claudex a écrit 14700 commentaires

il a du en réalité transférer le projet à un utilisateur

Là, je ne comprends pas. Sur Github, on peut créer des organisations composées de plusieurs personnes. Par exemple, il y a l'organisation Linuxfr.org qui gère le code du site.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Je comptais justement me faire un serveur de nom hébergé sur mes machines. Si tu peux attendre un mois (ou moins, ça dépend de mon temps libre et de ma motivation), je peux te fournir un esclave chez firstheberg, et plus tard, un esclave auto-hébergé chez edpnet en Belgique.

Ce n'est pas non plus une offre limitée à une personne.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Sur ma tablette, j'ai le choix entre Firefox qui charge les pages plus vite et des fonctionnalités comme le mode de lecture mais crash dès que le site est chargé (ars technica, phoronix) ou chrome.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Mais pourquoi vous ne couvrez jamais les changements de la pile audio ?

Parce qu'il n'y personne pour s'en occuper. Les contributeurs actuels ont déjà du mal à finir leur partie en général (d'où le retard de parution)

Et OUI je sais, je pourrais le faire moi même et ce serai avec plaisir mais j'ai une vie très occupée en ce moment et je n'ai pas le temps ni le talent de vous aider pour le moment

Comme tout le monde visiblement. Ce ne sera donc sans doute pas dans la prochaine dépêche.

Ah et une question qui me turlupine beaucoup, ou est passée Patrick_G ?? :'(

Grâce à tout l'argent accumulée avec les dépêches précédentes, il a pu prendre une retraite au soleil.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Ça ne me semble pas hyper compliqué pour avoir un truc de base utilisable. En fonction des mailing-list en CC, il y a moyen de tagger pas mal de truc, quelques regex permettent de sortir les annonces de RC et les pull request.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

La technique, c'est d'être abonné la lkml /o\

Sinon, j'ai un projet en tête pour indexer la lkml pour pouvoir extraire les mails intéressant et les tagguer automatiquement. Cela permettrait de retrouver facilement les pull request ou les annonces de version. Yakafokon.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Dégâts du bureau existant lors déménagement. Dégâts sur le bureau de l'employé (la femme de ménage dépose son aspirateur dessus et l'abîme, qui paye ?). Perte de flexibilité (tu veux faire déménager l'employé juste pendant un mois pour bosser avec une autre équipe). L'employeur peut aussi penser que ça distraira plus l'employer (et les autres) que ça ne lui apportera de bénéfice.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Je ne vois pas ce qui empêche de travailler debout dans un open-space…

Je ne crois pas que le fait de travailler debout mais le bureau adaptable qui pose problème. Déjà, il y a des openspaces où le bureau n'est pas attribué, c'est-à-dire que tu as un emplacement différent ou presque chaque jour. Alors, tu peux t'amuser le monter/démonter tous les soirs, mais je doute que tu y arrive (bon, pour la musculature, ça doit bien mieux aider que le tapis de marche). Et puis, même si tu as un bureau attribué, je ne serais pas étonné que beaucoup d'entreprise voient ça d'un mauvaise œil, voire l'interdise explicitement pour éviter toutes les complications que ça peut apporter.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Je veux choisir à qui je fais confiance.

Et pour la majorité des utilisateurs. On fait quoi ? Parce que pour eux, il en suffit d'une pour foutre la merde partout.

Ils n'ont pas besoin de changer l'enregistrement de .com et ton script n'y changera pas grand chose. Si ils ont la clé privée qui sert à certifier les sous-domaines de .com, alors ils peuvent très bien falsifier la résolution de google.com

Sans que ça ce voit, c'est bien plus dur, vu que dans la plupart des cas, tu auras plusieurs personnes impactées. D'ailleurs, ce n'est pas que la résolution de google.com, c'est aussi la clef publique.

Quid des portails captifs qui faussent la résolution de noms de domaine ?

Ils posent déjà problème avec le HTTPS (accentué par HSTS), l'utilisateur voit un gros warning quand il essaye de se connecté à ses sites préférés.

Des solutions comme TACKs, certificate transparency

Des trucs comme certificate transparency seraient bien, malheureusement les CA n'ont pas l'air de se bouger. Peut-être que si leur business se voit menacé par DANE, elles s'y mettront.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Sauf les USA contrôlent déjà pleins d'autorités de certification. Donc, ils peuvent déjà signer pour le monde entier. Là, on limite à ¾. C'est un progrès. Il ne reste plus qu'à avoir un script qui permet de vérifier que .com, le .be, le .br, le .ru et le .cn sont bien les mêmes et tu as beaucoup de chance que le contenu n'ait pas été modifié ☺.

Après, tu oublie un point important aussi. Cibler une machine en DNS est bien plus difficile qu'en HTTPS à cause des nombreux caches (bien sûr, si tu as la main sur l'infrastructure du FAI, c'est plus facile¹). Tu risque donc que le propriétaire de la clef modifiée s'en rende compte et donc d'être bien moins discret.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Je ne suis pas d'accord. Bien sûr, un gouvernement peut signer n'importe quoi pour son TLD mais, c'est limité à son TLD. Avec DANE, la Chine ne peut pas signer un certif pour google.com alors qu'elle le peut (et le fait) avec l'implémentation actuelle.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

À voir ces exemples, j'en déduis que le max-age n'est pas géré dynamiquement à l'approche de l'expiration du certificat

Tu peux tout à fait avoir un script qui calcul le temps restant avant l'expiration de ton certificat et qui met à jour ta conf en fonction. Ça ne ne semble pas compliquer à faire.

Bref ça nécessite d'anticiper un peu les changements d'autorité.

Ça c'est sûr que ça risque de poser des problèmes. Et le mode "report only" me semble bien penser pour tester en vrai sans tout casser.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Le serveur demanderai une renégociation avec le nouveau certificat après l'établissement avec l'ancien.

Justement, ce n'est pas comme ça que ça se passe. Pendant la période de transition, on contacte des serveurs avec l'un ou l'autre des certificats, mais pas les deux. On peut pas utiliser l'ancien.

l'épinglage devrait être un choix de client

Le client n'a pas suffisamment d'information pour pouvoir faire ça. Notamment, il ne connaît pas la fréquence du renouvellement des certificats.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Seulement en partie, parce que Verisign (gestionnaire du .com) ne peut pas signer un certif pour un .be avec DANE alors qu'il le peut avec le modèle actuelle de TLS.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

(Intel a plus peur d'ARM que d'AMD).

Attention, AMD a, pour l'instant, encore une avance sur les cartes graphiques, c'est ce qui leur fait gagner le marché des consoles (plutôt que d'avoir une solution non intégrée Intel et nVidia). Et là, pour les cartes graphiques libres, c'est un peu le désert en ce moment.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Oui, comme très souvent, ce sont les changements les moins radicaux qui réussissent le mieux.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

En fait, cela n'impacterait pas, dans la mesure où je parlai de révocation et non pas d'expiration.

Et donc, pendant la période de transition vers le nouveau certif, il y a un changement de certif sans révocation, avec ta technique, une alerte sera levé pour rien. (on ne révoque pas un certif dans la seconde du changement, et on change bien avant la date)

Par contre, avec la directive et l'en-tête PKP-RO, il peut demander, sans lever d'alerte, le moment précis pour lancer une attaque qui réussira.

S'il arrive à ajouter une entête ou voir le trafic qui part sur une URL donnée, c'est qu'il fait déjà du MitM qui fonctionne. Donc, je ne comprends toujours pas le problème.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

En même temps, le navigateur pourrait tout aussi bien épingler par défaut les certificats serveur et alerter l'utilisateur dans le cas où le certificat a changé et qu'il n'a pas été révoqué.

Ce ne serait pas user-friendly, la plupart des sites changes avant la date d'expiration du certificat. Et des sites à haut trafic ont des certificats différents en fonction de la ferme de serveur sur laquelle tu tappe. Au final, ça ferrait beaucoup de faux positif pour rien.

La directive includeSubDomains me semble être un brin doublon avec le champ SubjectAltName des certificats.

Je ne vois pas pourquoi. Typiquement, tu peux avoir un certificat wildcard mais cnd.example.com qui utilise un tout autre certificat.

Quant à la directive report-uri, elle me fait l'effet d'une une issue de secours mitoyenne de la porte équipée des derniers modèles de serrure tip-top inviolable qui doit toujours être fermée.

Je ne comprend pas non plus. Typiquement, c'est ce genre de mécanisme qui a permis de détecter les dernière usurpations de Google. En plus, pour du debug c'est très bien.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Merci pour le lien. Je constate du coup que j'ai des mails de seenthis dans les spam.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

PS: c'est quoi un PR ?

Pull Request dans la terminologie git.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

n Suisse nous avons une loi identique qui est mise en place et le peuple ne sera pas consulté

La question, c'est surtout de savoir si cela changerait quelque chose au résultat. Si ce n'est pas le cas, c'est bien que la démocratie représentative fait bien son boulot.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Parce que tu crois qu'avec la démocratie directe ça aurait changer quelque chose ?

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Ça fait un moment que je réfléchis à mettre mon /etc sous Git. Je pense que c'est une bonne idée, mais quelqu'un a-t-il déjà tenté et peut-il témoigner ?

Je te conseille etckeeper qui, en plus de mettre ton /etc sous git, va s'occuper des permissions de fichier (qui ne sont pas conservés avec git). Par contre, il faut faire attention à ne pas pousser le dépôt n'importe où, il contient des données sensibles (mots de passe, clef privée RSA…).

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Tu ne peux pas, tu aurais même ton propre AS, tu ne pourrais garantir que tes IX ou transits ne seraient pas sniffés.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Il suffit d'adopter ma technique, je fais man ln, puis ln /o\

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche