Ben, le NAT protège contre des attaques très rares (attaques par connexion directe, comme du temps de SQL Slammer) et ne protège pas contre les attaques qui sont de loin les plus fréquentes aujourd'hui (attaques par charge utile). Donc, il sert à quoi ?
Tous les pays sont dans ce cas. La plupart des entreprises états-uniennes ne cherchent même pas dans la base des brevets chinois pour voir s'ils n'en enfreignent pas un.
La licence choisie par les développeurs d'Opus n'a aucune importance. Les brevets sont détenus par des tiers (comme Microsoft) et ceux-ci n'ont aucune raison de se sentir liés par une licence qu'ils n'ont pas écrite.
D'abord, la plupart des ces brevets sont illégaux en Europe. Donc, il suffit de ne pas voyager ou vendre aux USA ou en Chine (l'autre pays du brevet futile) pour être tranquille.
Ensuite, même aux USA, rien ne dit que ces brevets tiennent le coup devant un tribunal. Il suffit donc d'embaucher plusieurs avocats et de faire annuler ces brevets. Fastoche.
Sérieusement, l'IETF publie les revendications de brevet, elle n'évalue pas leur mérite.
Les six ans, c'était à partir de la dissolution du groupe et de la publication des premiers RFC, en 2006. Deux ans étaient annoncés, cela en a pris six.
Oui, elle peut être négative mais c'est peu probable : la Terre ne fait que ralentir, je ne vois pas bien quel phénomène physique la ferait accélerer d'une seconde…
Malheureusement, Unix ne donne accès qu'à UTC (et pas à TAI ni à une autre échelle strictement monotone) donc des applications qui n'ont pas besoin de l'heure « civile » sont quand même forcées de l'utiliser :
Encore faut-il qu'il y a des câbles alternatifs ! Comme cela coûte cher, ce n'est pas toujours le cas. En prime, lorsque les câbles alternatifs passent dans la même tranchée, une seule pelleteuse coupe tout (cas de la coupure « tramway » du datacenter de Prosodie dans les Yvelines).
Et cela ne couvre que les pannes matérielles. Mais les pannes logicielles peuvent potentiellement avoir des conséquences plus graves (pensez au nombre incroyable de zones DNS qui n'utilisent que BIND : en cas de bogue BIND, on peut planter beaucoup de domaines).
Concernant la possibilité d'une panne majeure de l'Internet (qui ne touche pas qu'une ville ou un site Web mais une grande partie de l'Internet), je trouve très imprudent d'affirmer « du coup Internet ne me parait pas pouvoir être en panne ». Certes, cela ne s'est jamais produit. Mais, si on ne fait pas attention, cela pourrait arriver un jour. Si tout le monde utilise des Cisco et qu'une faille premier-jour d'IOS est exploitée par un méchant… il peut planter une bonne partie de l'Internet. Des alertes sérieuses ont déjà eu lieu. http://www.bortzmeyer.org/bgp-attribut-99.html
Cela ne me semble pas une bonne idée. Cela interdirait, lors de la normalisation d'un paramètre, de changer son nom (je prends X-billgates-est-un-con et ensute, je demande l'enregistrement officiel) ou de changer sa sémantique (ce qui est souvent le cas en pratique).
Sinon, pour savoir lesquels sont officiels, il ne faut surtout pas « compulser les RFC » (beaucoup de registres de paramètres n'exigent pas forcément un RFC, juste une doc stable) mais le registre pertinent sur le site de l'IANA http://www.iana.org/
J'ai l'impression que vous utilisez un vocabulaire non-standard. Vous voulez dire que vous avez plusieurs enregistrements MX (il y en a toujours au moins un), pointant vers des serveurs différents ? Si c'est le cas, c'est en général une mauvaise idée pour un petit site http://www.bortzmeyer.org/mx-secondaire.html
Et le fait que les spammeurs attaquent en premier le MX de plus faible priorité a été souvent observé.
Sinon, le cas de plusieurs MX est couvert dans les articles cités.
Ce caratère n'est pas autorisé par la norme IDN (seules les lettres et les chiffres le sont et quelques rares autres). Alors, à part pour troller bêtement, à quoi bon le citer ?
Excellent document, oui. Mais il faut le lire jusqu'au bout, notamment dans la conclusion qui dit que le problème est très exagéré « It is also important to recognize that the use of visually confusable characters in spoofing is often overstated. Moreover, confusable characters account for a small proportion of phishing problems: most are cases like "secure-wellsfargo.com". » Et, pour revenir au vote, ce document approuve les IDN…
Un peu agaçé de cette allusion répétée au phishing quand la totalité des études sérieuses sur le phishing (et il y en a beaucoup) montrent que les utilisateurs ne tiennent pas compte de ce qui est dans l'URL (et qu'il n'est donc pas nécessaire de faire un nom de domaine qui ressemble à celui phishé).
Vous pouvez ne pas le croire mais l'article de Google sur TCP Fast Open donne de nombreux chiffres, issus de l'analyse du trafic chez Google qui montrent que, si, le temps d'établissement de connexion a une contribution essentielle. (Et ils expliquent pourquoi les connexions persistentes de HTTP 1.1 ne résolvent pas le problème.)
Et ? Le fait que le "chat" Facebook marche sur le réseau de l'expérience ne prouve pas que Facebook soit accessible en IPv6 (le réseau de l'expérience avait une passerelle NAT64, c'est elle qui permet l'accès aux sites Web purement v4 comme facebook).
[^] # Re: ip6table dans Freebox ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 1.
Ben, le NAT protège contre des attaques très rares (attaques par connexion directe, comme du temps de SQL Slammer) et ne protège pas contre les attaques qui sont de loin les plus fréquentes aujourd'hui (attaques par charge utile). Donc, il sert à quoi ?
[^] # Re: ip6table dans Freebox ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 1.
Bof, cette sécurité est largement illusoire. http://www.bortzmeyer.org/nat-et-securite.html
[^] # Re: ip6table dans Freebox ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 6.
Sur ce point, le RFC 6092 (recommandations aux auteurs de boxes) est une bonne lecture http://www.bortzmeyer.org/6092.html
[^] # Re: Une bonne nouvelle n'arrive jamais seule
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Le codec audio libre Opus désormais normalisé. Évalué à 3.
Tous les pays sont dans ce cas. La plupart des entreprises états-uniennes ne cherchent même pas dans la base des brevets chinois pour voir s'ils n'en enfreignent pas un.
[^] # Re: Are you sure ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Le codec audio libre Opus désormais normalisé. Évalué à 2.
La licence choisie par les développeurs d'Opus n'a aucune importance. Les brevets sont détenus par des tiers (comme Microsoft) et ceux-ci n'ont aucune raison de se sentir liés par une licence qu'ils n'ont pas écrite.
[^] # Re: Une bonne nouvelle n'arrive jamais seule
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Le codec audio libre Opus désormais normalisé. Évalué à 4.
D'abord, la plupart des ces brevets sont illégaux en Europe. Donc, il suffit de ne pas voyager ou vendre aux USA ou en Chine (l'autre pays du brevet futile) pour être tranquille.
Ensuite, même aux USA, rien ne dit que ces brevets tiennent le coup devant un tribunal. Il suffit donc d'embaucher plusieurs avocats et de faire annuler ces brevets. Fastoche.
Sérieusement, l'IETF publie les revendications de brevet, elle n'évalue pas leur mérite.
[^] # Re: Quelle coincidence !
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Compte-rendus d'expérience avec le Raspberry Pi ?. Évalué à 3.
Dans l'image Debian que j'ai testée (qui était l'image officielle il y a deux semaines), pas du tout d'IPv6, même pas en module.
J'ai eu la flemme de recompiler et puis, avec l'image ArchLinux, IPv6 marchait très bien.
[^] # Re: 6 ans ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal SPF désigné vainqueur dans le match contre Sender ID. Évalué à 3.
Les six ans, c'était à partir de la dissolution du groupe et de la publication des premiers RFC, en 2006. Deux ans étaient annoncés, cela en a pris six.
[^] # Re: Erreur dans le numéro
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal SPF désigné vainqueur dans le match contre Sender ID. Évalué à 2.
Si. C'était mieux avant la correction.
# Erreur dans le numéro
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal SPF désigné vainqueur dans le match contre Sender ID. Évalué à 1.
6686, pas 6696. Désolé mis j'ai l'impression qu'on ne peut pas modifier un journal, juste ajouter des commentaires.
[^] # Re: Merci
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Leap second. Évalué à 1.
Oui, elle peut être négative mais c'est peu probable : la Terre ne fait que ralentir, je ne vois pas bien quel phénomène physique la ferait accélerer d'une seconde…
# En fait, on a besoin des deux échelles de temps...
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Leap second. Évalué à 7.
Malheureusement, Unix ne donne accès qu'à UTC (et pas à TAI ni à une autre échelle strictement monotone) donc des applications qui n'ont pas besoin de l'heure « civile » sont quand même forcées de l'utiliser :
http://www.bortzmeyer.org/leap-second-or-not-leap-second.html
[^] # Re: Résilience -- 3 points 1 question
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Rapport sur la résilience de l'Internet en France. Évalué à 6.
Encore faut-il qu'il y a des câbles alternatifs ! Comme cela coûte cher, ce n'est pas toujours le cas. En prime, lorsque les câbles alternatifs passent dans la même tranchée, une seule pelleteuse coupe tout (cas de la coupure « tramway » du datacenter de Prosodie dans les Yvelines).
Et cela ne couvre que les pannes matérielles. Mais les pannes logicielles peuvent potentiellement avoir des conséquences plus graves (pensez au nombre incroyable de zones DNS qui n'utilisent que BIND : en cas de bogue BIND, on peut planter beaucoup de domaines).
[^] # Re: Résilience -- 3 points 1 question
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Rapport sur la résilience de l'Internet en France. Évalué à 5.
Désolé pour le lien, linuxfr a considéré que le guillemet fermant en faisait partie. Le bon lien est http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-et-l-afnic-publie-un-etat-des-lieux-de-l-internet-francais.html
Concernant la possibilité d'une panne majeure de l'Internet (qui ne touche pas qu'une ville ou un site Web mais une grande partie de l'Internet), je trouve très imprudent d'affirmer « du coup Internet ne me parait pas pouvoir être en panne ». Certes, cela ne s'est jamais produit. Mais, si on ne fait pas attention, cela pourrait arriver un jour. Si tout le monde utilise des Cisco et qu'une faille premier-jour d'IOS est exploitée par un méchant… il peut planter une bonne partie de l'Internet. Des alertes sérieuses ont déjà eu lieu. http://www.bortzmeyer.org/bgp-attribut-99.html
[^] # Re: Pourquoi faire ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal RFC 6648: Deprecating the X- Prefix in Application Protocols. Évalué à 5.
Cela ne me semble pas une bonne idée. Cela interdirait, lors de la normalisation d'un paramètre, de changer son nom (je prends X-billgates-est-un-con et ensute, je demande l'enregistrement officiel) ou de changer sa sémantique (ce qui est souvent le cas en pratique).
Sinon, pour savoir lesquels sont officiels, il ne faut surtout pas « compulser les RFC » (beaucoup de registres de paramètres n'exigent pas forcément un RFC, juste une doc stable) mais le registre pertinent sur le site de l'IANA http://www.iana.org/
[^] # Re: Ce que je constate
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 5.
J'ai l'impression que vous utilisez un vocabulaire non-standard. Vous voulez dire que vous avez plusieurs enregistrements MX (il y en a toujours au moins un), pointant vers des serveurs différents ? Si c'est le cas, c'est en général une mauvaise idée pour un petit site http://www.bortzmeyer.org/mx-secondaire.html
Et le fait que les spammeurs attaquent en premier le MX de plus faible priorité a été souvent observé.
Sinon, le cas de plusieurs MX est couvert dans les articles cités.
[^] # Re: Cluster
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 3.
Ce problème est connu et longuement décrit dans les documents cités (avec les solutions).
[^] # Re: []
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Mosh, the Mobile Shell. Évalué à 1.
Mais c'est justement une énorme limite. Combien de pare-feux autorisent l'UDP ?
[^] # Re: Ascii
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Que pensez vous de l'autorisation des noms de domaine accentués et autres caractères non-ascii ?. Évalué à 3.
Ce caratère n'est pas autorisé par la norme IDN (seules les lettres et les chiffres le sont et quelques rares autres). Alors, à part pour troller bêtement, à quoi bon le citer ?
http://www.bortzmeyer.org/5892.html
[^] # Re: Pour tous ceux qui ont voté, oui, en se disant : « mais pourquoi pas ? »
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Que pensez vous de l'autorisation des noms de domaine accentués et autres caractères non-ascii ?. Évalué à 2.
Excellent document, oui. Mais il faut le lire jusqu'au bout, notamment dans la conclusion qui dit que le problème est très exagéré « It is also important to recognize that the use of visually confusable characters in spoofing is often overstated. Moreover, confusable characters account for a small proportion of phishing problems: most are cases like "secure-wellsfargo.com". » Et, pour revenir au vote, ce document approuve les IDN…
[^] # Re: Contre
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au sondage Que pensez vous de l'autorisation des noms de domaine accentués et autres caractères non-ascii ?. Évalué à 3.
Un peu agaçé de cette allusion répétée au phishing quand la totalité des études sérieuses sur le phishing (et il y en a beaucoup) montrent que les utilisateurs ne tiennent pas compte de ce qui est dans l'URL (et qu'il n'est donc pas nécessaire de faire un nom de domaine qui ressemble à celui phishé).
http://www.bortzmeyer.org/idn-et-phishing.html
[^] # Re: Petit rappel, Spdy
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Réduire la latence des connections TCP, enfin. Évalué à 5.
Et il y a beaucoup d'autres propositions d'améliorations dans la besace de Google, dont une qui accélère le « slow start », nommée IW10
[^] # Re: Hein ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Réduire la latence des connections TCP, enfin. Évalué à 9.
Vous pouvez ne pas le croire mais l'article de Google sur TCP Fast Open donne de nombreux chiffres, issus de l'analyse du trafic chez Google qui montrent que, si, le temps d'établissement de connexion a une contribution essentielle. (Et ils expliquent pourquoi les connexions persistentes de HTTP 1.1 ne résolvent pas le problème.)
[^] # Re: facebook
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal RFC 6586: Experiences from an IPv6-Only Network. Évalué à 2.
Et ? Le fait que le "chat" Facebook marche sur le réseau de l'expérience ne prouve pas que Facebook soit accessible en IPv6 (le réseau de l'expérience avait une passerelle NAT64, c'est elle qui permet l'accès aux sites Web purement v4 comme facebook).
[^] # Re: facebook
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal RFC 6586: Experiences from an IPv6-Only Network. Évalué à 2.
La question de l'utilisation ou pas d'un nom de domaine spécifique est discutée dans le RFC 6589 http://www.bortzmeyer.org/6589.html