Bien sûr, je n'ai jamais dit le contraire. Si quelqu'un se fait voler sa clef, c'est son problème, mais ça n'implique pas de le condamner à crever comme une merde.
Parfait, donc ça tombe bien, pour les signatures, la convention est d'utiliser deux signes moins (Unicode MOINS/HYPHEN-MINUS) suivis d'une espace (Unicode ESPACE/SPACE) puis d'un retour à la ligne (LF ou CR-LF selon la convention du contexte).
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  1.
Non, pourquoi ?
Bien sûr, je n'ai jamais dit le contraire. Si quelqu'un se fait voler sa clef, c'est son problème, mais ça n'implique pas de le condamner à crever comme une merde.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  1.
Donc si j'ai bien compris, lorsqu'on désigne une zone blanche dans un texte, on utilise le masculin, et lorsqu'on désigne la pièce de plomb ou la séquence de bits qui sert à implémenter cette zone, on utilise se féminin ?
Parfait, donc ça tombe bien, pour les signatures, la convention est d'utiliser deux signes moins (Unicode MOINS/HYPHEN-MINUS) suivis d'une espace (Unicode ESPACE/SPACE) puis d'un retour à la ligne (LF ou CR-LF selon la convention du contexte).
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  2.
Non non, je maintiens, si quelqu'un ne fait pas assez attention à sa clef privée et qu'il se retrouve avec quelqu'un d'autre qui y a accès, c'est sa faute, point. Quand on correspond avec quelqu'un en chiffrant avec sa clef publique, s'il y a un problème, c'est le problème du destinataire.
C'est comme quand tu mets des objets dans un coffre de ta banque : tu n'es pas sûr qu'ils ne seront pas volés, seulement que s'ils le sont, ce sera la faute de ta banque.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  3.
Désolé pour le commentaire en double, la faute aux erreurs 500.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  2.
Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  6.
Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  2.
Je tiens à corriger ta correction. En effet, la langue française veut que le mot « espace » soit féminin lorsqu'il est utilisé dans le champ sémantique de la typographie. Il faut donc écrire « une espace » pour être correct.
[^] # Re: Bis repetita
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  6.
Ou si tu la confies volontairement à quelqu'un d'autre. Mais un message signé par une clef connue est toujours mieux que pas signé du tout. En fait on n'a aucune certitude sur le fait qu'une clef privée soit à la disposition de son propriétaire théorique et lui seul, mais ce dont on est sûr, c'est que si ce n'est pas le cas, c'est sa faute.
[^] # Re: HTTP PKI décentralisée
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  4.
Dans ton cas précis, c'est une liste que tu veux faire (avec une ligne blanche avant !) :
Ce qui donne :
# Une analyse
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  7.
Il y a une analyse intéressante du modèle SSL/TLS. En résumé, les caractéristiques techniques TLS — à savoir, n'avoir qu'une seule signature possible sur un certificat et ne pouvoir proposer qu'un seul certificat pour une connexion — impose un modèle social qui comporte de graves défauts : il encourage la concentration sur un oligopole, voire un monopole d'autorités de certification, et encourage ces autorités à faire leur travail — vérifier l'identité des gens — le plus mal possible.
[^] # Re: HTTP PKI décentralisée
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  4.
Voir aussi le projet Monkeysphere, qui est un hack pour lier le SSL actuel Ă des clefs PGP.
[^] # Re: HTTP PKI décentralisée
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  5.
Oui : http://tools.ietf.org/html/draft-mavrogiannopoulos-rfc5081bis-09 .
Voir aussi le mod_gnutls pour Apache HTTP Server.
# Internet
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal SSL .... Évalué à  5.
Certes, mais lorsqu'on parle de sécurité sur Internet d'une façon générale aussi. SSL sert aussi à sécuriser le transfert et la récupération de courrier, la messagerie instantanée, etc.
[^] # Re: Erratum
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Firefox 4 est sorti. Évalué à  3.
J'ai d'ailleurs été assez surpris. Cette « bulle » est utilisée aussi lors du chargement d'une page, et comme elle ressemble à un bouton, j'ai voulu cliquer dessus pour voir : elle fuyait ma souris !
[^] # Re: 64 bits ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Firefox 4 est sorti. Évalué à  -3.
Ça n'a rien de nouveau, que des logiciels libres soient plus disponibles, plus testés, moins bogués, sur les sytèmes libres. Il y a plein de logiciels libres qui ne sont tout simplement pas disponibles du tout sur systèmes propriétaires, parce que les développeurs n'ont pas {les moyens|envie} de s'en occuper.
[^] # Re: pas compris
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à  4.
Ce n'est donc pas une protection contre les logiciels malicieux — que ce soit par conception ou suite à une modification volontaire par un pirate — mais contre les failles de sécurité.
# Proto-implémentation
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à  2.
N'y aurait-il pas déjà un embryon d'implémentation de certaines capacités dans Linux ? Pour faire des trucs comme écouter sur un port réseau privilégié ?
# Trop complexe
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à  -9.
Ça se comprend : trop compliqué.
Échec.
Pas moi. Ni personne d'autre probablement : trop complexe.
# DNS menteurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Pratiques douteuses de mon provider. Évalué à  4.
Ils te fournissent peut-être des serveurs de résolution DNS menteurs. Ce ce que font OpenDNS, que faisaient Club Internet quand ils existaient encore, et que font aujourd'hui SFR, je crois.
Cela consiste, de la part du FAI, à proposer (par DHCP) des serveurs de résolution DNS qui, lorsqu'on leur demande un nom de domaine qui n'existe pas, au lieu de répondre qu'il n'existent pas, mentent en donnant une réponse correspondant à l'adresse d'un de leurs serveurs. Le serveur en question héberge un site web de « recherche » qui présent les résultat qui les arrange (partenaires…).
C'est un scandale, parce que c'est une violation flagrante de la neutralité du réseau. C'est un service mensonger. Et c'est pénible, parce que :
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  2.
Ça c'est normal, elles n'ont aucune incitation à travailler sérieusement. Elles gagnent de l'argent à certifier des gens, et en perdent à les refuser. Donc leur intérêt, c'est d'émettre un maximum de certificat, donc de ne rien vérifier du tout.
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  2.
Oui. Bien sûr, nos serveur fournissent le certificat intermédiaire en plus du certificat final, les navigateurs ne vont pas l'inventer. C'est la directive SSLCertificateChainFile avec Apache HTTPD.
Non.
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  3.
Si. Par exemple, mon entreprise utilise un certificat signé par le certificat intermédiaire de StartSSL qui n'est pas dans tous les navigateurs. Ce certificat intermédiaire est un certificat de certification, signé par un autre certificat plus connu.
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  3.
Ça dépend du navigateur, au sens strict. Sauf que certains navigateurs utilisent l'équivalent microsoftien de la libssl, qui est fournie avec le système d'exploitation. Or, celle de Windows XP ne prend pas en charge la SNI. Du coup, les navigateurs qui l'utilisent ne la prennent pas en charge non plus.
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  3.
Le certificat de certification du gouvernement en question ? Non, il est vrai, accordé au gouvernement qui l'utilise bien pour certifier des sites.
Le certificat émis par le gouvernement à des fins d'espionnage ? Oui, il est faux, mais il n'est pas émis par l'autorité de certification d'origine.
[^] # Re: Pas besoin de MS
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à  3.
Ça, c'est faux pour Jabber, et faux pour le Web.
Pour Jabber, vu que c'est le mode STARTTLS qui est utilisé — passage en chiffré depuis le protocole, après avoir commencé en clair — le serveur sait quel nom le client demande. Donc, pour peu que ce soit implémenté dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel.
Pour HTTP, c'est le mode SSL pur qui est utilisé — encapsulation de tout le protocole dans une session SSL, tout est chiffré depuis le début — le serveur ne pouvait pas savoir quel nom le client demande. Jusqu'en 2005, où a été introduit l'extension SSL Server Name Indication qui permet au client, lors de l'initiation d'une session SSL, d'indiquer au serveur le nom qu'il demande. Donc, pour peu que ce soit implémenté dans le client et dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel. C'est pris en charge par les versions assez récentes d'Apache et de nginx, entre autres, et par tous les navigateurs récents sur des systèmes d'exploitation récents — ce qui n'inclut pas les systèmes antiques comme Windows XP.