Téléchargement de la liste des serveurs DNS racines
C'est inutile, Unbound (comme BIND et les autres) a tout ce qu'il faut (faites un strings sur /usr/bin/unbound si vous ne me croyez pas) et, de toute façon, utilise le "priming" (RFC 8109). Intervenir sur cette liste n'est utile que si on veut utiliser une racine alternative.
On peut utiliser ce script pour mettre à jours les serveurs DNS racines
Cette absence d'agilité cryptographique est en effet une sérieuse erreur de conception de Wireguard (voir le RFC 7696 pour une explication). Un bon exemple est l'arrivée des algorithmes post-quantiques. Comment Wireguard va-t-il gérer cela ?
Il faut lire l'article avant : l'authentification a deux facteurs n'impose pas de passer par Google, elle se fait avec TOTP, une norme ouverte (RFC 6238) et pour laquelle il existe plein de mises en œuvre en logiciel libre.
Ah non, je ne crois pas que cette analyse soit correcte. La confidentialité persistante protège contre un vol de la clé privée, mais, si l'attaquant a enregistré toute la session, et s'il a un calculateur quantique, il peut s'attaquer à l'algorithme d'établissement des clés (par exemple ECDHE) et donc trouver les clés de session et tout déchiffrer.
L'authentification à facteurs multiples protège bien contre les tiers, et c'est donc une bonne idée que d'encourager son déploiement mais elle ne protège pas contre un développeur malveillant ou négligent (par exemple parce qu'il accepte des patches sans les lire). Donc, c'est bien, mais ce n'est pas suffisant.
Il n'y a pas de solution simple au problème des développeurs malveillants. Il n'est évidemment pas question d'auditer/certifier les développeurs de logiciels libres (qui aurait la légitimité de le faire, et selon quels critères ?)
Cela semble terriblement dangereux, des applications locales, vérifiées par personne, récupérées n'importe où, qui se lancent d'un clic et ont accès à toute la machine.
BIMI est en effet loin d'être prêt. Contrairement à ce que prétend le marketing, ce n'est pas une technique d'authentification, et il n'a rien à voir avec la lutte contre le hameçonnage. C'est juste un moyen pour les grosses boites de s'imposer encore plus dans notre espace visuel en faisant afficher leur logo par notre logiciel. Comme si on ne voyait pas assez les marques.
Ou bien le très connu forum gemini://station.martinrue.com/. Il est donc parfaitement possible d'écrire avec Gemini (même si le but n'est effectivement pas de faire 100 % de ce que fait le Web, c'est même tout le contraire).
Dans la rubrique « Les nouveautés du Wiki », les liens ne marchent pas. Je clique sur le titre ou la date mais rien ne se passe. Testé uniquement avec Firefox sur Debian.
Du côté des normes techniques, on peut regarder le travail DTN à l'IETF (et le protocole Licklider). RFC 4838 https://www.bortzmeyer.org/4838.html et suivants.
Comme prévu, la discussion porte beaucoup plus sur le vaccin et sur le passe sanitaire que sur la Quadrature du Net.
Je voudrais quand même insister sur le fait que les bouts de phrase cités dans le journal original ne sont pas de la Quadrature mais sont des extraits d'une discussion sur la liste publique gérée par la Quadrature, mais où tout le monde peut s'inscrire et dire des connneries. (C'est pour cela que j'ai marqué le journal comme non pertinent.)
Le client QUIC n'est pas forcément au courant du changement d'adresse IP (qui peut se produire loin de lui, par exemple dans un routeur NAT). Et, justement, le principe du "Connection ID" de QUIC est qu'il sert à identifier une connexion (qui, en TCP, est identifiée par l'adresse IP), ce qui est bon pour les performances et la robustesse, mais mauvais pour la vie privée.
Et, surtout, le moteur de recherche ne devient important qu'une fois qu'on a rentré beaucoup de données (et qu'il est alors trop tard). L'argument « personne ne me l'a demandé » se comprend mieux dans ce contexte : personne n'a encore mis suffisamment de données depuis suffisamment longtemps pour avoir été coincé par l'absence de moteur de recherche.
Notons que PosqtgreSQL a un excellent moteur de recherche dans ses champs textuels, ce qui fait que le coût de développement est limité.
En effet, cette affirmation comme quoi Ethernet aurait démarré en France me parait très fumeuse. L'article de CPU cité n'en parle pas. Comme on dit sur Wikipédia, « référence nécessaire ».
Le fait de gérer les frontières de message n'a pas en pratique convaincu tellement de monde. Sinon, SCTP n'a pas d'avantage suffisamment écrasant sur TCP. Mais il est dans le noyau Linux depuis un certain temps, donc vous pouvez l'utiliser.
Victime du filtrage massif fait par les opérateurs, il a en effet du mal à passer partout. Aujourd'hui, il est en général employé sur UDP (RFC 6951).
Utilisateur de Flus 1 et abonné à ce service, j'ai testé Flus 2 mais, pour l'instant, j'ai arrêté. Il y a en effet deux manques sérieux qui font que je n'ai pas envie de passer du temps à le remplir avec mes sites favoris :
- pas de moteur de recherche (alors qu'il me faut absolument pouvoir retrouver « cet article super de Machin qui parlait de MPLS il y a à peu près un an »
- pas d'exportation des données, donc on est pour l'instant prisonnier du service.
# Aucun besoin de bricoler la liste des serveurs DNS de la racine
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche WireGuard, protocole de communication chiffré sur UDP et logiciel libre. Évalué à 8.
C'est inutile, Unbound (comme BIND et les autres) a tout ce qu'il faut (faites un strings sur /usr/bin/unbound si vous ne me croyez pas) et, de toute façon, utilise le "priming" (RFC 8109). Intervenir sur cette liste n'est utile que si on veut utiliser une racine alternative.
Même remarque ici.
[^] # Re: Une seule suite crypto ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche WireGuard, protocole de communication chiffré sur UDP et logiciel libre. Évalué à 6. Dernière modification le 22 août 2022 à 18:55.
Cette absence d'agilité cryptographique est en effet une sérieuse erreur de conception de Wireguard (voir le RFC 7696 pour une explication). Un bon exemple est l'arrivée des algorithmes post-quantiques. Comment Wireguard va-t-il gérer cela ?
[^] # Re: Je vois pas le rapport!
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 7.
Il faut lire l'article avant : l'authentification a deux facteurs n'impose pas de passer par Google, elle se fait avec TOTP, une norme ouverte (RFC 6238) et pour laquelle il existe plein de mises en œuvre en logiciel libre.
[^] # Re: Autre info
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au lien Le NIST a choisi ses algorithmes de cryptographie post-quantiques. Évalué à 5.
Ah non, je ne crois pas que cette analyse soit correcte. La confidentialité persistante protège contre un vol de la clé privée, mais, si l'attaquant a enregistré toute la session, et s'il a un calculateur quantique, il peut s'attaquer à l'algorithme d'établissement des clés (par exemple ECDHE) et donc trouver les clés de session et tout déchiffrer.
# Titre trompeur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 8.
La dépêche le dit mais le titre est trompeur : PyPi a 2FA depuis très longtemps. Il est déjà déployé, il s'agit juste de l'encourager.
--
Stéphane, développeur sur PyPi et ayant activé 2FA il y a des années :-)
# Oui, mais
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 6.
L'authentification à facteurs multiples protège bien contre les tiers, et c'est donc une bonne idée que d'encourager son déploiement mais elle ne protège pas contre un développeur malveillant ou négligent (par exemple parce qu'il accepte des patches sans les lire). Donc, c'est bien, mais ce n'est pas suffisant.
Il n'y a pas de solution simple au problème des développeurs malveillants. Il n'est évidemment pas question d'auditer/certifier les développeurs de logiciels libres (qui aurait la légitimité de le faire, et selon quels critères ?)
# Sécurité ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Meetup - découvrir l’initiative Quick Apps (Paris 2022/07/01). Évalué à 8.
Cela semble terriblement dangereux, des applications locales, vérifiées par personne, récupérées n'importe où, qui se lancent d'un clic et ont accès à toute la machine.
# CoAP
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Transmission de données de capteurs via internet. Évalué à 9.
Pouquoi n'avoir pas cité CoAP / RFC 7252, qui est justement conçu pour cela ?
# Verdure
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Challenge: Écrire la plus petite implémentation de /bin/true. Évalué à 3.
Ce code est aussi remarquablement écologique. Il serait difficile d'avoir une consommation énergétique plus faible.
# BIMI
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Sortie de Rspamd 3.2 le 26 mars 2022, avec support BIMI. Évalué à 10.
BIMI est en effet loin d'être prêt. Contrairement à ce que prétend le marketing, ce n'est pas une technique d'authentification, et il n'a rien à voir avec la lutte contre le hameçonnage. C'est juste un moyen pour les grosses boites de s'imposer encore plus dans notre espace visuel en faisant afficher leur logo par notre logiciel. Comme si on ne voyait pas assez les marques.
Après une première tentative ratée de faire passer BIMI à l'IETF, une seconde tentative est en cours https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/
[^] # Re: Gemini : un protocole read only ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Offpunk 1.0 : un navigateur déconnecté pour le smolnet. Évalué à 5.
Ou bien le très connu forum gemini://station.martinrue.com/. Il est donc parfaitement possible d'écrire avec Gemini (même si le but n'est effectivement pas de faire 100 % de ce que fait le Web, c'est même tout le contraire).
# Pourquoi Yet Another programme ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche « Supervision » SMTP & IMAP . Évalué à 5.
Des logiciels libres de supervision, il en existe des millions, et tous peuvent tester IMAP et SMTP (par exemple pour ceux qui ont l'API Nagios, il y a les monitoring plugins https://www.monitoring-plugins.org/doc/man/check_smtp.html et https://www.monitoring-plugins.org/doc/man/check_imap.html).
[^] # Re: Nombril
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au lien Il y aurait plus d'un trillion de bases de données SQLite en utilisation active. Évalué à 3.
Je pensais à tous les projets dont je m'occupais (persos ou pros) et qui avaient une base SQLite.
# Nombril
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au lien Il y aurait plus d'un trillion de bases de données SQLite en utilisation active. Évalué à 4.
Dont plusieurs chez moi :-)
# Liens cassés ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Le wiki d'Herminien, un wiki destiné aux novices pour un numérique respectueux et émancipateur. Évalué à 3.
Dans la rubrique « Les nouveautés du Wiki », les liens ne marchent pas. Je clique sur le titre ou la date mais rien ne se passe. Testé uniquement avec Firefox sur Debian.
# Normes DTN
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal Un réseau offline "delay-tolerant" avec NNCP. Évalué à 7.
Du côté des normes techniques, on peut regarder le travail DTN à l'IETF (et le protocole Licklider). RFC 4838 https://www.bortzmeyer.org/4838.html et suivants.
[^] # Re: Attention en citant
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal La Quadrature du Net fait-elle fausse route ?. Évalué à 6.
Non, c'est le problème de faire une citation en laissant entendre qu'elle vient de la Quadrature, ce qui n'est pas le cas.
# Attention en citant
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse au journal La Quadrature du Net fait-elle fausse route ?. Évalué à 10.
Comme prévu, la discussion porte beaucoup plus sur le vaccin et sur le passe sanitaire que sur la Quadrature du Net.
Je voudrais quand même insister sur le fait que les bouts de phrase cités dans le journal original ne sont pas de la Quadrature mais sont des extraits d'une discussion sur la liste publique gérée par la Quadrature, mais où tout le monde peut s'inscrire et dire des connneries. (C'est pour cela que j'ai marqué le journal comme non pertinent.)
[^] # Re: s/MQTT/AMQP/g
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Sortie d’Erlang/OTP 24. Évalué à 1.
Corrigé à tort puisque RabbitMQ parle les deux protocoles (et quelques autres).
[^] # Re: Inconvénients ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Le protocole QUIC désormais normalisé. Évalué à 6.
Le client QUIC n'est pas forcément au courant du changement d'adresse IP (qui peut se produire loin de lui, par exemple dans un routeur NAT). Et, justement, le principe du "Connection ID" de QUIC est qu'il sert à identifier une connexion (qui, en TCP, est identifiée par l'adresse IP), ce qui est bon pour les performances et la robustesse, mais mauvais pour la vie privée.
[^] # Re: Inconvénients ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Le protocole QUIC désormais normalisé. Évalué à 5.
J'ai détaillé cette analyse dans un article.
[^] # Re: Manque encore deux choses importantes
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Présentation de flusio, un média social pour organiser votre veille. Évalué à 5. Dernière modification le 12 juin 2021 à 18:29.
Et, surtout, le moteur de recherche ne devient important qu'une fois qu'on a rentré beaucoup de données (et qu'il est alors trop tard). L'argument « personne ne me l'a demandé » se comprend mieux dans ce contexte : personne n'a encore mis suffisamment de données depuis suffisamment longtemps pour avoir été coincé par l'absence de moteur de recherche.
Notons que PosqtgreSQL a un excellent moteur de recherche dans ses champs textuels, ce qui fait que le coût de développement est limité.
[^] # Re: Naïveté et ignorance sont les 2 mamelles du renoncement
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Quel lien entre souveraineté numérique et logiciel libre ?. Évalué à 3.
En effet, cette affirmation comme quoi Ethernet aurait démarré en France me parait très fumeuse. L'article de CPU cité n'en parle pas. Comme on dit sur Wikipédia, « référence nécessaire ».
[^] # Re: Et SCTP
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Le protocole QUIC désormais normalisé. Évalué à 4.
Le fait de gérer les frontières de message n'a pas en pratique convaincu tellement de monde. Sinon, SCTP n'a pas d'avantage suffisamment écrasant sur TCP. Mais il est dans le noyau Linux depuis un certain temps, donc vous pouvez l'utiliser.
Victime du filtrage massif fait par les opérateurs, il a en effet du mal à passer partout. Aujourd'hui, il est en général employé sur UDP (RFC 6951).
# Manque encore deux choses importantes
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . En réponse à la dépêche Présentation de flusio, un média social pour organiser votre veille. Évalué à 10.
Utilisateur de Flus 1 et abonné à ce service, j'ai testé Flus 2 mais, pour l'instant, j'ai arrêté. Il y a en effet deux manques sérieux qui font que je n'ai pas envie de passer du temps à le remplir avec mes sites favoris :
- pas de moteur de recherche (alors qu'il me faut absolument pouvoir retrouver « cet article super de Machin qui parlait de MPLS il y a à peu près un an »
- pas d'exportation des données, donc on est pour l'instant prisonnier du service.