> Pour autant que je sache, il n'y jamais eu d'attentat à la bombe pour protester contre linux/windows.
Pas encore, pas encore... m'enfin, on a déjà du rabbibarbu qui se déguise en saint et s'annonce comme le nouveau messie ; plus qu'à en faire un martyr ou quelque chose du genre, et c'est parti.
Je ne connais de loin plus assez les os redmondiens (je n'en touche qu'une ou deux fois l'an, au pire) pour remettre ce que tu dis en cause... d'autant que j'ai quelques malheureux souvenir quant à réaliser ce dont tu parles sur ces os (utiliser une IP fixe... enfin, DHCP, j'ai des mauvais souvenirs aussi, là-dessus)...
... mais sous Linux ou BSD, quand je suis en IP fixe (soit tout le temps, sauf en dehors de chez moi), il faut que je déclare, au moins, un serveur DNS, pour que la résolution de nom fonctionne...
Bon, je ne suis pas assez vicelard pour avoir mémorisé les DNS de mon FAI : je n'ai jamais qu'à faire référence à l'adresse IP de mon serveur DNS en cache/relai (selon que je veux résoudre ce qui est chez moi ou pas)... ce qui est en général le routeur lui-même pour ce qui est des boxes FAI ou des petits routeurs tout-en-un...
M'enfin, devoir déclarer l'adresse d'au moins un serveur DNS quand on est en IP fixe, ça me paraît être tout ce qu'il y a de plus normal...
Mea culpa : je me suis tout confusé avec les clients et les serveurs. De quoi en avoir honte (je ne comprends même pas comment mon message n'est pas encore strictement inférieur à 0)...
Par contre, faut quand même avoir un minimum de libs de X sur la machine du client, pour exporter son affichage, non ? En tout cas, à chaque fois que j'en ai eu besoin (pas souvent), il a toujours fallu que j'installe quelques machins en plus...
S'il fait "ssh -X telephone", il se connecte a priori sur son téléphone, en exportant le serveur X du téléphone... c'est le principe : par contre, pas besoin d'avoir de client X, sur le téléphone, pour ça. Mais il faut quand même avoir une base de X.org minimale, sur le serveur (ici, toujours le téléphone) qu'on contacte.
Ca peut notamment être utile dans le cas d'application comme mythtv-backend, qui sont a priori faites pour tourner sur un serveur, sans clickodrome, mais pour la configuration desquelles un serveur X est quand même infiniment pratique : et bien, dans le conteneur de mon backend mythtv, il y a juste de quoi faire tourner la partie serveur de X (pas de clients et tout le merdier : juste la base), et j'exporte l'affichage pour configurer les trucs comme les cartes TV et les chaînes, sur des machines qui ont le serveur et le client X...
Sinon, je crois qu'il existe aussi pour cette distro, mais il y a simple-cdd, qui simplifie quand même bougrement la customisation d'un CD de Debian.
On peut bien sûr y charger du fichier de preseed (ça permet d'ailleurs de squeezer toutes les questions de l'installation que l'on juge inutiles), mais aussi, grâce à l'udeb de simple-cdd, créer des profils équivalent à des tâches de tasksel, mais plus simples à créer (pas de meta-paquets : on fait une liste de ce que l'on veut, comme on le veut, dans les fichiers du profil, et simple-cdd s'occupe de faire venir les dépendances, et de tout installer comme il faut)...
Les deux seuls trucs qui me limitent avec lui (faut dire qu'il est assez jeune), ce sont l'impossibilité d'ajouter des paquets venant d'un miroir où ils sont dans autre chose que main/contrib/non-free (j'imagine que ça a été adapté, pour les distros en utilisant plus, de base), et l'installation, si on le veut (et sur un desktop, en général, je le veux), des paquets recommandés, et pas simplement des dépendances.
Ca ne résout pas le problème du déploiement automatique, mais pour des petites infrastructures (genre chez moi : deux serveurs physiques seulement, avec plein de conteneurs - si l'un des deux tombait en rade, il y aurait de toute façon une chance sur deux pour que le serveur FAI soit emporté avec lui : en ce cas, disposer d'un media de réinstallation déjà pas mal configuré, c'est très pratique), ou pour une réinstallation alors que le réseau est en panne, c'est une solution complémentaire à du backup et à du déploiement centralisé.
En même temps, si je jouais l'avocat du diable, j'aurais tendance à dire que j'ai vu plus pratique comme forum... ne serait-ce que pour faire des recherches...
... peut-être que c'est juste que je ne sais pas comment faire, mais autant j'apprécie la légèreté des pages du site, autant faire une recherche sur un sous-forum précis, ou juste sur les journaux, et bien, je n'y arrive jamais - tout se retrouve toujours pêle-mêle...
Alors, ça ne justifie pas en soit l'utilisation des journaux comme d'un forum... mais ça participe à l'expliquer : le forum n'est pas agréable à utiliser, les dépêches sont modérées... donc les gens, aussi abusif que certains trouvent ça, vont au plus direct, au plus consulté (perso, je ne jette pour ainsi dire jamais un oeil au forum) - les journaux...
Et ça ne me dérange pas du tout s'il s'agit de lancer un débat du genre "et vous, qu'est-ce que vous utilisez pour ..."...
On va me reprocher de dire que c'était mieux à-vents, mais les journaux techniques (qui sont censés se retrouver dans les astuces) et les journaux invitant à la discussion sur des choix de technologies (qui sont censés être des questions sur le forum), ils me manquent en tant que journaux, où les retours d'expérience, plus nombreux, rendaient le panel de commentaires plus intéressant... et, du coup, je ne suis pas convaincu de la justesse d'exiger qu'ils soient cantonnés au forum, plus adapté à des questions rapides du genre "v'là mon xorg.conf, mon Xorg.0.log, ça marche pô, j'fais kôa ?/! (kôôôôa... kôôôôa)"...
> Un autre exemple, un copain a déja été perquisitionné deux fois.
1er fois -> le gign rentre chez lui... c'était un homonyme d'un type qu'ils recherchaient et ils s'étaient gouré d'addresse.
Ca a la rigueur c'est "comique"
Ca dépend... Brazil, de Terry Gilliam, commence comme ça... et, pour un peu que ton pote soit cardiaque, ça se passe de la même manière.
De l'expérience que j'ai faite, non, clairement pas...
Entre l'heure de mon téléphone, celle de mon micro-onde, celle du programmateur de chauffage, celle de ma voiture, et celles de mes machines, dont mon radio réveil qui est une squeezebox (non, par contre, je ne porte pas de montre), au bout d'une dizaine de jours après une synchro précise à la seconde, il y a au moins une minute d'écart entre celle qui est allé le plus vite, et celle qui est allé le moins vite. En une saison (3 mois), ça fait presque dix minutes... Bon, c'est l'écart extrême : mettons que ce soit gaussien et que ça fasse 5 minutes d'écart à l'heure officielle, de part et d'autre, au bout d'une saison, et que comme ce sont des "bornes", ce soit typiquement moins... m'enfin quand même.
Les machins technologiques de notre siècle, il y en a plein, mais s'ils étaient faits proprement, sans des gros hacks de bouchers à chaque fois que c'est possible, ça se saurait... la société de consommation, qu'ils ont appelé ça ; un truc con reposant sur le paradigme d'attirer le client avec des produits, mais pas trop, et surtout, pas longtemps, pour pouvoir continuer en boucle avec des "nouveaux" trucs... enfin, c'est un paradigme jusqu'à épuisement des ressources ; après, le risque est que ce soit un sacré bordel : là, oui, vu qu'il faudra faire plus gaffe à ce qu'on fabrique, peut être qu'on fera des trucs qui marcheront mieux...
En attendant, plus je peux avoir de trucs qui se synchronisent à une source de temps fiable, par NTP ou GPS, plus je préfère.
... ça me rappelle un été, où j'étais allé en bord des falaises de mon pays de Caux natal. Fait est que pour accéder à l'endroit de mon choix, il fallait arriver sur un parking en cul de sac.
Une fois garé, je vois une voiture de gendarmes, qui m'avaient dépassé, faire marche arrière, et bloquer mon véhicule avec le leur.
Je m'en fous, n'ayant rien à me reprocher (enfin, à part une pochette pleine de CD gravés, tous à partir d'originaux que je possédais, et des feux de détresse maritime périmés, qui dataient d'une balade en zodiac avec un pote quelques jours avant, et que nous avions mis de côté... m'enfin, ça, ils n'ont même pas songé à me demander ce que c'était, et je ne pense pas que ce soit illégal en soit), et avant de sortir de la voiture, je range la façade de mon auto-radio dans le vide-poche : grave erreur !
En sortant, les flics me demandent ce que je viens de cacher dans la boîte à gants !?! Bah, je leur dis, mais ils restent à me fixer silencieusement pendant une bonne vingtaine de secondes, tentant probablement de m'intimider...
Pour que les choses se passent au plus vite, je leur demande s'ils veulent la voir, cette foutue boîte à gants (qu'ils n'avaient a priori pas le droit de fouiller)... du coup, ils agréent, mais voient en se rapprochant que mon sac à dos traîne au pied d'un siège à l'arrière... rebelotte : "Qu'est-ce qu'il y a dans votre sac à dos ?"
Je décide encore une fois de leur montrer (ils ne tiquent pas sur son contenu, sinon illégal, au sujet duquel on pourrait quand même se poser des questions : un feu de bengale pour signaler sa détresse en mer, c'est gros, et on pourrait confondre avec un bâton d'explosif, au premier regard)... et rebelotte : "Qu'est-ce qu'il y a dans votre coffre ?"...
Bon, ça a fini par se terminer par le remplissage de quelques lignes dans un carnet (?!?!), au sujet desquelles ils m'ont mitonné un truc comme quoi ils notaient les numéros des plaques de véhicules qu'ils contrôlaient dedans (?!?! ... c'était pourtant un bloc-notes tout ce qu'il y a de plus commun), en cas de vol (le rapport avec la choucroute ?!?!) et m'ont demandé de m'occuper de mes affaires quand je leur ai fait remarquer qu'il fallait des autorisations pour constituer des fichiers nominatifs, et qu'un truc à-la-sauvage comme ça, c'était bizarre...
Alors, bon, le simple regard par le premier grouillot qui passe, oui, il me casse les couilles... ça commence comme ça, et si on laisse faire, c'est la porte ouverte à n'importe quoi. J'étais jeune, et avec moins d'assurance que maintenant, mais si c'était à refaire, je serais bien moins coopératif, vu le temps que ça a de toute façon pris, et le je-m'en-foutisme ostensible des droits que j'ai pu voir.
Bah, je vais me faire chier si j'en fais un hobby (quoique... si j'avais les fonds nécessaires aux poursuites, je ne sais pas ce que je ferais)...
... mais fait est que ça fait des années que j'évite les grands magasins comme la peste (la dernière fois que j'ai foutu les pieds dans une hypersurface, ce devait être il y a deux ans... et avant ça, ça faisait peut-être bien un an ou deux aussi)...
... je suis plutôt coutumier des petites boutiques (le café est moins cher chez mon torréfacteur que dans n'importe quelle grande surface... et bien meilleur)... où on ne me fouille pas suspicieusement.
Alors, si je devais en venir à avoir besoin d'aller dans une grande surface, avec mon sac à dos (dans lequel j'amène les disgracieux mais nécessaires sacs de courses), et que je m'y fasse inspecter par le premier grouillot venu, oui, ça me choquerait vraiment. C'est vraiment quelque chose qui me paraît fou, en regard de ce à quoi j'ai l'habitude. Et du coup, il est très probable que pour un tel accueil lors d'une visite ponctuelle, le sang monte assez vite.
Ah oui, sinon, pour ce qui est du flashage : moi non plus, je ne le fais pas tous les jours - de loin pas...
... et ce qui m'embête le plus là-dedans, c'est justement de ne pas vraiment avoir de quoi vérifier automagiquement qu'il n'y a aucun besoin de mise à jour critique pour ce qui est installé. C'est bête, mais un apt-cron, ou assimilé, qui m'envoie un mail quand il y a de la mise à jour à faire, ça simplifie beaucoup la vie.
D'autant que la place sur les WRT est vraiment limitée pour faire un gros upgrade... d'où le flashage... qui me saoule, et que je néglige : ce qui est mal.
En plus, ce foutu chip broadcom me saoule aussi... des fois, le WPA2 en client (j'ai deux WRT en activité, en ce moment... j'en ai eu plus) marche... des fois, ça fait planter les deux routeurs... du coup, pour que ça marche, il y a des périodes où je dois faire avec du WEP... supayre !
Bon, je dois beaucoup à OpenWRT, qui m'a vraiment donné le goût de la ligne de commande, et qui est l'une des premières distros Linux sur lesquelles j'ai vraiment commencé à me pencher sérieusement... mais niveau matos, c'est trop limité pour ce que j'en fais maintenant. Et ça va se terminer avec un C2D (en rab, quand je me serai acheté un quad-core, dont acte) et un HDD, dans un boîtier micro-ATX, avec deux cartes wifi à VAP, une quad-Fast-Eth, et une dual GbEth... là, au moins, le matos ne me limitera plus ; pour sûr.
En fait, ce qui m'aguiche, c'est FreeBSD 8, qui semble-t-il devrait proposer de faire des VAP en libre (alors que jusqu'ici, je ne connais ça qu'avec les chipsets Atheros et le HAL proprio)... conceptuellement, je trouve ça vraiment bon : plus facile de segmenter le réseau, comme ça.
... les fondamentaux pour le faire semblent avoir été intégrés dans FreeBSD 7, bien qu'aucun driver ne semble en profiter pour l'heure... ce qui devrait par contre être le cas pour le 8. Bref, ça me tente bien de m'y mettre. En plus, j'aime bien les BSD (même si je trouve OpenBSD trop limité au niveau fonctionnalités wifi, a contrario de si on ne regarde qu'au niveau des chips supportés, pour l'utiliser pour ça, malheureusement).
Après, pour ce qui est des services, je compte faire ça uniquement dans des OpenVZ, derrière le routeur, qui lui, ne fera rien tourner d'exceptionnel, mais routera et firewallera juste (à un puppetmaster et à un SSH, en interne, près). DNS, radius, portail captif, tout-ça : déporté sur d'autres machines ; un routeur tout léger et c'est tout ; plus facile d'en être maître.
J'aurais même bien envie de mettre les VPN dans des conteneurs OpenVZ (après tout, l'hôte OpenVZ fonctionne comme un routeur, et on peut donner des capacités de routage aux conteneurs).
L'injonction a aimer un pays ou à le quitter, faite par un nain autoritaire ?
C'est sûr, c'est plus expéditif que de vouloir changer des choses, ce qui supposerait d'en discuter, de se mettre d'accord, de prendre tous les aspects du problème en compte...
Parce que conseiller d'aller ailleurs, c'est bien beau, mais c'est peut-être la melleure manière de faire en sorte que, à l'usure, ce soit comme ça partout.
> La limite, c'est le réglement de l'établissement. Tu t'y plies ou tu vas ailleurs.
Ca me rappelle quelque chose... enfin, toi, tu as au moins la décence de ne pas parler d'amour mais plutôt de faire des courbettes (logiquement, si on se plie)...
Surtout qu'à ce compte-là, du NTP en permanence, ça ne va pas faire du bien à la batterie non plus, qu'on passe par le wifi ou le GPRS (et là, ça ne va pas faire du bien au portefeuille non plus... quoique ça puisse aussi être vrai pour le wifi, avec les hotspots hors de prix, et aux condtions d'utilisation ordurières, genre les crédits de 24h d'utilisation utilisables dans les 24h)...
... bon, après, le NTP, c'est pareil, on peut le faire par à-coups, au demeurant... par contre, faut avoir accès au net...
Pour ce qui est du driver libre pour les broadcom, il me semble qu'il y a un bug tenace avec les Mips, sur lesquels se basent les WRT...
... donc, tester ça sur du x86, malheureusement...
Maintenant, personnellement, j'en ai plus que ma claque des WRT : dd-wrt pas libre et d'une stabilité extrêmement douteuse, et, plus globalement, même si j'aime bien OpenWRT et X-WRT, j'en ai marre de flasher... notamment parce qu'il arrive que le flashage parte en zgueg, et qu'il faille jouer au hard reset avec les minuscules pattes d'une puce...
... j'en ai aussi marre d'avoir des trucs qui ont aussi peu d'espace de stockage... maintenant, je veux un truc facile à mettre à jour... Du coup, je sens que je ne vais pas tarder à me monter mon routeur home-made : probablement avec FreeBSD (même plus que probablement, s'ils sont les premiers à fournir des Virtual Access Points fonctionnels et libres).
... ou du SMTP-AUTH/IMAPS avec certificats... Ce qui n'empêche pas de chiffrer les mails non plus.
D'autant que si on est assez précautionneux pour protéger des choses via un VPN, il y a moyen que l'accès aux fonctions mails soit un peu plus qu'un minimum authentifiant, même en local (remarque, pas forcément, si on se rappelle des kervielleries au cours desquelles il a été évoqué que les salles de courtiers étaient bien isolées de l'extérieur, mais ouvertes à tous vents une fois qu'on était dedans, chacun devant accéder à chaque machine dans le feu de l'action... m'enfin)...
Derrière un VPN, je vois plus les trucs qui ne sont vraiment pas faits pour être ouverts au monde entier, comme les serveurs NFS ou samba, ou qui sont vraiment trop sensibles, comme les serveurs SSH... Mais accéder à ses mails, ou à des partages de données publiques (bon, je n'ai pas éructé "FTP", hein... beurk), c'est quand même typiquement le truc qu'on fait de l'extérieur, donc, j'aurais plutôt tendance à les ouvrir directement, hors VPN ; proprement, s'il y a besoin d'authentifier, certes, certes.
Hmmm, très intéressante, la correction, à côté de laquelle j'étais totalement passé ; mea culpa ! Mea maxima culpa !
J'en étais resté aux bugs rapportés dans Debian, demandant à ce que le paquet soit compilé avec le support pour OpenSC... et comme ssh-agent est dans le même paquet que ssh, ie openssh-client, sous Debian, j'imaginais que ça couvrait aussi bien l'un que l'autre. J'en étais resté bloqué au /usr/bin/ssh manuel, mais avec l'agent, ça me va tout aussi bien...
D'autant que le support LDAP/X.509, je peux m'en passer, ayant commencé à utiliser puppetmaster, notamment pour distribuer les clés publiques et les known_hosts, ce qui est parfait dans mon cas (peu d'utilisateurs, beaucoup de machines, pour cause de Vserver/OpenVZ).
Donc, si je comprends bien, il faudrait patcher pour avoir le support dans le client SSH via /usr/bin/ssh, mais dans l'agent, ce serait intégré de base ? Apparemment, c'est le cas, puisqu'en faisant "ssh-add -s0" sur ma Sid, il me propose de rentrer le pass d'une smartcard (j'imagine qu'il ne vérifie si elle existe qu'après avoir rentré la passphrase... enfin, ça doit pouvoir se bidouiller automatiquement à coups de HAL à l'insertion)... ça me remotive à l'affaire, ça.
Reste un point qui me taraude encore ; la dernière remarque : "ca marche pour peu que l'on ait mis les clés comme dans l'article" ... euh, à ma connaissance, on peut mettre les clés de deux manières, dans la smartcard : génération interne au token, et génération via openssl ou assimilé, puis import... or les deux méthodes sont décrites dans l'article... j'espère que ça ne marche pas qu'avec la deuxième, qui est quand même un peu faible...
Autrement, pour le lecteur de smartcard, ça dépend de ce que tu prends ; ceux que j'ai trouvés et dont je parle dans mon journal ont l'apparence de clés USB, juste avec une fente sur le côté, pour insérer la smartcard, ou un capot, pour en mettre une au format SIM. C'est déjà pas mal discret.
Après, si tu à vraiment la trouille de te faire suspecter, tu ne gardes que la smartcard, camouflée en quelque chose de complètement anodin, dans ton portefeuille, et tu comptes sur des connaissances dans le pays pour te fournir le lecteur, qu'ils t'envoient en expéditif à ton hôtel (avec tous les gens que je connais à l'étranger, j'imagine que je dois pouvoir le faire dans une bonne moitié de l'hémisphère nord)... Après, si tu es dans un pays à l'intérieur duquel un lecteur de smartcard peut circuler sans souci (j'imagine que dans les pays un peu coincés, niveau contrôle des gens, les paquets ne circulent pas très librement, encore moins quand c'est à destination des hôtels où logent des étrangers), ça roule.
Sinon, pour ce qui est de la faire imprimer par un pro, il me semble être tombé sur des cartes qui étaient blanches, donc, j'imagine que ça doit être possible... autrement, des cartes avec un autocollant dessus, j'en ai déjà vu IRL (une horreur au bout d'un certain nombre d'insertions, d'ailleurs ; m'enfin, du coup, un truc un peu à l'arrache, un peu frotté pour bien faire usé, ça ne me paraît pas louche ; d'autant qu'avec une relativement bonne imprimante et du papier autocollant brillant, et pas mat, on a déjà facilement une impression propre : ne reste alors plus qu'à manier le cutter avec dextérité)...
Restent encore les cartes au format SIM, plus simples encore : si tu veux bien en planquer une, tu la mets dans ton téléphone... avec tous les appareils du genre qui ont deux emplacements SIM, tu pourras même continuer à t'en servir normalement. Après tout, quoi de plus normal qu'une, voire deux, SIM dans un téléphone ? Et puis, pour le coup, c'est tellement petit qu'il n'y a même pas à s'embêter à bidouiller un branding bidon.
Pour les smartcards, le problème, c'est le middleware : les cartes embarquent un OS (beaucoup de cartes récentes sont à base de java), et il faut de quoi discuter entre lui et Linux (ou ce qu'on veut)...
... et les middlewares libres, ça ne court pas les rues ; j'avais fait un journal [1] il y a quelques temps, là-dessus, où j'avais mentionné la seule smartcard compatible Linux que j'aie réussi à trouver et qui supporte RSA en 2048... pas encore eu le temps d'en commander...
Faut dire que le non-support des smartcards dans OpenSSH (à moins de patcher... vu que la soit-disant option de compilation permettant d'activer le support d'OpenSC ne suffit pas, puisqu'elle ne change rien au askpass) m'embête un peu beaucoup (même si mes SSH n'écoutent pas le monde entier : faut passer par le VPN, pour ça... or OpenVPN supporte apparemment les smartcards)...
Sinon, le PIN, on peut faire ça au clavier ('achement moins sekioure), si le lecteur n'en embarque pas un...
Après, certes, il y a sûrement des backdoors dans ces cartes, et j'imagine que les autorités n'auraient pas grand mal à demander de les ouvrir... pas plus qu'à te forcer à donner ton PIN s'ils le veulent...
M'enfin, niveau dump pour pouvoir bruteforcer en paix, en prenant son temps, ça me paraît un peu moins accessible au premier grouillot, fusse-t-il en uniforme, qu'un simple fichier sur une clé USB, copiable à volonté à partir de n'importe quelle machine... En plus, si tu veux faire passer ta smartcard pour quelque chose d'anodin, tu imprimes un autocollant bidon, type "Bibliothèque de Trifouilly-en-Champagne" et tu le colles dessus... avec les tonnes de smartcards, de nos jours, faudrait être vicelard ou déjà fort soupçonneux, probablement à raison, pour imaginer que ça cache tes clés les plus cruciales.
Le souci, c'est qu'il faut déjà avoir confiance en la personne qu'on joint pour qu'elle protège et fasse un minimum attention à sa clé privée...
... et faire confiance à des gens qui ont déjà du mal à mettre un mot de passe fort à leur compte utilisateur (bon, ça encore, en leur expliquant que le même mot écrit en français académique et en 1337 tarabiscoté, ça change pas mal de choses, j'arrive encore à leur faire prendre de bonnes habitudes), qui ne tiennent pas à jour leur gateway (quand ce n'est pas la box du FAI sur laquelle ils n'ont guère de contrôle), qui font tourner des services ouverts au monde entier (typiquement, du P2P) sur leurs bureaux, ... mouais, bof...
Je ne dis pas que le chiffrage est futile, mais j'ai peine à imaginer quelqu'un en qui j'ai assez de confiance technique pour qu'il protège efficacement sa clé, et dialoguer en chiffré avec... à la limite, si je savais que leur clé privée était bien à l'abri, dans une smartcard, de telle sorte à ce que seuls les Chinois du FBI puissent l'en extraire, je serais plus enclin à faire confiance à mes contacts ; m'enfin, les smartcards sous Linux, ce n'est pas vraiment ça...
Et j'ai même peur que les gens rechignent à changer leurs habitudes si ce qui change ne rend pas les choses encore plus simples dans leur globalité : ie, tant que rajouter une fonctionnalité comme le chiffrage des mails ne fait pas automagiquement apparaître une tasse de café, ou sonner une escort-girl à la porte, la plupart des gens le feront une fois, peut-être deux, puis tomberont sur ce qu'ils croient être un os, et me diront "mouais, ton chiffrage, j'aime bien l'idée, mais à cause de lui, j'ai eu du mal à sortir mon chien ou à aller à la piscine, alors je l'ai désactivé complètement"... j'ai déjà vécu l'expérience avec des potes qui voulaient faire comme moi et essayer Jabber, alors, avec du chiffrage où il faut faire attention à une clé privée, je n'imagine même pas...
Je casse certes l'ambiance en étant un tantinet fataliste et désabusé quant à la technophilie des gens... mais...
De toute façon, ce sera prêt quand ce sera prêt :) ... enfin, si ça pouvait éviter d'avoir plus de 5 mois de bourre, ce ne serait certes pas plus mal...
... et si le kernel 2.6.26 pouvait y trouver sa voie, histoire d'avoir du bind mount (d'une utilité remarquable, avec les conteneurs) en lecture seule, ce serait déjà très bien.
Ca, ce serait vraiment excellent ! Par contre, j'imagine que c'est peut-être un peu tard pour Lenny, s'il est toujours prévu qu'il doive sortir au début de l'automne...
[^] # Re: Et ?
Posté par Aefron . En réponse au journal Des militants anti-apartheid juifs sud-africains "choqués" par leur visite en Cisjordanie occupée. Évalué à 4.
Pas encore, pas encore... m'enfin, on a déjà du rabbibarbu qui se déguise en saint et s'annonce comme le nouveau messie ; plus qu'à en faire un martyr ou quelque chose du genre, et c'est parti.
[^] # Re: Mmmh
Posté par Aefron . En réponse au journal Ce qui manque à GNU/LINUX : le souci de l'utilisateur et le professionnalisme. Évalué à 8.
... mais sous Linux ou BSD, quand je suis en IP fixe (soit tout le temps, sauf en dehors de chez moi), il faut que je déclare, au moins, un serveur DNS, pour que la résolution de nom fonctionne...
Bon, je ne suis pas assez vicelard pour avoir mémorisé les DNS de mon FAI : je n'ai jamais qu'à faire référence à l'adresse IP de mon serveur DNS en cache/relai (selon que je veux résoudre ce qui est chez moi ou pas)... ce qui est en général le routeur lui-même pour ce qui est des boxes FAI ou des petits routeurs tout-en-un...
M'enfin, devoir déclarer l'adresse d'au moins un serveur DNS quand on est en IP fixe, ça me paraît être tout ce qu'il y a de plus normal...
[^] # Re: Ho
Posté par Aefron . En réponse au journal Neo Freerunner : j'en ai eu un!. Évalué à 3.
Par contre, faut quand même avoir un minimum de libs de X sur la machine du client, pour exporter son affichage, non ? En tout cas, à chaque fois que j'en ai eu besoin (pas souvent), il a toujours fallu que j'installe quelques machins en plus...
[^] # Re: Des solutions pour le vol à l'étalage ?
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à 5.
[^] # Re: Ho
Posté par Aefron . En réponse au journal Neo Freerunner : j'en ai eu un!. Évalué à -2.
Ca peut notamment être utile dans le cas d'application comme mythtv-backend, qui sont a priori faites pour tourner sur un serveur, sans clickodrome, mais pour la configuration desquelles un serveur X est quand même infiniment pratique : et bien, dans le conteneur de mon backend mythtv, il y a juste de quoi faire tourner la partie serveur de X (pas de clients et tout le merdier : juste la base), et j'exporte l'affichage pour configurer les trucs comme les cartes TV et les chaînes, sur des machines qui ont le serveur et le client X...
[^] # Re: Automatisation d'installation
Posté par Aefron . En réponse au journal Instalaltion remote/automatic d'un parc de machines. Évalué à 2.
[^] # Re: Automatisation d'installation
Posté par Aefron . En réponse au journal Instalaltion remote/automatic d'un parc de machines. Évalué à 2.
On peut bien sûr y charger du fichier de preseed (ça permet d'ailleurs de squeezer toutes les questions de l'installation que l'on juge inutiles), mais aussi, grâce à l'udeb de simple-cdd, créer des profils équivalent à des tâches de tasksel, mais plus simples à créer (pas de meta-paquets : on fait une liste de ce que l'on veut, comme on le veut, dans les fichiers du profil, et simple-cdd s'occupe de faire venir les dépendances, et de tout installer comme il faut)...
Les deux seuls trucs qui me limitent avec lui (faut dire qu'il est assez jeune), ce sont l'impossibilité d'ajouter des paquets venant d'un miroir où ils sont dans autre chose que main/contrib/non-free (j'imagine que ça a été adapté, pour les distros en utilisant plus, de base), et l'installation, si on le veut (et sur un desktop, en général, je le veux), des paquets recommandés, et pas simplement des dépendances.
Ca ne résout pas le problème du déploiement automatique, mais pour des petites infrastructures (genre chez moi : deux serveurs physiques seulement, avec plein de conteneurs - si l'un des deux tombait en rade, il y aurait de toute façon une chance sur deux pour que le serveur FAI soit emporté avec lui : en ce cas, disposer d'un media de réinstallation déjà pas mal configuré, c'est très pratique), ou pour une réinstallation alors que le réseau est en panne, c'est une solution complémentaire à du backup et à du déploiement centralisé.
[^] # Re: Il y a peut-être une réponse par là
Posté par Aefron . En réponse au journal Instalaltion remote/automatic d'un parc de machines. Évalué à 3.
... peut-être que c'est juste que je ne sais pas comment faire, mais autant j'apprécie la légèreté des pages du site, autant faire une recherche sur un sous-forum précis, ou juste sur les journaux, et bien, je n'y arrive jamais - tout se retrouve toujours pêle-mêle...
Alors, ça ne justifie pas en soit l'utilisation des journaux comme d'un forum... mais ça participe à l'expliquer : le forum n'est pas agréable à utiliser, les dépêches sont modérées... donc les gens, aussi abusif que certains trouvent ça, vont au plus direct, au plus consulté (perso, je ne jette pour ainsi dire jamais un oeil au forum) - les journaux...
Et ça ne me dérange pas du tout s'il s'agit de lancer un débat du genre "et vous, qu'est-ce que vous utilisez pour ..."...
On va me reprocher de dire que c'était mieux à-vents, mais les journaux techniques (qui sont censés se retrouver dans les astuces) et les journaux invitant à la discussion sur des choix de technologies (qui sont censés être des questions sur le forum), ils me manquent en tant que journaux, où les retours d'expérience, plus nombreux, rendaient le panel de commentaires plus intéressant... et, du coup, je ne suis pas convaincu de la justesse d'exiger qu'ils soient cantonnés au forum, plus adapté à des questions rapides du genre "v'là mon xorg.conf, mon Xorg.0.log, ça marche pô, j'fais kôa ?/! (kôôôôa... kôôôôa)"...
[^] # Re: Des solutions pour le vol à l'étalage ?
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à 3.
1er fois -> le gign rentre chez lui... c'était un homonyme d'un type qu'ils recherchaient et ils s'étaient gouré d'addresse.
Ca a la rigueur c'est "comique"
Ca dépend... Brazil, de Terry Gilliam, commence comme ça... et, pour un peu que ton pote soit cardiaque, ça se passe de la même manière.
[^] # Re: Moi AUSSI !!!!
Posté par Aefron . En réponse au journal Neo Freerunner : j'en ai eu un!. Évalué à 8.
Entre l'heure de mon téléphone, celle de mon micro-onde, celle du programmateur de chauffage, celle de ma voiture, et celles de mes machines, dont mon radio réveil qui est une squeezebox (non, par contre, je ne porte pas de montre), au bout d'une dizaine de jours après une synchro précise à la seconde, il y a au moins une minute d'écart entre celle qui est allé le plus vite, et celle qui est allé le moins vite. En une saison (3 mois), ça fait presque dix minutes... Bon, c'est l'écart extrême : mettons que ce soit gaussien et que ça fasse 5 minutes d'écart à l'heure officielle, de part et d'autre, au bout d'une saison, et que comme ce sont des "bornes", ce soit typiquement moins... m'enfin quand même.
Les machins technologiques de notre siècle, il y en a plein, mais s'ils étaient faits proprement, sans des gros hacks de bouchers à chaque fois que c'est possible, ça se saurait... la société de consommation, qu'ils ont appelé ça ; un truc con reposant sur le paradigme d'attirer le client avec des produits, mais pas trop, et surtout, pas longtemps, pour pouvoir continuer en boucle avec des "nouveaux" trucs... enfin, c'est un paradigme jusqu'à épuisement des ressources ; après, le risque est que ce soit un sacré bordel : là, oui, vu qu'il faudra faire plus gaffe à ce qu'on fabrique, peut être qu'on fera des trucs qui marcheront mieux...
En attendant, plus je peux avoir de trucs qui se synchronisent à une source de temps fiable, par NTP ou GPS, plus je préfère.
[^] # Re: Pour et contre
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à 8.
... ça me rappelle un été, où j'étais allé en bord des falaises de mon pays de Caux natal. Fait est que pour accéder à l'endroit de mon choix, il fallait arriver sur un parking en cul de sac.
Une fois garé, je vois une voiture de gendarmes, qui m'avaient dépassé, faire marche arrière, et bloquer mon véhicule avec le leur.
Je m'en fous, n'ayant rien à me reprocher (enfin, à part une pochette pleine de CD gravés, tous à partir d'originaux que je possédais, et des feux de détresse maritime périmés, qui dataient d'une balade en zodiac avec un pote quelques jours avant, et que nous avions mis de côté... m'enfin, ça, ils n'ont même pas songé à me demander ce que c'était, et je ne pense pas que ce soit illégal en soit), et avant de sortir de la voiture, je range la façade de mon auto-radio dans le vide-poche : grave erreur !
En sortant, les flics me demandent ce que je viens de cacher dans la boîte à gants !?! Bah, je leur dis, mais ils restent à me fixer silencieusement pendant une bonne vingtaine de secondes, tentant probablement de m'intimider...
Pour que les choses se passent au plus vite, je leur demande s'ils veulent la voir, cette foutue boîte à gants (qu'ils n'avaient a priori pas le droit de fouiller)... du coup, ils agréent, mais voient en se rapprochant que mon sac à dos traîne au pied d'un siège à l'arrière... rebelotte : "Qu'est-ce qu'il y a dans votre sac à dos ?"
Je décide encore une fois de leur montrer (ils ne tiquent pas sur son contenu, sinon illégal, au sujet duquel on pourrait quand même se poser des questions : un feu de bengale pour signaler sa détresse en mer, c'est gros, et on pourrait confondre avec un bâton d'explosif, au premier regard)... et rebelotte : "Qu'est-ce qu'il y a dans votre coffre ?"...
Bon, ça a fini par se terminer par le remplissage de quelques lignes dans un carnet (?!?!), au sujet desquelles ils m'ont mitonné un truc comme quoi ils notaient les numéros des plaques de véhicules qu'ils contrôlaient dedans (?!?! ... c'était pourtant un bloc-notes tout ce qu'il y a de plus commun), en cas de vol (le rapport avec la choucroute ?!?!) et m'ont demandé de m'occuper de mes affaires quand je leur ai fait remarquer qu'il fallait des autorisations pour constituer des fichiers nominatifs, et qu'un truc à-la-sauvage comme ça, c'était bizarre...
Alors, bon, le simple regard par le premier grouillot qui passe, oui, il me casse les couilles... ça commence comme ça, et si on laisse faire, c'est la porte ouverte à n'importe quoi. J'étais jeune, et avec moins d'assurance que maintenant, mais si c'était à refaire, je serais bien moins coopératif, vu le temps que ça a de toute façon pris, et le je-m'en-foutisme ostensible des droits que j'ai pu voir.
[^] # Re: Pour et contre
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à 5.
... mais fait est que ça fait des années que j'évite les grands magasins comme la peste (la dernière fois que j'ai foutu les pieds dans une hypersurface, ce devait être il y a deux ans... et avant ça, ça faisait peut-être bien un an ou deux aussi)...
... je suis plutôt coutumier des petites boutiques (le café est moins cher chez mon torréfacteur que dans n'importe quelle grande surface... et bien meilleur)... où on ne me fouille pas suspicieusement.
Alors, si je devais en venir à avoir besoin d'aller dans une grande surface, avec mon sac à dos (dans lequel j'amène les disgracieux mais nécessaires sacs de courses), et que je m'y fasse inspecter par le premier grouillot venu, oui, ça me choquerait vraiment. C'est vraiment quelque chose qui me paraît fou, en regard de ce à quoi j'ai l'habitude. Et du coup, il est très probable que pour un tel accueil lors d'une visite ponctuelle, le sang monte assez vite.
[^] # Re: Hostapd
Posté par Aefron . En réponse au journal DD-WRT v24 : passage réussi (non sans mal). Évalué à 2.
... et ce qui m'embête le plus là-dedans, c'est justement de ne pas vraiment avoir de quoi vérifier automagiquement qu'il n'y a aucun besoin de mise à jour critique pour ce qui est installé. C'est bête, mais un apt-cron, ou assimilé, qui m'envoie un mail quand il y a de la mise à jour à faire, ça simplifie beaucoup la vie.
D'autant que la place sur les WRT est vraiment limitée pour faire un gros upgrade... d'où le flashage... qui me saoule, et que je néglige : ce qui est mal.
En plus, ce foutu chip broadcom me saoule aussi... des fois, le WPA2 en client (j'ai deux WRT en activité, en ce moment... j'en ai eu plus) marche... des fois, ça fait planter les deux routeurs... du coup, pour que ça marche, il y a des périodes où je dois faire avec du WEP... supayre !
Bon, je dois beaucoup à OpenWRT, qui m'a vraiment donné le goût de la ligne de commande, et qui est l'une des premières distros Linux sur lesquelles j'ai vraiment commencé à me pencher sérieusement... mais niveau matos, c'est trop limité pour ce que j'en fais maintenant. Et ça va se terminer avec un C2D (en rab, quand je me serai acheté un quad-core, dont acte) et un HDD, dans un boîtier micro-ATX, avec deux cartes wifi à VAP, une quad-Fast-Eth, et une dual GbEth... là, au moins, le matos ne me limitera plus ; pour sûr.
[^] # Re: Hostapd
Posté par Aefron . En réponse au journal DD-WRT v24 : passage réussi (non sans mal). Évalué à 2.
... les fondamentaux pour le faire semblent avoir été intégrés dans FreeBSD 7, bien qu'aucun driver ne semble en profiter pour l'heure... ce qui devrait par contre être le cas pour le 8. Bref, ça me tente bien de m'y mettre. En plus, j'aime bien les BSD (même si je trouve OpenBSD trop limité au niveau fonctionnalités wifi, a contrario de si on ne regarde qu'au niveau des chips supportés, pour l'utiliser pour ça, malheureusement).
Après, pour ce qui est des services, je compte faire ça uniquement dans des OpenVZ, derrière le routeur, qui lui, ne fera rien tourner d'exceptionnel, mais routera et firewallera juste (à un puppetmaster et à un SSH, en interne, près). DNS, radius, portail captif, tout-ça : déporté sur d'autres machines ; un routeur tout léger et c'est tout ; plus facile d'en être maître.
J'aurais même bien envie de mettre les VPN dans des conteneurs OpenVZ (après tout, l'hôte OpenVZ fonctionne comme un routeur, et on peut donner des capacités de routage aux conteneurs).
[^] # Re: Pour et contre
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à 3.
Je préfère encore les forcer à respecter la loi, quitte à les faire chier.
[^] # Re: Pour et contre
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à -1.
C'est sûr, c'est plus expéditif que de vouloir changer des choses, ce qui supposerait d'en discuter, de se mettre d'accord, de prendre tous les aspects du problème en compte...
Parce que conseiller d'aller ailleurs, c'est bien beau, mais c'est peut-être la melleure manière de faire en sorte que, à l'usure, ce soit comme ça partout.
[^] # Re: Pour et contre
Posté par Aefron . En réponse au journal Protection de la vie privée et inspection visuelle des bagages à main dans les supermarchés. Évalué à -1.
Ca me rappelle quelque chose... enfin, toi, tu as au moins la décence de ne pas parler d'amour mais plutôt de faire des courbettes (logiquement, si on se plie)...
[^] # Re: Moi AUSSI !!!!
Posté par Aefron . En réponse au journal Neo Freerunner : j'en ai eu un!. Évalué à 1.
... bon, après, le NTP, c'est pareil, on peut le faire par à-coups, au demeurant... par contre, faut avoir accès au net...
[^] # Re: Hostapd
Posté par Aefron . En réponse au journal DD-WRT v24 : passage réussi (non sans mal). Évalué à 2.
... donc, tester ça sur du x86, malheureusement...
Maintenant, personnellement, j'en ai plus que ma claque des WRT : dd-wrt pas libre et d'une stabilité extrêmement douteuse, et, plus globalement, même si j'aime bien OpenWRT et X-WRT, j'en ai marre de flasher... notamment parce qu'il arrive que le flashage parte en zgueg, et qu'il faille jouer au hard reset avec les minuscules pattes d'une puce...
... j'en ai aussi marre d'avoir des trucs qui ont aussi peu d'espace de stockage... maintenant, je veux un truc facile à mettre à jour... Du coup, je sens que je ne vais pas tarder à me monter mon routeur home-made : probablement avec FreeBSD (même plus que probablement, s'ils sont les premiers à fournir des Virtual Access Points fonctionnels et libres).
[^] # Re: Quel interêt de chiffrer?
Posté par Aefron . En réponse au journal Militer pour le cryptage des mails. Évalué à 2.
D'autant que si on est assez précautionneux pour protéger des choses via un VPN, il y a moyen que l'accès aux fonctions mails soit un peu plus qu'un minimum authentifiant, même en local (remarque, pas forcément, si on se rappelle des kervielleries au cours desquelles il a été évoqué que les salles de courtiers étaient bien isolées de l'extérieur, mais ouvertes à tous vents une fois qu'on était dedans, chacun devant accéder à chaque machine dans le feu de l'action... m'enfin)...
Derrière un VPN, je vois plus les trucs qui ne sont vraiment pas faits pour être ouverts au monde entier, comme les serveurs NFS ou samba, ou qui sont vraiment trop sensibles, comme les serveurs SSH... Mais accéder à ses mails, ou à des partages de données publiques (bon, je n'ai pas éructé "FTP", hein... beurk), c'est quand même typiquement le truc qu'on fait de l'extérieur, donc, j'aurais plutôt tendance à les ouvrir directement, hors VPN ; proprement, s'il y a besoin d'authentifier, certes, certes.
[^] # Re: Ayez confiance: smartcard
Posté par Aefron . En réponse au journal Militer pour le cryptage des mails. Évalué à 4.
J'en étais resté aux bugs rapportés dans Debian, demandant à ce que le paquet soit compilé avec le support pour OpenSC... et comme ssh-agent est dans le même paquet que ssh, ie openssh-client, sous Debian, j'imaginais que ça couvrait aussi bien l'un que l'autre. J'en étais resté bloqué au /usr/bin/ssh manuel, mais avec l'agent, ça me va tout aussi bien...
D'autant que le support LDAP/X.509, je peux m'en passer, ayant commencé à utiliser puppetmaster, notamment pour distribuer les clés publiques et les known_hosts, ce qui est parfait dans mon cas (peu d'utilisateurs, beaucoup de machines, pour cause de Vserver/OpenVZ).
Donc, si je comprends bien, il faudrait patcher pour avoir le support dans le client SSH via /usr/bin/ssh, mais dans l'agent, ce serait intégré de base ? Apparemment, c'est le cas, puisqu'en faisant "ssh-add -s0" sur ma Sid, il me propose de rentrer le pass d'une smartcard (j'imagine qu'il ne vérifie si elle existe qu'après avoir rentré la passphrase... enfin, ça doit pouvoir se bidouiller automatiquement à coups de HAL à l'insertion)... ça me remotive à l'affaire, ça.
Reste un point qui me taraude encore ; la dernière remarque : "ca marche pour peu que l'on ait mis les clés comme dans l'article" ... euh, à ma connaissance, on peut mettre les clés de deux manières, dans la smartcard : génération interne au token, et génération via openssl ou assimilé, puis import... or les deux méthodes sont décrites dans l'article... j'espère que ça ne marche pas qu'avec la deuxième, qui est quand même un peu faible...
Autrement, pour le lecteur de smartcard, ça dépend de ce que tu prends ; ceux que j'ai trouvés et dont je parle dans mon journal ont l'apparence de clés USB, juste avec une fente sur le côté, pour insérer la smartcard, ou un capot, pour en mettre une au format SIM. C'est déjà pas mal discret.
Après, si tu à vraiment la trouille de te faire suspecter, tu ne gardes que la smartcard, camouflée en quelque chose de complètement anodin, dans ton portefeuille, et tu comptes sur des connaissances dans le pays pour te fournir le lecteur, qu'ils t'envoient en expéditif à ton hôtel (avec tous les gens que je connais à l'étranger, j'imagine que je dois pouvoir le faire dans une bonne moitié de l'hémisphère nord)... Après, si tu es dans un pays à l'intérieur duquel un lecteur de smartcard peut circuler sans souci (j'imagine que dans les pays un peu coincés, niveau contrôle des gens, les paquets ne circulent pas très librement, encore moins quand c'est à destination des hôtels où logent des étrangers), ça roule.
Sinon, pour ce qui est de la faire imprimer par un pro, il me semble être tombé sur des cartes qui étaient blanches, donc, j'imagine que ça doit être possible... autrement, des cartes avec un autocollant dessus, j'en ai déjà vu IRL (une horreur au bout d'un certain nombre d'insertions, d'ailleurs ; m'enfin, du coup, un truc un peu à l'arrache, un peu frotté pour bien faire usé, ça ne me paraît pas louche ; d'autant qu'avec une relativement bonne imprimante et du papier autocollant brillant, et pas mat, on a déjà facilement une impression propre : ne reste alors plus qu'à manier le cutter avec dextérité)...
Restent encore les cartes au format SIM, plus simples encore : si tu veux bien en planquer une, tu la mets dans ton téléphone... avec tous les appareils du genre qui ont deux emplacements SIM, tu pourras même continuer à t'en servir normalement. Après tout, quoi de plus normal qu'une, voire deux, SIM dans un téléphone ? Et puis, pour le coup, c'est tellement petit qu'il n'y a même pas à s'embêter à bidouiller un branding bidon.
[^] # Re: Ayez confiance: smartcard
Posté par Aefron . En réponse au journal Militer pour le cryptage des mails. Évalué à 2.
... et les middlewares libres, ça ne court pas les rues ; j'avais fait un journal [1] il y a quelques temps, là-dessus, où j'avais mentionné la seule smartcard compatible Linux que j'aie réussi à trouver et qui supporte RSA en 2048... pas encore eu le temps d'en commander...
Faut dire que le non-support des smartcards dans OpenSSH (à moins de patcher... vu que la soit-disant option de compilation permettant d'activer le support d'OpenSC ne suffit pas, puisqu'elle ne change rien au askpass) m'embête un peu beaucoup (même si mes SSH n'écoutent pas le monde entier : faut passer par le VPN, pour ça... or OpenVPN supporte apparemment les smartcards)...
Sinon, le PIN, on peut faire ça au clavier ('achement moins sekioure), si le lecteur n'en embarque pas un...
Après, certes, il y a sûrement des backdoors dans ces cartes, et j'imagine que les autorités n'auraient pas grand mal à demander de les ouvrir... pas plus qu'à te forcer à donner ton PIN s'ils le veulent...
M'enfin, niveau dump pour pouvoir bruteforcer en paix, en prenant son temps, ça me paraît un peu moins accessible au premier grouillot, fusse-t-il en uniforme, qu'un simple fichier sur une clé USB, copiable à volonté à partir de n'importe quelle machine... En plus, si tu veux faire passer ta smartcard pour quelque chose d'anodin, tu imprimes un autocollant bidon, type "Bibliothèque de Trifouilly-en-Champagne" et tu le colles dessus... avec les tonnes de smartcards, de nos jours, faudrait être vicelard ou déjà fort soupçonneux, probablement à raison, pour imaginer que ça cache tes clés les plus cruciales.
[1] http://linuxfr.org/~Aefron/26688.html
# Ayez confiance
Posté par Aefron . En réponse au journal Militer pour le cryptage des mails. Évalué à 10.
... et faire confiance à des gens qui ont déjà du mal à mettre un mot de passe fort à leur compte utilisateur (bon, ça encore, en leur expliquant que le même mot écrit en français académique et en 1337 tarabiscoté, ça change pas mal de choses, j'arrive encore à leur faire prendre de bonnes habitudes), qui ne tiennent pas à jour leur gateway (quand ce n'est pas la box du FAI sur laquelle ils n'ont guère de contrôle), qui font tourner des services ouverts au monde entier (typiquement, du P2P) sur leurs bureaux, ... mouais, bof...
Je ne dis pas que le chiffrage est futile, mais j'ai peine à imaginer quelqu'un en qui j'ai assez de confiance technique pour qu'il protège efficacement sa clé, et dialoguer en chiffré avec... à la limite, si je savais que leur clé privée était bien à l'abri, dans une smartcard, de telle sorte à ce que seuls les Chinois du FBI puissent l'en extraire, je serais plus enclin à faire confiance à mes contacts ; m'enfin, les smartcards sous Linux, ce n'est pas vraiment ça...
Et j'ai même peur que les gens rechignent à changer leurs habitudes si ce qui change ne rend pas les choses encore plus simples dans leur globalité : ie, tant que rajouter une fonctionnalité comme le chiffrage des mails ne fait pas automagiquement apparaître une tasse de café, ou sonner une escort-girl à la porte, la plupart des gens le feront une fois, peut-être deux, puis tomberont sur ce qu'ils croient être un os, et me diront "mouais, ton chiffrage, j'aime bien l'idée, mais à cause de lui, j'ai eu du mal à sortir mon chien ou à aller à la piscine, alors je l'ai désactivé complètement"... j'ai déjà vécu l'expérience avec des potes qui voulaient faire comme moi et essayer Jabber, alors, avec du chiffrage où il faut faire attention à une clé privée, je n'imagine même pas...
Je casse certes l'ambiance en étant un tantinet fataliste et désabusé quant à la technophilie des gens... mais...
[^] # Re: Virtualisation?
Posté par Aefron . En réponse à la dépêche Sortie du noyau Linux 2.6.26. Évalué à 2.
... et si le kernel 2.6.26 pouvait y trouver sa voie, histoire d'avoir du bind mount (d'une utilité remarquable, avec les conteneurs) en lecture seule, ce serait déjà très bien.
[^] # Re: Virtualisation?
Posté par Aefron . En réponse à la dépêche Sortie du noyau Linux 2.6.26. Évalué à 3.