Stéphane Bortzmeyer a écrit 645 commentaires

« si ca marche, je pinge le 8.8.8.8 » Et si Google vient de décider d'arrêter de répondre aux requêtes ICMP echo, ou bien de limiter le taux de réponse ?

Un test général de connectivité doit se faire vers une machine qu'on contrôle, ou bien vers une machine explicitement prévue pour cela (donc pas Google Public DNS).

Pascal Courtois avait également programmé en C le serveur HTTP du CNAM, à l'époque où il n'y avait que deux ou trois serveurs HTTP publics en France (1993), et où aucun logiciel publié n'avait les performances nécessaires (aujourd'hui, c'est banal, des serveurs HTTP qui servent des milliers de requêtes par seconde, mais à l'époque c'était tout nouveau et Pascal avait contribué à défricher ce domaine, et il avait passé beaucoup de temps à régler la machine Ultrix, puis OSF/1). Cf. le livre de Valérie Schafer, « En construction ».

ISO 8601, comme toutes les normes ISO, permet de tas de variantes et vous seriez bien embêté·e·s s'il fallait écrire du code pour gérer toutes les possibilités d'ISO 8601. Notamment, contrairement à une légende répandue, ISO 8601 ne garantit pas que le tri alphabétique soit également un tri chronologique.(Si quelqu'un ici a déjà lu la norme ISO 8601, qu'ielle lève la main.)

La bonne solution pour les dates est celle du RFC 3339.

Oui, enfin, il y a UNE virgule qui n'a pas d'espace après. Je suis impressionné par le niveau de rigueur typographique de certain·e·s mais, franchement, est-ce que cela gêne la lecture ?

Juste la flemme intellectuelle de ma part :-)

Ah, le premier vote est négatif. Un·e ami·e des GAFA qui ne veut pas les voir souffrir ? Ou bien un·e programmeu·r·se qui a essayé de mettre en œuvre ActivityPub et l'a trouvé trop compliqué ?

Ce qui prouve que Python n'utilise pas la catégorie Unicode Lettre puisque ce caractère, U+1F464 BUST IN SILHOUETTE, a la catégorie Symbole, comme tous les émojis. (Mauvaise idée de Python, à mon avis.)

La date du 21 janvier ne semble plus d'actualité, la négociation se passant mal. Donc, tout cela est repoussé mais pas annulé, donc la lutte contre cette directive continue.

L'épinglage de clé publique ? Ya encore des gens qui utilisent ça ? C'est très casse-gueule, surtout avec Let's Encrypt.

Quant à TLS+HSTS, oui, les navigateurs vérifient mais les apps et autres logiciels ne le font pas forcément.

J'avais oublié quelques trucs intéressants. D'abord, beaucoup de registres de noms de domaine ont une solution nommée « verrouillage » (ou « lock » en anglais) qui permet d'empêcher toute modification d'un domaine (l'éventuel déverrouillage nécessitant une opération manuelle, avec vérification). Cela coûte de l'argent, mais cela aurait sans doute protégé linux.org.

Ensuite, l'AFNIC aussi a une documentation sur la sécurité de vos noms de domaine.

Référence ?

On n'est pas forcé de croire l'ICANN au pied de la lettre : depuis des années, des serveurs whois sont conformes (le RGPD ne date pas d'aujourd'hui) https://twitter.com/Gnppn/status/986187291566764032

Si le port 853 n'est pas bloqué. L'avantage de HTTPS, c'est qu'il passe partout.

Je trouve dommage que, jusqu'à présent, tous les commentaires portent sur le djandeur et sur la grammaire. LinuxFr n'est pas l'Académie Française, normalement, on connait le C mieux que le français. Donc, siouplè, merci de commenter aussi sur le fond, sur les MMORPG, sur le graphisme, sur le financement, et sur comment gérer sa Kimsufi.

Les ICMP "packet too big" existent aussi en IPv4. Si un administrateur réseaux incompétent les bloque, c'est tout aussi bête qu'en IPv6. Franchement, je ne vois pas l'intérêt de ces règles ultra-compliquées.

Tiens, justement, le clown ridicule qui publie ces drafts (pas ses meilleurs : le meilleur était celui où il concevait un réseau de satellites connectés par des fibres optiques) vient de faire une nouvelle version, la -11 :-}

Cette fois, il a ajouté une section DNS :-(

Ben, d'abord, la plupart des utilisat·eur·rice·s ne comprennent pas IPv4, et cela ne les empêche pas de dormir. Donc, qu'ielles ne comprennent pas IPv6 n'est pas trop grave.

Ensuite, pour ce·ux·lles qui ont besoin de comprendre (administrat·eur·rice réseaux, par exemple) IPv6 n'est pas un autre protocole, c'est une nouvelle version du même protocole, donc ça s'apprend comme IPv4, les concepts de base sont les mêmes (datagrammes, adresses, préfixes, routage, (in-)sécurité, etc).

L'autoconfiguration fondée sur l'adresse MAC est officiellement fortement déconseillée depuis 2012 http://www.bortzmeyer.org/6724.html mais, en pratique, Ubuntu, Windows et quelques autres ne l'utilisait déjà plus par défaut.

Pour les pare-feux, comme indiqué plus haut, c'est comme en IPv4.

Et pour l'histoire de vie privée, c'est 99 % de FUD http://www.bortzmeyer.org/7721.html

Au passage, au FOSDEM, ce week-end, le Wifi est en IPv6 seul par défaut. Avec NAT64. Et ça juste marche. Quand les gens bossent, au lieu de chouiner et de faire des réunions, IPv6 est simple. Juste fais le.

    % iwconfig wlp2s0
    wlp2s0    IEEE 802.11abgn  ESSID:"FOSDEM"  
              Mode:Managed  Frequency:5.24 GHz  Access Point: 64:D9:89:90:2E:2C   
              Bit Rate=300 Mb/s   Tx-Power=22 dBm   
              Retry short limit:7   RTS thr:off   Fragment thr:off
              Power Management:on
              Link Quality=27/70  Signal level=-83 dBm  
              Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
              Tx excessive retries:0  Invalid misc:4   Missed beacon:0

    % ip addr show wlp2s0
    3: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc mq state UP group default qlen 1000
        link/ether b8:08:cf:18:6f:48 brd ff:ff:ff:ff:ff:ff
        inet6 2001:67c:1810:f051:5da8:d941:e88b:c1f4/64 scope global temporary dynamic 
           valid_lft 604636sec preferred_lft 85636sec
        inet6 2001:67c:1810:f051:6196:815a:49b3:d495/64 scope global mngtmpaddr noprefixroute 
           valid_lft forever preferred_lft forever
        inet6 fe80::d22:3668:c059:8007/64 scope link 
           valid_lft forever preferred_lft forever

C'est marrant qu'on ne se préoccupe de sécurité que quand il faut trouver une excuse pour ne pas déployer IPv6. Normalement, le réseau local de M. Michu est plein de machines Windows vérolées et de caméras membres de Mirai et tout à coup, on dit « ah non, pas IPv6, ça permettrait de pirater M. Michu »

Scanner ? En IPv6 ? Bon courage http://www.bortzmeyer.org/7707.html

Bouygues Telecom (je suis client) a IPv6 sur le réseau mobile et ça juste marche (je peux pinguer mon téléphone depuis mon PC, trop bien).

Je suis chez Bouygues Telecom et ça marche très bien en IPv6 (il faut changer manuellement l'APN, ce n'est pas par défaut).

Ce qui est un peu dommage, je trouve c'est que leur "dns-over-https" n'est pas du DNS/HTTPS. Ce n'est pas vraiment le protocole DNS, mais le contenu des champs des messages DNS encodés en JSON

Le groupe de travail DoH de l'IETF travaille justement à normaliser un DNS sur HTTPS utilisant le « wire format », c'est-à-dire l'encodage habituel du DNS (et pas JSON). Un premier prototype a été produit au hackathon à l'IETF 100 à Singapour la semaine dernière.

Un truc que je trouve assez dommage c'est que Stubby tourne forcément en root pour le moment.

Nuançons : il peut parfaitement tourner sous un compte utilisateur ordinaire (c'est ce qui est proposé dans la dépêche, et décrit au début). Le problème est si on veut écouter sur le port 53.

Dans ce cas, c'est une très bonne chose que DNS-LG ne le gère pas (c'est très dangereux pour la vie privée).

J'avoue ne pas comprendre « supporte l'utilisation de subnet client arbitraire ».