🚲 Tanguy Ortolo a écrit 12091 commentaires

Mais dans la vraie vie, ceux qui décide d'utiliser OpenID, c'est les concepteurs de site web. Eux n'ont pas d'intérêt d'intégrer OpenID : - Aucune information intéressante à récupérer. - Peu répandu.

Ça tombe bien ça, OpenID n'est pas fait pour récupérer des informations sur les gens, juste leur fournir un moyen de s'identifier.

Facebook il t'offre sur un plateau des millions d'utilisateurs et des données associées.

Alors je suis content de boycotter ce genre de site web, même s'ils fournissent un moyen alternatifs : si c'est pour récupérer des informations sur les gens qu'ils utilisent Facebook, ça prouvent qu'ils cherchent à tirer profit d'informations personnelles, et je ne veux pas avoir affaire à ce genre de boîte.

C'est toujours ce que je constate chez certains libristes, c'est le manque d'ouverture d'esprit, qui au final (et selon moi) fait plus de mal que de bien

Oui en effet, je suis tellement fermé d'esprit que je critique les sites qui refusent les systèmes ouverts (OpenID en l'occurrence) pour leur préférer des systèmes fermés (Facebook). Surtout quand ils ont codé la prise en charge des systèmes ouverts mais l'ont retirée par la suite.

PS : Pour info, openid n'est pas une technologie Linuxienne

Non, c'est une technologie d'extrémistes qui pensent qu'il est mieux qu'un service puisse être rendu par qui veut plutôt que par une entreprise unique.

Je trouve que ta réaction sur "ils proposent l'authentification via Facebook, je boycotte" est un peu exagérée, parce que tu peux toujours bloquer tout ce qui provient de *.facebook.com , le site continue à fonctionner sans perdre en fonctionnalités.

Ce n'est pas ce que je leur reproche. Ce serait plutôt : ce site web favorise artificiellement Facebook parmi ses concurrents, donc je boycotte. Comme un service d'information qui proposerait au choix d'utiliser une adresse chez Google Mail ou d'en ouvrir une chez eux : je boycotte.

Pour moi, dans l'ordre :

• requérir l'utilisation d'un service externe particulier : inadmissible ;
• requérir l'utilisation d'un service externe particulier ou d'un service interne (donc moins pratique) : détestable ;
• requérir l'utilisation d'un service externe générique, et en suggérer un particulier (donc le favoriser) : désagréable mais acceptable ;
• requérir l'utilisation d'un service externe générique sans en privilégier : parfait.

Ah, j'ajouterai que personnellement, un site qui demande une identification Facebook, même avec au choix la création d'un compte local, je boycotte. Je n'aime pas qu'on privilégie sans raison un acteur unique.

Pour le login Facebook, c'est pas obligatoire, il y a aussi une inscription classique. Il faut savoir que la majorité des gens préfèrent la simplicité de l'authentification déportée Facebook (ie. pas encore un enième mot de passe à retenir...).

C'est sûr, c'est plus simple de faire de Facebook le garant de l'identification de tout individu.

Mais bon, sinon vous avez OpenID…

De mon point de vue, les logiciels doivent toujours trouver un node qui n'a pas de NAT ou utiliser STUN

Non. Passer par des relais, c'est ce que fait Skype, et il suffit pour que ça marche d'avoir un relais qui a déjà transpercé son NAT éventuel.

OSEF. Si tu te soucie de ta liberté, tu n'achètes pas volontairement un produit conçu pour te priver de liberté, même s'il y a des moyens de contourner ces restrictions.

Et donc si au final, SASL external et Dialback ont tout à voir.

Non. Avec TLS + SASL external, tu as une preuve que le serveur qui te contacte a bien le droit de porter le nom qu'il annonce, et c'est tout. Ça ne l'empêche pas d'envoyer du spam sans en prendre le responsabilité, c'est à dire sans permettre qu'on le contacte pour répondre.

Avec dialback, pour pouvoir émettre on doit être joignable dans l'autre sens.

Dans la vraie vie, TLS + SASL EXTERNAL ça donnerait quelque chose comme ça :

• « Bonjour, je suis M. Planet, de la Société Générale.
• Ok, faites voir vos papiers, moi je vous montre les miens et on va se mettre à l'abri des écoutes. [échange de papiers]
• Donc, je disais, je suis M. Planet, de la Société Générale.
• Identifiez-vous, par exemple en disant que c'est déjà fait.
• C'est déjà fait.
• Ok, on peut continuer.

Les trois dernières étapes ont l'air parfaitement surréalistes et inutiles… :-)

Bon, renseignements pris, TLS external ça n'existe pas, il s'agit de TLS + SASL EXTERNAL.

S2S dialback est un mécanisme permettant à un serveur recevant une connexion de la part d'un autre de vérifier que celui-ci est joignable au nom de domaine qu'il prétend représenter :

1. le serveur 1 se connecte au serveur 2, et se présente comme example.com ;
2. le serveur 2 lui répond « dialback » et le met en attente ;
3. le serveur 2 se connecte à example.com — qui est normalement le serveur 1, ou en relation avec lui dans le cas d'un service rendu par plusieurs serveurs en lien — et y envoie un identifiant secret ;
4. le serveur 1 reçoit normalement cet identifiant et le transmet à serveur 2 sur sa connexion existante ;
5. le serveur accepte de continuer.

Ce système est inspiré d'une précaution qu'on peut prendre au téléphone, quand on reçoit un appel d'un inconnu :

• « Bonjour, je suis M. Planet, de la Société Générale, je vous téléphone à propose de votre compte courant… »,
• Attendez une seconde, je vous rappelle — et là, on cherche le numéro de la Société Générale dans l'annuaire et on les appelle pour vérifier qu'ils ont bien un M. Planet.

SASL EXTERNAL maintenant, c'est un pseudo-mécanisme d'identification, qui indique que l'identification a en fait déjà été faite par un autre moyen, ici TLS. En gros ça doit donner quelque chose comme :

1. le serveur 1 se connecte au serveur 2 ;
2. ils mettent en route une session TLS qui permet au serveur 1 de s'identifer avec un certificat à son nom ;
3. le serveur 2 exige une identification SASL, et suggère le mécanisme EXTERNAL ;
4. le serveur 1 choisit le mécanisme EXTERNAL, et ne s'identifie pas du tout puisque ce mécanisme signifie que c'est déjà fait ;
5. le serveur 2 accepte de continuer.

Donc ça n'a strictement rien à voir avec S2S dialback, puisque ça ne répond pas au même problème. S2S dialback, ça fait implicitement confiance au réseau et ça permet de vérifier la responsabilité d'un nom de domaine : quelqu'un me contacte en se présentant comme example.com, est-ce qu'il est vraiment joignable à ce nom-là ou est-ce que c'est un sale spammeur qui ne prend pas la responsabilité de ce qu'il envoie ? SASL EXTERNAL, ça ne sert à rien en tant que tel, ça délègue tout à TLS qui permet de vérifier l'identité d'un nom de domaine, pas sa responsabilité : quelqu'un me contacte en se présentant comme example.com, est-ce que c'est vraiment example.com — qui pourra tout à fait être malgré tout un spammeur irresponsable ?

Soit dit en passant, je ne comprends pas l'intérêt de SASL EXTERNAL. TLS, ok, ça sert, mais à quoi cela peut-il bien servir pour un serveur d'exiger que son correspondant fasse semblant de s'identifier avec un mécanisme qui indique juste que c'est déjà fait ? Comme la session TLS est déjà établie, si ça ne lui convient pas il a déjà eu l'occasion de la refuser…

le système historique et extrêmement faillible d’identification des entités en S2S (server to server), Server Dialback Protocol, est rétrogradé au rang de d’extension XEP, gardant ainsi la compatibilité avec les systèmes anciens, tout en mettant l’accent sur TLS external (qui devient une technologie obligatoire à implémenter en S2S).

Je n'ai pas trouvé de description de ce « TLS external ». De quoi s'agit-il au juste ? À la lecture de cette dépêche j'ai l'impression que c'est la le changement le plus important, et de très loin.

Il faut bien évidemment installer CUPS sur le nouveau serveur. Puis migrer sa configuration /etc/cups/ :

• cupsd.conf : la configuration du serveur lui-même — sur quoi il écoute, comment il s'annonce, tout ça ;
• printers.conf : les définitions des imprimantes ;
• classes.conf : les définitions des classes d'imprimantes, si tu les utilises ;
• ppd/[imprimante.ppd] : le pilote pour chaque imprimante.

Les imprimantes non PostScript utilisent des PPD qui ne sont pas autonomes mais décrivent la commande à utiliser pour produire le raster, donc il faut veiller à installer les programmes requis. Ensuite, redémarrer CUPs et puis c'est tout.

Excuse-moi, mais quelqu'un qui achète volontairement un iPhone ne peut pas être préoccupé par sa liberté. Parce que s'il l'était, il serait renseigné, et saurait que cet ordinateur de poche est fait pour restreindre la liberté de l'utilisateur.

Demande-lui de te donner son ancienne imprimante alors.

Je pense que c'est à la portée de tout le monde de comprendre la problématique.

Non, parce que les gens ont tendance à éteindre leur cerveau dès qu'il s'agit d'informatique. Il faut dire qu'ils subissent un bon lavage de cerveau dans ce sens-là.

Libriste : utilisateur concerné par sa liberté. C'est incompatible avec l'utilisation d'un iPhone, ça.

Alors ce n'est pas un libriste, mais un utilisateur opportuniste de logiciels libres, pour moi ça n'a rien à voir.

J'ai besoin de 4 illimités sur les 7.

« Besoin ». Eh bien le jour où tu auras « besoin » d'une voiture qui roule à 200 km/h avec des panneaux solaires, tu ne te plaindras pas de ne trouver qu'un seul modèle à 420.000 euros.

Non mais aussi, c'est d'Orange que tu parles, là. Spécialistes en forfaits chers — ça, ils y sont obligés par l'ARCEP —, en violation de la neutralité du réseau et en publicité mensongère. Et en plus ils emploient Madame Anéfé. Tu t'attendais à quoi ?

png(5)

La limite usuelle est de 4 lignes, sans compter le ligne « --  ».

Ah, dernière chose, n'en déduisez pas que je nie l'intérêt de toute simplification. Ce qui peut être simplifié doit l'être. Ainsi la numération positionnelle simplifie considérablement la pratique des mathématiques.

En revanche, je pense qu'il est faux de considérer qu'une solution est mauvaise parce qu'elle n'est pas intuitive. Certaines requièrent nécessairement un apprentissage. Dans le cas de la cryptographie, on ne peut pas couper aux notions de clef privée, clef publique, signature, chiffrement, certification et révocation.

Pour expliciter mon point de vue : je considère qu'il y a des sujets tout à fait importants qui sont compliqués par nature — la lecture, l'écriture, les mathématiques, le chiffrement…) — et qui nécessitent un apprentissage indispensable, qui parfois n'a rien d'attirant et doit être imposé — c'est le cas pour la lecture, l'écriture et les mathématiques.

Et si quelqu'un n'a pas lu le code de la route avant de prendre le volant ? Dieu sait que ce n'est pas simple, le code de la route, en plus le lire demande de savoir lire, ce qui est diablement compliqué.

J'ai essayé par exemple rapidement Oui-Oui en vacances, je n'y comprends absolument rien entre tous ces caractères et symboles de ponctuation, arghhh, j'imagine qu'une personne moins technique que moi doit carrément fuir à la vue d'un simple bouquin, surtout quand il n'y a même pas d'illustrations.