voxmundix a écrit 147 commentaires

Windows a la nationalité américaine.
Les chinois sont en train de développer leur version d'Ubuntu bridé (=> haha jeu de mot pourri ^ ^ ).
Donc si, il existe des OS nationaux (qui peuvent être utilisé dans d'autres pays) c'est juste une aberration humaine de plus.

Je plussoie.
A noter que Tor Bundle n'enregistre PAS les certificats et donc qu'a chaque visite d'un https non certifié (hidden service y compris) on se tape l'alerte de sécurité (se qui est très dommage car on ne sait JAMAIS si on se fait MITM ou pas quand on va sur son auto-hebergement sans passer par l'hidden service)

Debian sur pc portable c'est prise de tête quand on ne sait pas trop comment fonctionne les drivers (et personne ne tente de vous l'expliquer quand vous débarquez sur linux, tout le monde se contente de dire "ça fonctionne", se qui n'est pas vrai pour tout le monde).
L'objectif de canonical n'est pas de faire avancer le noyau linux mais de fournir une distrib grand publique utilisant le dit noyau (le boulot n'est pas le même).
Si l'histoire d'Amazone te trouble (comme beaucoup de libriste, comme très peu de geek qui de toute façon ont steam sur leur machine), tu peux passer a des alternatives (xubuntu, kubuntu, voyager OS, Mint) qui sont exempts de ces joyeusetés.

Mint, ça fonctionne très bien, interface pas mal, fourni avec assez de pilote pour tourner sur quasi tout.
Fedora sa fait un bail mais si je me rappel bien la consommation de ressources machines était supérieur.

PS: tu peux les essayer en machine virtuelle avant de choir :)

N'y a-t-il pas moyen de faire un petit script qui passerait par le Web normal et ensuite par Tor (pour les sites accessible via hidden service donc sans sortir du réseau Tor) puis comparer les deux certificats pour vérifier l'authenticité? Ce système pourrait-être plus robuste et ne pas nécessité de tiers.

Si tu as un tuto en français qui se lit facilement, je suis preneur car j'ai voulu regarder hier et s'était bien plus prise de tête que de télécharger le torrent et d'ouvrir le fichier avec la signature ^{^}
si non y a aussi sha256 pour les signatures.

Ouuuuuh les sacro saint impôts ! Dans quel monde vivrait-on si demain les gens cessaient de payer les impôts et se mettaient a produire des crypto monnaies équilibrés? :D

PS: vu que c'est la création de dettes qui crée de la monnaie, les gens devraient être heureux de voir les états créer de l'argent par magie en s'endettant auprès de riches banquiers qui ne possèdent pas l'argent qu'ils prêtent ^ ^
Troll OFF

Comment fais-tu dans ces conditions pour savoir quand tu es face a un MITM? (c'est une question pas un troll :) )

Mon client bittorent semble en accord avec toi.
A noter que les signatures sont disponible ici:
https://tails.boum.org/torrents/files/tails-i386-1.2.iso.sig

En bonus:
└─ $ ▶ md5sum tails-i386-1.2.iso
f451cee96995a64bc8ff610156363976 tails-i386-1.2.iso

└─ $ ▶ md5sum tails-i386-1.2.iso.sig
7c23b3f3bf2bdb5edc71a3dd15af81ff tails-i386-1.2.iso.sig

Chiffrer le trafic non critique permet d’offusquer ton trafic critique.
Si tu ne chiffre que ton trafic critique, alors un adversaire sait qu'il n'a qu'a s'attaquer à ces données et supprimer les autres. Si tu chiffre tout il va devoir tout enregistrer et tout déchiffrer avant de faire son petit tri.

Faire confiance a tout ces gens là c'est pas malin ^{^} (suffit de taper The Pirat Bay pour voir quelle confiance on peut accorder a des gens dépendant du bon vouloir gouvernementale)
Mais si non pour en revenir au certificat, sachant que tu as quand même une alerte dés que tu tombe sur n'importe quel certif auto-signé, l'alerte perd sa valeur. (un peu comme un antivirus trop bavard qui va pousser l'utilisateur a choisir "accepter par défaut" voir "pire" a désinstaller l'antivirus).

L'erreur de sécurité c'est de crier au loups inutilement. Une alerte légitime c'est un changement de certificat (et encore, comment l'utilisateur peut savoir si c'est légitime ou non? En vérifiant les valeurs bidons qu'on a rentré lors de la création? :D ).
Toute façon tu crois franchement qu'un nouvel utilisateur comprends quoi que se soit quand il tombe sur une alerte de sécurité sur un service auto-hébergé? Non il accepte le certificat après avoir cru que les services sont inaccessible et avoir harcelé le webmaster…

Je trouve aberrant qu'on fasse de la FUD en faisant peur aux gens dés qu'ils visitent un certificat auto-hébergé alors que les certificats certifié sont sous le jouc des gouvernements qui forme la menace principale sur internet…

merci bien ;)

On peut aussi simplement se poser la question de l'utilité réelle des certificats, surtout sachant qu'il a déjà été démontré qu'on peut créer des faux: https://en.wikipedia.org/wiki/Collision_attack

SSL devrait se contenter de faire se qu'il sait faire: chiffrer.

Ma question était plus tôt: comment supprimer TOUTES les alertes de sécurité de certificat sur firefox?
mais merci quand même ;)

Si c'est gratuit, why not. Mais si c'est payant, c'est un peu con de dépenser de précieux euro pour un service tiers tellement décrié dans les précédents articles.
Toute façon les utilisateurs de linuxfr ne fuiront pas en voyant "une alerte de sécurité firefox".

PS: si quelqu'un sait comment désactiver cette alerte, je suis preneur

Les organismes de certifications ne servent a rien a part enrichir les riches et faire c…. les autres (quand est-ce que Firefox va se décider a supprimer "l'avertissement de sécurité" qui est une insulte envers l'auto hebergement?)

Toute façon faut sortir un peu le baton de son c..
Le savoir, ça se partage, que se soit légal ou non (histoire Aaron Schwartz).
Là dans l'optique le livre est accessible gratuitement mais le site veut se faire une base de pigeon qui accepte de poster leur mail pour se faire spammer dans le futur…

Si vous publiez des vidéos de conférences, le libriste que je suis en sera tout content :)

Ne voudrais-tu pas pondre un aurticle pour faire un retour d'expérience stp? J'en ai ma claque de mes androids et je voudrais les échanger contre du Firefox OS mais, pauvreté oblige, il me faudrait plus d'infos avant :) (genre dispose-t-on d'outils libre d'analyse réseau (nmap) et autres programmes utile, les FirefoxOS rament-ils, comment gérer leur permission, quid de la crypto, etc? :)

Rogo: j'ajouterais a ton commentaire: quand on a fini de laborieusement de rooter et que deux mois après un truc (obsolescence programmée) pousse a renvoyer l'appareil en SAV, qu'on t'échange contre une nouvelle version impossible a rooter: ils font leur maximum pour nous bloquer.

Vais voir pour préparer ça dans mon coin et j'enverrai le résultat a framasoft :)
Ça marche si on les contactes via twitter? (j'aime pas les mails ^ ^ )

Je ne suis pas du tout familiarisé avec snapchat, c'est accessible sans inscription? :)

merci ;)

Aurons-nous la possibilité de suivre la conférence via vidéos sur le net? :)

Goldman Sachs dans l'open source, ça fait peur ^ ^

browser.search.param.ms-pc

Je pense que c'est lié a Bing. On retrouve le même genre de variable planqué dans des variables Post et Get dans les fichiers de configurations des moteurs de recherches intégré a firefox (uniquement ceux présent lors de l'installation. Si je me rappel bien, si on supprime un moteur de recherche puis qu'on l'ajoute avec l'extension "Add to Search Bar" les variables espions ne sont pas reprises.

Un service intéressant que framasoft pourrait proposer serait d'héberger les bibliothèques javascript (genre angular.js, jquery, three.js, etc), ça pourrait permettre aux programmeurs web d'avoir des alternatives a google et github :)