🚲 Tanguy Ortolo a écrit 12334 commentaires

Un bureau social, je pense que c'est un bureau avec quelque part un bouton bleu en forme de pouce levé.

Donc l'établissement sait que la personne s'est logguée. Pas si elle a voté, pas ce qu'elle a voté (tout comme Facebook sait que je me suis loggué avec Facebook sur le site XXX mais ne sait pas ce que j'ai fait ensuite).
C'est tout l'interêt d'un SSO (découplage entre l'identification et le site visité).

Pas tout à fait, la preuve, c'est qu'on passe probablement par le même SSO pour se connecter sur le portail interne, où on se retrouve tout à fait identifié, donc le site de destination peut savoir qui vient de se connecter. Si le site de destination peut le savoir, d'autres peuvent le savoir aussi, si ces informations sont transmises…

ne me paraît plus très pertinent à l'heure où 99% des gens ont un portable :)

On ne peut pas supposer cela de façon sûre, parce qu'il faut avoir un téléphone portable, que celui-ci ne soit pas resté à la maison, qu'il soit chargé, que ça capte…

Et puis, tout cela est valable pour le fax, pour le scanner, pour le courrier électronique…

Mais non, ça n'est pas si "logique" que ça de pouvoir utiliser les ressources pro dans un but perso.

Si, c'est logique, parce que la vie personnelle ne s'arrête pas quand on franchit la porte de son bureau, pour reprendre quand on la quitte. Par exemple, quand on a des enfants, il est normal de pouvoir être appelé au bureau si le dernier est malade et qu'il faut aller le chercher à l'infirmerie. Dans un but différent, il est normal de pouvoir appeler son assureur, son banquier, or comme le banquier travaille à des heures de bureau, il faut pouvoir le faire depuis son propre bureau, ce qui implique d'utiliser l'abonnement téléphonique de son employeur pour passer un appel perso.

Bref, comme on a une vie hors du bureau, que celle-ci déborde nécessairement sur son temps de travail, et qu'elle nécessite des ressources qui fournies par son employeur, il faut pouvoir utiliser ces ressources à des fins personnelles. Par voie de conséquence il faut que ce genre de cas soit prévu et autorisé, faute de quoi le fait de travailler serait un handicap pour vivre une vie normale.

Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.

Non mais sérieusement, parmi tous les organismes existants, tu étais parti pour faire confiance à un gouvernement ?

Certes, les autorités de certification commerciales sont connues pour faire de la merde, puisque leur intérêt (ne pas refuser de clients !) les pousse à mal travailler (ne pas vérifier trop sérieusement). Mais de là à imaginer que la solution consiste à donner le même genre de pouvoir aux gouvernements, il faut être cinglé ! S'il y a un organisme dont il faut se défier, c'est bien l'État, ça n'a rien de nouveau mais ça a été prouvé par quelques affaires récentes tout de même.

Bof, je ne pense pas que le robot de Google s'amuse à télécharger beaucoup plus que le texte (les images pour la recherche d'image, d'accord, mais ça doit être analysé à part je pense), et ça, même sur la voie montante d'une ADSL, ça se charge raisonnablement vite.

D'ailleurs, après avoir optimisé correctement mon serveur, je suis toujours aussi bien référencé sur Google, et je peux donc dire que le fait d'être passé à un hébergement mutualisé à de l'auto-hébergement n'est pas un problème pour le référencement.

Ça c'est normal, Google n'ont aucune raison de regarder où tu es hébergé, ce que leur robot regarde, ce sont des pages Web et les liens entre elles. Du moment qu'il peut accéder à tes pages, c'est bon.

Je ne connais rien de tel en libre pour du PDF, en revanche ça existe pour DjVu, avec le logiciel ocrodjvu.

Et pour info, le résultat permet plus que seulement de la recherche, puisque cela permet également de faire du copier-coller.

Bravo aux auteurs de CommonMark pour leur sang-froid face à John Gruber, qui s'est visiblement comporté dans cette affaire comme un parfait goujat : à leur place, je crois que je me serais énervé, et que j'aurais perdu pas mal de temps et d'énergie pour arriver finalement au même résultat.

Ça me fait penser à je ne sais quelle politicienne qui n'avait rien trouvé de mieux à faire de son temps que de pondre un pamphlet critiquant l'usage du chiffre 1 pour les hommes et du chiffre 2 pour les femmes dans le numéro INSEE, qui la choquait parce que le 1 vient avant le 2.

Elle n'avait visiblement pas remarqué que, pour la consoler, 2 > 1.

Bon, évidemment, ça avait fait long feu, cette indignation disproportionnée pour un truc aussi stupide.

Si ça peut te donner des idées, personnellement j'ai mappé Compose sur Menu.

Je comprends plutôt ça comme le fait que le genre grammatical masculin est celui de l'absence de précision. Quand on parle de l'utilisateur, ça ne précise pas s'il s'agit d'un homme ou d'une femme. Quand on parle de l'utilisatrice, ça précise qu'il s'agit d'une femme.

Nous pourrions ajouter une touche Fn

La première touche de France !

Ok, poussez pas, je suis déjà en train de sortir…

Même sans normalisation, il n'est pas difficile de faire accepter, non pas les distributions GNU/Linux, mais plutôt par les responsables d'X.Org, une nouvelle disposition clavier, si elle est bien conçue, maintenue, répond à un besoin et fait consensus pour les intéressés. Oui, je pense à la disposition bépo, qui est largement intégrée.

Le problème vient plutôt des distributeurs de systèmes d'exploitations commerciaux, qui n'ont pas de raison de répondre à une demande d'intégration sans motif très sérieux, puisque leur temps, c'est de l'argent et qu'ils ne travaillent pas pour leurs utilisateurs mais pour leurs actionnaires. En clair, demande à Microsoft d'intégrer la disposition de clavier bépo, et tu n'auras même pas de réponse : il ne faut pas attendre de professionnels, qui travaillent pour gagner leur vie, qu'ils soient aussi bons que des amateurs, qui travaillent parce qu'ils aiment ce qu'ils font.

En revanche, demande-leur d'intéger la disposition normalisée Afnor machin, qui est une implémentation nationale de la norme ISO bidule annexe truc et là, ce sera plus facile d'obtenir une réponse, peut-être même une réponse favorable.

Bon, tu as l'air de parler de trucs intéressants, de normalisation, de consultation peut-être, ce qui sont de très bonnes choses auxquelles il faut participer autant que possible, mais ton article est un tel bordel, entre les sous-entendus et les non-dits, qu'il en devient pénible à lire et à peu près incompréhensible.

Par exemple :

C'est le moment de soumettre vos suggestions et de présenter vos propositions !

Propositions de quoi, de nouvelle disposition de clavier ? Entièrement nouvelle, genre bépo, ou extension de ce qu'il y a d'écrit sur nos claviers ?

Or comme vous le savez, cette activité de l'AFNOR

Quelle activité ? La normalisation ? C'est l'ensemble de leur boulot ça. La normalisation de trucs informatiques ?

est financée en grande partie par un certain grand éditeur de logiciels…

Quel grand éditeur ? Si c'est Microsoft, pourquoi ne pas le nommer ?

Par conséquent, si nous ne faisons rien, le futur clavier de France restera essentiellement assujetti aux mêmes contraintes externes auxquelles nous devons notre clavier majoritaire inepte que les utilisateurs/-trices français/-ses traînent comme un boulet au pied depuis des décennies !

Si tu as des reproches à faire à une disposition de clavier, il serait bon :

1. d'indiquer de quelle disposition de clavier tu parles : une qui se limiterait à ce qu'il y a écrits sur les touches de nos claviers sans doute, ou peut-être celle fournie avec Microsoft Windows, qui est peut-être identique à ce qu'il y a d'écrit sur les claviers justement ;
2. de formuler clairement ces reproches : il manque les guillemets français ainsi que les Æ et les Œ, c'est ça ?

Pour ces derniers, le souci de l'utilisateur/-trice, de ses conditions de travail, de ses performances et de sa productivité n'est qu'un faire-valoir pour la promotion des solutions propriétaires et payantes sachant que de l'autre côté, le même éditeur n'hésite pas à saper la productivité, miner notre performance et pourrir nos conditions de travail sciemment par les brides et les mauvais agencements ineptes au niveau du clavier.

Phrase trop longue. À part ça, de quoi tu parles, qu'est-ce que c'est que cette histoire de sape volontaire de la productivité ?

C'est donc sous le système préinstallé et avec le logiciel fourni gratuitement que j'essaie de faire des agencements 2.0.

Qu'est-ce que c'est qu'un agencement 2.0 ?

L’ISO sur le point de tuer dans l’œuf le concept du clavier 2.0

Qu'est-ce que c'est qu'un clavier 2.0 ?

Bon, j'arrête là, c'est trop mal écrit pour moi, désolé. C'est dommage parce que ça avait l'air de parler de trucs potentiellement intéressants, mais là je n'y comprends vraiment rien.

Franchement, tu aurais pu parler de JSON à la place de XML, c’est quand même bien plus sexe :P

Bien plus sexe ? Je ne veux pas d'exhibitionnisme sur mon ordinateur !

Je ne suis pas sûr que ce site soit l'endroit idéal pour ce genre de question, tu ferais mieux de demander sur un site ou un forum de discussion dédié à cela.

Le plus gros problème avec CA Cert c'est de trouver les accréditeurs dans son rayon géographique !

Autrement dit, le plus gros problème de CAcert c'est qu'ils font une vérification d'identité sérieuse, en somme. Personnellement j'appelle ça un avantage.

applique une vérification sérieuse,

Merci pour la bonne blague.

Euh, j'étais sérieux là. Autorité de certification commerciale : il faut fournir quelque chose comme un de relevé de compte en banque (un truc que n'importe qui peut falsifier) et une adresse électronique et un numéro de téléphone où être rappelé. Aucun contact direct. CAcert : il faut rencontrer en personne trois ou quatre accréditeurs CAcert qui vérifieront tes papiers d'identité et la correspondance de la photo avec ton visage.

Tu sais très bien que c'est faux (pour s'en convaincre, il suffit de voir qu'ils n'osent même pas demander à des pro-libres de regarder chez eux).

Là, je n'ai pas compris.

Parce que pour vérifier l'empreinte d'une clé il faut faire confiance à une entreprise que quelqu'un à payer pour ça.

Pas du tout. Une autorité de certification n'est pas payée pour vérifier quoi que ce soit, elle est payée par ces clients pour leur fournir un certificat signé. La vérification, ce n'est pas la prestation qu'elles vendent, mais simplement un devoir déontologique, qui a l'inconvénient d'être opposé à leur intérêt financier. Plus une autorité de certification vérifie, plus elle refuse de clients, et moins elle gagne d'argent.

Quel article tu commentes, ça c'est une information publique. Pour le reste, d'accord.

Parce que si tu supprimes cet avertissement, tu autorises n'importe quel attaquant à faire ce qu'il veut du réseau puisqu'il peut se faire passer pour un site légitime avec un certificat auto-signé.

N'importe quel attaquant capable de réécrire à la volée ton trafic réseau. Ça limite quand même un peu.

Transmettre ton mot de passe en clair.

À ma connaissance, les seuls cas avérés de certificats falsifiés étaient des certicats utilisant un condensat MD5.

Oh que non, il y a aussi eu des cas d'autorités de certification qui ont émis des certificat pour des noms de domaines données à l'intention de gens qui n'en étaient pas du tout propriétaires.

La plus belle preuve que les autorités de certification ont fait n'importe quoi, c'est qu'elles ont introduit de nouveaux certificats avec Extended Validation qui veulent dire que là, c'est sérieusement vérifié. Autrement dit, que sans EV, c'est vérifié n'importe comment.

Ce ne sont pas les certificats X.509 le problème,

Si. Les certificats X.509 ne pouvant porter qu'une seule signature d'autorité, ce qui encourage le maintien d'un oligopole très restreint d'autorités de certification (on ne peut pas raisonnablement prendre un certificat signé par un petit nouveau, qui ne sera pas reconnu partout, et on ne peut pas prendre un certificat signé à la fois par un petit nouveau et par un acteur établi puisque le format de certificats ne le permet pas).

À son tour, la grande importance des acteurs majeurs de cette coterie empêche leur retrait en cas de problème (too big to fail: même si VeriSign émet, disons, des certificats pour la NSA portant sur des noms de domaines qu'elle ne possède pas, on ne peut pas retirer VeriSign des navigateurs sinon le Web commercial cesse en pratique de fonctionner). Compte tenu de cela, les autorités de certification, qui ne sont pas payées à la vérification mais à la certification et qui n'ont aucun intérêt à effectuer des vérifications trop poussées (au risque de refuser des clients !), mais au contraire tout intérêt à accepter à peu près n'importe quel client sans se montrer trop exigeantes, n'ont pas grand chose qui les retiennent de maintenir un niveau de vérification très bas.

Et oui, tous ces problèmes sont en grande partie des conséquences du format technique X.509.

à quoi ca sert de chiffrer si tu ne sait pas avec qui ?

À se prémunir des attaques par simple écoute passive, même si c'est vulnérable aux attaques par réécriture active, en effet.

Par ailleurs, si cela ne permet pas de détecter les attaquants actifs présents depuis le début de la session, cela rend détectable l'introduction d'un nouvel attaquant actif en cours de session.

Bref, c'est mieux que de communiquer en clair, et moins bien que de communiquer en chiffré avec une vraie vérification du propriétaire de la clef publique.