Gniii ? Tu as plusieurs serveurs sur le net quand tu t'auto-héberges ?
Bah oui : le primaire est dans mon salon, le deuxième est dans un datacenter loin d'ici. Et ça n'enlève rien au fait que je m'auto-héberge en partie (d'ailleurs, le deuxième pourrait très bien être dans une résidence secondaire si j'en avais).
Pour de petits domaines le 2ème MX c'est une machine que tu ne maîtrise pas (ex ton registrar ou ton hébergeur) donc spam++
Pas du tout, je suis root dessus, et la conf' est exactement comme je la souhaite. Jamais eu de spam supplémentaire par ce biais. Cet argument ne tient pas, sauf si on entend par « petits domaines » les domaines mono-site gérés par un admin fainéant qui ne veut configurer qu'une machine, ou grippe-sou au point de ne pas vouloir prendre un VPS ailleurs pour son MX2.
Pareil. J'avais envie de voter blanc, et je me suis abstenu pour éviter de "faire chier" les gens qui dépouillent.
D'un autre côté, la seule fois où j'ai dépouillé, le processus était lourdingue : pour chaque nul, il fallait en permanence appeler à notre table la personne qui avait la feuille avec les codes pour chaque catégorie, attendre qu'elle retrouve le fichu code, le noter sur l'enveloppe, etc. Évidemment, avec un processus aussi inefficace, ça ralentit énormément.
J'ai toujours pensé qu'avant de critiquer un système il fallait y participer. 44% des gens ont pensé que ça ne servait à rien, c'est énorme, ce pourcentage aurait pu faire basculer le résultat très largement.
Si aucun candidat acceptable pour toi n'est présent au second tour, aller voter est contre-productif : que tu votes pour l'un de ceux restés en lice ou que tu votes blanc/nul, tu aides à légitimer leur score (car les médias parlent peu du vote blanc).
En revanche, les chiffres de l'abstention, eux, sont largement diffusés. Je ne suis donc pas allé voter délibérément, pour ne pas aider par là-même le vainqueur de ma circo à faire croire qu'il est largement soutenu par la population (je précise que mon parti n'avait pas donné de consigne de vote).
Ou encore mieux, Vyatta. OK, ce n'est pas vraiment « à la IOS », c'est plus proche de JunOS. Il y a un support commercial dispo, et c'est assez facilement bidouillable si on connaît un peu bash et perl.
Je suppose que c'est une question de marketing. Je ne connais pas Steam, mais je pense que ça doit marcher comme une sorte d'(app store|market|software centre) : si ton jeu y est, il a des chances d'être vu par des acheteurs potentiels qui lancent le client Steam et qui auraient pu passer à côté sinon.
Ça, et puis ça facilite aussi les choses pour les gens : un seul endroit pour aller acheter les jeux plutôt qu'aller à chaque fois sur un site différent. Comme le software centre en fait, sauf qu'avec ce dernier, tu ne touches que les utilisateurs d'Ubuntu.
J'aurais tendance à dire que non, car ça ne répond pas à un quelconque problème : si un étranger veut juste communiquer de manière, disons fonctionnelle, on peut utiliser une langue autre que le français (aujourd'hui c'est l'anglais, ce qui est à mon sens sous-optimal et inéquitable pour ceux qui ne l'ont pas comme langue maternelle, mais on pourrait — théoriquement — envisager l'utilisation généralisée d'une conlang très régulière et facile d'accès). Cela vaut d'ailleurs aussi pour l'enseignement, si l'on veut augmenter l'attrait des établissements universitaires Français.
Si en revanche, l'étranger en question souhaite apprendre le français pour mieux apprécier notre culture, alors il lui faut en maîtriser les subtilités qu'il ne manquera pas de rencontrer dans notre littérature, par exemple.
c'est contraire à toutes les règles typographiques en vigueur
D'un autre côté, les seuls endroits où j'aie vu ce genre de calembredaines jusqu'ici est dans les tracts de SUD et du NPA ; je suppose qu'à force de lire Trotsky, ils en sont arrivés à décider que l'orthographe et la typographie étaient des concepts typiquement bourgeois qu'il fallait incessamment révolutionner :-)
Ben non, un État ne peut faire faillite stricto sensu : la « faillite », c'est quand tes créanciers font appel à la loi pour saisir tes actifs afin d'obtenir le paiement de leurs créances. Un pays souverain peut tout bonnement émettre un décret disant que les bons du Trésor émis ne seront pas remboursés, et les créanciers n'auront plus aucune base légale pour agir. Reste, bien évidemment, la solution qui consiste à envoyer les chars d'assaut, mais c'est risqué, et généralement mal vu.
Euh, oui mais là c'est le président du bureau de vote, pas un simple électeur qui a beaucoup moins de possibilités de fraude : honnêtement, à moins d'être prestidigitateur, sortir un bulletin de ta manche et le glisser dans l'urne alors que tout le monde a les yeux sur toi, c'est coton (en plus, ça ne fera qu'invalider le scrutin, vu que le nombre d'enveloppes trouvées au dépouillement sera supérieur à la liste d'émargement et au compteur de l'urne).
Pourquoi qu'ils doivent être nus, les électeurs ? Ça ne me gêne pas forcément (surtout si plein d'électrices viennent remplir leur devoir civique ;-) mais je ne comprends pas quelle fraude tu espères éviter ainsi (pour l'usurpation d'identité, il suffit techniquement que l'électeur n'aie pas le visage masqué).
Dans un public geek sous linux, on peut s'attendre à ce que l'utilisateur fasse attention à ce qui tourne en admin, ou tout du moin se demande pourquoi un sudo est lancé.
Mon avis perso (rien de scientifique, hein) :
tu surestimes beaucoup la capacité d'un utilisateur moyen de Linux en 2012 (les distribs user-friendly ont fait baisser le niveau. En échange, il y a plus de gens qui ont du libre sur leur PC et peuvent contribuer le cas échéant. Médaille, revers, toussa)
même ceux qui savent ne passent pas leur temps à lancer ps(1), surtout sur un poste client (moi, je ne le fais guère)
parmi les nerds qui, eux, aiment bien regarder les listes de processus, ben il faut un œil de lynx pour voir au milieu du tas de process lancés qu'il y a un processus cron (ou inetd ou ce que tu veux) excédentaire (parce que le nom affiché dans ps il se change très bien et aucun pirate ne va l'appeler reverseshell)
Donc, je subodore qu'une babasse Linux avec un navigateur vulnérable (ou un greffon pourri, genre Flash) aurait autant de chances de se faire pwner qu'une machine Windows si l'intérêt y était. La parade la plus efficace (sauf 0day) reste des mises à jour très régulières (voire automatiques ?).
La chaîne c'est :
[PC électeur] - [Routeur électeur] - [FAI électeur] - [FAI Etat] - [Serveur Etat]
Pas tout à fait exact : il peut y avoir un nombre variable de transitaires entre le FAI et le réseau de l'État. Mais, sauf implémentation pourrie du chiffrement, le maillon faible sera de toute façon le poste client (comme d'hab', quoi).
Tu penses à une milice armée qui fait du porte à porte le jour du scrutin pour faire voter les gens de force ?
Moi, je pense plus à « file-moi un accès à distance à ta machine le temps que je vote pour moi à ta place, et en échange je te file un beau bifton » (ça marche aussi pour le vote par correspondance : si tu n'as pas à aller dans un isoloir, tu peux vendre ton vote).
Le programme externe tournera avec les droits utilisateur, mais lors de l'installation il doit modifier une variable d'environnement systeme, et pour ca il lui faut les droits d'admin.
Moi, je lis ceci : « Afin de pouvoir injecter le code modifié dans la JVM qui exécute le programme de vote client, on ajoute la variable d'environnement JAVAWS_VM_ARGS à l'environnement de l'utilisateur en cours. […] On remarquera que l'ajout d'une nouvelle variable d'environnement utilisateur ne nécessite pas de privilèges administrateur » (pp. 13-14). Peux-tu indiquer la page où l'auteur parle d'exécution avec les droits d'admin ?
Je ne veux pas de keepalive. Je veux pouvoir garder des sessions plusieurs jours alors que ma machine est en veille.
Solution 1 : ne pas mettre sa machine en veille (une babasse éteinte, c'est triste ;-)
Solution 2 : utiliser un truc comme autossh pour remonter les connexions automatiquement (plus screen/tmux pour garder leur état)
Enfin, la procédure a l'air tordu, chez moi, il suffit que je les prévienne que je vais dans tel pays pour que je n'ai pas de problème.
Il faut que tu leur dises où tu vas pour qu'il n'y ait aucun problème ? On marche un peu sur la tête, là : je suis un grand garçon, si j'ai une carte Visa, c'est bien parce que je veux payer des trucs à l'étranger, donc j'entends pouvoir le faire par défaut sans prévenir quiconque (et fort heureusement, ça marche ainsi chez ma banque, malgré leur débilité congénitale avancée).
Si je ne m'abuse, tu décris là l'IRV tel qu'il est pratiqué, par exemple, en Australie. Tu peux donc aller voir les critères qu'il remplit ou non, ainsi que le tableau de comparaison pour chaque critère. Tu pourras constater qu'il n'y a pas de système idéal (tous sont vulnérables au « vote stratégique », par exemple) mais notre système actuel n'est pas particulièrement heureux.
Pour ma part, je pense qu'en fait, notre système politique est tordu à de nombreux égards (découpage électoral, absence de proportionnelle, système de vote foireux, pas de votations à la Suisse, impossibilité de révoquer un mandat, etc.) et que le système de vote à lui tout seul ne suffira pas à changer les choses. À noter, cependant, que les Britanniques ont eu un référendum l'année dernière, où ils ont en majorité rejeté le passage du FPTP à l'IRV (je n'en tire pas de conclusions particulières, n'ayant suivi la campagne que d'assez loin).
Pourquoi ne pas faire un script qui écrit un mail à abuse@ automatiquement ?
Parce que l'abuse n'en a déjà pas grand-chose à faire quand tu lui écris un courriel à la main, alors un machin automatique, je ne donne pas cher du résultat.
Les connexions viennent de lui, son initié par lui (plus ou moins contre son gré, certe, mais par lui) il est donc utilisateur final.
… ben, c'est sûr, si tu vois les choses comme ça, pas de soucis, je respecte ton opinion et te propose de postuler chez la HADOPI pour aller couper l'accès aux gens qui laissent leur WiFi ouvert dès que quelqu'un va télécharger un film depuis leur connexion, c'est peu ou prou la même chose.
Je ne sais plus quelle RFC dit qu'il ne faut pas que ton routeur envoie de RA s'il n'a pas de connexion upstream.
Et combien de routeurs (surtout parmi les modèles grand public) respectent vraiment les RFC ? La dernière fois que j'avais lu un article sur la question, ce n'était pas glorieux. Et c'est sans compter les bugs…
Et faire moins que /64, à part pour des cas très spéciaux, c'est pas bien.
Le « cas très spécial » étant que ton FAI te fournit juste un /64. À mon avis, ça risque d'être un cas très répandu (cf. Free, mais aussi tous les serveurs dédiés, par exemple, qui peuvent avoir besoin d'utiliser des sous-réseaux pour des groupes de VM, des concentrateurs VPN, etc.).
De toutes façons c'est fait en RA (oui, on va devoir avoir RA + DHCPv6 de toutes façons).
Si la route par défaut peut être donnée par DHCP, je ne mettrai certainement pas SLAAC en sus sur mes réseaux. Pourquoi faire compliqué quand on peut faire simple et connu ?
Ya un patch qui tourne il me semble.
Un patch qui n'a pas encore été appliqué upstream. Désolé, mais je ne suis pas trop chaud pour recompiler des trucs comme dhcpd avec des patches non maintenus sur un serveur de production.
Bah, ça n'est pas essentielle à une connexion PPP.
Tu plaisantes ? La machine connectée via PPP peut vouloir être joignable. Et pour ça, elle a besoin d'une adresse globalement routable. Et pour lui en attribuer une, il faut soit IPV6CP (raté), SLAAC (/cf./ ci-dessus la limitation qui tue pour les préfixes > /64) ou DHCP (pas de patch officiel). FAIL.
C'est plus complexe parce que tu n'as pas qu'une seule adresse à gérer. Forcément, il faut un tout petit peu plus de boulot que quand on NAT.
Non, c'est faux. Un pare-feu à maintien d'état se configure aussi vite qu'un NAT (et même plus facilement, tu fais juste tes FORWARD et pas les DNAT). Ce qui rend la chose casse-pieds, c'est les FAI pas cool qui ne te donnent pas un préfixe suffisant, les nouveautés conçues avec les pieds (SLAAC) et les trucs à moitié finis (DHCPv6). Et je le redis, pas besoin d'en rajouter comme le fait le monsieur à qui je réponds en proposant des machines qui se font des tables de routage dynamiques.
Bon, c'est clair qu'il reste des trucs pas tout à fait au point, mais on n'avancera jamais si personne ne s'y met.
Moi, je « m'y suis mis » (chez moi) depuis que mon FAI (Nerim) a fourni du dual-stack. Je ne pense pas être en retard. En revanche, en entreprise, pas question d'expérimenter avec des machins pas matures. Soit on donne les outils pour une transition simple, soit ça attendra.
La solution légale, on va demander des comptes au responsable de l'@IP d'origine
As-tu vraiment envie d'aller fouiller des Whois et écrire à des abuse@ qui n'en ont le plus souvent rien à carrer pour chacun des débiles/bots qui font un portscan chez toi ? À l'époque (il y a une dizaine d'années), il y avait encore suffisamment peu de monde (tout est relatif) pour que ça vaille le coup, mais c'était déjà assez aléatoire. Aujourd'hui, honnêtement, je n'ai plus le temps : j'ai arrêté (c'était ça, ou je ne pouvais plus troller sur DLFP. Le choix a été vite fait). Le pare-feu/antispam, ça se configure une fois et c'est fini.
S'il est utilisateur final il prend pour son grade. S'il est intermédiaire technique (ça peut être un particulier, surtout en IPv6) il donne ses logs et on remonte la piste.
Demander des comptes, en prendre pour son grade, remonter la piste… Certes, inspecteur ;-) Mais si l'intermédiaire technique est un nœud de sortie TOR ? On fait quoi ? On le condamne pour avoir transmis sans le savoir le trafic d'un bot/spammeur ? Moi, dans le contexte actuel, je ne souhaite pas plus de traçabilité pour les utilisateurs du Net, et de responsabilité pour les intermédiaires. Bien au contraire (et je suis sérieux, je ne trouve pas le prix à payer si terrible).
Une proposition avait été faite à ce sujet : les ISP fournissant IPv6 devraient indiquer la taille du préfixe attribué à chaque utilisateur final, dans le whois.
Sauf qu'un FAI peut très bien donner un /56 à un client résidentiel, et un /48 à un pro (par exemple) depuis le même /32. Il marque quoi dans ce cas-là ? Ou alors, on fait comme en v4 et on demande au FAI d'indiquer le client final dans le Whois pour chaque préfixe octroyé (et personne ne le fera, comme ils ne le font déjà pas en v4)…
En fait il suffit d'utiliser du stateless de mettre plusieurs routeur annonçant leur route, chaque interface va prendre plusieurs IPv6 sur chaque routeur et déterminera sa passerelle …
Ouais, génial, je n'attendais que ça : des machines avec autant d'IP que j'ai de FAI, des emm…es en perspective lorsque le routeur perd sa connexion WAN mais envoie toujours des RA sur le LAN, etc. Chaque jour, je suis un peu plus persuadé qu'en fait, SLAAC, saylemal !
Le top serait de prendre une route par défaut puis de tester chaque destination et d'allonger la table de routage du pc en fonction des destinations (tel prefixe plus court par tel fai, tel autre etc…)
Et on appellerait ça… BGP¹ ! Non, sans rire, ça va être top moumoute de déboguer un problème réseau avec chaque machine qui se fait sa table de préfixes dans son coin. Trop bien.
Les gars, heu… on pourrait revenir sur terre, là ? IPv6 était censé nous simplifier la vie. Là, on a déjà des ennuis à cause de SLAAC qui ne passe pas sur des préfixes plus petits qu'un /64, DHCPv6 qui ne distribue pas le routeur par défaut (apparemment, quelque chose a été fait de ce côté-là), dhcpd qui ne marche pas sur les liens point-à-point, IPV6CP qui ne distribue pas d'adresse globale comme le fait IPCP… Si c'est pour en plus rajouter des machins qui vont avoir pour effet de rendre les choses plus complexes, c'est pas la peine. Moi, je propose déjà qu'on attende d'avoir un dhcpd qui offre les mêmes fonctions que son pendant v4 histoire de pouvoir faire une transition à peu près tranquille. La suite, on verra un peu plus tard, mmmh ?
¹ Bon, en fait ça ressemblerait plus à une sorte d'ip sla monitor automatisé (pour ceux qui connaissent Cisco)
Et ? Ça aide juste les utilisateurs qui n'ont pas à changer les noms qu'ils tapent. Je ne vois pas en quoi cela change le fait qu'il faut aller sur chacune des machines ayant une IP statique (chaque serveur, routeur, commutateur, point d'accès, probablement les imprimantes aussi. Seuls les hôtes en DHCP vont y échapper) et changer le préfixe réseau partout où il apparaît (et oui, il y a des tas d'endroits où il va se nicher : les conf' des multiples interfaces de ton serveur, mais aussi ton resolv.conf car ton serveur de noms interne va aussi changer d'adresse, le $mynetworks de ton Postfix, tes /etc/hosts.{allow,deny}, j'en passe et des meilleures).
Bien sûr, tu peux utiliser un truc du genre clusterssh/mssh/pssh pour tenter de mettre à jour tout le monde en même temps, mais à moins que tes serveurs soient tous configurés de la même manière (même distrib', mêmes services, fichiers de conf' très proches), ça ne sera pas gagné pour autant. Sans compter qu'il faut préparer et tester un minimum. Perso, je vois facilement deux jours de perdus pour l'admin, plus les oublis qui vont générer des tensions (« vous n'arrivez plus à vous connecter ? Ah mince, j'ai dû oublier de mettre à jour le fichu pare-feu, un instant »). Et là, tes noms de machine, ça devient très secondaire.
AMPSHA, ce qu'il aurait fallu écrire™ est « c'est pour ça qu'on prend des plages d'adresses portables et qu'on fait du bégépé ». Sauf que, tout d'un coup, entre les frais pour être LIR, le routeur pour faire ça et les deux transits avec BGP, ça ne coûte plus la même chose, et la proposition ne passera plus auprès d'une boîte moyenne qui se débrouille avec genre une ligne SDSL plus une ADSL. Donc, oui, ça me désole de le dire, mais (HIP et autres protocoles fumeux mis à part), le NAT est utile même en IPv6 (mais moins casse-bombons : si tu peux mapper une /48 à une autre /48, tu n'as pas besoin de PAT qui est la principale épine dans le pied du NAT44).
[^] # Re: Ce que je constate
Posté par William Steve Applegate (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 4.
Bah oui : le primaire est dans mon salon, le deuxième est dans un datacenter loin d'ici. Et ça n'enlève rien au fait que je m'auto-héberge en partie (d'ailleurs, le deuxième pourrait très bien être dans une résidence secondaire si j'en avais).
Pas du tout, je suis root dessus, et la conf' est exactement comme je la souhaite. Jamais eu de spam supplémentaire par ce biais. Cet argument ne tient pas, sauf si on entend par « petits domaines » les domaines mono-site gérés par un admin fainéant qui ne veut configurer qu'une machine, ou grippe-sou au point de ne pas vouloir prendre un VPS ailleurs pour son MX2.
Envoyé depuis mon PDP 11/70
[^] # Re: j'ai voté au 1er, me suis abstenu au 2nd
Posté par William Steve Applegate (site web personnel) . En réponse au journal A propos du devoir électoral. Évalué à -1.
… si tu n'es pas pressé de rentrer chez toi, bien sûr :-/
Envoyé depuis mon PDP 11/70
[^] # Re: j'ai voté au 1er, me suis abstenu au 2nd
Posté par William Steve Applegate (site web personnel) . En réponse au journal A propos du devoir électoral. Évalué à 3.
D'un autre côté, la seule fois où j'ai dépouillé, le processus était lourdingue : pour chaque nul, il fallait en permanence appeler à notre table la personne qui avait la feuille avec les codes pour chaque catégorie, attendre qu'elle retrouve le fichu code, le noter sur l'enveloppe, etc. Évidemment, avec un processus aussi inefficace, ça ralentit énormément.
Envoyé depuis mon PDP 11/70
[^] # Re: Ah
Posté par William Steve Applegate (site web personnel) . En réponse au journal A propos du devoir électoral. Évalué à 4.
Si aucun candidat acceptable pour toi n'est présent au second tour, aller voter est contre-productif : que tu votes pour l'un de ceux restés en lice ou que tu votes blanc/nul, tu aides à légitimer leur score (car les médias parlent peu du vote blanc).
En revanche, les chiffres de l'abstention, eux, sont largement diffusés. Je ne suis donc pas allé voter délibérément, pour ne pas aider par là-même le vainqueur de ma circo à faire croire qu'il est largement soutenu par la population (je précise que mon parti n'avait pas donné de consigne de vote).
Envoyé depuis mon PDP 11/70
[^] # Re: Quagga, zebra ?
Posté par William Steve Applegate (site web personnel) . En réponse au journal Sondage d'intérêt pour fwallsh. Évalué à 1.
Ou encore mieux, Vyatta. OK, ce n'est pas vraiment « à la IOS », c'est plus proche de JunOS. Il y a un support commercial dispo, et c'est assez facilement bidouillable si on connaît un peu bash et perl.
Envoyé depuis mon PDP 11/70
[^] # Re: Steamboy
Posté par William Steve Applegate (site web personnel) . En réponse au journal Steam sur Linux après les supputations, la confirmation.. Évalué à 4.
Je suppose que c'est une question de marketing. Je ne connais pas Steam, mais je pense que ça doit marcher comme une sorte d'(app store|market|software centre) : si ton jeu y est, il a des chances d'être vu par des acheteurs potentiels qui lancent le client Steam et qui auraient pu passer à côté sinon.
Ça, et puis ça facilite aussi les choses pour les gens : un seul endroit pour aller acheter les jeux plutôt qu'aller à chaque fois sur un site différent. Comme le software centre en fait, sauf qu'avec ce dernier, tu ne touches que les utilisateurs d'Ubuntu.
Envoyé depuis mon PDP 11/70
[^] # Re: Cordialement,
Posté par William Steve Applegate (site web personnel) . En réponse au journal La sortie de la Grèce n'aura pas lieu. Évalué à 1. Dernière modification le 31 mai 2012 à 22:58.
J'aurais tendance à dire que non, car ça ne répond pas à un quelconque problème : si un étranger veut juste communiquer de manière, disons fonctionnelle, on peut utiliser une langue autre que le français (aujourd'hui c'est l'anglais, ce qui est à mon sens sous-optimal et inéquitable pour ceux qui ne l'ont pas comme langue maternelle, mais on pourrait — théoriquement — envisager l'utilisation généralisée d'une conlang très régulière et facile d'accès). Cela vaut d'ailleurs aussi pour l'enseignement, si l'on veut augmenter l'attrait des établissements universitaires Français.
Si en revanche, l'étranger en question souhaite apprendre le français pour mieux apprécier notre culture, alors il lui faut en maîtriser les subtilités qu'il ne manquera pas de rencontrer dans notre littérature, par exemple.
Envoyé depuis mon PDP 11/70
[^] # Re: Cordialement,
Posté par William Steve Applegate (site web personnel) . En réponse au journal La sortie de la Grèce n'aura pas lieu. Évalué à 5. Dernière modification le 31 mai 2012 à 22:41.
D'un autre côté, les seuls endroits où j'aie vu ce genre de calembredaines jusqu'ici est dans les tracts de SUD et du NPA ; je suppose qu'à force de lire Trotsky, ils en sont arrivés à décider que l'orthographe et la typographie étaient des concepts typiquement bourgeois qu'il fallait incessamment révolutionner :-)
Envoyé depuis mon PDP 11/70
[^] # Re: Wikipedia, est-ce fiable ?
Posté par William Steve Applegate (site web personnel) . En réponse au journal La sortie de la Grèce n'aura pas lieu. Évalué à 3.
Ben non, un État ne peut faire faillite stricto sensu : la « faillite », c'est quand tes créanciers font appel à la loi pour saisir tes actifs afin d'obtenir le paiement de leurs créances. Un pays souverain peut tout bonnement émettre un décret disant que les bons du Trésor émis ne seront pas remboursés, et les créanciers n'auront plus aucune base légale pour agir. Reste, bien évidemment, la solution qui consiste à envoyer les chars d'assaut, mais c'est risqué, et généralement mal vu.
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 2.
Euh, oui mais là c'est le président du bureau de vote, pas un simple électeur qui a beaucoup moins de possibilités de fraude : honnêtement, à moins d'être prestidigitateur, sortir un bulletin de ta manche et le glisser dans l'urne alors que tout le monde a les yeux sur toi, c'est coton (en plus, ça ne fera qu'invalider le scrutin, vu que le nombre d'enveloppes trouvées au dépouillement sera supérieur à la liste d'émargement et au compteur de l'urne).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 2.
Heu… Ça fout la trouille©. Pas nécessairement pour le bulletin lui-même (l'applet peut toujours chiffrer le payload même si la couche transport est en clair) mais pour l'identification : sans HTTPS, comment peut-on être sûr qu'on télécharge bien l'applet du site gouvernemental et pas une version compromise sur un serveur pirate ? J'espère vraiment que ce genre de points basiques ont été pris en compte, sinon c'est tout bonnement grotesque.
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 1.
Pourquoi qu'ils doivent être nus, les électeurs ? Ça ne me gêne pas forcément (surtout si plein d'électrices viennent remplir leur devoir civique ;-) mais je ne comprends pas quelle fraude tu espères éviter ainsi (pour l'usurpation d'identité, il suffit techniquement que l'électeur n'aie pas le visage masqué).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 4.
Mon avis perso (rien de scientifique, hein) :
Donc, je subodore qu'une babasse Linux avec un navigateur vulnérable (ou un greffon pourri, genre Flash) aurait autant de chances de se faire pwner qu'une machine Windows si l'intérêt y était. La parade la plus efficace (sauf 0day) reste des mises à jour très régulières (voire automatiques ?).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 1. Dernière modification le 29 mai 2012 à 21:22.
Pas tout à fait exact : il peut y avoir un nombre variable de transitaires entre le FAI et le réseau de l'État. Mais, sauf implémentation pourrie du chiffrement, le maillon faible sera de toute façon le poste client (comme d'hab', quoi).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir desproblèmes...
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 2.
Moi, je pense plus à « file-moi un accès à distance à ta machine le temps que je vote pour moi à ta place, et en échange je te file un beau bifton » (ça marche aussi pour le vote par correspondance : si tu n'as pas à aller dans un isoloir, tu peux vendre ton vote).
Envoyé depuis mon PDP 11/70
[^] # Re: Pourquoi les droits d’administrations ?
Posté par William Steve Applegate (site web personnel) . En réponse au journal Vote par Internet (oui, encore) : une première faille…. Évalué à 2.
Moi, je lis ceci : « Afin de pouvoir injecter le code modifié dans la JVM qui exécute le programme de vote client, on ajoute la variable d'environnement JAVAWS_VM_ARGS à l'environnement de l'utilisateur en cours. […] On remarquera que l'ajout d'une nouvelle variable d'environnement utilisateur ne nécessite pas de privilèges administrateur » (pp. 13-14). Peux-tu indiquer la page où l'auteur parle d'exécution avec les droits d'admin ?
Envoyé depuis mon PDP 11/70
[^] # Re: man ssh
Posté par William Steve Applegate (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 3.
Solution 1 : ne pas mettre sa machine en veille (une babasse éteinte, c'est triste ;-)
Solution 2 : utiliser un truc comme autossh pour remonter les connexions automatiquement (plus screen/tmux pour garder leur état)
De rien.
Envoyé depuis mon PDP 11/70
[^] # Re: Plus grave... les banques "sécurisées"
Posté par William Steve Applegate (site web personnel) . En réponse au journal [ sécurité ] Comment se faire plomber sa messagerie (ou tout autre compte) par la "question secrète". Évalué à 3.
Il faut que tu leur dises où tu vas pour qu'il n'y ait aucun problème ? On marche un peu sur la tête, là : je suis un grand garçon, si j'ai une carte Visa, c'est bien parce que je veux payer des trucs à l'étranger, donc j'entends pouvoir le faire par défaut sans prévenir quiconque (et fort heureusement, ça marche ainsi chez ma banque, malgré leur débilité congénitale avancée).
Envoyé depuis mon PDP 11/70
[^] # Re: Poids des votes
Posté par William Steve Applegate (site web personnel) . En réponse au journal Expérience de modes scrutin alternatifs. Évalué à 2.
Si je ne m'abuse, tu décris là l'IRV tel qu'il est pratiqué, par exemple, en Australie. Tu peux donc aller voir les critères qu'il remplit ou non, ainsi que le tableau de comparaison pour chaque critère. Tu pourras constater qu'il n'y a pas de système idéal (tous sont vulnérables au « vote stratégique », par exemple) mais notre système actuel n'est pas particulièrement heureux.
Pour ma part, je pense qu'en fait, notre système politique est tordu à de nombreux égards (découpage électoral, absence de proportionnelle, système de vote foireux, pas de votations à la Suisse, impossibilité de révoquer un mandat, etc.) et que le système de vote à lui tout seul ne suffira pas à changer les choses. À noter, cependant, que les Britanniques ont eu un référendum l'année dernière, où ils ont en majorité rejeté le passage du FPTP à l'IRV (je n'en tire pas de conclusions particulières, n'ayant suivi la campagne que d'assez loin).
Envoyé depuis mon PDP 11/70
[^] # Re: Fournisseurs de service
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 3.
Parce que l'abuse n'en a déjà pas grand-chose à faire quand tu lui écris un courriel à la main, alors un machin automatique, je ne donne pas cher du résultat.
… ben, c'est sûr, si tu vois les choses comme ça, pas de soucis, je respecte ton opinion et te propose de postuler chez la HADOPI pour aller couper l'accès aux gens qui laissent leur WiFi ouvert dès que quelqu'un va télécharger un film depuis leur connexion, c'est peu ou prou la même chose.
Envoyé depuis mon PDP 11/70
[^] # Re: Free as a bird
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 2.
Et combien de routeurs (surtout parmi les modèles grand public) respectent vraiment les RFC ? La dernière fois que j'avais lu un article sur la question, ce n'était pas glorieux. Et c'est sans compter les bugs…
Le « cas très spécial » étant que ton FAI te fournit juste un /64. À mon avis, ça risque d'être un cas très répandu (cf. Free, mais aussi tous les serveurs dédiés, par exemple, qui peuvent avoir besoin d'utiliser des sous-réseaux pour des groupes de VM, des concentrateurs VPN, etc.).
Si la route par défaut peut être donnée par DHCP, je ne mettrai certainement pas SLAAC en sus sur mes réseaux. Pourquoi faire compliqué quand on peut faire simple et connu ?
Un patch qui n'a pas encore été appliqué upstream. Désolé, mais je ne suis pas trop chaud pour recompiler des trucs comme dhcpd avec des patches non maintenus sur un serveur de production.
Tu plaisantes ? La machine connectée via PPP peut vouloir être joignable. Et pour ça, elle a besoin d'une adresse globalement routable. Et pour lui en attribuer une, il faut soit IPV6CP (raté), SLAAC (/cf./ ci-dessus la limitation qui tue pour les préfixes > /64) ou DHCP (pas de patch officiel). FAIL.
Non, c'est faux. Un pare-feu à maintien d'état se configure aussi vite qu'un NAT (et même plus facilement, tu fais juste tes FORWARD et pas les DNAT). Ce qui rend la chose casse-pieds, c'est les FAI pas cool qui ne te donnent pas un préfixe suffisant, les nouveautés conçues avec les pieds (SLAAC) et les trucs à moitié finis (DHCPv6). Et je le redis, pas besoin d'en rajouter comme le fait le monsieur à qui je réponds en proposant des machines qui se font des tables de routage dynamiques.
Moi, je « m'y suis mis » (chez moi) depuis que mon FAI (Nerim) a fourni du dual-stack. Je ne pense pas être en retard. En revanche, en entreprise, pas question d'expérimenter avec des machins pas matures. Soit on donne les outils pour une transition simple, soit ça attendra.
Envoyé depuis mon PDP 11/70
[^] # Re: Fournisseurs de service
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 2.
As-tu vraiment envie d'aller fouiller des Whois et écrire à des abuse@ qui n'en ont le plus souvent rien à carrer pour chacun des débiles/bots qui font un portscan chez toi ? À l'époque (il y a une dizaine d'années), il y avait encore suffisamment peu de monde (tout est relatif) pour que ça vaille le coup, mais c'était déjà assez aléatoire. Aujourd'hui, honnêtement, je n'ai plus le temps : j'ai arrêté (c'était ça, ou je ne pouvais plus troller sur DLFP. Le choix a été vite fait). Le pare-feu/antispam, ça se configure une fois et c'est fini.
Demander des comptes, en prendre pour son grade, remonter la piste… Certes, inspecteur ;-) Mais si l'intermédiaire technique est un nœud de sortie TOR ? On fait quoi ? On le condamne pour avoir transmis sans le savoir le trafic d'un bot/spammeur ? Moi, dans le contexte actuel, je ne souhaite pas plus de traçabilité pour les utilisateurs du Net, et de responsabilité pour les intermédiaires. Bien au contraire (et je suis sérieux, je ne trouve pas le prix à payer si terrible).
Envoyé depuis mon PDP 11/70
[^] # Re: Fournisseurs de service
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 2.
Sauf qu'un FAI peut très bien donner un /56 à un client résidentiel, et un /48 à un pro (par exemple) depuis le même /32. Il marque quoi dans ce cas-là ? Ou alors, on fait comme en v4 et on demande au FAI d'indiquer le client final dans le Whois pour chaque préfixe octroyé (et personne ne le fera, comme ils ne le font déjà pas en v4)…
Envoyé depuis mon PDP 11/70
[^] # Re: Free as a bird
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 3.
Ouais, génial, je n'attendais que ça : des machines avec autant d'IP que j'ai de FAI, des emm…es en perspective lorsque le routeur perd sa connexion WAN mais envoie toujours des RA sur le LAN, etc. Chaque jour, je suis un peu plus persuadé qu'en fait, SLAAC, saylemal !
Et on appellerait ça… BGP¹ ! Non, sans rire, ça va être top moumoute de déboguer un problème réseau avec chaque machine qui se fait sa table de préfixes dans son coin. Trop bien.
Les gars, heu… on pourrait revenir sur terre, là ? IPv6 était censé nous simplifier la vie. Là, on a déjà des ennuis à cause de SLAAC qui ne passe pas sur des préfixes plus petits qu'un /64, DHCPv6 qui ne distribue pas le routeur par défaut (apparemment, quelque chose a été fait de ce côté-là), dhcpd qui ne marche pas sur les liens point-à-point, IPV6CP qui ne distribue pas d'adresse globale comme le fait IPCP… Si c'est pour en plus rajouter des machins qui vont avoir pour effet de rendre les choses plus complexes, c'est pas la peine. Moi, je propose déjà qu'on attende d'avoir un dhcpd qui offre les mêmes fonctions que son pendant v4 histoire de pouvoir faire une transition à peu près tranquille. La suite, on verra un peu plus tard, mmmh ?
¹ Bon, en fait ça ressemblerait plus à une sorte d'
ip sla monitorautomatisé (pour ceux qui connaissent Cisco)Envoyé depuis mon PDP 11/70
[^] # Re: Free as a bird
Posté par William Steve Applegate (site web personnel) . En réponse à la dépêche Événement G6 - IPv6 - 11 avril 2012 - Paris. Évalué à 3.
Et ? Ça aide juste les utilisateurs qui n'ont pas à changer les noms qu'ils tapent. Je ne vois pas en quoi cela change le fait qu'il faut aller sur chacune des machines ayant une IP statique (chaque serveur, routeur, commutateur, point d'accès, probablement les imprimantes aussi. Seuls les hôtes en DHCP vont y échapper) et changer le préfixe réseau partout où il apparaît (et oui, il y a des tas d'endroits où il va se nicher : les conf' des multiples interfaces de ton serveur, mais aussi ton resolv.conf car ton serveur de noms interne va aussi changer d'adresse, le $mynetworks de ton Postfix, tes /etc/hosts.{allow,deny}, j'en passe et des meilleures).
Bien sûr, tu peux utiliser un truc du genre clusterssh/mssh/pssh pour tenter de mettre à jour tout le monde en même temps, mais à moins que tes serveurs soient tous configurés de la même manière (même distrib', mêmes services, fichiers de conf' très proches), ça ne sera pas gagné pour autant. Sans compter qu'il faut préparer et tester un minimum. Perso, je vois facilement deux jours de perdus pour l'admin, plus les oublis qui vont générer des tensions (« vous n'arrivez plus à vous connecter ? Ah mince, j'ai dû oublier de mettre à jour le fichu pare-feu, un instant »). Et là, tes noms de machine, ça devient très secondaire.
AMPSHA, ce qu'il aurait fallu écrire™ est « c'est pour ça qu'on prend des plages d'adresses portables et qu'on fait du bégépé ». Sauf que, tout d'un coup, entre les frais pour être LIR, le routeur pour faire ça et les deux transits avec BGP, ça ne coûte plus la même chose, et la proposition ne passera plus auprès d'une boîte moyenne qui se débrouille avec genre une ligne SDSL plus une ADSL. Donc, oui, ça me désole de le dire, mais (HIP et autres protocoles fumeux mis à part), le NAT est utile même en IPv6 (mais moins casse-bombons : si tu peux mapper une /48 à une autre /48, tu n'as pas besoin de PAT qui est la principale épine dans le pied du NAT44).
Envoyé depuis mon PDP 11/70