🚲 Tanguy Ortolo a écrit 12511 commentaires

Est-ce que certains sont passés à Debian 8 mais avec l'init SystemV ?

Moi.

À noter que sur d'autres systèmes, je suis aussi passé à Debian 8 avec systemd sans problèmes particuliers.

Voilà mais là ça dépend aussi du but de la signature. Si c'est pour avoir une preuve légale, mieux vaut une autorité de certification (qui est la garante de la fiabilité, donc la faute retombe sur eux).

Ça tombe bien, c'est faisable avec PGP, dont le modèle est un sur-ensemble de celui de X.509. En fait, n'importe qui peut être autorité de certification, techniquement parlant j'entends. Administrativement, c'est différent, mais toujours est-il qu'il est tout à fait possible pour des autorités de certification ayant pignon sur rue de signer des clefs PGP, en engageant leur responsabilité comme il se doit (et en faisant des vérifications merdiques, parce que ce sont des pros, et que les vérifications sérieuses, c'est un truc d'amateurs).

Après je ne suis pas super spécialiste, mais j'imagine que si ton certificat DKIM est signé par […]

Non. Il n'y a pas de certificat DKIM, seulement une paire de clefs. La clef publique est publiée comme enregistrement DNS, et si elle doit être certifiée — et elle devrait l'être — ce sera avec DNSSEC.

Dernier point, si tu veux aller plus loin, ton message pourrait inclure une chaîne issu d'un serveur d'horodatage (en gros un timestamp et la signature par ce serveur). J'avoue ne pas savoir qui fournit ce service

Il existe un moyen simple de se prémunir des antédatation — mais pas des postdatations — qui consiste à inclure un extrait des dernières nouvelles provenant de n'importe quel journal.

FUD.

Il y a au moins un contre-exemple majeur : S/MIME est basé sur X.509, dont la sécurité dépend de la fiabilité de l'ensemble des autorités de certification reconnues, or cette hypothèse a plusieurs fois été reconnue non vérifiée. Cela provient principalement d'une limitation précise de X.509, qui est l'impossibilité pour un certificat de porter plusieurs signatures d'autorités de certification, ce qui est précisément l'avantage majeur d'OpenPGP.

Tu en tends quoi par là ? Une table mysql avec mots de passes chiffrés ne suffirait pas ? Il faudrait un engagement de responsabilité sur la chaîne d'administration du serveur ?

Il faudrait surtout que ce soit public. Parce que sinon, en recevant un tel message, tout ce qu'on peut dire c'est : si personne n'a fait d'usurpation DNS, si personne n'a piraté le serveur de l'expéditeur, si celui-ci est bien configuré et utilisé, et si personne n'a piraté le compte de l'expéditeur, ce message vient bien de untel@example.com. Ça ne dit pas que ça provient de M. Truc Untel né le 1970-01-01T00:00Z à Paris 42e arrondissement : c'est associé à un compte, pas à une personne.

Oui, mais dans ce cas, c'est la faute du signataire. L'idée de chiffrement ou de la signature de bout en bout, c'est que ça ne dépend que de la fiabilité des correspondants, pas des intermédiaires.

Auquel cas, qu'est ce qui manquerait pour avoir légalement la valeur de signature numérique ?

Sans doute une signature associée à la personne qui a rédigé le message. Je doute qu'on puisse qualifier de signature numérique une chaîne de transmissions, si sécurisée qu'elle puisse être contre l'usurpation et la modification.

le nom de domaine de ma société enregistré par mon registrar .com est sensé corresponde à ma société (travail du registrar de vérifier il me semble)

Non, c'est là une supposition farfelue. N'importe qui peut acheter nimportequoi.example, le nom de l'acheteur n'a pas du tout besoin de correspondre à quelque partie que ce soit du nom de domaine.

Le nom indiqué dans le WHOIS est censé être le tien, mais il n'est pas vraiment utilisé en matière de courrier électronique.

est ce que quelqu'un peut me confirmer que cela forme une chaîne d'authentification et de certification de l'émission d'un courriel (au sens le courriel n'a pas été modifié, et à bien été émis par telle personne de telle société) ?

Ça donne des éléments de preuve que le message a bien été émis à partir d'un compte de courrier électronique donné dans ton organisation. Il manque au moins une authentification du DNS contre les possibles usurpations par ce moyen (un attaquant qui ferait en sorte que le destinataire d'un message, lorsqu'il va chercher la clef publique DKIM, récupère la sienne à la place de la votre), ce qui peut se faire avec DNSSEC.

Concernant l'association avec les personnes disposant des comptes de courrier électronique, ce n'est pas possible sans ajouter au moins une sorte de répertoire sécurisé.

À noter que, du point de vue du destinataire, tout cela dépend de la confiance en pas mal d'acteurs : le bureau d'enregistrement et le registre DNS, ton organisation et son système informatique, plus l'expéditeur lui-même (qui aurait pu laisser quelqu'un d'autre utiliser son compte). Ceci est à comparer avec une méthode de signature de bout en bout telle qu'OpenPGP, qui ne dépendra que de la confiance qu'on accorde à la chaîne de certification qui relie l'expéditeur et le destinataire (chaîne qui peut au besoin être réduite à ces deux seuls acteurs, s'ils ont l'occasion de se rencontrer directement).

Par ailleurs, mettre un document en pièce jointe et coller le MD5SUM dans le courriel n'ajoute pas d'information pertinente. Assertion vrai ou fausse ?

Un peu des deux ? C'est pertinent contre les erreurs de manipulations ou de transmissions (tiens, la somme de contrôle ne correspond pas, le fichier a dû être abîmé au passage, ou alors l'expéditeur s'est planté de fichier), pas contre les usurpations effectivement (un attaquant veillerait évidemment a mettre la somme de contrôle de son fichier).

Ah, compris, désolé. Du coup ça m'amuse avec un sérieux retard…

Je comprends bien qu'il s'agit d'une plaisanterie, mais c'est un peu tendancieux, l'association prêtre ↔ extrémiste.

Refais-nous-la avec un imam et un terroriste, pour voir…

Tiens, il me semblait que c'était MORPEUG.

Les gamers, les coders, les dinosaures et quelques autres garderont peut être un ensemble écran clavier, >comme certain écrivains ont une machine à écrire ou un stylo fétiche
mais pour combien de temps ?

Ben, pour longtemps, parce qu'il faut bien des gens pour écrire des livres, et des gens pour coder les trucs qui tournent sur ces autres appareils qui se vendent si bien. Et des écrivains et des développeurs qui travaillent en tapant sur un écran tactile, je n'en ai pas encore vu, et je soupçonne que c'est parce que ce n'est pas adapté.

Ce n'est pas parce que tu ne sais pas configurer le montage automatique sur MATE

Ça n'a rien à voir avec l'automontage. C'est à l'exécution automatique de binaires sur support externes qu'il fait référence.

qu'il faut te croire à l'abri d'une clef USB (ou d'un autre équipement USB) qui se ferait passer pour un clavier le temps d'installer une porte dérobée.

Comme je l'ai déjà fait remarquer, on n'a pas de protection contre cela. Mais encore une fois, ça n'a aucun rapport avec le montage automatique.

Si le poste est sous GNU/Linux (Linux Mint MATE par exemple), tu peux brancher toutes les clés USB que tu veux sans aucun risque.

Non, c'est faux. Tu peux brancher toutes les vraies clefs USB que tu veux sans risques. Mais les fausses clefs USB, qui sont en fait des trucs hostiles, qui peuvent selon le cas balancer une décharge électrique ou se faire passer pour un clavier et envoyer ce qu'il faut pour ouvrir une belle porte dérobée, non.

Il est nominatif, mais l'opérateur n'a pas ton nom.

C'est fou comme ça a l'air intuitif et agréable à administrer, un Windows…

Bravo, c'est vachement lisible… (Bon, on comprend tout de même, mais ç'aurait été mieux en plusieurs lignes quoi)

Ça confirme une chose que j'ai pu constater, chez quelqu'un dont je n'attendais vraiment pas une démarche de migration vers GNU/Linux. En gros, avec ce qu'il avait entendu de Windows 10, plus la politique de mise à jour agressive de Microsoft, son avis, c'était : « Attention, Microsoft cherchent à faire passer en douce une mise à jour vers Windows 10, j'ai des parents qui se sont fait avoir. Il ne faut pas l'accepter, parce que c'est un système qui espionne et transmet ce qu'on fait à Microsoft. » Évidemment, s'agissant de quelqu'un qui est tout sauf spécialiste, c'est un avis très grossier, peu détaillé, mais il faut reconnaître que c'est basé sur des informations exactes, et que si on peut largement le nuancer, on ne peut pas le nier.

Bref, c'était là un boulevard pour une migration, et quelque chose d'assez nouveau à mes yeux.

• Une douche en verre transparente, bien en face dans l'angle de la webcam.

C'est surtout ça qui est bizarre, une douche transparente dans la chambre. Seul dans la chambre, ça n'est pas un problème, encore que ça puisse être gênant malgré tout. Mais si on n'est pas seul, c'est problématique : déjà, les deux occupants de la chambre ne sont pas forcément conjoints, et ensuite, même si c'est le cas, ce n'est pas forcément agréable, de se doucher sous les yeux de son conjoint.

Ça m'étonne beaucoup, mais de toute façon, le droit français impose la reconnaissance de la paternité d'une œuvre si l'auteur le souhaite. Donc s'il reste du code de quelqu'un, il faut le mentionner.

Je ne pense pas que ça implique pour autant de maintenir pour chaque fichier une liste extensive des contributeurs, surtout pour les modifications de faible ampleur, surtout si on utilise un système de gestion de version, où chaque commit peut avoir un auteur identifié ou créditer quelqu'un par un message approprié.

Si, comme l'écrit l'auteur :

Cependant, avec le temps, dans ces fichiers, le code original n'est plus. […] au final, le fichier ne comporte plus de code issue du projet forké

alors retirer les contributions des auteurs concernés est trivial : il suffit de ne rien faire.

Je pense qu'un compositeur a toujours un intérêt, oui, d'un part parce qu'il ne gère pas que l'affichage mais aussi l'entrée, et d'autre part parce qu'il faut bien quelque chose pour fenêtrer et tout ce qui va avec, bien que je n'y connaisse pas grand chose.

Sinon, autant se demander si X11 avait bien un intérêt plutôt que d'écrire directement dans la mémoire vidéo non ?

L'API Vulkan ne se veut pas une remplaçante à OpenGL une autre API du Khronos Group, mais une alternative plus orientée vers la programmation bas-niveau.

Un peu quand même, j'ai l'impression :

Avant de s'appeler Vulkan, l'API était connue sous le nom d'Open GL Next.

Je ne sais pas, je n'ai rien contre l'usage de fonctions quand ça sert vraiment à quelque chose, mais pour du pur script linéaire, ça m'a l'air de verbiage inutile, ou qui devrait être inutile en tout cas. Je trouve que des trucs comme (function(window){…})(window) sont plus complexes qu'ils ne devraient l'être, et par là même moins lisibles, en particulier comparé à quelque chose comme { … } qui pourrait faire la même chose.

Apparemment ce manque de granularité dans les portées des variables a été réglé par l'introduction de l'instruction let.