🚲 Tanguy Ortolo a écrit 12506 commentaires

Bon, renseignements pris, TLS external ça n'existe pas, il s'agit de TLS + SASL EXTERNAL.

S2S dialback est un mécanisme permettant à un serveur recevant une connexion de la part d'un autre de vérifier que celui-ci est joignable au nom de domaine qu'il prétend représenter :

1. le serveur 1 se connecte au serveur 2, et se présente comme example.com ;
2. le serveur 2 lui répond « dialback » et le met en attente ;
3. le serveur 2 se connecte à example.com — qui est normalement le serveur 1, ou en relation avec lui dans le cas d'un service rendu par plusieurs serveurs en lien — et y envoie un identifiant secret ;
4. le serveur 1 reçoit normalement cet identifiant et le transmet à serveur 2 sur sa connexion existante ;
5. le serveur accepte de continuer.

Ce système est inspiré d'une précaution qu'on peut prendre au téléphone, quand on reçoit un appel d'un inconnu :

• « Bonjour, je suis M. Planet, de la Société Générale, je vous téléphone à propose de votre compte courant… »,
• Attendez une seconde, je vous rappelle — et là, on cherche le numéro de la Société Générale dans l'annuaire et on les appelle pour vérifier qu'ils ont bien un M. Planet.

SASL EXTERNAL maintenant, c'est un pseudo-mécanisme d'identification, qui indique que l'identification a en fait déjà été faite par un autre moyen, ici TLS. En gros ça doit donner quelque chose comme :

1. le serveur 1 se connecte au serveur 2 ;
2. ils mettent en route une session TLS qui permet au serveur 1 de s'identifer avec un certificat à son nom ;
3. le serveur 2 exige une identification SASL, et suggère le mécanisme EXTERNAL ;
4. le serveur 1 choisit le mécanisme EXTERNAL, et ne s'identifie pas du tout puisque ce mécanisme signifie que c'est déjà fait ;
5. le serveur 2 accepte de continuer.

Donc ça n'a strictement rien à voir avec S2S dialback, puisque ça ne répond pas au même problème. S2S dialback, ça fait implicitement confiance au réseau et ça permet de vérifier la responsabilité d'un nom de domaine : quelqu'un me contacte en se présentant comme example.com, est-ce qu'il est vraiment joignable à ce nom-là ou est-ce que c'est un sale spammeur qui ne prend pas la responsabilité de ce qu'il envoie ? SASL EXTERNAL, ça ne sert à rien en tant que tel, ça délègue tout à TLS qui permet de vérifier l'identité d'un nom de domaine, pas sa responsabilité : quelqu'un me contacte en se présentant comme example.com, est-ce que c'est vraiment example.com — qui pourra tout à fait être malgré tout un spammeur irresponsable ?

Soit dit en passant, je ne comprends pas l'intérêt de SASL EXTERNAL. TLS, ok, ça sert, mais à quoi cela peut-il bien servir pour un serveur d'exiger que son correspondant fasse semblant de s'identifier avec un mécanisme qui indique juste que c'est déjà fait ? Comme la session TLS est déjà établie, si ça ne lui convient pas il a déjà eu l'occasion de la refuser…

le système historique et extrêmement faillible d’identification des entités en S2S (server to server), Server Dialback Protocol, est rétrogradé au rang de d’extension XEP, gardant ainsi la compatibilité avec les systèmes anciens, tout en mettant l’accent sur TLS external (qui devient une technologie obligatoire à implémenter en S2S).

Je n'ai pas trouvé de description de ce « TLS external ». De quoi s'agit-il au juste ? À la lecture de cette dépêche j'ai l'impression que c'est la le changement le plus important, et de très loin.

Il faut bien évidemment installer CUPS sur le nouveau serveur. Puis migrer sa configuration /etc/cups/ :

• cupsd.conf : la configuration du serveur lui-même — sur quoi il écoute, comment il s'annonce, tout ça ;
• printers.conf : les définitions des imprimantes ;
• classes.conf : les définitions des classes d'imprimantes, si tu les utilises ;
• ppd/[imprimante.ppd] : le pilote pour chaque imprimante.

Les imprimantes non PostScript utilisent des PPD qui ne sont pas autonomes mais décrivent la commande à utiliser pour produire le raster, donc il faut veiller à installer les programmes requis. Ensuite, redémarrer CUPs et puis c'est tout.

Excuse-moi, mais quelqu'un qui achète volontairement un iPhone ne peut pas être préoccupé par sa liberté. Parce que s'il l'était, il serait renseigné, et saurait que cet ordinateur de poche est fait pour restreindre la liberté de l'utilisateur.

Demande-lui de te donner son ancienne imprimante alors.

Je pense que c'est à la portée de tout le monde de comprendre la problématique.

Non, parce que les gens ont tendance à éteindre leur cerveau dès qu'il s'agit d'informatique. Il faut dire qu'ils subissent un bon lavage de cerveau dans ce sens-là.

Libriste : utilisateur concerné par sa liberté. C'est incompatible avec l'utilisation d'un iPhone, ça.

Alors ce n'est pas un libriste, mais un utilisateur opportuniste de logiciels libres, pour moi ça n'a rien à voir.

J'ai besoin de 4 illimités sur les 7.

« Besoin ». Eh bien le jour où tu auras « besoin » d'une voiture qui roule à 200 km/h avec des panneaux solaires, tu ne te plaindras pas de ne trouver qu'un seul modèle à 420.000 euros.

Non mais aussi, c'est d'Orange que tu parles, là. Spécialistes en forfaits chers — ça, ils y sont obligés par l'ARCEP —, en violation de la neutralité du réseau et en publicité mensongère. Et en plus ils emploient Madame Anéfé. Tu t'attendais à quoi ?

png(5)

La limite usuelle est de 4 lignes, sans compter le ligne « --  ».

Ah, dernière chose, n'en déduisez pas que je nie l'intérêt de toute simplification. Ce qui peut être simplifié doit l'être. Ainsi la numération positionnelle simplifie considérablement la pratique des mathématiques.

En revanche, je pense qu'il est faux de considérer qu'une solution est mauvaise parce qu'elle n'est pas intuitive. Certaines requièrent nécessairement un apprentissage. Dans le cas de la cryptographie, on ne peut pas couper aux notions de clef privée, clef publique, signature, chiffrement, certification et révocation.

Pour expliciter mon point de vue : je considère qu'il y a des sujets tout à fait importants qui sont compliqués par nature — la lecture, l'écriture, les mathématiques, le chiffrement…) — et qui nécessitent un apprentissage indispensable, qui parfois n'a rien d'attirant et doit être imposé — c'est le cas pour la lecture, l'écriture et les mathématiques.

Et si quelqu'un n'a pas lu le code de la route avant de prendre le volant ? Dieu sait que ce n'est pas simple, le code de la route, en plus le lire demande de savoir lire, ce qui est diablement compliqué.

J'ai essayé par exemple rapidement Oui-Oui en vacances, je n'y comprends absolument rien entre tous ces caractères et symboles de ponctuation, arghhh, j'imagine qu'une personne moins technique que moi doit carrément fuir à la vue d'un simple bouquin, surtout quand il n'y a même pas d'illustrations.

Tu ne serais pas pour la peine de mort pour la moindre faute toi?

Non, pourquoi ?

Dans la vie réelle, on a le droit à l'erreur, et la serrure est changée, la clef volée ne sert alors plus à rien.

Bien sûr, je n'ai jamais dit le contraire. Si quelqu'un se fait voler sa clef, c'est son problème, mais ça n'implique pas de le condamner à crever comme une merde.

Donc si j'ai bien compris, lorsqu'on désigne une zone blanche dans un texte, on utilise le masculin, et lorsqu'on désigne la pièce de plomb ou la séquence de bits qui sert à implémenter cette zone, on utilise se féminin ?

Parfait, donc ça tombe bien, pour les signatures, la convention est d'utiliser deux signes moins (Unicode MOINS/HYPHEN-MINUS) suivis d'une espace (Unicode ESPACE/SPACE) puis d'un retour à la ligne (LF ou CR-LF selon la convention du contexte).

Non non, je maintiens, si quelqu'un ne fait pas assez attention à sa clef privée et qu'il se retrouve avec quelqu'un d'autre qui y a accès, c'est sa faute, point. Quand on correspond avec quelqu'un en chiffrant avec sa clef publique, s'il y a un problème, c'est le problème du destinataire.

C'est comme quand tu mets des objets dans un coffre de ta banque : tu n'es pas sûr qu'ils ne seront pas volés, seulement que s'ils le sont, ce sera la faute de ta banque.

Désolé pour le commentaire en double, la faute aux erreurs 500.

Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.

Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.

Je tiens à corriger ta correction. En effet, la langue française veut que le mot « espace » soit féminin lorsqu'il est utilisé dans le champ sémantique de la typographie. Il faut donc écrire « une espace » pour être correct.

Sauf si on te vole ta clef GPG

Ou si tu la confies volontairement à quelqu'un d'autre. Mais un message signé par une clef connue est toujours mieux que pas signé du tout. En fait on n'a aucune certitude sur le fait qu'une clef privée soit à la disposition de son propriétaire théorique et lui seul, mais ce dont on est sûr, c'est que si ce n'est pas le cas, c'est sa faute.

Rien à voir mais je comprend toujours pas comment faire un retour à la ligne.

Dans ton cas précis, c'est une liste que tu veux faire (avec une ligne blanche avant !) :

* http://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html
* http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg
* http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg

Ce qui donne :

• http://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html
• http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg
• http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg

Il y a une analyse intéressante du modèle SSL/TLS. En résumé, les caractéristiques techniques TLS — à savoir, n'avoir qu'une seule signature possible sur un certificat et ne pouvoir proposer qu'un seul certificat pour une connexion — impose un modèle social qui comporte de graves défauts : il encourage la concentration sur un oligopole, voire un monopole d'autorités de certification, et encourage ces autorités à faire leur travail — vérifier l'identité des gens — le plus mal possible.