Bisaloo a écrit 75 commentaires

Le projet a l'air sympa mais le site est buggué.

D'une manière générale, je pense que ce n'est pas une bonne idée de modifier le comportement de défilement normal. Et là, du coup, il y a des éléments que je ne vois pas. Ils sont en bas de ma fenêtre et quand j'essaie de descendre pour voir la site, je me retrouve un cran en dessous ce qui fait que je ne peux jamais voir certaines parties du site…

https://gist.github.com/Oweoqi/31239851e5b84dbba894

Le code du fichier douteux man.cy

Alors, je veux bien qu'on reproche plein de choses à facebook (et je suis d'accord) : problèmes de vie privée, non respect des standards, droits d'auteurs, etc.

Mais il ne faut pas tomber non plus dans le rejet systématique. Certaines compagnies font des choses critiquables MAIS aussi des choses biens à côté : l'année dernière, fb a fait partie des plus gros donateurs au projet OpenPGP, qui en avait bien besoin.

Beaucoup de ces compagnies qu'on critique changent de stratégie dernièrement. Pour rien au monde, ils ne renonceraient à espionner leurs utilisateurs mais ils participent aux projets pour protéger leurs utilisateurs contre les autres.

Oui, c'est indépendant. Mais on parle juste pas de la même chose. Pour moi, le problème est principalement côté serveur (et c'est ce qui nous intéresse quand on parle certificat). Avant de dire aux serveurs de passer à des clés de 4096, on ferait mieux de faire pression pour qu'ils mettent à jour leur logiciel de crypto. C'est déprimant que des navigateurs modernes conservent encore par défaut des techniques obsolètes voire dangereuses juste parce que certains serveurs ne se mettent pas à jour.

Voilà, c'est ma vision des choses. On voit pas la faute du même côté. Si quelqu'un a une page qui récapitule les suites supportées par navigateur et version, ça m'intéresse de voir et éventuellement de revoir mon opinion.

Et sur la suite de ton commentaire, à moins que ce soit moi qui ait mal compris :

a secure communication protocol is said to have forward secrecy if compromise of long-term keys does not compromise past session keys

Donc tu peux garder tout le contenu que tu veux, si tu as PFS, c'est inutile. Tu ne pourra déchiffrer que les communications postérieures au moment où tu casses la clé. Donc sur un certificat de 90 jours (je maintiens puisque le sujet à la base, c'était Let's Encrypt), t'as intérêt à aller très vite (plus vite que possible ? ) si tu veux que ça serve à quelque chose.

Du coup, tu es d'accord pour dire que le problème, c'est principalement l'adoption de suites PFS plus que la taille de la clé.

Et comme tu le dis toi-même, la majorité des sites supporte déjà PFS.

Ensuite, je suis pas chercheur en crypto mais je suis pas hyper convaincu par ton paragraphe sur logjam. Les chercheurs à l'origine de la découverte demandent d'abandonner les clés de 1024 bits par sécurité parce qu'il se peut que des agences à 3 lettres puissent les casser :

We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime.

(https://weakdh.org/)

If p is a larger prime, in particular a 1024-bit prime which is the most common choice in software implementations of Diffie-Hellman today, then it may be feasible for a nation-state-level attacker (e.g. the NSA) to precompute the information needed to compute discrete logs modulo a few common values of p

(https://www.eff.org/deeplinks/2015/05/logjam-internet-breaks-again)

Et encore… comme c'est marqué clairement dans le post de l'EFF, on parle là des groupes de DH par défaut, pour lesquels on peut faire une precomputation.

Après, toutes les suites PFS ne sont pas sensibles à logjam, il semble que les suites ECDH soient encore sûres.

Pour finir, si on croit le site d'openssl, il faut 100,000 heures-coeurs pour casser du 512 bits. En admettant que les certificats de let's encrypt de 2048 bits ne tiennent pas 90 jours parce que tu es confronté à un attaquant très motivé, il ne pourra tout de même casser la crypto qu'au bout d'un temps proche de l'expiration.

Ce qui est beau avec le libre, c'est que chacun n'a pas à écrire un bot. Il suffit que quelqu'un qui ne veuille vraiment pas dépendre d'une société tierce (je pense à un état, une ONG, une structure militante…) le fasse et le publie sous une licence libre.

À mon avis, le manque d'ergonomie n'est souvent pas dû au fait que les développeurs en sont incapables.

C'est juste que beaucoup de projets open-source (le libre, c'est peut-être légèrement différent) sont construit pour un usage privé au début. Ensuite, ils sont mis à disposition du reste du monde. Mais ils ne sont pas destinés à la base à être des produits de consommation comme le sont les services comme slack.

Après, pour les projets qui deviennent gros, c'est peut-être dû à un conflit entre communautés. Les premiers à l'adopter sont souvent des geeks ou des libristes. Et ils n'ont pas envie qu'on choisisse pour eux. Donc si tu veux toucher un public plus grand, tu dois créer des mécontents parmi tes fidèles.

Je suis le seul à regarder les commentaires sur un produit AVANT d'acheter ?

L'argument "personne ne sait les installer", c'est complètement bidon. Plein de gens sont capables d'installer un navigateur web (chrome ou firefox), ça n'a rien de plus compliqué d'installer un client de messagerie.

Pour la configuration des comptes, comme dit précédemment, thunderbird le fait tout seul dans l'immense majorité des cas. Tu n'as pas besoin de savoir ce que signifient imap, pop ou smtp.

Et je comprends pas trop de quoi tu parles quand tu dis que gmail trie automatiquement. J'utilise pas gmail et avec la façon dont tu le décris, on dirait juste des filtres. C'est quoi exactement et en quoi c'est révolutionnaire ? (c'est une vraie question)

Oui, c'est assez surprenant et décevant qu'ils utilisent encore flash.

Pareil, on peut contourner en utilisant le site mobile mais bon, l'ergonomie n'est pas extraordinaire sur un ordinateur.

En 2010, ils évoquaient des différences de performance entre flash et html5 pour justifier le changement uniquement sur mobile (https://www.facebook.com/notes/facebook-engineering/using-html5-today/438532093919/) mais ça me semble plus trop valable maintenant. La plupart des autres gros sont passés au html5, je ne vois pas pourquoi fb traîne la pâte…

Flash, pas de problèmes.

Par contre, tu as besoin de javascript, à moins de visiter la version mobile du site. Et il faut également activer les cookies.

En fait, je pensais surtout à "trailing slash". Barre oblique à la fin ? Je trouve pas ça très heureux…

Juste un petit détail, dans les liens que tu donnes à propos de la transparence et de galileo, les url ne doivent pas contenir de slash à la fin (je ne connais pas le terme consacré en français)

Si un modérateur pouvait corriger ça, ce serait super.

J'ai pas lu le livre mais si l'argument, c'est juste qu'il a soigné sa maladie de peau en changeant son alimentation, c'est pas du tout convaincant : en changeant d'alimentation, il change ses apports en oligo-éléments, en antioxydants… donc on ne peut tirer aucune conclusion quant à la cause de son rétablissement.

Et oui, les nouveaux axes de recherche sont clairement une mode. Tous les chercheurs te le diront : il y a des sujets en vogue et quand tu veux des financements, t'as intérêts à caser des mots et des concepts à la mode.

D'après ce que j'avais lu des développeurs d'HTTPS Everywhere, ton extension passe un processus de vérification automatique et donc normalement rapide.

Après cette vérification, soit tout va bien et tu obtiens ta signature, soit une vérification manuelle de la part de Mozilla est nécessaire et ça peut être un peu plus long.

Je ne crois pas que le sujet ait été mentionné dans les commentaires précédents. Mozilla a-t-il annoncé ce qui allait se passer pour les versions beta des extensions proposé par l'intermédiaire de leur site ?

Par exemple, AdBlock Plus propose de participer à leur développement en installant à partir du canal développement. Mais ces versions ne sont visiblement pas encore signées par Mozilla. Que va-t-il se passer ?

Il y a bien cette phrase : "Caution: Development versions of this add-on have not been reviewed by Mozilla and can't be installed on release versions of Firefox." mais j'avoue que c'est pas hyper clair pour moi. J'ai pu installer la version de développement sur une release stable de firefox (FF 40.0, pas dév ou beta donc). C'est juste une anticipation pour les versions suivantes ?

L'utilisation de R et de la librairie maptools me semble tout à fait adaptée dans ce cas.
Il y a des fonds de cartes inclus par défaut. Tu peux changer de projection en appelant une seule fonction ou simplement demander dans quel projection est telle carte ou tel jeu de données.
En utilisant R, tu as également toute la gamme d'outils statistiques qui peuvent de permettre de faire une partition un peu plus intéressante de tes données. Ou alors de la faire plus rapidement si tu veux garder le même système.

Par contre, j'ai voulu vérifier d'où venaient les fonds de carte et j'ai pas réussi à retrouver. La librairie est sous licence GPL>=2 mais pas moyen de trouver la source exacte.

Je suis en html5 et j'ai toutes les qualités de 144p à 1080p sur la vidéo de tes images.

Pour éviter de rejouer toujours les mêmes dialogues, voici le lien vers un journal dont les commentaires pourraient t'aider: https://linuxfr.org/users/kursus_hc/journaux/bref-etat-de-flash-sous-linux

En gros, si tu as déjà bien toutes les librairies installées, il suffit de changer quelques lignes dans le about:config

Si tu as un mot de passe sur ta clé privée, elle est chiffrée.

Donc si ton mot de passe est suffisamment fort, et si ta clé respecte les standards de sécurité actuels, il semble peu probable qu'elle soit utilisable par un attaquant.

Les autres problèmes liés à cette nouvelle super idée de M$:
- Le mot de passe de ton wifi est enregistré sur leurs serveurs
- Tu leur donnes l'accès à la liste de tes amis fb

En 2013. J'ai tenu une journée avec le Windows 8 fourni sur mon nouvel ordi.

J'avais dit "oh non, jamais Linux, ça a l'air trop casse-pieds". Windows 8 a eu raison de moi… Et j'en suis bien content !

Hum, je ne suis que partiellement d'accord. Évidemment, c'est du bon travail et j'en suis reconnaissant. Mais c'est vrai aussi pour des logiciels libres par exemple.

Je n'entendais pas ça comme un dû. Plutôt comme une nécessité de cohérence. Ça me semblerait contraire à l'esprit du libre de ne pas essayer de diffuser largement ces conférences. Et quand je disais "ou un autre moyen", j'étais prêt à acheter un cd par exemple dont le prix prendrait en compte le coût de l'enregistrement (matériel+humain).

Merci beaucoup pour les infos en tout cas !

Ça m'intéresse beaucoup, on sait déjà si les conférences seront disponibles en ligne ou par un autre moyen pour ceux qui ne pourront être présents ?

(bon, pour un événement sur le libre, ce serait quand même bien)

Ce qui est surtout bien avec la possibilité d'ajouter sa clé publique sur facebook, c'est qu'on peut mettre l'empreinte en visible pour ses amis ou même en public. Ça offre un moyen supplémentaire de vérifier l'authenticité d'une clé.

Comme indiqué sur la page de request policy (https://addons.mozilla.org/en-US/firefox/addon/requestpolicy/?src=search), il y a une nouvelle version de request policy appelée request policy continued.

J'ai hésité à franchir le pas puisque request policy a toujours été une de mes extensions préférées mais je l'ai fait quand le passage à ff 38.0 l'a cassé. Et malgré une nouvelle interface un peu moins claire à mon avis, request policy continued marche nickel !