Joris Dedieu a écrit 1610 commentaires

Je prend l'exemple de la ré-introduction des ours ou des loups

Mauvais exemple.
Je parlerai de l'ours dans les Pyrénées qui est un sujet que je connais un peu.
Le problème est que la réintroduction a été présenté dans le cadre du sauvetage de l'activité en montagne.
D'un côté tu as des mines, des usines de papier qui ferment, une agriculture trop rude pour trouver sa rentabilité aujourd'hui. Dépopulation, fermeture des écoles, poste, commerces, avec finalement des stations de ski (et encore, les plus petites ont du mal) et des résidences secondaires. D'un autre côté tu as un ministre, secrétaire d'État, whatelse qui vient expliquer que l'ours c'est l'avenir.

Ça fait un peu penser au coup du pain et de la brioche. En tout cas, c'est comme ça que ça a été vécu. Vous voulez des gens et de l'activité. Vous aurez des ours …

Elle dans la liste noire apparemment ;)

Dans la même veine, je vote pour l'ajout de Marie-Fraçoise MARAIS

Je trouve que la manière dont Firefox gère le truc est beaucoup trop technique et cryptique

Elle est surtout de ce que j'en comprends erronée par rapport au principe même de x509. En x509 les utilisateurs doivent gérer des autorités et non des certificats.

Il est encore plus dangereux de faire croire aux gens que chiffrement = sécurité (en tous cas avec les méthodes de chiffrement actuelles et les gouvernements qui vont avec).

Pas seulement.
- Le chiffrement ne résout pas le problème du leak d'information crossdomain
- Ni les problèmes viraux du client
- Ni les problèmes de prédictibilité et de répétition des mots de passes
- Ni les problèmes de confidentialité
- …

Bref le chiffrement n'apporte de la sécurité que face aux oreilles non autorisés à condition que le CA n'est pas divulgué sa clé à quelques officines contre de juteux marchés. Personnellement, je me sens plus en sécurité grâce à noscript, qu'a Symantec.

Bref, je milite pour du http en read-only ! Moi, je veux consulter google en http et que cet enfoiré ne compile pas tout cela dans mon compte gmail;-)

Quitte a dénoncer un faux problème, autant parler du vrai que tu évoques ici. Le vrai problème d'HTTP est sémantique (et non HTTP/2.0 ne le règlera pas. Son objet est justement de préserver la sémantique en modifiant le transport). Dans la mesure ou il n'y a aucun moyen de savoir si une requête est susceptible de provoquer des effets de bord, il n'existe aucun moyen de connaitre la pertinence de l'envoie d'informations (notamment des cookies), d’où l'application de filtres qu'il faut paramétrer au cas par cas manuellement (adblock, noscript et autres) ou encore des entêtes qui sous forme de prières demandent aux méchants de ne pas l'être.

Par exemple sur la version sécurisé du site du CIC (https://www.cic.fr/fr/), on voit que deux cookies sont positionnés par xiti et envoyés pour le téléchargement d'un gif transparent. A partir de là quelle confiance puis-je avoir en cette page qui est pourtant certifiée avec validation étendue et dans laquelle, si j'étais client du CIC, j'aurais à saisir mes identifiants.

Cependant prendre connaissance de tous les combinaisons possibles concernant les algos de chiffrement et les protocoles d'échanges de clés est un travail horriblement long et fastidieux.

C'est pour cela que openssl propose les macros HIGHT, MEDIUM et LOW. HIGH:!aNULL:!MD5:!LOW que j'utilise actuellement permet d'obtenir un résultat satisfaisant (note de A au test ssllabs en ne dropant que les IE6/XP) sans avoir a se palucher chaque algo (ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK par exemple)

A noter que haproxy te permet d'afficher une page d'erreur explicite pour mitiger POODLE par exemple ce qui peut être bien pratique.

  acl sslv3 ssl_fc_protocol SSLv3
  use_backend bk_sslv3 if sslv3

backend bk_sslv3
  mode http
  errorfile 503 /etc/haproxy/pages/sslv3.http

usb>ethernet est fournis, il est sinon possible d'en acheter

Si c'est pas malheureux ! Quand je penses aux galères qu'on a eu avec les modems USB et combien on était heureux de tout passer en ethernet …

Je pense que tu fais fausse route.

D’abord parce que les gens n'utilisent plus de clients mails. Ensuite car le problème n'est pas tant de signer ou chiffrer des mails, ce qui est relativement facile à implémenter de façon transparente. Mais bien de gérer un trousseau de clé et plus généralement de certificats.

Ce problème est plus générique que simplement celui des mails, il rejoint par exemple celui des autorités de certifications dans les navigateurs ou là ou on devrait gérer des autorités on gère des certificats sans autorité.

La question est donc comment distribuer de façon sécurisé des preuves d'identité cryptographiques.

A cela il existe plusieurs réponses, dont aucune jusqu'à présent n'a été satisfaisante dans son implémentation et son usage.

Toutefois les choses avancent notamment avec DNSSEC et DANE. Les cartes d'identités électroniques comportant une clé de chiffrement comme en Belgique pourraient également jouer paradoxalement un rôle très positif.

Toujours est-il que pour en revenir a un client mail, il faut :

• avoir une procédure pour générer, récupérer et distribuer des clés
• avoir une procédure pour stocker et sauvegarder la clé publique de façon sécurisé.

Et je ferai encore une fois de même, parce que comme je le disais, contrairement à toi qui a besoin de pisser dans le sens du vent pour ne pas recevoir les gouttes argumentatives de tes voisins, je m'en fous, je défends mes opinions et suis prêt à en changer si je devais me tromper.

Et tu te trompes lourdement. Le problème de ton discours c'est que :

• tu présupposes que tes contradicteurs pissent dans le sens du vent. Pourquoi viens tu nous parler de Sarkozy ou du PS ? Et cet extrait de Jospin ? Il est sensé montrer quoi ?

• tu confonds la rethorique et les faits. Un discours socialisant et anticapitaliste n'ont jamais fait du parti nazi un parti de gauche. Il s'agissait d'un mouvement nationaliste et revanchard et anticommuniste soutenu par l'industrie allemande. Le soutien qu'ils ont apporté à Franco est un exemple éloquent s'il en fut de leur affiliation d'extrême droite.

• tu decontextualises. L'extrait de Jospin ou celui de l'humanité en sont de bons exemple. Cet article fait référence a l'internationalisme qui est une valeur de gauche. La fraternité ouvrière pas la collaboration.

Les effets rethoriques ne remplacent pas les faits. Et les faits sont têtus. Le FN est une émanation du groupuscule d'extrême droite ordre nouveau. Ouvertement raciste et antidémocratique. Il a rallié d'autres groupes de divers horizons tels qu'occident et son enfant chéri le gud ouvertement néonazi. Sans parler des ultras de tout poils royalistes, chrétiens fondamentalistes et autres nostalgiques des guerres coloniales. Si tu regardes comme je te l'ai deja suggéré le CV de certains de ses cadres et candidats tu verras qu'ils sont toujours au premier plan de ce mouvement abject. Et ça ce n'est pas de la rethorique mais un fait.

C'est bien beau de supputer sur les horreurs que pourrait faire le FN dans les fantasmes de la gauche

Qui parle de fantasmes ? Ce n'est pas parce que le discours politique est plus policé que le FN n'est plus un parti d’extrême droite.

3 secondes de recherche dans n'importe quel moteur te permettra de te rendre compte que beaucoup de cadres du FN ne sont pas simplement des gens exaspérés par la politique et par la soit distante immigration, mais de vrais militant d’extrême droite, racistes, violents et antidémocrates.

L’extrême droite a déjà mené l'Europe à la guerre et au génocide. Pourquoi aurait-on la moindre raison de penser qu'elle ne recommencerai pas ?

On a intégré les changements dans Master que ce week-end donc idéalement il faudrait que tu vérifies que tu es bien à jour sur les deux dépôts :)

Je suis en 328ade2f0a77026d0bde2388574a6f1c2ec7cfa0 sur xo-web et en 34e8f57f7d8785b67d53eac38b5bd296cf7b35c2 sur xo-server

Et forcément il y a un petit décalage avec la doc, je suis justement dessus pour la mettre à jour.

j'imagine bien :)

Ça tombe bien cette news, j'avais commencé à tester la version précédente, il y a quelques jours. Il ne semble qu'il n'y ait pas grand monde qui travaille dans ce sens sur xapi donc merci et bravo. L'interface est simple, fonctionnelle, on en attend pas plus.

Par contre les ACL chez moi n'ont pas du tout la gueule de ce qui est présenté dans la vidéo. J'ai deux zones de saisies vides affichant {{$select:placeholder}} ce qui ne me semble pas très explicite. De plus, il s'emble que la possibilité de créer des utilisateurs readOnly ait disparue. Peut-on gérer cela avec les ACL ?

Enfin il semble que la doc d'installation de xo-web ne soit plus à jour. D'après ce que j'ai compris, il faut faire un npm run build à la place du ./gulp --production

XFCE fait malheureusement partie de ces environnements qu'on ne verra surement plus après la généralisation de wayland , au même titre qu'OpenBox , Mate , ainsi que tout les environnements basés sur d'anciennes technologies !

Ah bon ? Il me semble que si le portage vers wayland n'est pas une priorité, il n'est pas exclu pour autant.

En parlant de services, le travail d’intégration fourni sous RHEL/Centos 7 pour la commande service est excellent et permet d'effectuer la transition en douceur.

service httpd start invoquera systemctl start httpd.service
service network start invoquera /etc/init.d/network start

En fait ce que tu dis là, c'est que quitte à avoir un coffre fort, autant qu'il soit à la banque.

Ce n'est pas faux mais cette solution a le mérite d'exister et d'être simple. Tu peux toujours utiliser tarsnap pour effectuer un backup sécurisé en ligne.

Tarsnap est un service en ligne chiffré utilisant amazon S3. Si j'en parle ici (sans faire de pub) c'est qu'il est développé par Colin Percival qui est loin d'être une tanche en cryptographie. De plus vu les prix en picodollars et la FAQ qui explique que 1GB == 10⁹ et non 2³⁰ octets, ça me semble adapté au public de ce site :)

La question est : est-ce Emacs qui va absorber systemd, ou systemd qui va absorber Emacs ?

Je ne savais pas qu'Emacs interprétait le forth

Avec les mpm itk, peruser ou autre d'apache

Si tu aimes vivre dangereusement c'est une solution mais on est loin de ce qui est fait pour solaris avec mod_privileges. D'ailleurs mod_privileges est upstreams contrairement à mpm_itk. Je t'invite à lire la section "Quirks and warnings" de http://mpm-itk.sesse.net/

Ce que tu peux faire aisément si tu sais comment configurer mod_dav et apache.

A oui comment ?

c'est l'utilisateur et le groupe sous lesquels Apache s'exécute et définis par les directives User et Group qui doivent avoir les droits en écriture sur ces fichiers et répertoires.

Autrement dit l'UID des fichiers est celle d'Apache point (on doit pouvoir ruser sous Solaris avec mod_privileges). Impossible d'avoir une UID différente par login sans faire une instance d'Apache par login ou d'utiliser un script cgi / fcgi avec suexec pour gérer directement les requêtes DAV hors d'Apache. Et je ne parle même pas d'appliquer des quotas …

Arrête donc de dire n'importe quoi.
FTP a une liste de problèmes de sécurité inhérent au design du protocole aussi longue et ennuyeuse que le JT de Jean Pierre Pernaud.

Le fait que le FTP soit un protocole pourris ne signifie en aucun cas que Apache est immunisé contre les DOS. Son modèle un thread / process par client s'y prête même particulièrement bien (et dans le cas de mod_dav, on pourra également parler de l'absence de quota, de la conso mémoire, des récursions "DavDepthInfinity on" …)

Pour remplacer FTP proprement WebDAV n'est pas une mauvaise idée. Par contre la mise en œuvre est bien plus complexe que simplement coller un mod_dav dans Apache si tu veux des fonctionnalités équivalentes.

ProFTPD à également de très régulières failles de sécurité et non des moindres. Pour moi une dizaine de failles importantes en 5 ans, dont 3 vraiment critique (genre exécution arbitraire de commande), le relègue au rang des logiciels impossibles à maintenir correctement en production avec named et quelques autres

Pureftpd est en tout cas globalement mieux foutu que proftpd en ce qui concerne la sécurité. Notamment parce qu'il utilise la séparation des privilèges.

Il s'agit toutefois d'un projet très peu actif.

WebDav se déploie simplement avec Apache

Sauf si tu veux que chaque utilisateur soit propriétaire de ses fichiers. Tu sais un truc comme gérer différentes UID

il y a une plétoire de client disponibles sur tous les OS

C'est également le cas pour le SFTP

Pas de problème de sécu lié au DDOS

Avec Apache ? mmmm …

Une question que je me pose, je veux que les utilisateurs toto et titi aient accès au serveur sftp mais n'est pas /bin/bash comme shell sur la machine A mais qu'ils aient /bin/bash sur les autres machines B C D… Sachant que toto et titi sont dans un annuaire LDAP. Par contre, l'utilisateur tutu garde son SHELL /bin/bash partout.

Tu fais un groupe sftpona dans lequel tu met toto et titi. Puis sur A un MatchGroup dans ton sshd_config.

Tu peux peut être utiliser un préprocesseur.

Il vaut peut-être mieux utiliser une macro m4 pour ne pas à avoir à gérer les "invalid preprocessing directive" à chaque # en début de ligne.

include(`depend_check')

Je n'ai pas vraiment d'avis sur ce qu'il faut penser de l'ampleur de la couverture médiatique.

Je peux te dire par contre qu'en 2001 lors de l'explosion d'AZF, en tant que Toulousain (expatrié alors mais touché via ma famille, mes amis …) j'avais été assez choqué par le décalage entre ce que les gens vivaient sur place et la couverture médiatique. Je l'ai trouvé trop peu importante, superficielle, sans esprit critique, sans investigation, sans niaque, sans âme.

Je ne sais absolument pas si cette impression était légitime. Mais je crois que le fait de dire à un moment donné, face à un drame : on arrête tout et on en parle autant qu'il faut, n'est pas forcément une mauvaise chose. Même si je comprend tout à fait que ça devienne gonflant pour certains.

Intel(R) Xeon(R) CPU E5405 @ 2.00GHz

openssl speed aes
Doing aes-128 cbc for 3s on 16 size blocks: 11065475 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 64 size blocks: 3021476 aes-128 cbc's in 3.02s
Doing aes-128 cbc for 3s on 256 size blocks: 773258 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 1024 size blocks: 411839 aes-128 cbc's in 3.04s
Doing aes-128 cbc for 3s on 8192 size blocks: 51788 aes-128 cbc's in 3.02s
Doing aes-192 cbc for 3s on 16 size blocks: 9486905 aes-192 cbc's in 3.04s
Doing aes-192 cbc for 3s on 64 size blocks: 2552843 aes-192 cbc's in 3.03s
Doing aes-192 cbc for 3s on 256 size blocks: 649613 aes-192 cbc's in 3.03s
Doing aes-192 cbc for 3s on 1024 size blocks: 346614 aes-192 cbc's in 3.02s
Doing aes-192 cbc for 3s on 8192 size blocks: 43596 aes-192 cbc's in 3.01s
Doing aes-256 cbc for 3s on 16 size blocks: 8122180 aes-256 cbc's in 3.01s
Doing aes-256 cbc for 3s on 64 size blocks: 2158148 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 256 size blocks: 556814 aes-256 cbc's in 3.03s
Doing aes-256 cbc for 3s on 1024 size blocks: 296772 aes-256 cbc's in 3.01s
Doing aes-256 cbc for 3s on 8192 size blocks: 37750 aes-256 cbc's in 3.04s
OpenSSL 1.0.1e-freebsd 11 Feb 2013
built on: date not available
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) 
compiler: cc 
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128 cbc      59015.87k    64124.17k    65984.68k   138767.51k   140683.04k
aes-192 cbc      49946.48k    53899.20k    54862.16k   117393.77k   118736.93k
aes-256 cbc      43205.78k    46040.49k    47024.95k   101035.06k   101757.70k