Puis, les machines vont faire ce pour quoi elles ont été conçues : voter.
D'ailleurs, je ne sais pas ce que vous avez contre ces machines qui accomplissent notre devoir civique à notre place en nous permettant de partir en week-end quand il y a des élections !
Mince, j'avais oublié les traditionnels :
;-)
je sors --->[]
Pierre Tramo, J2EE lead Architect
Un de ces jours je vais écrire un journal "Le second degré et les décideurs". Non, parce que s'il faut commencer à expliquer ses blagues, c'est qu'on est tombé bien bas !
Non, je ne crois pas qu'un site internet ait ce genre de responsabilité.
Par contre, c'est différent pour les informations publiées (=disponibles publiquement) sur le site.
Dans ce dernier cas, seul l'éditeur (qui n'est pas nécessairement le prestataire technique) a la reponsabilité de ce qu'il publie. L'hébergeur a seulement l'obligation de réagir lorsqu'un contenu manifestement illicite lui est signalé (LCEN).
Oh, encore un argument à la "rien ne t'oblige à" !
Épargnez nous cela !
Ce n'est pas parce qu'il existe des alternatives à un choix technique, que ce choix technique ne peut pas être critiqué (d'autant plus si c'est actuellement la meilleure alternative).
Exemple :
- l'eau du robinet, ça pue, c'est plein de nitrates, il faudrait améliorer le traitement
- rien ne t'oblige à la boire
- oui, mais j'ai besoin de m'hydrater
- achète de l'eau minérale
- oui, mais c'est hors de prix !
Est-ce qu'il faut en conclure de cet échange que la critique initiale n'est pas pertinente et qu'il faut laisser le système de traitement des eaux en l'état ?
Le problème c'est que le fils de Madame Michou, il sait très bien installer des codecs (ou n'importe quoi d'autre) sous Windows, mais ne connaît Linux que de nom. Et si ce n'est pas son fils, ce sera quelqu'un d'autre dans son entourage proche.
En revanche, il n'y a pas encore assez de geek linuxiens pour installer les codecs ou règler les problèmes d'utilisations courante (pas seulement faire l'installation initiale) de toutes les Madame Michou du monde. Ainsi une distrib Linux orientée Michou ne peut pas se contenter d'égaler l'utilisabilité de Windows, mais doit la surpasser, et de loin.
Bon clairement, ce n'est pas l'objectif de Fedora, plutôt celui d'Ubuntu ou Suse, mais il y a encore du chemin dans tous les cas.
Le NAT te donne un faux sentiment de sécurité. Ce qu'il te faut c'est un firewall qui bloque tous les flux entrants (par l'interface externe) par default (ce qui est la configuration de base de tout firewall qui mérite ce nom).
Ton NAT, il ne bloque pas tous les flux entrants par défaut ???
Pour l'instant, c'est la configuration de base de tout NAT qui mérite ce nom que j'ai pu rencontrer.
Bon maintenant, je pense que c'est un faux débat d'opposer NAT à firewall, vu que ce sont deux fonctions quasiment inséparables d'un même programme (iptables) ou d'un même équipement (les routeurs du commerce, par exemple).
En effet, si on veut rester aux définitions, le NAT est juste un traducteur d'adresses, donc c'est neutre d'un point de vue sécurité. Pour que cela fasse quelque chose, il faut router les paquets traduits... et qui dit routage dit règles, ces mêmes règles qui définissent le comportement d'un firewall.
Quand je disais qu'il y allait avoir un problème avec les habitudes à changer !
Comme le NAT, souvent nécessaire en v4, avait pour effet secondaire d'être un FW (pour le filtrage d'adresses et de ports, pas applicatif ou protocolaire), je pense que beaucoup de monde en avait déduit NAT=FW.
Il ne faudrait pas qu'avec IPv6 on en vienne à se dire "plus de NAT, donc plus de FW !" (aussi bien dans le sens "plus besoin de", que dans le sens, "ah mince, on ne peut plus sécuriser !").
Ça me rappelle aussi les discussions sur le sens du libéralisme. Encore un mot qui cache plein de choses : du progressisme social (libéralisme des meurs) au capitalisme débridé (les "ultra" ou "néo" libéraux).
Cela dit, oui, je suis d'accord que la confusion entre libre et libre est regrettable, même si les licences de libre redistribution répondent à un vrai besoin.
Voir mon récent journal sur le sujet : [http://linuxfr.org/~Aldoo/25710.html].
En gros, effectivement, si l'autoconfiguration est suffisamment aléatoire, ce n'est plus avec un bête scan qu'on va trouver des machines à infecter.
MAIS il y a des paquets d'autres méthodes pour trouver des listes d'adresses correspondant à des vraies machines (en particulier, quand on se connecte à un réseau P2P, on "connaît" très vite une liste impressionnante de pairs).
Moui... c'est vrai aujourd'hui parce que IPv4 est encore majoritaire.
Est-ce que ce serait vrai dans un monde à 99% en v6 ?
Bon, cela dit, scanner 2^128 adresses, c'est plus difficile que 2^32. Peut-être qu'effectivement l'argument est valable, à condition, bien sûr d'attribuer les adresses suffisamment aléatoirement pour qu'un robot n'aie pas d'heuristique efficace pour restreindre l'espace de recherche.
Oh, je ne cherche pas à diaboliser.
Je souligne juste que pour obtenir une sécurité équivalente à celle de l'IPv4, il faudra s'attendre à une prise de tête équivalente.
Cela dit, j'aimerais savoir pourquoi le NAT ne serait pas une véritable sécurité pour ce qui est des tentatives de connexions depuis l'extérieur ? Comment peut-on, depuis l'extérieur, joindre une machine spécifique du lan sur un port TCP ou UDP non redirigé, si la machine n'a pas d'une manière ou d'une autre initié la connexion ?
Je sais qu'il existe d'autres formes d'attaques (chevaux de troie, exploitant la faille de l'ICC, en particulier), mais bon c'est toujours ça de moins à se soucier.
Cela dit, on n'est d'accord, le NAT n'est pas du tout la panacée. Mais le problème reste complexe de manière inhérente (et n'est pas lié à l'utilisation particulière de la technique appelée NAT) : il y a nécessairement un trade-off à faire entre ce que peut décider chaque utilisateur de son côté et ce qui est décidé au niveau de l'interface lan/internet, et entre ce qui doit être fait manuellement et ce qui peut être fait automatiquement (à la UPnP).
Quelle poisse, n'est-ce pas ?
Mon commentaire aussi était plein de choses déjà dites dans ce qui a été posté pendant que je l'écrivais.
Pour revenir au sujet, je me demande si la réflexion sur la sécurité ne serait pas finalement, ce qui retient le plus Free de migrer immédiatement en v6...
Il serait raisonnable que Free livre sa box IPv6 configurée par défaut dans un mode très sécurisé. En même temps, il faudrait qu'il soit facile de la reconfigurer pour vraiment tirer partie de l'IPv6. Si en plus on veut faire tout ça en étant à la fois Michu-proof et power-user-friendly, c'est un vrai casse-tête !
Normalement, ça veut dire la fin de la galère pour la configuration des ports de chaque machine pour les différentes applis (P2P, VoIP, différents serveurs... ).
Mais j'imagine que c'est le début d'un cauchemar pour changer ses habitudes afin de sécuriser tout ça.
Avec IPv4, quand on était derrière un NAT, on se sentait protégé, puisque les seuls ports qui passent sont ceux qu'on avait redirigés.
Avec IPv6, il va falloir choisir entre la facilité totale (chaque PC a une adresse sur le réseau public et tous ses ports accessibles), et un filtrage sélectif (on met un firewall en entrée qui ne laisse passer que les ports choisis : même galère de config que le NAT).
Au fond, ça me rappelle un peu les arguments contre l'UPnP, protocole qui permet d'automatiser l'attribution de port sur un NAT, mais qui pose potentiellement des problèmes de sécurité évidents.
Maintenant, l'IPv6 est une formidable opportunité, et ce serait bête de ne pas en profiter. Gageons que nous retrouverons vite des habitudes d'utilisation saines.
[^] # Re: Coup de main
Posté par Aldoo . En réponse à la dépêche Semaine du libre a Grenoble. Évalué à 2.
J'espère au moins qu'elle seront sous GPLv3 !
[^] # Re: bon
Posté par Aldoo . En réponse au journal </Rita Mitsouko>. Évalué à 9.
[^] # Re: ils ont choisi les machines à l'aide d'une machine?
Posté par Aldoo . En réponse au journal Machines de vote. Évalué à 4.
D'ailleurs, je ne sais pas ce que vous avez contre ces machines qui accomplissent notre devoir civique à notre place en nous permettant de partir en week-end quand il y a des élections !
Bande de réacs anti-progrès !
[^] # Re: ils utilisent Omnipcx
Posté par Aldoo . En réponse au journal ISIS, l'intranet sécurisé du gouvernement français. Évalué à 2.
;-)
je sors --->[]
Pierre Tramo, J2EE lead Architect
Un de ces jours je vais écrire un journal "Le second degré et les décideurs". Non, parce que s'il faut commencer à expliquer ses blagues, c'est qu'on est tombé bien bas !
[^] # Re: Mode parano
Posté par Aldoo . En réponse au journal petit outil sympa. Évalué à 4.
Par contre, c'est différent pour les informations publiées (=disponibles publiquement) sur le site.
Dans ce dernier cas, seul l'éditeur (qui n'est pas nécessairement le prestataire technique) a la reponsabilité de ce qu'il publie. L'hébergeur a seulement l'obligation de réagir lorsqu'un contenu manifestement illicite lui est signalé (LCEN).
[^] # Re: Libre != Open_source
Posté par Aldoo . En réponse au journal Les licences libres sont inadaptées.. Évalué à 3.
Discussion qui serait mal engagée suite à une réponse du type "Rien ne t'oblige à vivre en France !" (tiens, j'ai déjà vu ça quelque part, mais où ?).
[^] # Re: Tu as raison...
Posté par Aldoo . En réponse au journal Les licences libres sont inadaptées.. Évalué à 3.
[http://fr.wikipedia.org/wiki/Papauté_d'Avignon#La_papaut.C3.A9_d.E2.80.99Avignon_en_comp.C3.A9tition_avec_celle_de_Rome]
[http://fr.wikipedia.org/wiki/Grand_Schisme_d'Occident#1408_L(...)]
[^] # Re: Libre != Open_source
Posté par Aldoo . En réponse au journal Les licences libres sont inadaptées.. Évalué à 5.
Épargnez nous cela !
Ce n'est pas parce qu'il existe des alternatives à un choix technique, que ce choix technique ne peut pas être critiqué (d'autant plus si c'est actuellement la meilleure alternative).
Exemple :
- l'eau du robinet, ça pue, c'est plein de nitrates, il faudrait améliorer le traitement
- rien ne t'oblige à la boire
- oui, mais j'ai besoin de m'hydrater
- achète de l'eau minérale
- oui, mais c'est hors de prix !
Est-ce qu'il faut en conclure de cet échange que la critique initiale n'est pas pertinente et qu'il faut laisser le système de traitement des eaux en l'état ?
[^] # Re: ils utilisent Omnipcx
Posté par Aldoo . En réponse au journal ISIS, l'intranet sécurisé du gouvernement français. Évalué à 1.
[^] # Re: Abonnement à la tribune
Posté par Aldoo . En réponse au journal le tout anglais en entreprise. Évalué à 10.
[^] # Re: Sympa
Posté par Aldoo . En réponse au journal "raaaAAHHHH Eleonie!. Évalué à 3.
[^] # Re: Mme Michou et Linux
Posté par Aldoo . En réponse au journal Fedora 8 : une immense déception. Évalué à 3.
En revanche, il n'y a pas encore assez de geek linuxiens pour installer les codecs ou règler les problèmes d'utilisations courante (pas seulement faire l'installation initiale) de toutes les Madame Michou du monde. Ainsi une distrib Linux orientée Michou ne peut pas se contenter d'égaler l'utilisabilité de Windows, mais doit la surpasser, et de loin.
Bon clairement, ce n'est pas l'objectif de Fedora, plutôt celui d'Ubuntu ou Suse, mais il y a encore du chemin dans tous les cas.
[^] # Re: Chat /VoIP facile?
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 2.
Ton NAT, il ne bloque pas tous les flux entrants par défaut ???
Pour l'instant, c'est la configuration de base de tout NAT qui mérite ce nom que j'ai pu rencontrer.
Bon maintenant, je pense que c'est un faux débat d'opposer NAT à firewall, vu que ce sont deux fonctions quasiment inséparables d'un même programme (iptables) ou d'un même équipement (les routeurs du commerce, par exemple).
En effet, si on veut rester aux définitions, le NAT est juste un traducteur d'adresses, donc c'est neutre d'un point de vue sécurité. Pour que cela fasse quelque chose, il faut router les paquets traduits... et qui dit routage dit règles, ces mêmes règles qui définissent le comportement d'un firewall.
[^] # Re: Chat /VoIP facile?
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 6.
Comme le NAT, souvent nécessaire en v4, avait pour effet secondaire d'être un FW (pour le filtrage d'adresses et de ports, pas applicatif ou protocolaire), je pense que beaucoup de monde en avait déduit NAT=FW.
Il ne faudrait pas qu'avec IPv6 on en vienne à se dire "plus de NAT, donc plus de FW !" (aussi bien dans le sens "plus besoin de", que dans le sens, "ah mince, on ne peut plus sécuriser !").
[^] # Re: Et sinon...
Posté par Aldoo . En réponse à la dépêche Publication du rapport de la mission Olivennes. Évalué à 3.
[^] # Re: J'ai voulu tester, mais je n'ai pas pu aller plus loin.
Posté par Aldoo . En réponse au journal "raaaAAHHHH Eleonie!. Évalué à 2.
[^] # Re: J'ai voulu tester, mais je n'ai pas pu aller plus loin.
Posté par Aldoo . En réponse au journal "raaaAAHHHH Eleonie!. Évalué à 1.
[^] # Re: Belle réflexion
Posté par Aldoo . En réponse au journal Le libre et... le libre. Évalué à 2.
[^] # Re: Et sinon...
Posté par Aldoo . En réponse à la dépêche Publication du rapport de la mission Olivennes. Évalué à 3.
Cela dit, oui, je suis d'accord que la confusion entre libre et libre est regrettable, même si les licences de libre redistribution répondent à un vrai besoin.
Voir mon récent journal sur le sujet : [http://linuxfr.org/~Aldoo/25710.html].
[^] # Re: NAT, toussa
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 4.
En gros, effectivement, si l'autoconfiguration est suffisamment aléatoire, ce n'est plus avec un bête scan qu'on va trouver des machines à infecter.
MAIS il y a des paquets d'autres méthodes pour trouver des listes d'adresses correspondant à des vraies machines (en particulier, quand on se connecte à un réseau P2P, on "connaît" très vite une liste impressionnante de pairs).
[^] # Re: NAT, toussa
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 3.
Est-ce que ce serait vrai dans un monde à 99% en v6 ?
Bon, cela dit, scanner 2^128 adresses, c'est plus difficile que 2^32. Peut-être qu'effectivement l'argument est valable, à condition, bien sûr d'attribuer les adresses suffisamment aléatoirement pour qu'un robot n'aie pas d'heuristique efficace pour restreindre l'espace de recherche.
[^] # Re: NAT, toussa
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 1.
Je souligne juste que pour obtenir une sécurité équivalente à celle de l'IPv4, il faudra s'attendre à une prise de tête équivalente.
Cela dit, j'aimerais savoir pourquoi le NAT ne serait pas une véritable sécurité pour ce qui est des tentatives de connexions depuis l'extérieur ? Comment peut-on, depuis l'extérieur, joindre une machine spécifique du lan sur un port TCP ou UDP non redirigé, si la machine n'a pas d'une manière ou d'une autre initié la connexion ?
Je sais qu'il existe d'autres formes d'attaques (chevaux de troie, exploitant la faille de l'ICC, en particulier), mais bon c'est toujours ça de moins à se soucier.
Cela dit, on n'est d'accord, le NAT n'est pas du tout la panacée. Mais le problème reste complexe de manière inhérente (et n'est pas lié à l'utilisation particulière de la technique appelée NAT) : il y a nécessairement un trade-off à faire entre ce que peut décider chaque utilisateur de son côté et ce qui est décidé au niveau de l'interface lan/internet, et entre ce qui doit être fait manuellement et ce qui peut être fait automatiquement (à la UPnP).
[^] # Re: intérêt
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 4.
Mon commentaire aussi était plein de choses déjà dites dans ce qui a été posté pendant que je l'écrivais.
Pour revenir au sujet, je me demande si la réflexion sur la sécurité ne serait pas finalement, ce qui retient le plus Free de migrer immédiatement en v6...
Il serait raisonnable que Free livre sa box IPv6 configurée par défaut dans un mode très sécurisé. En même temps, il faudrait qu'il soit facile de la reconfigurer pour vraiment tirer partie de l'IPv6. Si en plus on veut faire tout ça en étant à la fois Michu-proof et power-user-friendly, c'est un vrai casse-tête !
[^] # Re: J'ai voulu tester, mais je n'ai pas pu aller plus loin.
Posté par Aldoo . En réponse au journal "raaaAAHHHH Eleonie!. Évalué à 1.
LFS serait donc une métaphore de l'univers ?
# NAT, toussa
Posté par Aldoo . En réponse au journal IPv6 chez free ?. Évalué à 9.
Mais j'imagine que c'est le début d'un cauchemar pour changer ses habitudes afin de sécuriser tout ça.
Avec IPv4, quand on était derrière un NAT, on se sentait protégé, puisque les seuls ports qui passent sont ceux qu'on avait redirigés.
Avec IPv6, il va falloir choisir entre la facilité totale (chaque PC a une adresse sur le réseau public et tous ses ports accessibles), et un filtrage sélectif (on met un firewall en entrée qui ne laisse passer que les ports choisis : même galère de config que le NAT).
Au fond, ça me rappelle un peu les arguments contre l'UPnP, protocole qui permet d'automatiser l'attribution de port sur un NAT, mais qui pose potentiellement des problèmes de sécurité évidents.
Maintenant, l'IPv6 est une formidable opportunité, et ce serait bête de ne pas en profiter. Gageons que nous retrouverons vite des habitudes d'utilisation saines.