT t’oblige à garder un état de chaque connexion, ce qui n’est pas du tout gratuit en ressources.
Aussi, le NAT suppose de faire un bout de L4 (pour avoir la correspondance des ports UDP et TCP vers telle ou telle machine), alors qu’un routeur ne devrait faire que du L3 (tel bloc d’IP, je le route là, ma route par défaut est là).
De plus, Internet a été conçu en ayant en tête le fait que chaque machine a une IP publique. Avoir des IPs RFC1918 pour aller sur Internet est juste du bricolage pour retarder le passage à l’IPv6 et ça a cassé quelques protocoles au passage. On peut par exemple penser au FTP qui n’est pas du tout trivial à faire marcher avec du NAT ; c’est encore pire dans le cas du FTPS. Si le protocole ne se base pas sur UDP ou TCP, c’est pareil, etc.
Enfin, avoir un NAT66 n’apportera rien par rapport à des adresses temporaires puisqu’elles changerons régulièrement et qu’il sera impossible de tracer quelqu’un avec pour seule information son IP.
Il faut également garder à l’esprit que la plage d’IPv6 est tellement grande qu’il est difficile de tout scanner. Dans un /64 (ce que donne en général un FAI), tu as 72057594037927936 réseaux de 256 IP. Donc rien que pour ton réseau local, tu vas mettre 72057594037927936 fois plus de temps qu’en IPv4.
# Migration vers node.js seulement pour la version entreprise ?
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Sortie de OnlyOffice Enterprise Edition. Évalué à 5.
En regardant le code sur github, il est toujours en C#. Du coup je me demande si la migration vers node.js n’est prévue que pour la version entreprise ou si j’ai mal compris quelque chose.
[^] # Re: Autres alternatives
Posté par SwordArMor (site web personnel) . En réponse à la dépêche Nouvelles de ProtonMail : version 2.0, ouverture (partielle) du code et mobilité. Évalué à -3.
Pour connaître les gens qui font tourner le service, ils font attention à la vie privée.
Même pour l’anti-spam, les mails ne sont pas lus. Il se fait avec du greylisting et les réglages de postfix.
Ce ne sont pas mes sous, alors je ne peux rien y faire. Moi j’ai juste filé un coup de main pour la configuration de postfix et dovecot dans ce projet. Je ne vais pas aller râler pour un oui ou pour un non, moi j’ai mon serveur mail.
Et accessoirement, ça s’appelle une autorité de certification (on parle SSL), pas d’un registrar (DNS)
Tu peux envoyer un mail pour proposer ça. Je vais aussi le faire de mon côté.
Se faire son propre serveur de mail à la maison. Ça bypass tout le problème.