🚲 Tanguy Ortolo a écrit 12252 commentaires

Ça n'a rien de nouveau, que des logiciels libres soient plus disponibles, plus testés, moins bogués, sur les sytèmes libres. Il y a plein de logiciels libres qui ne sont tout simplement pas disponibles du tout sur systèmes propriétaires, parce que les développeurs n'ont pas {les moyens|envie} de s'en occuper.

Ce n'est donc pas une protection contre les logiciels malicieux — que ce soit par conception ou suite à une modification volontaire par un pirate — mais contre les failles de sécurité.

N'y aurait-il pas déjà un embryon d'implémentation de certaines capacités dans Linux ? Pour faire des trucs comme écouter sur un port réseau privilégié ?

Une bonne idée longtemps oubliée

Mais les innovations révolutionnaires qui demandent de changer complètement de système d’exploitation, de langage de programmation ou d’environnement de bureau n’ont pas percé (de même que le micro-noyau L4, Lisp ou GNUStep).

Ça se comprend : trop compliqué.

Le projet Capsicum

[…] trouvant un compromis entre la flexibilité-fouillis des capacités (une capacité = un droit) et l’autorité ambiante écrasante des systèmes UNIX habituels.

[…] des masques de droits permettant une gestion fine des droits (plus de 60 masques différents)

Échec.

Et ça marche ?

À quand Capsicum disponible sur Linux, et LibreOffice, Firefox et KDE respectant le principe de moindre autorité ? Qui s'y colle ?

Pas moi. Ni personne d'autre probablement : trop complexe.

Ils te fournissent peut-être des serveurs de résolution DNS menteurs. Ce ce que font OpenDNS, que faisaient Club Internet quand ils existaient encore, et que font aujourd'hui SFR, je crois.

Cela consiste, de la part du FAI, à proposer (par DHCP) des serveurs de résolution DNS qui, lorsqu'on leur demande un nom de domaine qui n'existe pas, au lieu de répondre qu'il n'existent pas, mentent en donnant une réponse correspondant à l'adresse d'un de leurs serveurs. Le serveur en question héberge un site web de « recherche » qui présent les résultat qui les arrange (partenaires…).

C'est un scandale, parce que c'est une violation flagrante de la neutralité du réseau. C'est un service mensonger. Et c'est pénible, parce que :

• hors du web, ça n'apporte que des ennuis (je me trompe dans le nom de mon serveur de boîte aux lettres et au lieu de me dire que ce nom n'existe pas, ça me dit que le serveur ne répond pas) ;
• ça dégrade l'expérience du web, vu qu'aujourd'hui, lorsqu'on tape une adresse qui n'existe pas, le navigateur peut se charger lui-même d'interroger un moteur de recherche, un vrai.

des autorités de confiance et les autorités n'ont aucune conscience professionnelle

Ça c'est normal, elles n'ont aucune incitation à travailler sérieusement. Elles gagnent de l'argent à certifier des gens, et en perdent à les refuser. Donc leur intérêt, c'est d'émettre un maximum de certificat, donc de ne rien vérifier du tout.

Et ce certificat de certification a été automatiquement accepté comme légitime par ton navigateur (i.e. les certificats "finaux" signés par celui-ci sont acceptés), simplement parce qu'il existe un chemin de confiance entre lui et un certificat racine

Oui. Bien sûr, nos serveur fournissent le certificat intermédiaire en plus du certificat final, les navigateurs ne vont pas l'inventer. C'est la directive SSLCertificateChainFile avec Apache HTTPD.

ou cela a réclamé une procédure supplémentaire ?

Non.

Hum, je crois que le fonctionnement de l'infrastructure à clé publique t'échappe complètement. Les certificats racines ne peuvent pas servir à en créer de nouveaux qui seraient automatiquement acceptés par ton navigateur.

Si. Par exemple, mon entreprise utilise un certificat signé par le certificat intermédiaire de StartSSL qui n'est pas dans tous les navigateurs. Ce certificat intermédiaire est un certificat de certification, signé par un autre certificat plus connu.

Ça dépend du navigateur, au sens strict. Sauf que certains navigateurs utilisent l'équivalent microsoftien de la libssl, qui est fournie avec le système d'exploitation. Or, celle de Windows XP ne prend pas en charge la SNI. Du coup, les navigateurs qui l'utilisent ne la prennent pas en charge non plus.

Alors le certificat est un faux, que ce soit demandé par un gouvernement ou non.

Le certificat de certification du gouvernement en question ? Non, il est vrai, accordé au gouvernement qui l'utilise bien pour certifier des sites.

Le certificat émis par le gouvernement à des fins d'espionnage ? Oui, il est faux, mais il n'est pas émis par l'autorité de certification d'origine.

Mon autre problème c'est que le SSL ne supporte qu'un certificat par IP

Ça, c'est faux pour Jabber, et faux pour le Web.

Pour Jabber, vu que c'est le mode STARTTLS qui est utilisé — passage en chiffré depuis le protocole, après avoir commencé en clair — le serveur sait quel nom le client demande. Donc, pour peu que ce soit implémenté dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel.

Pour HTTP, c'est le mode SSL pur qui est utilisé — encapsulation de tout le protocole dans une session SSL, tout est chiffré depuis le début — le serveur ne pouvait pas savoir quel nom le client demande. Jusqu'en 2005, où a été introduit l'extension SSL Server Name Indication qui permet au client, lors de l'initiation d'une session SSL, d'indiquer au serveur le nom qu'il demande. Donc, pour peu que ce soit implémenté dans le client et dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel. C'est pris en charge par les versions assez récentes d'Apache et de nginx, entre autres, et par tous les navigateurs récents sur des systèmes d'exploitation récents — ce qui n'inclut pas les systèmes antiques comme Windows XP.

Oui enfin si une autorité « reconnue » fait un faux certificat (volontairement ou non), tu peux être sûr qu'elle se fera virer des navigateurs dans les prochaines mises à jour.

Et si elle signe un certificat de certification pour un gouvernement ?

Ça ne change pas le fait que ce modèle soit mauvais (par exemple, je n'ai jamais payé pour un certificat pour mes serveurs à cause du prix, je ne fais que de l'auto-signé, qui n'est pas vraiment idéal).

Oh, ce n'est pas le plus grave. Le plus grave, c'est que ce modèle encourage la concentration sur une guilde oligopolistique d'autorités de certification. Et encourage ces autorités à vérifier le moins sérieusement possible l'identité des gens qu'ils certifient.

Il n'y a pas besoin de la coopération de Microsoft pour faire cela. Enfin, pas vraiment, du moins ce n'est pas spécifique à Microsoft. Il suffit de contrôler une autorité de certification reconnue, quelle qu'elle soit.

Par exemple, Thawte, VeriSign et compagnie ont la possibilité d'émettre des certificats pour n'importe quelle nom, donc de se faire passer pour n'importe qui. Si un gouvernement parvient à faire introduire son certificat de certification dans un navigateur, il peut faire de même. Plus simple encore : si un gouvernement parvient à se faire délivrer un certificat de certification par une autorité de certification déjà connue, il devient par délégation d'autorité autorité de certification lui-même, et obtient ce même pouvoir.

Bref, ça n'est pas vraiment spécifique à Microsoft, c'est tout simplement le modèle même de SSL qui est troué à la base. Mais ça, ce n'est pas nouveau.

Je ne pense pas que les moustiques aient une prétention dessus, mais en tout cas, que l'homme appartienne à la forêt me semble révoltant.

que les forêts ont des droits, que les peuples y vivant leur appartiennent

Ce ne serait pas l'inverse par hasard ? Hormis des cas anormaux d'esclavage, les hommes n'appartiennent à personne. En revanche, ça me semble normal que la forêt dans laquelle des peuples vivent leur appartienne.

Ce n'est pas idiot du tout comme sujet de conversation en plus, parce qu'outre son contenu de premier degré, cela permet également de s'élever au-delà du discours lui-même pour réfléchir aux mécanismes d'argumentation eux-mêmes.

Rassure-moi, c'était ironique, n'est-ce pas ?

Excellent, mais je n'ai pas l'impression que tout soit vrai. Par exemple, ils indiquent que quelques gouttes peuvent être mortelles, or j'ai du mal à imaginer comment…

En lisant les commentaires, je constate que la plupart des linuxfriens peut être trop derrière un écran ne voient pas l'immensité du problème, et se concentre sur des problèmes complètement secondaires

Ça n'a rien de secondaire. Sans forme, le fond d'un message n'est rien. Avec une forme merdique, même le meilleur fond du monde ne sera que de la merde pour ceux qui n'y sont pas déjà sensibilisés.

Ce n'est pourtant pas compliqué, ce qu'on demande : du texte et des images, vous savez, les trucs qu'on fait en tapant sur les touches d'un clavier et en appuyant sur le déclencheur d'un appareil… Non, là, c'est triste à dire, mais les auteurs du site se sont donné du mal pour un résultat pire que si ils y avaient moins travaillé ; parce qu'une vidéo comme ça, ça demande davantage de travail qu'un texte illustré, alors que c'est moins agréable à suivre.

Et puis de toute façon, lorsqu'on veut défendre une cause, on peut peut-être se donner les moyens de pondre davantage qu'un site web d'une unique page ne contenant en tout et pour tout qu'une unique vidéo comme source d'information.
Je ne sais pas moi, un type qui touche un peu en informatique, assez pour rédiger un site web de trois pages, ça se trouve bien ! À la limite, une unique vraie page serait préférable à cette unique vidéo. Ah, et puis des associations de médecine naturelle, ça doit bien exister, et elles doivent être un peu concernées par cette directive européenne, peut-être assez pour les contacter, peut-être les regrouper si elles sont plusieurs, pour lutter et préparer un site web.

À peu près 1.10⁶ ppm je parie.

Hein, dites moi les moules ‽

Je ne suis pas sûr que DLFP soit le meilleur endroit pour demander des conseils sur l'utilisation des services de Zuckerberg… :-)

Puisque ce site web ne contient qu'une vidéo illisible par un libriste, voici un lien direct : http://www.defensemedecinenaturelle.eu/img/Guerisoninterdite.flv .

Je me relis, et là j'aurais juré avoir vu ce que je comptais voir…

Rah, faichier (aiguille des millénaires et crevette). L'est nulach', la syntaxe des liens, pour le coup.

Exactement pareil.