🚲 Tanguy Ortolo a écrit 12091 commentaires

applique une vérification sérieuse,

Merci pour la bonne blague.

Euh, j'étais sérieux là. Autorité de certification commerciale : il faut fournir quelque chose comme un de relevé de compte en banque (un truc que n'importe qui peut falsifier) et une adresse électronique et un numéro de téléphone où être rappelé. Aucun contact direct. CAcert : il faut rencontrer en personne trois ou quatre accréditeurs CAcert qui vérifieront tes papiers d'identité et la correspondance de la photo avec ton visage.

Tu sais très bien que c'est faux (pour s'en convaincre, il suffit de voir qu'ils n'osent même pas demander à des pro-libres de regarder chez eux).

Là, je n'ai pas compris.

Parce que pour vérifier l'empreinte d'une clé il faut faire confiance à une entreprise que quelqu'un à payer pour ça.

Pas du tout. Une autorité de certification n'est pas payée pour vérifier quoi que ce soit, elle est payée par ces clients pour leur fournir un certificat signé. La vérification, ce n'est pas la prestation qu'elles vendent, mais simplement un devoir déontologique, qui a l'inconvénient d'être opposé à leur intérêt financier. Plus une autorité de certification vérifie, plus elle refuse de clients, et moins elle gagne d'argent.

Quel article tu commentes, ça c'est une information publique. Pour le reste, d'accord.

Parce que si tu supprimes cet avertissement, tu autorises n'importe quel attaquant à faire ce qu'il veut du réseau puisqu'il peut se faire passer pour un site légitime avec un certificat auto-signé.

N'importe quel attaquant capable de réécrire à la volée ton trafic réseau. Ça limite quand même un peu.

Transmettre ton mot de passe en clair.

À ma connaissance, les seuls cas avérés de certificats falsifiés étaient des certicats utilisant un condensat MD5.

Oh que non, il y a aussi eu des cas d'autorités de certification qui ont émis des certificat pour des noms de domaines données à l'intention de gens qui n'en étaient pas du tout propriétaires.

La plus belle preuve que les autorités de certification ont fait n'importe quoi, c'est qu'elles ont introduit de nouveaux certificats avec Extended Validation qui veulent dire que là, c'est sérieusement vérifié. Autrement dit, que sans EV, c'est vérifié n'importe comment.

Ce ne sont pas les certificats X.509 le problème,

Si. Les certificats X.509 ne pouvant porter qu'une seule signature d'autorité, ce qui encourage le maintien d'un oligopole très restreint d'autorités de certification (on ne peut pas raisonnablement prendre un certificat signé par un petit nouveau, qui ne sera pas reconnu partout, et on ne peut pas prendre un certificat signé à la fois par un petit nouveau et par un acteur établi puisque le format de certificats ne le permet pas).

À son tour, la grande importance des acteurs majeurs de cette coterie empêche leur retrait en cas de problème (too big to fail: même si VeriSign émet, disons, des certificats pour la NSA portant sur des noms de domaines qu'elle ne possède pas, on ne peut pas retirer VeriSign des navigateurs sinon le Web commercial cesse en pratique de fonctionner). Compte tenu de cela, les autorités de certification, qui ne sont pas payées à la vérification mais à la certification et qui n'ont aucun intérêt à effectuer des vérifications trop poussées (au risque de refuser des clients !), mais au contraire tout intérêt à accepter à peu près n'importe quel client sans se montrer trop exigeantes, n'ont pas grand chose qui les retiennent de maintenir un niveau de vérification très bas.

Et oui, tous ces problèmes sont en grande partie des conséquences du format technique X.509.

à quoi ca sert de chiffrer si tu ne sait pas avec qui ?

À se prémunir des attaques par simple écoute passive, même si c'est vulnérable aux attaques par réécriture active, en effet.

Par ailleurs, si cela ne permet pas de détecter les attaquants actifs présents depuis le début de la session, cela rend détectable l'introduction d'un nouvel attaquant actif en cours de session.

Bref, c'est mieux que de communiquer en clair, et moins bien que de communiquer en chiffré avec une vraie vérification du propriétaire de la clef publique.

Ce qui est une insulte, ce n'est pas l'avertissement, qui est légitime (rien de garantit qu'il n'y a pas un attaquant en réécriture sur la ligne), mais la hiérarchie des avertissements :

• transmission de mot de passe sur un site non sécurisé : aucun avertissement, ce qui est tout à fait anormal ;
• transmission de mot de passe sur un site sécurisé sans certification reconnue : un avertissement sévère, alors que c'est mieux que le cas précédent puisque cela protège déjà des attaques par simple écoute ;
• transmission de mot de passe sur un site sécurité avec certification reconnue : aucun avertissements, alors que, même si c'est mieux que le cas précédent, c'est toujours vulnérable à la corruption d'une autorité de certification, ce qui arrive parfois.

À propos, pour ceux que ça intéresse, j'en profite pour mentionner cet article à propos des conséquences « sociales » du modèle technique X.509. En deux mots, ce que j'en retiens, c'est que la conception technique d'X.509 encourage : 1. une centralisation oligopolistique, dont l'équilibre serait même un monopole ; 2. que ses acteurs principaux, les autorités de certification, fassent mal leur travail.

Il me semble préférable de passer par CAcert, qui :

• applique une vérification sérieuse, contrairement aux autorités de certification commerciales (puisque leur intérêt est de ne rien vérifier du tout pour ne pas refuser des clients) ;
• pour les gens qui reconnaissent cette autorité, fournit une garantie supérieure à un auto-signé ;
• pour les gens qui ne reconnaissent pas cette autorité, fournit une garantie égale à un auto-signé.

Ben non, kernel.org c'est le nom de domaine international utilisé pour le développement du noyau Linux, ça n'a rien à voir.

Cette discipline s'appelle sérieusement l'agility ? Ça c'est bien un anglicisme de merde utilisé parce que l'angliche ça fait hype, parce qu'à mon avis, même en anglais ils n'utilisent pas ce terme tellement il est générique. Concours d'agilité canine, ça fait trop old school, c'est ça ?

Ça m'effare un peu de voir tout ce que tu as du faire pour que ce soit disponible dans Debian… Même si certaines des demandes sont sans doute justifiées et intéressantes pour un logiciel de la plus haute qualité, ben… zut hein. Puis c'est pas comme si les exigences sur des détails de ce genre améliorait l'expérience de l'utilisateur final

Si tu penses que la priorité de Debian est la satisfaction de l'utilisateurs, tu oublies quelque chose : en réalité, les priorités de Debian sont les utilisateurs et les logiciels libres, c'est marqué dans le contrat social. L'arbitrage entre ces deux priorités est un sujet important, ceci dit.

Wah la vache le gnou, après des années de lutte, un double commentaire de ma part sur la confusion entre le Web et Internet finit par :

• être pertinenté au maximum ou presque, sans aucune opposition ;
• être pris en compte à la fois par les modérateurs et par l'auteur de la dépêche, et peut-être même répercuté dans le projet dont il est question !

Merci mon Dieu ! Maintenant, Seigneur, tu peux laisser ton serviteur s'en aller en paix, selon ta parole !

Allez expliquer, aussi, à un novice complet, pourquoi quand sa connexion à Internet est cassée, non seulement il ne peut pas « aller sur Internet », mais qu'il ne peut pas non plus écrire du courrier ou téléphoner. Pourtant, ce n'est pas Internet ça. Ou alors c'est aussi Internet, mais une partie d'Internet qu'on utilise sans « aller sur Internet » ?

Bref, c'est :

• une confusion vachement ancienne ;
• dont le remède (appeler un chat un chat) a tellement peu d'effets secondaires qu'il passe inaperçu, même pour des gens qui se sont habitués à cette confusion.

Ce serait quand même bête d'introduire cette confusion dans l'esprit de débutants, qui n'en sont pas déjà victimes !

Serait-il possible de préciser qu'il s'agit d'un navigateur Web, et d'indiquer sur le premier bouton du menu qu'il permet de naviguer sur le Web ?

Ceci afin d'éviter d'alimenter, voire d'introduire chez des novice la confusion entre le Web et l'Internet en général, qui est néfaste pour plusieurs raisons :

• elle sert de cheval de Troie, voulu ou non, mais utilisé en tout cas, aux fournisseurs d'accès qui cherchent à vendre un accès au Web seulement : si on confond les deux, on ne peut rien opposer à un fournisseur qui restreindrait son service à un accès au Web seul (« — Mais si, on fournit un accès à Internet, vous pouvez aller sur Google et Facebook ! — Oui mais la messagerie instantanée et la téléphonie sont bloquées. — Ah oui, c'est normal, ce n'est pas du Web ça. — Mais c'est un accès à Internet que j'ai acheté. — Ben oui, Internet et le Web c'est pareil ! »).
• elle complique les explications, en rendant notamment ce même menu incohérent : pour écrire du courrier sur Internet, ou pour téléphoner sur Internet, il faut utiliser quoi, le premier bouton ? Perdu, c'est le second et le troisième, parce que le premier, en fait c'est pour surfer sur le Web.

Dans Debian, un logiciel doit être fourni avec ses sources, ça c'est un fait largement connu. Et effectivement, un truc comme une image raster en PNG préparée à partir d'une image vectorielle ne sera pas considérée comme le code source : le source, c'est le SVG. Ce genre de cas se retrouve également avec, par exemple, du code JavaScript minifié (le source, c'est le JavaScript d'origine) ou des pages de manuel issues d'une conversion avec quelque chose comme Pandoc (le source, c'est le DocBook, ou la Markdown, ou le je ne sais quoi d'origine). Voire même avec du code C généré à partir de code Vala. Bref, sans être un cas très fréquent, ça n'a rien d'exotique comme problème.

Est-ce à dire qu'il faut obligatoirement tout regénérer à la compilation ? Non, pas nécessairement : ce qui est essentiel, c'est de fournir tout le source. Pas forcément de tout regénérer à chaque compilation : ça, c'est un choix que fera celui qui le compilera, ou celui qui en fera un paquet pour sa distribution.

Quelle est la solution raisonnable donc ? Eh bien, dans le cas d'une image, fournir dans le tarball distribué à la fois le source en SVG et la version PNG, et mettre dans ce répertoire un Makefile qui permette de regénérer cette dernière. Les utilisateurs directs du tarball ne l'utiliseront probablement pas, mais le mainteneur d'un paquet, s'il y tient, ira déclarer une dépendance de construction sur ImageMagick et utilisera ce Makefile.

Tiens, ce trajet me fait penser à une optimisation de trajet qui n'a pas été mentionnée : la simplicité. En effet, certains moteurs de calcul d'itinéraire proposent parfois des trajets très compliqués, vachement optimisés pour minimiser la distance par exemple, mais au prix d'un nombre délirant de changements de direction, ce qui est génial pour se perdre…

Il peut arriver de perdre de l'acuité visuelle sur l'œil directeur, au point de devoir se forcer à viser avec l'autre œil.

(Et, comme dans ce genre de cas, tout le monde pense à une correction optique pour régler le problème, je rappelle qu'il existe des maladies qui diminuent l'acuité visuelle sans possibilité de correction.)

Je n'ai rien de précis en tête, à part le fait que sous le terme PPA, on désigne quelque chose de très imprécis. Si on parle de l'architecture de construction de paquets hors de la distribution mais fournie pas la même organisation, il n'y a rien de tel dans Debian. Si on parle de la possibilité d'ajouter des dépôts qui ne sont pas ceux de la distribution, c'est le cas, non seulement avec Ubuntu et Debian, mais avec à peu près toutes les distributions GNU/Linux à base de dépôts en fait.

Vu ce que tu défends, j'en déduis ton style vestimentaire, et ça me fait rire : )

Vu ce que je défends ? Je défends quelque chose ici ? Je n'étais pas au courant !

Mais ce genre de rictus est déplacé…?

Quel rictus ? Excuse-moi mais je suis complètement largué là, tu as dû voir dans mon commentaire des subtilité que je ne voulais pas y mettre je crois. Je veux bien des explications, si tu as le temps.

Bon, ça, ce n'est rien de plus qu'une syntaxe particulière pour ajouter un dépôt Debian. De là à appeler ça un « support », il y a un monde.

Aigu, médicalement parlant, il me semble que c'est un problème qui ne dure pas longtemps, soit le contraire de chronique, qui dure longtemps. Typiquement, l'arthrite est une crise aigüe, au contraire de l'arthrose qui est chronique. Ça ne dit rien de la gravité du problème.

Que c'était super moche, austère, et de couleurs douteuses,
disons le franchement, autant être aveugle !

Toi aussi tu préfères partir plutôt que d'entendre ça plutôt que d'être sourd ?

Ces couleurs, avec tout ce marron, c'était pour le côté humain, chaud, af'icain, qui s'opposait au thème glacé de MacOS X. Après, ils sont passé au orange, puis plus récemment au violet.

Avec un accent grave tu veux dire, parce qu'« Ubuntu â dix ans », ça ne veut rien dire du tout.