aiolos a écrit 1286 commentaires

faut-il faire trop confiance dans l'autorité de certification ?

Dans le modèle des certificats, il n'y a pas le choix : une liste de certificats racines "de confiance" est définie sur ton système ou dans ton navigateur, ceux-ci on tout pouvoir pour délivrer des certificats.

Je trouve que le protocole devrait être changé pour avoir deux certificats et une période de recouvrement, ainsi le client pourrait vérifier que le nouveau certificat est à la fois signé par l'autorité mais aussi par l'ancien certif et ainsi de suite lors de chaque renouvellement.

L'idée ici, ce n'est pas de faire évoluer le standard mais de permettre de généraliser l'utilisation de l'existant, ce qui serait déjà pas mal. En l'occurence, déjà simplement automatiser tout ça, c'est un grand pas en avant.

Et ce que tu propose, ce n'est pas possible dans les protocoles actuels : le format X.509 ne permet pas les signatures multiples.

les faits ne changent pas par contre : en pratique, il semble impossible d'être "compatible" avec Thunar qui a 0.01% (à la louche) de part de marché sans lui faire un truc spécifique comme si il avait plus de 10% de part de marché et qu'il fallait absolument être compatible, super pour attirer les développeurs.

En même temps, personne ne t'as demandé de le faire. En l'occurrence, tu as un gus qui a intégré TON logiciel dans son DE et qui partage avec le reste du monde. Et toi, tu agresses les utilisateurs/développeurs de ce DE en te plaignant que c'est difficile de faire le taf qu'un autre a fait…

En quoi est-ce incompatible avec le fait que d'autres personnes travaillent en parallèle sur d'autres systèmes de vote ?

Aurais-tu une référence s'il te plaît ? J'ai tenté une recherche rapide, mais je n'ai rien trouvé, il me manque certainement des mots clefs.

Mouais : si tu communique ta clef et l'empreinte par le même canal, ça perd un peu de son utilité…

Autant je ne suis pas fan des tablettes, autant pour le cas de la rando, où tu cherche souvent à gagner sur le poids de tout ce que tu portes, ça me semble bien plus adapté. En effet, quel besoin de porter un clavier (et un "casing" plus épais) s'il s'agit juste de montrer une carte ou des photos ?

Je pense qu'il voulait parler d'un lanceur d'application, pas d'un widget complet…

Bonjour,

je possède aussi un GS II, que j'ai bidouillé il y a maintenant quelques années. À l'époque j'avais utilisé Heimdall uniquement pour flasher un nouveau bootloader, et c'est lui ensuite qui flashe les nouvelles "ROM". Ça avait plutôt bien marché, mais je ne me souviens plus trop des détails. Depuis, j'ai mis à jour mon téléphone vers plusieurs autres ROM, mais je n'ai jamais plus touché à Heimdall (qui n'est même plus installé sur ma machine).

A+

En même temps, sur la page github, le sous-titre est "Don't Be a Jerk: The [simple] Open Source [free-as-in-beer] Software License."
Ça me laisse à penser que l'auteur n'a pas la prétention de fournir une license libre (free-as-in-freedom)…

(même si ce n'est pas exclus, j'ai quand même de gros doutes que vous cherchez des gens inexpérimentés en premier lieu).

Euh… L'annonce commence par un lien vers une première annonce passée pour un contrat d'apprentissage qui est requalifié en CDI faute de candidats. Moi il me semble claire que les débutants sont plus que bienvenus !

Comme, par exemple, avoir deux certificats différents pour SSL, ou autoriser les accès aux clients authentifiés par des certificats émis par des autorités différentes…

Tout le monde ne suit pas les listes de diffusion pour les problèmes de sécurité.

Et ici, il ne s'agit pas de n'importe quel CVE. Compte tenu de la sévérité de la faille et de l'impact sur l'ensemble des distributions GNU/Linux (le GNU a son importance ici), ce journal ne me semble pas inutile.

Pour Transmission, la configuration est stockée dans .config/transmission/settings.json pour le client desktop et dans /etc/transmission/settings.json pour la version service. /etc/transmission n'a pas l'air d'être utilisé pour le client desktop pour une config globale (je n'ai pas vérifié plus que ça).

Mais considérer que la clef est impossible à extraire me semble plus théorique que pratique.

:-) Effectivement !

Quoi on peut sortir la clé privée de la carte ?

Théoriquement, non. En pratique, ça doit être faisable mais ça requiert un accès physique à la carte, un minimum d'expertise en attaque par canal auxiliaire et du matériel adéquat.

C'est marrant, moi j'aurais formulé exactement dans l'autre sens :

Théoriquement, oui, par des attaques physiques ou par canaux auxiliaires. En pratique, ça requiert un accès physique à la carte, un minimum pas mal d'expertise en attaque par canal auxiliaire et du matériel adéquat.

c'est justement la question : savoir gérer son identité de manière autonome (et ce n'est pas si facile avec l'administration), en tenant compte de la sécurité et des processus à suivre cela se complique encore…

Non, là on parle de la responsabilité régalienne de l'état de gérer l'identité civile. Dans ce contexte, c'est son rôle de certifier ton identité. S'il peut certifier ce qu'il veut, qu'il ait ou non généré ta clef ne change pas grand chose puisqu'il peut faire passer n'importe quelle clef pour légitime.

Avoir une autre identité que tu gère toi même, c'est pas incompatible (sur une autre carte).

Réponse(s) courte(s) :

Il n'existe pas de standard de carte à puce X.509 ?

non, pas à ma connaissance.

comment dire, c'est un peu de la merde, quand même…

oui

Réponse longue:
Comment dire ? Le milieu de la carte à puce est bouré d'implémentations propriétaires, de NDA et autre tracasseries… Ne serait-ce que pour acheter une cartes à quelques exemplaires afin de les évaluer, il faut souvent remplir des tonnes de paperasses…

Ensuite, pour les cartes et la crypto, tu va trouver plusieurs standards, plus ou moins contraignants :
- PKCS #11 pour les API en C d'accès à un tocken crypto
- PKCS #15 pour le système de fichier
- PKCS #1 / RFC 3447 pour les méthodes de chiffrement et signature RSA
- PIV pour les cartes standards des services américains, avec plusieurs versions selon les usages
- etc.
Mais, concernant X.509 par exemple, il n'y a pas (à ma connaissance, si vous connaissez, je suis preneur) de specifications générique pour le stockage des clefs et des chaines de certificats dans PKCS#15/l'applet de crypto. Tu va parfois les trouver dans les specs d'une application et/ou middleware (par exemple, openSC stocke le certificat et la clef aux mêmes "slots" respectivement dans une applet et dans PKCS#15)

Après Clonezilla, je trouve que en Livecd , et vu que je n'aurais pas d'écran sur le pc…..
Si il y a moyen de l'installer sur le pc et de le lancer en Ligne de commande, comme ça je le gère directement.

C'est dans l'autre sens que ça marche : tu démarre le live CD sur le PC à sauvegarder qui va cloner le disque sur ton NAS via un partage samba ou un serveur FTP, par exemple. Comme ton PC/NAS est accédé en tant que serveur, pas besoin d'écran.

Sinon, pour ta question, je ferai comme dit plus haut par totof: un simple dd sur le disque que tu as mis dans ton rack. En bonus, comme c'est de la ligne de commande, tu peux te passer de TeamViewer et tout faire par ssh comme les vrais barbus ;-)

Mais on peut appeler ça aussi une dîme (comme la dîme sur le sel).

Non, la dime, c'est l'impot de l'Eglise, l'impôt sur le sel, c'est la gabelle…

c'est trop génial d'ailleurs la redevance audiovisuelle, tu dois payer sans aucune prestation en retour, juste pour que certains s'amusent à créer des images que tu ne regarde jamais.

N'importe quoi ! Rien ne t'oblige à payer, si tu n'as pas de tuner télé… Si tu payes, c'est que tu veux être prêt à consommer ta prestation, comme tu dis.

Et oui l'exemple de Uber est édifiant, c'est un exemple flagrant de "punir celui qui a eu la bonne idée plutôt que s'adapter".

En même temps, sans juger de la pertinence ou non de la situation, on (le législateur, élu par nous) avait estimé qu'il était utile de réguler un secteur. Lorsqu'un nouvel acteur arrive en refusant de se plier à la régulation et trouve le moyen de détourner la loi, il ne me semble pas abérrant de mettre à jour la loi. Et je comprends aussi, que ceux qui respectent la règle en payant très chère un droit d'exercer râle quand ils se font piquer le marché par un acteur qui ne se plie pas à la règle.

Après, on peut discuter de l'opportunité de la régulation, mais pour moi, il s'agit d'un débat différent

Le dernier Asus que j'ai acheté, il fallait tout de même le renvoyer chez eux et attendre au minimum 15j… ça a peut-être changé, mais moi je trouve ça un poil abusif pour une modification Soft.

Oui, mais Play est nécessaire pour le push Messenging version Google, qui est lui-même utilisé par TextSecure (cf http://support.whispersystems.org/customer/portal/articles/1476204-why-do-i-need-google-play-installed-to-use-textsecure-on-android- ) …

C'est de la merde, c'est infernal à installer, c'est pété de bugs, c'est ultra basique surtout comparé à la quantité d'huile de coude qu'on dépense, etc etc.

Ben c'est plus que mal parti, à mon avis …

C'est là que je réalise que je commence à prendre de l'age : je me souviens d'une époque où Linux c'était "de la merde, c'[etait] infernal à installer, c'[etait] pété de bugs, c'[etait] ultra basique surtout comparé à la quantité d'huile de coude qu'on dépense, etc etc."

Enfin, je dis ça, je dis rien…

citez-moi exactement le passage qui appuie votre argumentation (hint pour les autres : j’ai lu et il n’existe pas :)

Si, si, il existe :

Arrêtons nous sur la réhabilitation. C’est une merveilleuse idée, celle que tout homme peut se racheter, même un homme politique, et que le crime ne vous frappe pas de la marque de Caïn : si vous vous comportez bien pendant un laps de temps (ce qui s’entend comme ne pas être à nouveau condamné pour un crime ou un délit), variable selon la gravité des faits, vous serez considéré comme un honnête homme, n’ayant jamais été condamné. […] La réhabilitation efface, non la peine, comme la grâce, mais la condamnation, comme l’amnistie, et lève toutes les incapacités et interdictions accompagnant la peine […]

Puis, citant l’article 133-11 du Code pénal qui s'appliquait aussi à la réhabilitation :

Il est interdit à toute personne qui, dans l’exercice de ses fonctions, a connaissance de condamnations pénales, de sanctions disciplinaires ou professionnelles ou d’interdictions, déchéances et incapacités effacées par l’amnistie, d’en rappeler l’existence sous quelque forme que ce soit ou d’en laisser subsister la mention dans un document quelconque.

Par contre, il est dit que ce même article est rendu caduc par une modification de la loi sur la réhabilitation :

Cependant, la doctrine estime que cet article est devenu caduc depuis la loi du 5 mars 2007, le maintien de la mention au bulletin n°1 étant incompatible avec l’interdiction de la mentionner, d’autant qu’elle peut servir de premier terme à la récidive.

D'autant plus, que X. Niel ne semble par remplir les conditions pour la réhabilitation :

La réhabilitation de plein droit (articles 133-12 et s. du Code pénal) a lieu après un délai variable en fonction de la peine prononcée, qui court à compter du jour de l’exécution de la peine OU de sa prescription.
Si c’est une peine d’amende : délai de 3 ans.
Si c’est une peine de prison n’excédant pas un an : délai de 5 ans.
Si c’est une peine n’excédant pas dix ans, ou plusieurs n’excédant pas 5 ans cumulé : délai de 10 ans à compter de la dernière peine.

Or, X. Niel a été condamné en 2006 à une peine de surcis, qui a donc été considérée comme exécutée au bout du délais de 5 ans soit en 2011. Il a effectué moins d'un an de prison, il sera donc réhabilité au bout de 5 ans, soit en 2016…

Zenitram raconte que des conneries, comme d’hab’ ).

Donc, non, pas que, mais juste un peu. Et l'idée est tout de même là qu'il existe un délais au bout duquel on est censé être pardonné aux yeux de la société. Personnellement, je regrette l'annulation de l’article 133-11 du Code pénal concernant la réhabilitation…

Sans rentrer dans le débat, en lisant ceci je suis juste choqué :

[…] il est des choses qui sont intrinsèquement bien ou mal. Par exemple, dans une cour d'école, taper sur un camarade plus petit pour lui prendre son goûter, ou simplement pour s'amuser, c'est mal.

Et si il ne fait « que » reprendre ce qu'on lui a volé le jour précédent ? Genre, « il m'a pris mon goûter hier sans demander, donc je prends le sien aujourd'hui »

En quoi le fait qu'un enfant reprenne par la force ce qui lui a été pris par la force rend les choses moins mal ? La loi du Talion ? Ça fait un moment qu'on est revenu dessus (chez nous). Si tout le monde résonne comme ça (et ça arrive souvent), on n'a pas fini de se foutre sur la gueule ! Justifier le recours à la violence par la vengeance et présenter ça comme quelque chose de bon, c'est une opînion que j'ai toujours combattue, surtout lorsque je travaillais auprès d'enfants.

Ceci dit, je ne dis pas que c'est une conception universelle (la preuve !).