Stéphane Bortzmeyer a écrit 655 commentaires

Mailoji est une pure escroquerie car les adresses de courrier achetées par les pigeons ne marchent que dans un environnement fermé et contrôlé par le vendeur. En effet, ces noms avec des émojis sont techniquement illégaux (il vont donc être refusés par plusieurs logiciels) et, quoiqu'il existe des normes pour cela depuis des années, très peu de serveurs de courrier acceptent les adresses de courrier en Unicode.

Bref, autant acheter des NFT, au moins il y a « blockchain » dedans.

« sans reverser une seule ligne de code upstream » Rappelons quand même qu'il y a plein de façons de contribuer au logiciel libre ; envoyer du code, bien sûr, mais aussi envoyer du fric, écrire de la documentation, faire des bons rapports de bogue, embrasser des chatons, etc.

(À ma connaissance, AWS est très mal placée sur tous ces points.)

les terminaux pèsent très lourds dans cette aventure comparée aux serveurs.

Source ? C'est justement un des gros problème des discussions « informatique et climat ». On a peu de données fiables sur lesquelles s'appuyer. (Au moins pour les ordiphones, je pense que leur consommation est pas mal optimisée car la durée de fonctionnement entre deux recharges est un critère important.)

Le prochain million était sans doute le next Billion dans la version originale, sinon ce n'était pas très ambitieux…

L'un des buts importants de Gemini est la simplicité, notamment pour permettre le développement de clients légers. Donc, non, pas de passage par HTML, qui irait directement contre ce but. Le format étant très simple, il n'y a pas non plus besoin de partager le moteur de rendu (sur le Web, il n'y a quasiment plus que deux moteurs de rendu, depuis que Microsoft a renoncé au sien, ce qui aggrave la concentration).

Pour Lagrange, l'analyseur et moteur de rendu est dans src/gmdocument.c. 1147 lignes de C dont beaucoup triviales.

Lagrange gère bien les autres protocoles… en envoyant l'URL au navigateur Web (ce qui est certainement le choix le plus raisonnable).

Ah, ce journal m'a touché car c'est pareil ici, je n'installe plus de trucs rigolos, je ne configure plus tout en détail et je ne recompile pas mes propres noyaux.

Par contre, mon courrier est toujours auto-hébergé. À part quelques universités et quelques libristes qui configurent n'importe comment leur Postfix, la grande majorité des serveurs de messagerie de la planète acceptent mes messages (même Outlook.com !) Il est vrai que je n'héberge pas de listes de diffusion, ça aide.

Et je connais l'équivalent de 'tail -f /var/log/messages' : 'journactl -n -f' :-)

Question autres projets, je travaille sur Gemini https://linuxfr.org/tags/gemini/public

Beaucoup de listes noires sont privées et ne peuvent pas être interrogées de l'extérieur.

Un outil que j'aime bien, ce sont les auto-répondeurs, pour vérifier à quoi ses messages ressemblent, vus de l'extérieur. https://www.bortzmeyer.org/repondeurs-courrier-test.html

Et vous avez réussi à installer GNUnet et à le faire fonctionner ? (Pas moi.)

« pendant 10 ans » Non, pas de mon expérience. Par exemple, pour un serveur Internet, n'avoir que les vieilles versions de TLS n'est pas acceptable, les clients, notamment les navigateurs ne les acceptant plus. Et c'est pourtant ce qui arrive si on reste sur de vieilles RHEL.

Oui, normalement, en HTTPS, la demande d'un certificat client est faite par TLS, pas par HTTP. (Message CertificateRequest, RFC 8446, section 4.3.2.)

CT a des défauts (par exemple il facilite le renseignement économique, en surveillant les certificats des concurrents) mais, si, il résoud un problème : avant, n'importe quelle AC pouvait émettre un certificat pour n'importe qui. Maintenant, elle peut toujours mais ça se voit.

Et ce n'est pas que Google, un RFC a été publié https://www.bortzmeyer.org/6962.html et la version normalisée est en cours https://datatracker.ietf.org/doc/draft-ietf-trans-rfc6962-bis/ les objections étant surtout du détail https://datatracker.ietf.org/doc/draft-ietf-trans-rfc6962-bis/ballot/

Oui, le but, c'est de distribuer de l'information. (Comme le Web à l'origine.) Par exemple une encyclopédie en ligne, une documentation, des textes politiques ou littéraires.

C'est en effet l'un des gros problèmes du TOFU, le remplacement de clé.

Non, Gemini ne recommande pas cela (tout le monde peut vérifier que le site de référence a un certificat Let's Encrypt), c'est juste l'opinion de DeVault.

Tout a un impact énergétique et déplacer les messages vers encore un autre espace de stockage n'est certainement pas gratuit énergétiquement non plus.

Problème connu (XMPP l'a expérimenté) : les spams dans les invitations.

Cela ne respecte pas le cahier des charges, qui est de permettre à un inconnu de vous écrire (sinon, la solution au problème du spam est trop facile).

Si quelqu'un sait comment faire un système de messagerie électronique simple pour un réseau mondial, sans chef, et qui permette à toute Alice de parler à tout Bob, les propositions sont les bienvenues :-)

Plus sérieusement, les gens font des sites Web alors que c'est certainement bien plus complexe que de gérer un serveur de courrier.

Le Tao est aussi une bonne lecture https://www.ietf.org/about/participate/tao/

On peut aussi préciser qu'OpenPGP est une norme ouverte, spécifiée dans le RFC 4880.

Oui, mais cette idée d'une « carte d'identité numérique pour toute la population » étant mauvaise (et je rappelle que la carte d'identité n'est pas obligatoire en France), qu'elle ne soit pas réalisée ne me gêne pas.

C'est un témoignage concernant un des fournisseurs d'identité qui peut utiliser FranceConnect (personnellement, j'ai utilisé Ameli et les impôts). Le principe de FranceConnect étant de séparer le service d'authentification du fournisseur d'identité, il me semble qu'un problème chez un des fournisseurs d'identité ne remet pas en cause FranceConnect.

La remarque sur FranceConnect est curieuse. En quoi a-t-il « échoué » ? Je trouve que c'est une bonne idée, bien mise en œuvre, et qui semble largement utilisée.

Ce n'est pas correct de mentionner uniquement FreeOTP. Il s'appuie sur des normes ouvertes (comme TOTP) donc si ça marche avec FreeOTP, ça marchera avec n'importe lequel des très nombreux logiciels qui font du TOTP. FreeOTP n'est qu'un logiciel, pas un protocole.

(Et TOTP n'utilise pas de clé publique, contrairement à ce qui est écrit.)