Stéphane Bortzmeyer a écrit 655 commentaires

Des éléments de réponse à cette question :

http://www.bortzmeyer.org/pourquoi-idn-et-pas-un-dns-unicode(...)

http://www.bortzmeyer.org/idn-racine.html

Bien sûr que si, les IDN sont officiels depuis 2003. Le RFC 3490, qui les normalise, a été publié à cette date. Quand aux politiques des registres de noms de domaine, heureusement que ce n'est pas l'ICANN qui décide ce qu'on a le droit de mettre dans ".cn" ou ".de".

Donc, pas grand'chose de nouveau sous le soleil, surtout de l'esbrouffe ICANN.

Donc, article peu sérieux, de la part du Monde, cela ne m'étonne pas, mais pour linuxfr, c'est triste.

http://www.bortzmeyer.org/linux-driver-project-status.html

il n'est pour l'instant toujours pas conseillé pour le grand public

C'est même plus que cela. Actuellement, je ne trouve pas que le Freerunner soit même utilisable par des utilisateurs avancés. Il faut avoir beaucoup de temps libre et être patient. C'est aujourd'hui de la qualité alpha, pas beta !

Si on n'est pas développeur, l'intérêt me semble limité. http://www.bortzmeyer.org/premiers-jours-avec-freerunner.htm(...)

J'ai hélas l'impression que X tend vers +OO

En effet, la grande majorité des codes de vérification d'adresse de courrier qu'on voit trainer sur le réseau sont faux http://www.bortzmeyer.org/arreter-d-interdire-des-adresses-l(...)

chaque membre est du type [0-9a-z][0-9a-z-]{0,63}

Ah non, justement, avec les IDN et les EAI http://www.bortzmeyer.org/4952.html cette règle n'est plus vraie.

(la rfc interdit normalement le chiffre en début de membre

Faux. (Ou alors il faut citer le paragraphe exact du RFC. Moi, je peux, RFC 1123, section 2.1 « the
restriction on the first character is relaxed to allow either a
letter or a digit. Host software MUST support this more liberal
syntax. »

Oui tiens, cela ne va-t-il pas imposer une qualification complète des noms de machines internes ?

En supposant que les TLD arrivent rapidement à être chargés, que va-t-on devoir nommer notre imprimante "imprimante.mondomainepublic.tld" plutôt que "imprimante" ?

Ou alors les résolveurs DNS seront moins triviaux...

Là aussi, c'est assez surprenant. En quoi l'ajout de ".bzh", ".paris" ou ".nimportequoi" pourrait changer le nommage interne et les résolveurs ???

Un root.hint plus gros sur les serveurs des ISP et des gros hebergeurs.

Drôle d'idée, le fichier "hints" ne contient pas la liste des TLD, seulement celle des serveurs de la racine. Vous pouvez expliquer ?

Le terme "extension de domaine" est-il officiellement accepté ?

Non, c'est du n'importe quoi de journaliste. Personne ne l'utilise en effet. Le terme correct serait « domaine de premier niveau ».

http://fr.wikipedia.org/wiki/Domaine_de_premier_niveau

а et a c'est pas pareil... le premier est cyrillique.

Et pourquoi, si on décidait de n'en autoriser qu'un, n'accepter que le latin ?

C'est rigolo, lorsqu'on discute des IDN, les gens qui trouvent qu'on pourrait bien se contenter de l'alphabet latin sont toujours des gens dont la langue maternelle s'écrit avec cet alphabet.

http://www.trigeminal.com/samples/provincial.html

le probleme d'introduire des autres caractères que l'ascii (tu as vu je me suis bien restreint) se produit dans le cas qu'un caractère ressemble à un autre

Et, dans ce cas, pourquoi favoriser systématiquement l'alphabet latin ? Et cet argument ne joue certainement pas pour le chinois, où le risque de confondre avec les lettres latines est faible :-)

Je sais que les anti-IDN font feu de tout bois mais cet argument-là me semble particulièrement faible.

Si deux caractères sont très ressemblants => risque de pishing ou autre.

Non, ça, c'est du baratin . Politiquement, c'est du même niveau que « si les internautes ont la liberté de s'echanger des fichiers, il n'y aura plus de création artistique » Pratiquement, je reçois beaucoup de rapport de hameçonnage au bureau et il est exceptionnel qu'il y aie un effort de vraisemblance dans l'URL. Si la cible est, mettons, la Banque Générale, on voit parfois banquegeneral-secure.com ou un truc équivalent (qui n'a pas besoin d'homographie). Mais, la plupart du temps, c'est untel.free.fr, voire une simple adresse IP. Comme personne ne vérifie l'URL, il n'a pas besoin d'être vraisemblable.

Prétendre que les IDN permettraient d'avantage de hameçonnage est donc un argument purement politicien, mis en avant par les gens qui refusent l'internationalisation de l'Internet.

On notera que cet argument n'apparait pas dans la charte du groupe de travail IETF sur IDNA v2 http://www.ietf.org/html.charters/idnabis-charter.html alors qu'il était dans les versions initiales.

.local
.dom

Ils sont peut-être courants mais très dangereux à utiliser. Ils n'ont jamais été normalisés et peuvent donc demain être délégués à un vrai TLD.

RFC 2606 <http://www.bortzmeyer.org/2606.html>

Seul .example est réservé et sûr. Mais pas prévu pour cet usage. Pourquoi ne pas utiliser un vrai domaine ?

Par contre, je m'inquiète bien plus de l'arrivée des alphabets non latin, et/ou des accents dans les noms de domaines...

Il est vrai qu'il est inquiétant que les russes veulent utiliser l'alphabet cyrillique et les iraniens l'alphabet arabe. Que font Chuck Norris et SuperDupont ?

Blague à part, si l'Internet avait été inventé en Chine, que diriez-vous de devoir taper toutes les adresses avec un bout en chinois à droite. Avec des chinois qui vous expliquent doctement que ce n'est pas si difficile que cela et que c'est dans l'intérêt de la sécurité et de la stabilité ?

Je trouve étonnant que sur un forum de logiciel libre, on lise des réactions aussi primaires contre l'internationalisation, alors que Microsoft fait des efforts pour adapter tous ses logiciels.

par exemple avec une annulation immédiate du domaine en cas de squattage manifeste

C'est sur linuxfr qu'on lit ça ? Eh bien, il ne reste plus qu'à voter un soutien enthousiaste à la loi Hadopi <http://fr.wikipedia.org/wiki/Loi_Hadopi>. « Riposte graduée » au cybersquattage ?

Au fait, jeboycottedanone.com, c'était du cybersquattage ? Pour les avocats de Danone, oui.

C'est curieux qu'il faille apprendre aux lecteurs de linuxfr qu'on ne doit pas faire confiance à ce qui est écrit par des journalistes sur du papier. Seule l'information publiée sur Internet est correcte et à jour et l'ICANN a vite démenti cet interview :

http://www.mailclub.info/article.php3?id_article=807

Un peu de bon sens aurait suffi à détecter la traduction ultra-approximative (Paul Twomey ne parle pas français). Certes, l'ICANN est une organisation assez secrète où les vraies décisions sont prises en petit comité et annoncées par suprise mais, là, quand même, l'ICANN qui a toujours été ultra-fidèle au patronat et aux détenteurs de propriété intellectuelle, qui ouvrirait les vannes tout grand à la liberté ? C'était difficilement croyable.

the root server will fit as much as it can within a 512-byte packet and mark the answer as "truncated,"

Ce n'est pas vraiment exact (sauf à utiliser le mot troncation dans un sens très général, alors qu'il a une signification bien précise pour le DNS).

Comme la taille de la section Réponse ou Autorité ne va pas changer (il n'y a toujours que treize serveurs), il n'y aura pas de troncation. Il y aura simplement sélection des enregistrements dans la section Addition, et cette section n'est pas obligatoire.

Donc, le risque n'était pas la troncation, mais le fait que la sélection des colles (les adresses IP des serveurs) pourrait ne laisser que des adresses IPv4 ou bien que des adresses IPv4, ce qui serait ennuyeux pour le client mono-protocole.

Avec EDNS0, le problème disparait.

Le rapport complet du SSAC pour ceux qui ont le courage : http://www.icann.org/committees/security/sac018.pdf

L'alternative elle existait déjà dans le standard dns depuis fort longtemps ;)

L'alternative avec TCP, oui, depuis le début, mais elle est coûteuse pour le serveur.

Ce qui est plus nouveau, c'est EDNS0 (http://www.bortzmeyer.org/2671.html), qui permet de faire sauter la limite des 512 octets, et qui n'a été massivement déployé que depuis quelques années.

La complexité par rapport à quoi ? La personne qui parle de complexité à propos d'OpenID n'a manifestement jamais essayé de comprendre Cardspace ou Shibboleth...

Moralité : personne n'y met vraiment du sien !

Peut-être parce que ça ne rapporte rien à celui qui s'y met alors que le coût de ne pas s'y mettre est partagé par tous ? http://www.bortzmeyer.org/ipv6-et-l-echec-du-marche.html

> mais il y a tout un tas de VCS propriétaires à côté desquels l'offre open-source à
> longtemps fait pâle figure.

Ah non merci, des outils dangereux (perte de données), non automatisables, stockant les données sous leur format (donc quand le serveur de licence est en panne, aucun moyen de les récupérer), des outils dont le seul avantage était le cliquodrome fourni avec ?

Le domaine des VCS est un domaine où l'avantage des logiciels libres est net.

La conférence est bien annoncée :

http://www.parinux.org/news/news-req.html?news=245

et je suppose (mais je ne suis pas à Parinux) qu'on peut venir informellement.

Je me doutais que la discussion allait surtout consister en remarques du genre "ya aussi XYZ 1.0 qui est super bien" :-)

Il existe actuellement au moins une douzaine de VCS libres décentralisés. Monotone, darcs, tla 2, Bazaar-NG, Codeville, ArX, Fascist, svk, Mercurial, git/cogito... et j'en oublie.

Le but de mon exposé n'était pas de faire une présentation de tous ces logiciels, d'autant plus que la majorité aura disparu dans deux ans (comme tla qui était super à la mode il y a deux ans et déjà en cours d'oubli).

Je voulais au contraire sensibiliser les utilisateurs de CVS à l'existence d'autres outils, d'autres solutions. Ce n'est pas facile, surtout que le concept même de VCS décentralisé suscite des réactions aussi vigoureuses que le concept d'édition sans verrou de CVS il y a quinze ans.

Donc, vous comprendrez que je ne tienne pas compte des messages du genre "Ouais, XYZ 1.0, C top k00l" :-) Ils ne sont pas du genre à rassurer ceux qui craignent de quitter CVS.

> Certains MTA ajoutent des champs au mail permettant de savoir quel
> était le From de l'enveloppe. Avec Postfix, il semble que ce soit la
> premiere ligne des en-tetes :
> "From titi@toto.com Mon Sep 6 15:10:22 2004" par exemple.

Non, ce From sans : à la fin est spécifique au format "mbox" et dépend donc du MDA (procmail, local, deliver, etc), pas du MTA (Postfix, sendmail, etc). Si vous utilisez le format Maildir, vous ne l'aurez pas.

Quant cette information est mise dans un en-tête, c'est Return-Path:.

> Pour un système anti-spam, analyser les en-tetes du mail est
> beaucoup trop cher,

Ce n'est pas du tout une question de coût (SpamAssassin fait des analyses bien plus complexes), c'est simplement que le FROM de l'enveloppe n'a pas les mêmes propriétés que le From: des en-têtes. Il existe plusieurs identités dans le courrier et les différents protocoles ne vérifient pas les mêmes. Le SenderID actuellement en cours de discussion offrira le choix de l'identité à tester.

>Le sender-id se base sur authentification IP et les DNS, deux technologies >maintes fois critiquees et sujet a de nombreuse attaques
...
> Une bonne analyse ici des divers problemes du SENDER ID:
> http://www.esecurityplanet.com/views/article.php/3398431(...)

N'exagérons rien : il n'y a rien de commun entre la facilité d'une usurpation d'identité via le protocole SMTP et la facilité d'usurpation d'une adresse IP ou même d'une réponse DNS.

Dans le premier cas, c'est trivial et déjà largement mis en oeuvre.

Dans le deuxième, c'est d'un autre ordre de grandeur ! Les gens qui, comme l'auteur de l'article cité disent que c'est trivial n'ont manifestement jamais essayé.(Certaines bogues qui rendaient ces attaques possibles ont été bouchées depuis longtemps, les noyaux Unix ont des numéros de séquence TCP difficiles à deviner, BIND n'accepte plus les réponses martiennes, etc.)

> si il faut vraiment une solution technique, je suis plutot pour des solutions du > cote du cryptage/signature.

Ces solutions sont spécifiées et implémentées depuis dix ou quinze ans. Pourquoi ne sont-elles toujours pas déployées si elles sont si miraculeuses ?

> http://www.eweek.com/article2/0,1759,1642848,00.asp(...)

L'article en question est entièrement bâti sur une "étude" de MXlogic, une boîte qui... vend des solutions anti-spam et qui a donc tout intérêt à débiner ses concurrents.

Les chiffres donnés ne correspondent pas à ce que l'on mesure, par exemple sur le banc de test SPF de l'AFNIC.