L'IETF avait créé en 2004 un groupe de travail nommé MARID, qui avait pour tâche de normaliser un mécanisme d'authentification faible du courrier électronique par le biais de la publication dans le DNS des serveurs autorisés à envoyer du courrier pour un domaine. Deux propositions étaient sur la table, SPF et Sender ID. Microsoft avait pratiqué une intense obstruction contre SPF, pour promouvoir sa propre solution, Sender ID. Six ans après est publié le RFC 6686 qui conclut enfin officiellement (…)

Ce RFC met officiellement fin à une amusante tradition, qui était un des charmes des protocoles TCP/IP mais qui, en pratique, a causé quelques ennuis, justifiant son abandon. Cette tradition concernait le nommage des paramètres dans les protocoles. Normalement, ces noms étaient enregistrés à l'IANA pour éviter des collisions (par exemple, il ne doit y avoir qu'un seul champ nommé User-Agent: dans une requête HTTP). Comme cet enregistrement nécessitait une procédure, parfois lente et lourde, cela contrariait les gens qui (…)

On a souvent cité, dans les milieux libristes, l'exemple de la ville de Munich (Allemagne) qui a migré (au cours d'un très long feuilleton marqué par pas mal de faux départs et d'hésitations) l'ensemble de son parc bureautique depuis Windows vers Linux. Je trouve même que cet exemple était légèrement agaçant car c'était souvent le seul cité.

Selon un article (et attention, je n'ai pas d'autres sources, je ne connais pas le CTO de la ville de Munich), la ville (…)

Le protocole WebFinger, qui permet de récupérer des informations sur une entité (personne, service, organisation, etc), vient d'être normalisé, dans le RFC 7033.

Il s'agit en fait d'une deuxième version de WebFinger. La première, qui ne semble pas avoir été tellement déployée, utilisait comme clé d'accès à l'information une adresse de courrier électronique, et distribuait l'information en XML (le XRD). La nouvelle version prend comme clé d'accès un URI et rend du JSON (le JRD).

Le déploiement de WebFinger serait (…)

Tiens, il semble qu'il y ait très peu de contenu sur LinuxFr à propos des serveurs DNS « alternatifs » (c'est-à-dire pas BIND que tant d'admin' paresseux utilisent sans avoir évalué les autres possibilités) ? Rien sur NSD et rien sur Knot ? Attaquons-nous à ce manque. D'abord, Knot. C'est un serveur en logiciel libre (évidemment) qui tourne entre autre sur Linux (évidemment) et assure les fonctions de serveur faisant autorité. Question rapidité, il se compare avec NSD (et est donc beaucoup plus rapide (…)

L'architecture ouverte RISC-V rejoint désormais la liste des architectures officiellement gérées par Debian. Ne vous précipitez pas, toutefois, il faut maintenant importer tous les paquetages (dpkg est déjà arrivé), bâtir les images d'installation, etc, ça va prendre un peu de temps.

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (…)

Un débat (assez récurrent) agite en ce moment le monde de la sécurité informatique à propos de deux choses, les CVE et les CVSS. Commençons par expliquer. Un CVE (« Common Vulnerabilities and Exposures ») est juste un identificateur (par exemple, CVE-2022-4269 désigne une faille de sécurité du noyau Linux permettant à un utilisateur de planter le système). Ce sont juste des identificateurs. Ils permettent de référencer une faille de manière non ambigue et facilitent donc la communication. (« As-tu (…)

Voici la suite du journal « Création du groupe de travail IETF sur DNS et vie privée ». Le RFC 7626, « DNS Privacy Considerations » est désormais publié. Il décrit le problème. J'espère qu'il est lisible par des gens qui ne sont pas les top-experts du DNS.

Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).

• Le texte officiel du RFC 7626
• Une version un peu plus jolie

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (…)

Aujourd'hui, des millions d'utilisateurs innocents sous-traitent leur présence en ligne à des gros industriels du cloud comme Google ou Facebook. Cela, au détriment de leur vie privée et au prix d'une complète perte de contrôle de leurs propres données. L'alternative libre est évidemment l'auto-hébergement, avoir un jeu d'applications (libres) qui mettent en œuvre cette présence en ligne, sur une machine (Linux, évidemment) qu'on contrôle.

Mais tout le monde n'a pas forcément la compétence, ou tout simplement le temps ou l'envie, (…)

L'IETF (l'organisme qui fait les normes techniques de l'Internet) vient de créer le groupe de travail DPRIVE (« DNS private exchange »), consacré au travail sur l'amélioration de la vie privée pour les utilisateurs du DNS (eh oui, chaque fois que vous vous connectez sur http://www.siteporno.fr/, des tas de gens sont au courant, pas uniquement la NSA et votre FAI).

La charte du groupe de travail, avec les échéances, est en ligne.

Le groupe n'a pas encore de documents mais (…)