Lorsqu'on installe un certificat sur un serveur, il est nécessaire d'installer également toute la chaîne de certificats intermédiaires jusqu'à la racine. Le certificat racine, en revanche, n'a pas besoin d'être installé, mais si on le fait, c'est inutile mais pas gênant.
Voici la raison. Lorsqu'un client se connecte sur le serveur, celui-ci va lui envoyer son certificat et la chaîne de certification. Le client va ainsi pouvoir vérifier que le certificat du serveur est bien signé par un certificat, qui est signé par un autre certificat, et ainsi de suite avec un nombre quelconque de niveaux, jusqu'à finalement tomber sur un certificat qui a été signé par le certificat racine d'une autorité de certification qu'il connaît. Concernant ce certificat racine donc, deux possibilités :
si tout va bien, le client le connaît déjà, ce qui lui permet de finir la procédure de vérification et de valider la connexion : dans ce cas, si le serveur lui a fourni ce certificat racine, ça ne lui aura servi à rien, puisqu'il le connaissait déjà ;
dans le cas contraire, si le client ne connaît pas ce certificat racine, il s'agit d'un échec de validation de la connexion, le serveur utilisant un certificat qui n'a pas de chaîne de certification partant d'une racine connue : dans ce cas, si le serveur lui a fourni ce certificat racine, cela n'aura pas servi non plus, parce que cette racine est inconnue et sera donc refusée par le logiciel client.
Concernant « la raison invoquée […] qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine », c'est n'importe quoi, et si celui qui a proféré ces absurdités a un boulot touchant de près ou de loin à la sécurité informatique, le principal danger pour votre entreprise est la présence de cet incompétent à un tel poste.
Si un attaquant récupérait l'autorité de certification racine, qui pourrait il compromettre ? Seulement le serveur concerné ? L'ensemble des serveurs concernés ? Comment ferait il ?
Rien, il ne pourrait rien compromettre à partir de cette information publique, que n'importe qui peut récupérer et qui a pour but de permettre la validation des connexions.
Plusieurs choses. Tout d'abord, qu'il est important d'avoir un thème qui s'applique à tous les logiciels qu'on utilise. C'est la raison pour laquelle je déteste la tendance de pas mal de logiciels, notamment sous Windows, qui ont leur propre thème, parce que le développeur trouvait qu'il pouvait forcément faire mieux que Microsoft en la matière, avec pour résultat une incroyable disparité. Du pur syndrome NIH au détriment de l'expérience utilisateur.
Du coup, quand je lis ça, ce qu'il me vient immédiatement à l'esprit, c'est « pourvu que les développeurs de GTK n'en tiennent pas compte » :
On a platform level, we believe GTK should stop forcing a single stylesheet on all apps by default. Instead of apps having to opt out of this by hardcoding a stylesheet, they should use the platform stylesheet unless they opt in to something else. We realize this is a complicated issue, but assuming every app works with every stylesheet is a bad default.
Ensuite, j'ai utilisé GTK+2 pendant des années, avec plusieurs thèmes qui ne m'ont jamais posé le moindre problème. C'est en passant à GTK+3 que je me suis rendu compte que certains thèmes étaient parfaitement inutilisables, ou très moches, avec certains logiciels. En tant qu'utilisateur, ça donne quand même pas mal l'impression que le problème vient de l'implémentation du système de thème. Peut-être donne-t-il trop de liberté, je ne sais pas, mais ça marchait bien avant, et ça marche moins bien maintenant.
Enfin, la solution pourrait être autre : Gnome pourrait avoir par exemple une batterie d'exemples destinés à tester les thèmes. Un thème devrait être parfaitement utilisable avec tous ces exemples pour être promu par Gnome, les autres thèmes étant officiellement déconseillés avec exemples à la clef.
Oui, on peut, c'est ce que je fais sur mes portables. En revanche, ça ajoute un empilement que GRUB n'apprécie pas trop. De toute façon, lire du LUKS avec GRUB, je n'ai jamais essayé et pas vraiment envie de le faire.
Vu les articles sur le démontage du T470, ça doit être SATA et M.2 sur certains modèles. Le mieux serait sans doute de demander à LaptopService, ils pourront peut-être vérifier.
J'ai quelque chose comme un T470s chez moi. Déjà, je peux confirmer que c'est léger, peu encombrant et très, très performant par rapport à tout ce que j'ai connu d'autre. Il y a dedans un SSD en NVME, sans doute branché sur un port M.2, mais je n'ai pas ouvert pour vérifier. Je vérifierai ce que je peux trouver comme info supplémentaires.
As-tu regardé ce qui pouvait se trouver dans le marché du reconditionné ? J'ai récemment acheté un ThinkPad impeccable chez LaptopService, qui a l'avantage d'être en France et d'employer des travailleurs invalides. Les avantages du reconditionnés en général sont bien connus : c'est moins cher, ça retarde la mise au rebut de matériel en état de marche, et ça évite la production d'une nouvelle machine.
Bref, le principal, c'est que LaptopService donc, réinstalle sur les machines reconditionnées un système d'exploitation Windows avec une licence spéciale pour les reconditionneurs. Personnellement, je m'en suis aperçu après réception, donc trop tard, mais si on leur précise avec la commande qu'on n'a pas besoin de ce système, ils devraient pouvoir ne pas l'installer, et économiser ainsi son coût. Je doute qu'ils fassent une ristourne pour autant, mais même sans cela, ce sera toujours autant d'argent qui finira inutilement dans la poche de Microsoft, et qui ira à la place à la boîte de reconditionnement.
Voilà, c'est essayé, et je suis maintenant en train de batailler pour l'enlever.
Premier problème, avec Magisk, les logiciels peuvent devenir root, mais pour Dieu sait quelle raison, ce n'est plus possible pour le démon de débogage Android, adbd, qui précise qu'il ne peut pas tourner en tant que root sur un build de production. Je n'ai pas vérifié, mais ça donne l'impression que Magisk s'est amusé à remplacer adbd par sa propre version. Ça me suffit à décider de dégager Magisk.
Deuxième problème, l'interface graphique Magisk Manager propose un bouton pour « désinstaller Magisk ». Seulement, ça ne marche visiblement pas, vu qu'après redémarrage, il est toujours là. Enfin, ils sont toujours là : Magisk, avec notamment son binaire su, et Magisk Manager. Depuis le système de récupération TWRP, le désinstallateur officiel de Magisk ne fait pas mieux, après l'avoir lancé et redémarré le système, Magisk est toujours là et Magisk Manager aussi.
Du coup, je viens de restaurer une sauvegarde de mon système effectuée au préalable avec TWRP. Bien m'a pris de prendre cette précaution avant de m'amuser avec Magisk ! Et, ultime surprise, après avoir restauré mon système, Magisk Manager est toujours là. Mais d'où sort-il donc ? Je viens de le désinstaller, affaire à suivre. En tout cas, je suis vacciné, je ne toucherai plus à ce truc.
Les autres applications ne voient même pas que l'appareil est rooté.
Si, elles le voient. J'ai un logiciel bancaire qui refuse de fonctionner en indiquant que c'est rooté et qu'il n'aime pas ça. Je suppose qu'il constate simplement l'existence d'un binaire su ou sudo dans le PATH.
Acheter un smartphone sous Android, ça signifie avec tout plein de Google dedans. Pourtant, Android est une distribution GNU/Linux […]
Non, c'est une distribution Linux tout court. La libc utilisée par Android n'est pas celle de GNU, et il me semble qu'il en est de même pour l'ensemble des bibliothèques essentielles de ce système.
Il y a beaucoup de distributions GNU/Linux, mais là pour le coup, il n'y a pas de GNU.
Ton opérateur fourni normalement des cartes SIM supportant plusieurs formats selon quel partie tu détaches. Si tu as été prévoyant, tu dois encore posséder la base SIM format carte de crédit sur lequel tu peux détacher la partie miniSIM restante et reclipser ta micro ou nano SIM dedans pour te faire un adaptateur.
Si tu n'as pas été assez prévoyant, tu peux toujours t'en sortir en tâtonnant un peu pour placer la petite carte de téléphone dans l'emplacement plus grand du vieux téléphone. Ça passe, ça demande juste un peu de temps pour déterminer où la positionner correctement.
Le “bean” de Netbeans ne désigne pas un haricot, mais une fève ou un grain, en l'occurrence de café, qui est un thème symbolique plus ou moins central dans l'univers de Java.
Je me suis peut être mal exprimé, à vrai dire je m'en fiche de cela, je souhaite simplement éviter que quelqu’un ou une entreprise se l'approprie
Prétendre être l'auteur d'un logiciel sans l'être vraiment, c'est interdit par la loi, il s'agit du droit moral de l'auteur. Nul besoin d'une quelconque licence pour cela, c'est simplement la loi, et il est d'ailleurs impossible de renoncer à ce droit ou de le céder.
et la redistribue sous une autre forme.
Là c'est autre chose, et ça vaut la peine de creuser : pourquoi ne veux-tu pas que quelqu'un d'autre puisse le redistribuer sous une autre forme que celle que tu as choisie ?
Tiens, pour aller avec privateur, on devrait parler de logiciel libérateur. ;-)
En fait, dans l'idée de RMS, si je ne m'abuse, il devrait être normal de disposer des quatre libertés, donc on devrait aussi pouvoir parler de logiciel normal. Ou de logiciel respectueux. Bref, ça peut aller assez loin.
Personnellement, j'ai été assez impressionné par la compatibilité et les performances des derniers ThinkPad de la série T. Il te faudra te renseigner davantage, mais c'est aussi assez classe comme machine, tant qu'à faire…
Personnellement, je trouve le terme de propriétaire très inadapté, parce qu'un logiciel peut être éventuellement être considéré comme la propriété de quelqu'un, mais certainement pas propriétaire de quoi que ce soit. Un logiciel propriété, éventuellement, un logiciel relevant de la propriété, mais logiciel propriétaire, c'est insensé.
Oui, je trouve aussi le nom Unixstickers un peu abusif. Ce qu'ils proposent est généralement autour du logiciel libre et de la programmation. Et ils ne proposent pas un choix libre d'autocollants, seulement des packs dont seule une petite partie plaira vraisemblablement au client, ce qui est assez agaçant. N'empêche, c'est toujours ça je trouve, faut de mieux.
Il me semble que Galilée a aussi joliment usurpé un imprimatur signé par un évêque pour son manuscrit, qu'il avait retouché avant publication en conservant le dit imprimatur. Ça n'a pas dû jouer en sa faveur.
# Certificat racine inutile mais pas gênant
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Question Certificat pks12 avec ou sans certificat racine ?. Évalué à 4. Dernière modification le 24 mai 2019 à 10:48.
Lorsqu'on installe un certificat sur un serveur, il est nécessaire d'installer également toute la chaîne de certificats intermédiaires jusqu'à la racine. Le certificat racine, en revanche, n'a pas besoin d'être installé, mais si on le fait, c'est inutile mais pas gênant.
Voici la raison. Lorsqu'un client se connecte sur le serveur, celui-ci va lui envoyer son certificat et la chaîne de certification. Le client va ainsi pouvoir vérifier que le certificat du serveur est bien signé par un certificat, qui est signé par un autre certificat, et ainsi de suite avec un nombre quelconque de niveaux, jusqu'à finalement tomber sur un certificat qui a été signé par le certificat racine d'une autorité de certification qu'il connaît. Concernant ce certificat racine donc, deux possibilités :
Concernant « la raison invoquée […] qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine », c'est n'importe quoi, et si celui qui a proféré ces absurdités a un boulot touchant de près ou de loin à la sécurité informatique, le principal danger pour votre entreprise est la présence de cet incompétent à un tel poste.
Rien, il ne pourrait rien compromettre à partir de cette information publique, que n'importe qui peut récupérer et qui a pour but de permettre la validation des connexions.
[^] # Re: des bons et des mauvais themes?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Campagne contre les thèmes du côté de chez GNOME. Évalué à 3.
Pareil, le sujet est pertinent.
# Ce que j'en pense
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Campagne contre les thèmes du côté de chez GNOME. Évalué à 10.
Plusieurs choses. Tout d'abord, qu'il est important d'avoir un thème qui s'applique à tous les logiciels qu'on utilise. C'est la raison pour laquelle je déteste la tendance de pas mal de logiciels, notamment sous Windows, qui ont leur propre thème, parce que le développeur trouvait qu'il pouvait forcément faire mieux que Microsoft en la matière, avec pour résultat une incroyable disparité. Du pur syndrome NIH au détriment de l'expérience utilisateur.
Du coup, quand je lis ça, ce qu'il me vient immédiatement à l'esprit, c'est « pourvu que les développeurs de GTK n'en tiennent pas compte » :
Ensuite, j'ai utilisé GTK+2 pendant des années, avec plusieurs thèmes qui ne m'ont jamais posé le moindre problème. C'est en passant à GTK+3 que je me suis rendu compte que certains thèmes étaient parfaitement inutilisables, ou très moches, avec certains logiciels. En tant qu'utilisateur, ça donne quand même pas mal l'impression que le problème vient de l'implémentation du système de thème. Peut-être donne-t-il trop de liberté, je ne sais pas, mais ça marchait bien avant, et ça marche moins bien maintenant.
Enfin, la solution pourrait être autre : Gnome pourrait avoir par exemple une batterie d'exemples destinés à tester les thèmes. Un thème devrait être parfaitement utilisable avec tous ces exemples pour être promu par Gnome, les autres thèmes étant officiellement déconseillés avec exemples à la clef.
[^] # Re: Ça tombe à pic
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Gestion de volumes RAID avec LVM. Évalué à 3.
Oui, on peut, c'est ce que je fais sur mes portables. En revanche, ça ajoute un empilement que GRUB n'apprécie pas trop. De toute façon, lire du LUKS avec GRUB, je n'ai jamais essayé et pas vraiment envie de le faire.
[^] # Re: Ça tombe à pic
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Gestion de volumes RAID avec LVM. Évalué à 4.
Je ne suis pas sûr de ce que GRUB prend vraiment en charge : pour le RAID1, j'en suis certain, mais pour le reste, il faudrait vraiment essayer.
RAID6, c'est avec deux disques de parité en effet.
[^] # Re: dm-cache?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Gestion de volumes RAID avec LVM. Évalué à 3.
Jamais essayé, non, mais dans le même genre, avec LVM, il y a les volumes logiques de type cache-pool, cf
lvmcache(7).[^] # Re: Reconditionné
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sélection d'un PC libre. Évalué à 4.
Je dirais qu'elle est à 80% de sa capacité d'origine, à vue de nez.
[^] # Re: Reconditionné
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sélection d'un PC libre. Évalué à 3.
Vu les articles sur le démontage du T470, ça doit être SATA et M.2 sur certains modèles. Le mieux serait sans doute de demander à LaptopService, ils pourront peut-être vérifier.
[^] # Re: Reconditionné
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sélection d'un PC libre. Évalué à 3.
J'ai quelque chose comme un T470s chez moi. Déjà, je peux confirmer que c'est léger, peu encombrant et très, très performant par rapport à tout ce que j'ai connu d'autre. Il y a dedans un SSD en NVME, sans doute branché sur un port M.2, mais je n'ai pas ouvert pour vérifier. Je vérifierai ce que je peux trouver comme info supplémentaires.
# Reconditionné
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sélection d'un PC libre. Évalué à 10.
As-tu regardé ce qui pouvait se trouver dans le marché du reconditionné ? J'ai récemment acheté un ThinkPad impeccable chez LaptopService, qui a l'avantage d'être en France et d'employer des travailleurs invalides. Les avantages du reconditionnés en général sont bien connus : c'est moins cher, ça retarde la mise au rebut de matériel en état de marche, et ça évite la production d'une nouvelle machine.
Bref, le principal, c'est que LaptopService donc, réinstalle sur les machines reconditionnées un système d'exploitation Windows avec une licence spéciale pour les reconditionneurs. Personnellement, je m'en suis aperçu après réception, donc trop tard, mais si on leur précise avec la commande qu'on n'a pas besoin de ce système, ils devraient pouvoir ne pas l'installer, et économiser ainsi son coût. Je doute qu'ils fassent une ristourne pour autant, mais même sans cela, ce sera toujours autant d'argent qui finira inutilement dans la poche de Microsoft, et qui ira à la place à la boîte de reconditionnement.
# Nouveau processeur ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Sortie de GNU Compiler Collection 9.1. Évalué à 5.
Save-vous pourquoi il faut un support d'un processeur spécifique dans GCC ?
[^] # Re: L'illusion de la liberté
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Mon nouveau smartphone Android dégooglisé. Évalué à 10.
Voilà, c'est essayé, et je suis maintenant en train de batailler pour l'enlever.
Premier problème, avec Magisk, les logiciels peuvent devenir root, mais pour Dieu sait quelle raison, ce n'est plus possible pour le démon de débogage Android, adbd, qui précise qu'il ne peut pas tourner en tant que root sur un build de production. Je n'ai pas vérifié, mais ça donne l'impression que Magisk s'est amusé à remplacer adbd par sa propre version. Ça me suffit à décider de dégager Magisk.
Deuxième problème, l'interface graphique Magisk Manager propose un bouton pour « désinstaller Magisk ». Seulement, ça ne marche visiblement pas, vu qu'après redémarrage, il est toujours là. Enfin, ils sont toujours là : Magisk, avec notamment son binaire su, et Magisk Manager. Depuis le système de récupération TWRP, le désinstallateur officiel de Magisk ne fait pas mieux, après l'avoir lancé et redémarré le système, Magisk est toujours là et Magisk Manager aussi.
Du coup, je viens de restaurer une sauvegarde de mon système effectuée au préalable avec TWRP. Bien m'a pris de prendre cette précaution avant de m'amuser avec Magisk ! Et, ultime surprise, après avoir restauré mon système, Magisk Manager est toujours là. Mais d'où sort-il donc ? Je viens de le désinstaller, affaire à suivre. En tout cas, je suis vacciné, je ne toucherai plus à ce truc.
[^] # Re: L'illusion de la liberté
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Mon nouveau smartphone Android dégooglisé. Évalué à 3.
Je vais essayer, en revanche : “Magisk does NOT have a website. Do NOT download Magisk from unofficial sites.”
[^] # Re: L'illusion de la liberté
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Mon nouveau smartphone Android dégooglisé. Évalué à 4.
Si, elles le voient. J'ai un logiciel bancaire qui refuse de fonctionner en indiquant que c'est rooté et qu'il n'aime pas ça. Je suppose qu'il constate simplement l'existence d'un binaire su ou sudo dans le PATH.
# Distribution Linux tout court
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Mon nouveau smartphone Android dégooglisé. Évalué à 10.
Non, c'est une distribution Linux tout court. La libc utilisée par Android n'est pas celle de GNU, et il me semble qu'il en est de même pour l'ensemble des bibliothèques essentielles de ce système.
Il y a beaucoup de distributions GNU/Linux, mais là pour le coup, il n'y a pas de GNU.
[^] # Re: Déplacement de SIM ou…
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal [Ma Vie] De la stupidité de tout faire sur téléphone. Évalué à 3.
Si tu n'as pas été assez prévoyant, tu peux toujours t'en sortir en tâtonnant un peu pour placer la petite carte de téléphone dans l'emplacement plus grand du vieux téléphone. Ça passe, ça demande juste un peu de temps pour déterminer où la positionner correctement.
# Fève ou grain
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Toileharicot 11 est dehors. Évalué à 10.
Le “bean” de Netbeans ne désigne pas un haricot, mais une fève ou un grain, en l'occurrence de café, qui est un thème symbolique plus ou moins central dans l'univers de Java.
[^] # Re: Besoin pas bien défini, contraintes non plus
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Distribuer une app, besoin d'aide. Évalué à 6.
Prétendre être l'auteur d'un logiciel sans l'être vraiment, c'est interdit par la loi, il s'agit du droit moral de l'auteur. Nul besoin d'une quelconque licence pour cela, c'est simplement la loi, et il est d'ailleurs impossible de renoncer à ce droit ou de le céder.
Là c'est autre chose, et ça vaut la peine de creuser : pourquoi ne veux-tu pas que quelqu'un d'autre puisse le redistribuer sous une autre forme que celle que tu as choisie ?
[^] # Re: Non mais c'est sérieux ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Festival d'installation : Jusqu'où et comment pactiser avec le diable ?. Évalué à 4. Dernière modification le 04 avril 2019 à 14:25.
Tiens, pour aller avec privateur, on devrait parler de logiciel libérateur. ;-)
En fait, dans l'idée de RMS, si je ne m'abuse, il devrait être normal de disposer des quatre libertés, donc on devrait aussi pouvoir parler de logiciel normal. Ou de logiciel respectueux. Bref, ça peut aller assez loin.
# Lenovo ThinkPad
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Recherche portable qui tue. Évalué à 5.
Personnellement, j'ai été assez impressionné par la compatibilité et les performances des derniers ThinkPad de la série T. Il te faudra te renseigner davantage, mais c'est aussi assez classe comme machine, tant qu'à faire…
[^] # Re: Non mais c'est sérieux ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Festival d'installation : Jusqu'où et comment pactiser avec le diable ?. Évalué à 4.
Ah, pas mal, c'est la première fois que je vois cette expression, qui répond bien à mes objections sur le terme propriétaire.
[^] # Re: Non mais c'est sérieux ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Festival d'installation : Jusqu'où et comment pactiser avec le diable ?. Évalué à 5.
Le diable est une référence religieuse, mais pas les notions d'âme et de morale, qui relèvent autant de la philo.
[^] # Re: Non mais c'est sérieux ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Festival d'installation : Jusqu'où et comment pactiser avec le diable ?. Évalué à 8.
Personnellement, je trouve le terme de propriétaire très inadapté, parce qu'un logiciel peut être éventuellement être considéré comme la propriété de quelqu'un, mais certainement pas propriétaire de quoi que ce soit. Un logiciel propriété, éventuellement, un logiciel relevant de la propriété, mais logiciel propriétaire, c'est insensé.
[^] # Re: Grmbl
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Promo chez Unixstickers. Évalué à 5.
Oui, je trouve aussi le nom Unixstickers un peu abusif. Ce qu'ils proposent est généralement autour du logiciel libre et de la programmation. Et ils ne proposent pas un choix libre d'autocollants, seulement des packs dont seule une petite partie plaira vraisemblablement au client, ce qui est assez agaçant. N'empêche, c'est toujours ça je trouve, faut de mieux.
[^] # Re: Mécréants
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Hors sujet mais ... : il y a 775 ans .... Évalué à 4.
Il me semble que Galilée a aussi joliment usurpé un imprimatur signé par un évêque pour son manuscrit, qu'il avait retouché avant publication en conservant le dit imprimatur. Ça n'a pas dû jouer en sa faveur.