Bisaloo a écrit 75 commentaires

  • [^] # Re: Liste d'activité

    Posté par  . En réponse au journal Pass Covid, une liste noire ?. Évalué à 4.

    Je sais pas si ce sera la solution adoptée mais c'est possible d'avoir un système de liste de codes révoqués sans interroger le serveur à chaque fois.

    Tu télécharges la liste (des empreintes) des passes révoqués sur TAC vérif chaque jour et les passes sont comparés à cette liste stockée en local à chaque scan.

    C'est ce qui est utilisé pour le système 'safe browsing' des navigateurs pour bloquer les sites malveillants.

    Après, on peut jouer sur les mots en disant qu'on doit quand même télécharger la liste chaque jour mais on est quand même pas loin du "tout offline".

  • [^] # Re: Méthodologie à améliorer

    Posté par  . En réponse au journal Coronavirus : vers une sortie de crise ?. Évalué à 5.

    C'est contre-intuitif, mais plus l'échantillon d'un test clinique est faible, plus ses résultats sont significatifs. Les différences dans un échantillon de vingt personnes peuvent être plus significatives que dans un échantillon de 10.000 personnes. Si on a besoin d'un tel échantillonnage, il y a des risques qu'on se trompe. Avec 10.000 personnes, quand les différences sont faibles, parfois, elles n'existent pas.

    En fait, il utilise les mauvais mots au mauvais endroit, mais ce qu'il veut probablement dire, c'est que plus la taille d'effet est grande (c'est-à-dire plus le traitement est efficace), moins on a besoin d'un grand échantillon pour le démontrer.

    En d'autres mots, si tu as des résultats statistiquement significatifs sur un petit échantillon, c'est souvent que tu as une grande taille d'effet, donc un traitement très efficace.

    Par contre, on sait estimer de manière rigoureuse les tailles d'effet. Ce serait bien plus intéressant de mentionner ça que son explication un peu foireuse, et avec les mauvais termes.

  • [^] # Re: Statistiques

    Posté par  . En réponse au journal Petite mise à jour de OUI Léger. Évalué à 2. Dernière modification le 08 octobre 2019 à 12:00.

    C'est un constat intéressant mais ça concerne visiblement toutes les extensions: https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/statistics/usage/os/?last=30

    Et autre remarque amusante, on n'observe pas une telle baisse sur Android.

  • [^] # Re: http / https

    Posté par  . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 7.

    ils auront pété un nombre incroyable d'applications libre (sauf pour ceux qui manient le proxy)

    Tu parles de quel type d'applications ? Si elles vivent en dehors du navigateur, je ne vois pas a priori ce qui les empêcherait de continuer à utiliser HTTP.

    augmenté la pollution (https sur un VPN/SSH avec une clés de 4000bit, c'est du pétrole gaspillé)

    Les longues clés RSA posent de toute façon des problèmes de performance et on s'oriente donc sur des problèmes de courbes elliptiques, qui utilisent des clés bien plus courtes pour la même sécurité.

    Et n'oublions pas le réseau Tor où https est décrié.

    Là, je ne suis pas trop sûr de ce que tu veux dire. Dans le cas de sites "standards" visités via le réseau Tor, le HTTPS est tout à fait recommandé, puisqu'il empêche l'opérateur du noeud de sortie d'accéder au contenu en clair de la page que tu visites. Pour les services onions, c'est un peu plus discuté effectivement. Notamment parce que l'échange est déjà chiffré pour les services onions, pas besoin de HTTPS pour ça. Mais je ne vois pas d'inconvénient particulier à le faire si tu parviens à avoir un certificat pour ça.

  • [^] # Re: pas d'alias !

    Posté par  . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 1.

    C'est étrange, je viens de tester avec curl et j'ai bien un 301 de http://caf.fr/ vers http://www.caf.fr/ aussi.

  • [^] # Re: http / https

    Posté par  . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 0.

    Sur le long terme, la plupart des sites vont être plus ou moins forcés de passer en HTTPS only de toute façon puisque Google et Mozilla notamment prévoient de bloquer le HTTP sans chiffrement.

  • [^] # Re: http / https

    Posté par  . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 2.

    Oui, mais pour compléter, le problème subsiste lors de la première visite du site si c'est juste HSTS sans l'avoir ajouté à la liste des navigateurs (HSTS preload).

  • [^] # Re: Logique?

    Posté par  . En réponse au journal Une violation de licence est une rupture de contrat et pas une contrefaçon (en France). Évalué à 10.

    Attention avec les comparaisons : Plein de femmes sont en pantalon, c'est galère à faire appliquer la loi interdisant les pantalons pour les femmes qui réclament plus de libertés. Autant supprimer le délit de de travestissement de ces "méchantes" femmes. Tiens, on vient de le faire.

    Cette comparaison n'est pas du tout pertinente : la loi sur le port du pantalon n'a pas été supprimée parce qu'elle était trop compliquée à appliquer mais parce qu'elle était dépassée dans notre société actuelle. Ce n'est pas un problème pratique mais un problème éthique.

    Donc rien à voir avec l'argument initial "arrêtons la GPL parce que c'est trop compliqué". (Tu as tout à fait le droit d'avoir des objections d'ordre éthique à la GPL mais c'est un autre sujet.)

  • [^] # Re: proportionnelle

    Posté par  . En réponse au journal 33 listes, est ce raisonnable ?. Évalué à 3.

    Je suis d'accord avec ton message mais tu oublies de préciser qu'il faut passer le seuil de 5% des voix pour disposer de représentants.

    Dans ton exemple, le parti "esclavage - qwerty" n'aurait aucun représentant.

  • [^] # Re: Quelle société souhaitons nous ?

    Posté par  . En réponse à la dépêche Jugement TGI de Paris du 7 mars 2019 sur le blocage de Sci-Hub/LibGen. Évalué à 3.

    De deux parce que cela reste une action individuelle, qui n'est pas constructive. Ok, on contourne la décision et on continue comme avant ? Bah non, entre temps la jurisprudence a évoluée, dans une direction qui n'est pas celle que l'on souhaite. Et bientôt un second jugement viendra confirmer le premier, et cette décision que tu qualifies de scélérate va se retrouver être la norme.

    Beaucoup de gens et d'organismes tentent de modifier les choses de manière collective et institutionnelle, par les canaux législatifs et judiciaires. Mais ça prend du temps.

    Comme le mentionnent certains commentaires, le contournement répond à une situation qui demande une certaine rapidité : "je fais un projet de recherche, j'ai besoin d'un accès maintenant".

    Les deux ne sont pas mutuellement exclusifs.

  • [^] # Re: Sci-Hub avec VPN

    Posté par  . En réponse à la dépêche Jugement TGI de Paris du 7 mars 2019 sur le blocage de Sci-Hub/LibGen. Évalué à 1.

    Ca va continuer comme ça ou bien ça finira par être bloqué ?

    Impossible à dire avec certitude sans connaître le détail de ta situation.

    Mais si tu n'as réellement touché à rien, c'est probable que tu finisses par être bloqué. Tu pourras alors changer ton DNS ou prendre ton VPN à ce moment là.

  • [^] # Re: Sci-Hub avec VPN

    Posté par  . En réponse à la dépêche Jugement TGI de Paris du 7 mars 2019 sur le blocage de Sci-Hub/LibGen. Évalué à 4.

    Tant que ça fonctionne en changeant simplement de DNS, je privilégierais cette méthode gratuite. À moins que tu aies l'utilité d'un VPN pour d'autres choses en plus de sci-hub.

    C'est possible que tu puisses toujours y accéder parce que l'IP du serveur est toujours dans ton cache local (pas besoin d'interroger le serveur DNS) ou parce que tu utilises déjà un DNS alternatif. C'est le cas par exemple si tu utilises Firefox et que tu as activé l'option cachée DNS-over-HTTPS.

  • [^] # Re: Meilleur ?

    Posté par  . En réponse au journal Nouvelle version de Notepad++. Évalué à 3.

  • # Équations bizarres sous firefox

    Posté par  . En réponse à la dépêche Le Frido 2018, livre libre de mathématique pour l’agrégation. Évalué à 1.

    Plein d'équations ont une tête bizarre dans le lecteur pdf intégré à Firefox. Dès la page 6 par exemple, les sigmas de tes sommes sont tout étirés et dépassent sur la ligne suivante. C'est quelque chose de connu ? Sinon, ça vaudrait peut-être le coup de faire remonter le bug à Firefox

  • [^] # Re: Je suis passé à Gitlab

    Posté par  . En réponse au journal Microsoft rachète Github. Évalué à 5.

    Pourquoi plutôt l'instance de gnome (gitlab.gnome.org) plutôt que l'instance de gitlab.com ?

    Parce que tes applications sont plutôt liées à l'écosystème gnome ou alors il y a des différences importantes entre les deux instances ?

  • [^] # Re: vie privée, Cloudflare, blague ?

    Posté par  . En réponse au journal Cloudflare annonce 1.1.1.1, le résolveur DNS orienté grand public et vie privé le plus rapide. Évalué à 4.

    Qu'est-ce qui fait que je devrais faire plus confiance à Quad9 que Cloudflare ?

  • [^] # Re: HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 2. Dernière modification le 02 mars 2018 à 16:39.

    En français, il y a ce dessin sur le site nos-oignons.net, traduit de sa version anglaise qui pourrait servir de base mais ça reste assez peu digeste pour les utilisateurs pas déjà familiers avec les concepts et la terminologie.

    Si un projet de dépêche se monte, j'essaierai de participer lors de la rédaction cette fois, plutôt que faire mes remarques après coup en commentaire.

  • [^] # Re: HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 1.

    Exactement !

    C'est pour cette raison que Wikipedia est parfois complétement interdit dans certain pays. Le gouvernement ne peut pas savoir si tu visites une page qui critique son action ou la page sur l'histoire de la tarte tatin.

  • [^] # Re: HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 1.

    Non, HTTPS Everywhere ne change rien à ça.

    Il faut passer par Tor ou utiliser des outils qui commencent à se développer doucement comme DNS over TLS.

  • [^] # Re: HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 1.

    Oui, c'est un problème que l'utilisation d'HTTPS ne peut pas régler. Il faudrait changer les protocoles actuels du web. C'est d'ailleurs listé dans le repo "internet bugs" de l'EFF.

    Il existe également un dernier cas de figure par rapport à ce que tu as évoqué (requêtes DNS souvent en clair, IP du serveur connue). Si tu communiques avec un host qui est sur un hébergement partagé, la seule adresse IP ne suffit pas à un attaquant pour savoir avec qui tu parles. Mais il y a une chaîne de caractère envoyé en clair qui indique l'host à qui le message est destiné (TLS/SNI).

  • [^] # Re: HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 2.

    Tu pourrais préciser à quel texte en particulier tu fais référence ici ?

  • [^] # Re: Modification de la config Firefox ?!

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 6.

    Tous ceux qui activent cette option, ou tous ceux qui activent cette option et ont exactement la même version du navigateur 1, de l'OS/Architecture 2, la même taille de navigateur (et donc résolution & bureau si utilisé en plein écran) 3, la même liste d'extension (détection adblock etc) ?

    Si tu fais bien d'insister sur les limites de cette option, ce que j'aurais du davantage faire, tu les exagères très clairement :

    ont exactement la même version du navigateur

    Non, tout le monde est mis au dernier ESR donc FF52-58 sont listés comme FF52 ESR, FF59+ sont listés comme FF59 ESR. C'est marqué dans le rapport de bug que tu cites.

    de l'OS/Architecture

    Non. Ils ont effectivement changé le comportement. Avant, tout le monde était listé comme Windows. Maintenant, ils se contentent de mettre une chaîne de caractère identique pour tous les linux, une pour tous les windows, une pour tous les android, etc. Le patch explique ça mieux que moi.

    la même taille de navigateur (et donc résolution & bureau si utilisé en plein écran)

    Sauf que tu n'es justement pas censé utilisé le navigateur en plein écran dans ce cas. Comme pour le Tor Browser, il est ouvert par défaut à une taille fixe. Si tu changes cette taille, c'est ton problème.

  • [^] # Re: Modification de la config Firefox ?!

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 5.

    Sinon, il y a également l'option privacy.resistFingerprinting dans about:config qui bloque de nombreuses techniques de pistage sans donner une empreinte unique aux utilisateurs (tous ceux qui activent cette option sont censés avoir la même empreinte).

  • # HTTPS Everywhere

    Posté par  . En réponse à la dépêche Protéger sa vie privée sur le Web, exemple avec Firefox. Évalué à 5.

    Petite correction : HTTPS Everywhere est sous licence GPLv2+.

    Par ailleurs, par rapport à votre appel à contribution à la fin, vous pouvez effectivement donner à l'EFF mais également contribuer au développement d'HTTPS Everywhere. Comme sur beaucoup de projets libres, les gens motivés sont toujours les bienvenus ! Tout est utile, pas seulement les pull requests mais également les rapports de bug.

  • [^] # Re: Avant, l'affaire des "annu"

    Posté par  . En réponse au journal Free-electrons se fait attaquer en justice par Free, et change de nom. Évalué à 1.

    La guerrière de la mythologie, j'ai un peu du mal à voir de quoi il s'agit.

    "Dans la mythologie grecque, les Amazones sont un peuple de femmes guerrières" (extrait de la page wikipedia à ce sujet)

    (À quand les balises spoiler sur linuxfr ?)