🚲 Tanguy Ortolo a écrit 12507 commentaires

En fait, les banques ne sont pas assez calées pour faire du SSL client, donc ça ne concerne pas trop les particuliers, ça. À part pour la déclaration d'impôts. En général, on fait du SSL serveur.

Si cette faille touchait le SSL serveur, ça donnerait ça :
- Quelqu'un fait de l'empoisonnement DNS pour te faire croire que c'est lui la Société Générale ;
- tu te connectes comme d'habitude sur ce que tu crois être le site de la Société Générale : dans ta barre d'URL, l'adresse du site habituel, que tu as bien vérifiée ;
- tu te connectes en réalité au serveur de Quelqu'un ;
- lui se connecte au serveur de la Société Générale ;
- il arrive à établir la connexion en te présentant le certificat habituel de la Société Générale et en ayant connaissance de la clef de chiffrement utilisée.

Là, ça touche le SSL client, donc c'est plutôt :
- Quelqu'un fait du typo-squatting sur un nom voisin de celui de la Banque Sérieuse qui identifie ses clients par certificat ;
- tu te connectes par erreur, ou en suivant un lien de phishing, sur ce que tu crois être le site de la Banque Sérieuse, sans t'apercevoir que l'adresse est légèrement différente ;
- tu te connectes en réalité au serveur de Quelqu'un ;
- il se connecte au serveur de la Banque Sérieuse ;
- il arrive à établir la connexion en te présentant son certificat – valide pour son site –, en présentant à la Banque Sérieuse ton certificat client, et en ayant connaissance de la clef de chiffrement utilisée.

L'équipe de sécurité Debian vient de publier une nouvelle version du noyau, je crois.

linux-2.6 (2.6.26-19lenny2) stable-security; urgency=high

* tc: Fix uninitialized kernel memory leak (CVE-2009-3228)
* random: make get_random_int() more random (CVE-2009-3238)
* netlink: fix typo in initialization (CVE-2009-3612)
* drm/r128: Add test for initialisation to all ioctls that require it
(CVE-2009-3620)
* AF_UNIX: Fix deadlock on connecting to shutdown socket (CVE-2009-3621)
* fs: pipe.c null pointer dereference (CVE-2009-3547)
* KVM: Prevent overflow in KVM_GET_SUPPORTED_CPUID (CVE-2009-3638)

Ils ont mis ? Ils trafiquent à la main le classement des sites ?

Google a beaucoup aidé à la démocratisation de l'outil.

Ah ? Comment Google a-t-il aidé ? Ils ont donné de l'argent, du matériel ?

compétents…

Au temps pour moi, ça demande en fait un interpréteur JavaScript.

Ils l'ont corrigée, on dirait.

livre lourd à porter

Question de goût. Moi, c'est la lecture sans pouvoir tourner les pages ou feuilleter que je ne supporte pas. Mais en tout cas, l'important est de ne pas utiliser la technologie pour la technologie.

déplier une carte qui n'est jamais assez précise

Si les cartes IGN au 1:25000 ne sont pas assez précises pour toi, je ne vois pas beaucoup d'alternatives, informatiques ou papier.

serveur personnel qui merde quand tu es en vacances pendant plus de 2 jours et donc tes mails en arrivée sont perdus par les serveurs en face qui poubelisent

C'est cinq jour, la rétention SMTP standard. Et tu as le droit d'avoir des MX secondaires.

Pour prévenir certaines objections : oui, aux États-Unis je peux imprimer moi-même ma carte, mais ça coûterait presque plus cher, et pour une qualité largement inférieure à celle d'une carte imprimée par des professionnels.

Une carte imprimée chez soi :
- ça déteint quand on la mouille ;
- ça fond quand on la mouille trop ;
- ça ne mesure pas plus de 210 × 297 mm ;
- ça résiste mal aux pliures.

D'un point de vue pratique, je trouve quand même ça mieux qu'aux États-Unis. Là-bas, l'USGS met certes ses cartes à disposition sous licence libre (je crois). Mais avec ça, ils ont presque arrêté l'impression des cartes papier. En France, on trouve des cartes topographiques IGN dans plein de librairies, aux États-Unis c'est très difficile.

Et considères tu normal, qu'un organisme public, à qui donc tu donnes déjà ta dîme, ne te permette pas d'utiliser librement la base de données qu'il a pu financer grâce à ton argent.

Non. Mais j'apprécie quand même leurs cartes papier.

En achetant leurs cartes, tu ne fais que conforter leur monopole sur ces données.

Je n'achète pas les cartes pour leurs données. Si je veux les consulter, j'ai déjà le GéoPortail. J'achète des cartes papier, personne d'autre n'en fournit de telles, donc je n'ai pas le choix.

L'un n'empêche pas l'autre !

Jamais dit le contraire. C'est juste la citation selon laquelle on pourrait abandonner les cartes papier qui m'a fait réagir. Ne vous y trompez pas, j'utilise OpenStreetMap, je trouve ça pratique et j'y contribue un petit peu.

Je n'avais pas pensé à cette solution. Ça dépend des goûts et des besoins : voiture, vélo, marche à pied, randonnée, en ville, à la montagne… Mais remplacer ça par des téléphones portables, franchement…

Parmi ces deux personnages, trouvez le vrai geek. Trouvez également celui qui passera pour geek.

1. Il utilise l'outil le plus adapté à ses besoins : livre en papier, long texte imprimé, carte dépliante en papier, serveur personnel de courrier.

2. Il utilise l'outil le plus électronique, à la mode : livre électronique, long texte sur écran d'ordinateur, carte sur téléphone portable, Google Mail.

"A terme, grâce à la combinaison de la géolocalisation et des contributions humaines, précise Thierry Joliveau, on pourra se localiser à partir de l'écran de son téléphone portable et se passer de la carte. Cet objet abstrait et complexe redeviendra un outil pour maniaques", ajoute le géographe.

J'espère que je ne suis pas le seul à penser qu'un téléphone ne remplace pas du tout une bonne carte dépliante. Avec un écran de dix centimètres – et même avec un écran de cinquante centimètres d'ailleurs –, je n'ai aucune vision d'ensemble. Impossible de préparer moi-même ma route. Je dois donc me fier à un calculateur d'itinéraire, ce qui est plus que moyen pour un cycliste. Avec un géolocalisateur plus un calculateur d'itinéraire, je me retrouve assisté, ce qui est le meilleur moyen pour que j'arrive à destination sans rien retenir du chemin.

Avec un vraie carte, j'ai une vue d'ensemble sur vingt kilomètre et le détail à 10 mètres en même temps. Je peux préparer mon itinéraire et me situer moi-même. Je peux arriver à destination en conservant une représentation du chemin dans ma mémoire.

Bref, je trouve que les outils qui facilitent l'utilisation de cartes sur écran (zoom, géolocalisation) ne sont que des palliatifs aux défauts de cette utilisation (écran non pliable de moins d'un mètre de côté), et apportent des effets secondaires gênants. OpenStreetMap est bien pratique, mais ce n'est pas demain que je cesserait d'être client de l'IGN.

Mais pourquoi est-il si méchant ?

Pas rassurant, mais pas particulièrement inquiétant, je trouve. Les gens sont libres de sous-traiter des services à Google…

Le support est excellent… La vente y est plus liée que nulle part ailleurs, aussi.

Ton système magique, là, comment le citoyen vérifie que c'est bien le code annoncé qui tourne sur la puce ?

Basé sur des signatures, tu dis ? Super, un système de vote basé sur le non-anonymat…

surtout que le reste de l'url sera toujours en alphabet latin

Trop pas, pourquoi ça ?

Non, le brevet ne couvre pas une idée, mais une solution technique. Si quelqu'un trouve une meilleure solution au même problème, il n'est pas soumis à ton brevet.

Quant au droit d'auteur, il couvre les œuvres de l'esprit, sans dépôt nécessaire.

Des adresses en xn-machin-trucbidule pour faire passer de l'Unicode, ça ressemble plus à un hack immonde qu'à une solution digne de ce nom. Envoyer directement de l'UTF-8 dans les requêtes DNS, ça coûtait trop cher ?

Dommage que ce soit pour iPhone, ou plutôt que le système de l'iPhone soit ce qu'il est. On ne peut pas installer librement un logiciel modifié, donc un logiciel pour cette plate-forme, avec l'intersection des licences d'origine, de l'AppStore et du système du téléphone lui-même, ne peut pas être libre.

Si le pilote en question était libre, pourquoi est-il obfusqué ? Si le code avant obfuscation était libre, il l'est toujours…

je préfère les urnes que nous avons, et même si cela a un coût financier et humain

Le coût humain, je vois : le dépouillement. Le coût financier, je ne vois pas, ça coûte moins cher que des ordinateurs de vote, non ?