> j'avais demandé à ma banque si je pouvais avoir des numéro de CB pour un montant X dans une validité de temps Y.
Bof, la banque est tenue de te rembourser sur simple demande et sans cout toute transaction que tu refuse si elle est faite sans ta signature ou ton code secret. C'est le cas de toutes les transactions par le net.
Les arnaques par CB ce n'est pas vraiment le net le problème, ce sont plutot les commercants dans des pays où on signe encore papier avec une boite à savon (et là on peut tout reproduire). Dès que c'est virtuel tu es peinard.
Le seul risque avec le net ce sont les petits débits que tu ne remarques pas mais pour ça il y a une bonne solution : vérifier ses comptes.
> mais pour ajouter des destinataires il faut appeller
Oui, et ce n'est pas si vieux.
La première fois que j'ai du appelé j'ai demandé pourquoi. On m'a répondu "on a eu une faille de sécurité mais on espère que ce sera résolu bientot". Et c'est toujours ainsi (ça ne devrait pas changer). Alors je ne veux pas jouer la parano mais .... vu la réponse qu'on m'avait faite je doute que ce soit vraiment une procédure volontaire de leur part.
Et .. au téléphone on me demande mon nom, mon adresse, et mon code vocalia, le truc qui est sur un relevé sur deux. En gros il suffit de fouiller ma boite au lettres au début du mois pour avoir accès à tout. Sécurisé ? vraiment ? je préfère un bon vieux code secret vraiment secret.
Les non voyants et mal voyants n'utilisent pas lynx. Ils utilisent quasi tous un beau MSIE classique avec un lecteur d'écran. (et *pan* pour la grosse illusion)
C'est aussi un peu à l'utilisateur de savoir ce qu'il veut faire. Ce n'est pas à ma banque de savoir si je veux enregistrer ou pas mes identifiants (puis du coup la plupart vont créer un fichier sur le disque pour se le rappeler, peu vont le retenir par coeur, c'est quoi l'intérêt ?)
> Si tu as accepté la tâche de modérateur, il faut aussi accepter le travail
> et les responsabilité que cela représente.
Et si tu ne t'es pas proposé comme tel il faut admettre que ceux qui l'ont fait n'ont pas la même opinion que toi et puissent de pas faire les mêmes choix.
> Après mes multiples interventions (pas de problème pour une
> 21ème), je suis sûr qu'à la prochaine news de ce style, tu te
> souviendras de celle-là et certaines alarmes s'allumeront dans ton
> esprit.
Je vais te décevoir mais moi au moins je t'assures que si cette news repasse telle quelle dans un mois, je ferai tout pour qu'elle soit publiée, parce que je pense que c'est une bonne chose qu'elle l'ai été.
Et non, ce n'est pas en répétant 21 fois la même chose en disant "j'ai raison" que tu risques de convaincre grand monde. Tu commences même à bloquer les gens dans l'option inverse par rejet.
> Vingt ans après, pourquoi est-ce que la plupart des auteurs de
> logiciels libres préfèrent encore utiliser cette licence?
Franchement ? parce que les gens sont des moutons. Sur les petits projets il n'y a généralement aucune réflexion de licence et tout le monde dit "GPL" sans y réfléchir, sans regarder si c'est adapté, et surtout sans en comprendre les implications.
Je ne dis pas que c'est un mauvais choix, mais dans tous les petits projets que j'ai pu croiser cette licence a été prise "par défaut", sans réellement savoir ce qu'elle faisait. Elle n'avait certainement pas été prise pour ses avantages/idéaux ou quoi que ce soit.
> tout comme on peut redistribuer à la communauté les sources d'un
> projet BSD dérivé, tout comme on peut avoir des armes à feu et ne
> tuer personne
C'est tout de même du grs FUD aussi que d'associer le BSD à une arme à feu. Faudrait pas pousser non plus mémé dans les orties. La BSD est libre et ne fait elle même que du bien.
Je crois que la grosse différence c'est entre ceux qui sont *pour le libre* et ceux qui sont *contre le poprio*. La seconde différence c'est dans l'optique de savoir si le libre doit être imposé (copyleft) ou proposé (la version libre existe, à toi de voir ce que tu veux).
Si l'objectif unique c'est de distribuer en libre on se moque à priori que quelqu'un fasse du proprio avec les sources, le soft reste libre et accessible. Si quelqu'un veut le continuer il peut (et le pari c'est qu'aujourd'hui le libre soit assez fort et répandu pour qu'il le soit effectivement).
Si l'objectif est la lutte contre le proprio alors oui, le but c'est qu'ils ne puissent pas utiliser ce qu'on fait et là le copyleft permet de préserver les buts originaux.
Peut être que justement tout le monde ne voit pas "l'ennemi c'est le proprio". Peut être que des gens ne voient pas ça sous forme de "camps".
Quant à critiquer les licences dont il n'est pas à l'origine je crois que les deux peuvent largement concurrir ;)
Le libre, pour beaucoup c'est aussi simplement quelque chose de bien qu'on souhaite faire, pas forcément avec le but de supprimer le proprio, pas forcément avec le but de convertir les gens, pas forcément dans une optique militante.
> On peut comparer la licence BSD à la production des mulets, forts
> comme des chevaux et intelligents comme les ânes, mais stériles.
C'est du grand FUD (volontaire ou pas, peu importe). Le BSD reste aussi libre et aussi disponnible que le GPL.
Quelqu'un a beau faire un fork proprio, tout ce qui a été utilisé au départ reste accessible, tu peux toujours l'utiliser et continuer en libre. Tu as l'impression que tous les projets à la Apache/BSD sontr stériles ?
> Tu penses qu'ils vont modérer tranquillement, se chamailler à propos
> de mes fautes d'orthographe avant de passer ma news?
> Non, ils vont bouger leurs fesses pour aller vérifier s'il y a
> effectivement faille et la corriger avant de penser à en parler.
Hé ! mais pour quasiment tous les softs les correctifs ils existent déjà. Ils sont dans les autres distrib, ils sont dans les dépots officiels des différents softs, ils sont même souvent dans testing.
Effectivement tout n'est pas reprenable tel quel mais si j'ai bien suivi le débat ce qui manque ce n'est pas le correctif, c'est la personne pour le valider et l'uploader.
Alors quoi ? à part nous présenter nous-même en tant que manager sécurité pour debian non, nous n'avions rien à faire.
> Leur attitude est donc impardonnable sur ce coup là, pas parce que
> c'est Debian ou Linux mais parce qu'ils prennent la sécurité des
> autres à la légère.
On ne va pas faire le débat du full disclosure, mais quand une distrib complète n'est pas patchée depuis longtemps la distrib est déjà attaquable par n'importe quel script kiddie qui teste les failles des derniers mois.
Tu préfères qu'on ne dise rien et qu'on laisse tous les gens qui utilisent des debian sans rien et sans comm ? tu crois que ça ne serait pas ça prendre la sécurité à la légère ?
Laisser une faille sous silence c'est déjà à double tranchant. Quand elle est déjà plus que publique continuer à la cacher ça ne laisse plus vraiment de positif.
> Je pense qu'ils auraient dû attendre qu'il y ai une solution à ce
> problème de sécurité avant de poster la news.
Ca serait valable pour un problème de sécurité relativement inconnu, pas pour un débat qui a déjà rage en public partout et que même les concernés font en public.
Il n'y a pas de mal à dire "il y a un problème" quand c'est le cas. D'ailleurs je pense que sur ce coup là on aide beaucoup plus d'admin qui n'étaient pas conscients du problème que de méchants. Je pense que ceux là sont contents de l'avoir le débat.
> les quelques Admins utilisant Debian en production n'ont surement
> pas migrer leur machine sous Sarge et sont encore en Woody
Ou (pas impossible non plus) .... ils étaient déjà sous sarge avant la sortie stable parce que woody il lui manquait plein de trucs récents qui peuvent être utiles.
Je ne vois pas en quoi ça change quoi que ce soit. Si quelqu'un n'a plus le temps de faire le boulot ou ne le souhaite plus (il n'y a rien de mal à ça, ce sont des bénévoles) il n'a plus rien à faire dans la liste.
Et euh .. "entre les membres de l'équipe" ? si dans l'équipe on remplace tous les membres inactif il n'y aura plus de problème de confiance avec les membres actuels vu qu'ils ne seront plus là ;)
> Le rythme de linuxfr est loin d'être trés élevé en terme de news et nous
> ne sommes pas habitués à venir chercher des scoop ici.
> Je pense qu'il aurait été assez sympathique de garder celle-là sous le
> coude le temps de voir comment Debian se sort de ce problème.
Oui, retenons les infos d'actu pour ne les publier que quand c'est à notre avantage. Désolé ce n'est pas ma politique (et heureusement visiblement ce n'est pas la politique des autres relecteurs/modéros puisque la seule personne a voter contre l'a fait à cause d'une rédaction perfectible)
C'est une actu, une actu importante, qui concerne le libre et une distribution Linux majeure. Elle est vérifiée, elle fait déjà débat, elle pose de réelles problématiques. Pourquoi ne pas la passer ? C'est mal de donner la connaissance aux gens ?
Quand l'affaire sera résolue, que tu propose une news documentée, elle passera probablement aussi.
Pour le rythme de linuxfr il n'est pas faramineux en ce moment, ce n'est pas slashdot ni freshmeat (et ça ne cherche pas à l'être), mais sur les 21 news sur la page d'accueil (phare, 10 principales et 10 secondaires), aucune n'a plus d'une semaine. Ca me parait suffisant pour dire que les actus ont leur place.
Marrant, tous ceux qui ont les droits sont inactifs depuis longtemps et on envisage une seule solution : augmenter le nombre de gens ayant les droits.
Dites, pourquoi personne n'envisage de demander à ceux qui ne sont pas actifs depuis longtemps de passer la main pour être remplacés ?
Le problème semble ici très proche de tout ce que j'ai pu voir dans les milieux associatifs:
- ce n'est pas qu'on manque de volontaire,
- ce n'est pas que les volontaires peuvent se désengager
- ce n'est pas qu'un volontaire puisse être indisponnible parfois temporairement
Le problème c'est quand un volontaire occupe la place, ne fait rien depuis longtemps et cède pas la place pour remettre la charge à un autre.
S'ils sont inactifs depuis longtemps, que c'est connu, que eux même le disent, pourquoi sont-ils en postent et ne voient-ils pas comme solution de se faire remplacer (et non de grossir l'équipe) ?
> Bon puisque j'en ai marre de paraphraser la FAQ à chaque fois :
> # Won't spammers start spamming mailing lists instead?
Sauf que ce passage ne répond pas à ma problématique. La réponse parle de spammer des listes existantes.
Toi tu me dis qu'il n'y a besoin que d'un seul hash si on envoie à une liste (donc grosso modo qu'on ne fait un hash que au destinataire marqué dans l'entete, pas à ceux qui recoivent via le smtp). Et alors rien ne les empêche soit de simuler une pseudo-liste inexistante, soit de créer eux même leurs liste.
Aucune des solutions explicités ne répond à ce problème : le filtrage de la liste, sa modération ou la contrainte d'être inscript ne servent à rien si c'est le spammeur qui contrôle (ou simule la liste). Et le seul moyen de faire la différence entre une liste réelle et un truc de spammeur c'est faire un filtre par white list .. on retourne en rond avec le problème des utilisateurs qui n'iront jamais tenir à jour une white list (enfin pas ceux que je connais)
> > Ou alors ils augmenteront leur puissance de calcul (qui ne doit pas être
> > actuellement ni le facteur limitant ni le facteur le pluscher).
> FAQ :
> # But won't spammers steal CPU time?
Elle est bien la FAQ mais encore une fois ta citation répond à coté. Je parle bien de bêtement monter des serveurs chez le spammeurs, parce que le cpu ce n'est pas vraiment ce qui leur coute cher. Je ne parle pas de voler le cpu à des zombies.
> Dans le monde réel le maximum de personnes à qui j'ai envoyé un mail ça n'a
> jamais du dépasser 15
Je crois que le problème bien de là : on ne vit pas dans le même monde. Dans mon monde imposer aux machines de ramer pour envoyer un mail ce n'est acceptable que pour quelques utilisateurs finaux avec bonne machine : ni pour les sites perso, ni pour les sites pro, ni pour les entreprises, ni pour madame michu avec son vieux tromblon qui veut envoyer ses voeux.
(notes que mon exemple est concret puisqu'envoyer ce genre de mail va m'arriver très rapidement pour organiser mon mariage, je recois aussi très fréquement des mails avec des blagues avec plus de 15personnes en destinataires, beurk d'ailleurs)
> Au lieu d'attendre que Microsoft impose son système, tout en conduisant des
> discussions à n'en plus finir visant à trouver la solution parfaite (hint : il n'y aura
> pas de solution parfaite), je pense qu'on devrait essayer de voir en face ce
> système qui n'est pas idéal mais qui est la moins mauvaise solution qu'il m'ait été
> personnellement donné de voir.
Ce n'est pas parce que MS cherche à imposer une mauvaise solution qu'on est obligés de faire pareil en catastrophe. Ce d'autant plus qu'on n'a pas la force de frappe de MS pour imposer notre solution alors on a intérêt qu'elle soit bonne si on veut qu'elle marche.
Notes qu'à choisir entre les deux celle de MS me parait meilleure que le coup du hash à calculer (et pourtant je n'aime pas celle de MS).
> Pourquoi partir du principe que ce truc est débile ?
Je pars du principe que ce n'est pas parce que des gens proposent des trucs que c'est forcément une bonne idée. Des trucs idiots ou simplement pas bons on en a vu pas mal, même en ne parlant que des anti-spam ça doit se compter par centaines. Tu pars toi même sur le principe que la solution de MS est mauvaise et qu'il vaut mieux les hash. Laisses donc aux autres la possibilité d'être critique sur ce que tu soutiens si tu l'es sur ce que d'autres soutiennent.
Je ne dis pas que c'est débile, je pense simplement que ce n'est pas une bonne solution qui risque d'apporter des emmerdes pour une efficacité très réduite à terme. Je pense aussi qu'on ne convaincra pas les professionnels de faire ramer volontairement leurs machines pour envoyer des mails (et oui, la possibilité de la solution éventuelle pour s'imposer fait aussi parti du problème)
> mais concernant des majeurs, c'est clairement totalement interdit
Je ne pense pas là par contre. Tu peux très bien rechercher un type de fichier sans atteindre le moindre du monde aux correspondances privées (tu ne lis rien) au aux données personnelles. Une recherche avec "find" suffit. S'il est établit que ce type de fichier est interdit ou que c'est visiblement en dehors du cadre scolaire ça peut bien effectivement être supprimé.
Sauf si je me trompe, ce qu'il n'aurait pas le droit de faire, ça serait aller lire le contenu du-dit divx s'il sait que c'est une vidéo personnelle. Je pense même qu'il doit être en mesure de faire un bref apperçu pour savoir si c'est un film piraté ou une vidéo personnelle pour peu qu'il s'arrête dès qu'il sait que c'est personnel.
> le gusse en tole pour avoir mis un seau d'acide en équilibre au dessus d'une porte
Doucement avec les analogies tout de même. Dans ton exemple le piège en lui même fait une action illégale, ce qui n'est pas forcément le cas pour un simple scan de dossier pour repérer des extensions interdites. Puis mettons tout de même de la mesure, même s'il fait des choses pas bien ça n'a quand même rien à voir avec un seau d'acide au dessus d'une porte en attendant quelqu'un.
> En fait je disais une connerie à ce sujet. Il n'y a aucune surcharge pour les
> mailing-list. On génère un timbre hashcash avec comme destinataire la mailing-list,
> et un seul. Rien à faire du côté de la ML.
Euh, j'espère que non parce que sinon tous les SPAM vont avoir un "To" sur une adresse semblant de ML (beaucoup le font déjà) et n'auront qu'un seul hash à calculer.
Il n'y a pas d'échapatoire : soit tu fais un hash par destinaire (long) soit tu demande au destinataire de mettre l'adresse en liste blanche (illusoire)
> S'ils ne peuvent plus qu'en envoyer 60 à la minute
Ou alors ils augmenteront leur puissance de calcul (qui ne doit pas être actuellement ni le facteur limitant ni le facteur le pluscher).
> donc peut-etre environ 10~20 pour les autres
10~20 pour les autres ? à 20s, si ma copine envoie ses voeux ou une nouvelle importante (on se marie bientot) à son carnet d'adresse ça veut dire une heure de calcul. Je ne parle même pas de *mon* carnet d'adresse. C'est loin d'être négligeable, même en arrière plan.
Même sur un site perso un mail d'information à 1000 personnes c'est loin d'être rare. Par contre le serveur lui il n'a pas forcément plein de CPU à revendre contrairement à la machine perso. On va parler d'un site perso donc pas d'un quadri-xeon, on va prendre dans les 5s par mail, pour 1000 personnes on consomme environ 1h30 de cpu. Désolé c'est innacceptable pour beaucoup de monde. Et je ne parle même pas du fait que pour ne pas ralentir le serveur ce temps cpu doivent être très réparti dans le temps donc induire un délai très important entre la soumission et l'envoi réel, ce qui peut poser problème dans certains cas.
> Ralentis cette possibilité d'un facteur 10 à 1000 et tu ne fais chier que
> les spammeurs. Il n'y a aucune utilisation légitime de cela
Il y a les lettres d'information, les listes de diffusion très publiques (genre la ML Linux mais c'est très loin d'être un cas à part) ou simplement de serveurs qui ont des listes à faible/moyen traffic maisen nombre importat. Bref, beaucoup de cas qui doivent représenter un volume assez important pour être gênés.
Et non, croire que les utilisateurs vont établir des whitelist à chaque fois qu'ils s'inscrivent quelque part c'est totalement illusoire. De même qu'il est autant illusoire de croire que les utilisateurs vont accepter de perdre ces mails en se disant "c'est normal j'ai oublié de remplir la whitelist" (et là je prend le pai qu'ils s'en rendront compte, ce qui est déjà probablement une erreur).
Quant à gêner les spammeurs, je ne suis pas sûr que ce qui leur coute le plus cher ce soit la puissance de calcul, franchement. Et même alors, je ne suis pas sûr que multiplier le nombre de serveurs en interne les empêche vraiment d'opérer.
Pire, avec la montée en fréquence des machines ce qui prend 5 secondes aujourd'hui ne prendra déjà plus que 4 secondes le temps que ça se mette en place, dans les deux secondes une vingtaine de mois après. C'est vraiment à court terme.
Que fait on ? on change d'algo tous les ans pour prendre en compte la montée en puissance ? sympa pour ceux qui sont encore en PII-500. Si celui qui a un P4-3Ghz met 5 secondes, celui qui a un PII-500 commence à en mettre quasiment 30. Rien que pour envoyer ses voeux à son carnet d'adresse son ordinateur risque de ramer une heure alors qu'il devrait faire ça en moins d'une minute. Bonjour aussi les gens qui devront tenir tout ça à jour pour supporter à chaque fois le nouvel algo.
> J'attends avec impatience que les FAI bloquent le port 25 en sortie
> sauf vers leurs serveurs officiels internes. Ce serait nettemment plus
> efficace que l'initiative de Microsoft, et serait plus éducatif envers les
> clients du FAI si le FAI explique qu'il fait cela pour réduire les envois de
> spam depuis chez lui.
Ce qui veut dire que le zombie enverra ses mails par le FAI au lieu de directement, ce qui n'est pas vraiment plus en complexe à faire au final (on repique la config d'outlook ou on utilise smtp.domain.tld). Si tu es capable d'utiliser un vers/virus/bidule qui envoie des mails, tu dois pouvoir faire ça. D'ailleurs il me semble qu'une partie non négligeable des zombies sont de bêtes virus outlook (donc bénéficient du FAI).
On y gagne quoi au final ?
Bon, la FAI pourra bloquer l'utilisateur s'il y a trop de spam mais il peut déjà le faire actuellement sans imposer un smtp central.
Tout ce qui n'est pas basé sur le contenu me parait peu utile à long terme.
(tant qu'on ne m'empêche pas d'avoir un smtp en réception, ou d'envoyer des mails avec un "from" qui n'est pas celui de mon FAI, et que le smtp du fai est stable, ça ne me gêne pas vraiment mais je doute de l'utilité)
> Contre les établissements publics, les administrations, l'état ? Par
> simple curiosité, donne moi les liens qui le précise.
Attend, tu es en train de me dire que tu crois ne pas être soumis aux même lois parce que tu bosses dans une école ? c'est ça que tu me dis ? j'espère que tu n'y crois pas, en tout cas ce serait très grave.
> Il me semble pourtant que si la justice le lui réclame, il est bien obligé
> de lui fournir de tels renseignements
Si *la justice* le réclame. Pas s'il a envie de surveiller et pas si le PDG veut jeter un oeil.
Notes d'ailleurs que non, ils ne stockent pas le contenu des échanges, juste les paramètres de connexion (login/ip/date). Eventuellement s'il y a proxy ils stockent les url vues, mais jamais ils n'iront stocker le contenu d'un mail ou d'un échange de messagerie instantanée.
Ce qui est stockable est précisément encadré. D'ailleurs je doute que vous ayez une autorisation de la CNIL pour le stockage des contenus de mail à des fins de surveillance, c'est quelque chose qu'elle n'acceptera surement pas. (mais bon, là aussi tu vas me dire que vu que c'est une école de l'état tu n'as pas besoin d'autorisation je suis sûr)
> protège son réseau d'une utilisation frauduleuse et qu'un utilisateur
> frauduleux se plaigne d'avoir vu ses droits baffoués quant à
> l'utilisation du réseau, j'suis pas vraiment certain que la justice
> abonde dans le sens de l'utilisateur, vois tu
Moi j'en suis sur vu qu'on a des exemples (correspondance privée interdite, qui s'est révélée lue, l'entreprise a été condamnée bien que la dite conversation n'aurait pas du avoir lieu).
Notes en même temps qu'outrepasser le règlement intérieur de l'école est heureusement moins grave qu'outrepasser la loi donc si vraiment on devait trancher en faveur de l'un ou de l'autre ...
De toutes façons le fait que le gars d'en face fasse quelque chose qu'il n'a pas le droit n'a jamais autoriser quiconque à outrepasser la loi. Heureusement d'ailleurs.
> Quant à l'utilisateur il se sera sans doute préparé un beau dossier
> pour son avenir, qu'il aura superbement officialisé en venant se
> plaindre....
Mais je rêve ? tu es en train de soumettre le respect des droits à la menace d'avoir un mauvais dossier ? j'espere que j'ai mal compris.
Bordel, mais si c'est ça l'école publique maintenant moi je n'y enverrai pas mes gosses. "parles pas sinon tu verras les conséquences" ... et c'est toi plus haut qui parlait des gosses avec leurs "dis le pas au prof sinon tu vas voir ta gueule" ?
> Jusqu'à preuve du contraire, c'est encore l'état qui décide de l'usage
> permis de son matériel, qui en régit les contraintes et les obligations.
> Donne moi un lien prétendant le contraire.
C'est pareil pour les entreprises. Mais il y a eu plusieurs jugements, et tous ont sont sortis avec l'idée que la lecture des correspondances privées était interdite, même si l'entreprise refusant normalement toute conversation privée.
Le fait que tu contrôles le matériel ne te donne pas droit de violer ce qui est interdit par ailleurs. Aller lire les correspondances privées est interdit, que tu contrôles le matériel et son utilisation n'y change rien. Que tu sois un fonctionnaire de l'état non plus (au contraire).
> le filtrage des sites blogs relevait de la décision du directeur de
> l'établissement. Pourtant aucune loi n'a été voté pour cela ?
Tu peux interdire tout ce que tu veux. Tu ne peux pas lire les messages personnels ou privés. La limite est pourtant bien claire non ?
Interdis le mail et le Web si tu veux, interdits les mails privés si tu veux, mais si jamais tu tombes sur un mail privé tu n'as pas le droit de le lire une fois que tu t'en es rendu compte.
> De plus, je me repête peut-être, mais je NE LIS PAS les mails. Ils
> sont stocké sur disque afin d'être consultable par des personnes
> abilitées à les lire, comme un directeur, un CPE, etc....
> je ne fais que ce que m'autorise le rectorat et le chef
> d'établissement,
Mouais, c'est je trouve un peu facile de se déresponsabiliser ainsi alors que c'est toi qui met à disposition activement. Notes que d'ailleurs non, ça n'enleves rien à ce que tu fais. A ton avis, qu'est-ce que dirai le chef d'établissement si un éleve lui rapportait "oui, j'imprime les lettres de menace pour du racket (ou autre activité répréhensible), oui je suis payé pour ça, mais c'est Bob à coté qui me l'a demandé, qui rédige et qui envoie" Tu crois vraiment qu'on le considèrerai comme n'ayant rien à voir ? Ta position est très similaire.
> Où j'ai écrit que je les lisait ? dis ?
Euh :
"""Officieusement, on nous demande même de l'anticiper. Officiellement, les communications ne sont pas espionnés."""
"""" > Je rapelle que les admins doivent respecter la vie privee des
> utilisateurs , et ce officiellement comme officieusement..."
Ouais enfin, comme j'ai dit le principe de précaution prévaut. Donc t'as pas mal de passe droit quand même..."""
Ca veut tout de même dire que oui, tu fais des choses répréhensible. J'ai beau tourner ca comme je peux au final ça dit bien ce que ça veut dire, même si ce n'étais pas toi qui lisait les mails au final.
> Et tout ça ne te permets pas du tout de connaitre l'activité des utilisateurs,
Il y a une énorme différence entre garder des logs exploitables en cas de problèmes, et faire ce que tu disais c'est à dire lire activement les conversations. Un fossé même. Notes d'ailleurs que les logs sont obligatoires dans bien des cas, leur utilisation à priori pour surveillance des conversations privées ne l'est pas.
> De même, la prochiane qu'on trouve un divx sur le réseau
Attend, mais ça n'a rien à voir. Tu parlais de lire des échanges de messagerie instantanée tout à l'heure. Filtrer une extension, un type de fichier qui a été explicitement interdit c'est tout à fait autre chose. C'est la même différence qu'entre lire les mails et interdire les pièces jointes.
Effaces tes divx autant que tu veux, ce n'est certes pas ça qui t'es reproché.
> C'est ton interprétation. Le lait anglais, la vache folle, la grippe du poulet.... y'a eu
> un verdict ou un quelconque jugement rendu là dessus ? par contre j'ai bien
> entendu l'expression "principe de précaution".
La différence c'est que ceux dont tu parles (gouvernement et parlement) ont justement le pouvoir et la responsabilité de prendre ce genre de loi/ordonnance. Tu ne l'as pas. Eux utilisent la responsabilité qu'on leur a donné, en accord avec la loi. Toi tu usurpes une responsabilité que tu n'as pas, en violation de la loi.
> le principe est vieux comme le monde et prévaut sur la loi dans beaucoup de domaine
Ah ? non. Parce que dans ce que tu parles ton principe de précaution est dans la loi, ou ceux qui le prennent en ont le droit grace à la loi.
En quoi est ce que ça permet de qualifier un spam ?
Un spammeur est-il moins capable de configurer son réseau et ses dns ?
C'est le genre de règle qui ne cible pas le contenu mais l'enveloppe, et l'enveloppe n'a aucune raison d'être différente entre un spammeur et un non spammeur.C'est exactement le filtre qui ne sert à rien à terme et qui fait des faux positifs inutiles.
> une section du règlement intérieur qui doit être signé et par l'élève
14 ans, lycée, collège ....
- depuis quand la signature d'un mineur engage t'elle quoi que ce soit ?
- l'école étant un droit et une obligation à cet age, imposer la signature (parce que je doute qu'on te donne le choix) ça la rend un peu inutile et caduque non ?
- quoi que tu fasses signer, ça ne te dégages pas de la loi
> si tu le dis aux profs ou à tes parents, mes potes et moi on va te casser la gueule
Donc tu crois que si c'est l'admin qui lit la conversation, qui va arrêter le massacre le lendemain, le copains croiront la victime qui dit "c'est pas moi qui ait dénoncé" ?
Si tu répond oui à la question précédente, qu'est ce qui empêche le gamin de prévenir pour faire croire que c'est l'admin qui a intercepté ?
Faut pas prendre les gamins pour des idiots. Soit c'est une menace en l'air et il ne se passera rien, soit ca n'en est pas une et ton petit il se recevra une branlée si l'admin intercepte ce qu'il veut intercepter.
> Ouais enfin, comme j'ai dit le principe de précaution prévaut
Ah ? pour moi la loi prévaut
Et quand on commence à justifier/accepter trop d"intrusion au titre de la sécurité, on sait ce que ça donne. On en a malheureusement eu des exemples depuis le 11 septembre.
Il y a une ligne à tracer et à ne pas franchir, toujours. Je crois qu'aller surveiller sans justification des conversation ou échanges privés est au dela de la limite. D'ailleurs il me semble que nos législateurs ont tranché de la même façon
[^] # Re: Lecteurs de cartes
Posté par Éric (site web personnel) . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 3.
Bof, la banque est tenue de te rembourser sur simple demande et sans cout toute transaction que tu refuse si elle est faite sans ta signature ou ton code secret. C'est le cas de toutes les transactions par le net.
Les arnaques par CB ce n'est pas vraiment le net le problème, ce sont plutot les commercants dans des pays où on signe encore papier avec une boite à savon (et là on peut tout reproduire). Dès que c'est virtuel tu es peinard.
Le seul risque avec le net ce sont les petits débits que tu ne remarques pas mais pour ça il y a une bonne solution : vérifier ses comptes.
[^] # Re: Chez la Postbank
Posté par Éric (site web personnel) . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 2.
Oui, et ce n'est pas si vieux.
La première fois que j'ai du appelé j'ai demandé pourquoi. On m'a répondu "on a eu une faille de sécurité mais on espère que ce sera résolu bientot". Et c'est toujours ainsi (ça ne devrait pas changer). Alors je ne veux pas jouer la parano mais .... vu la réponse qu'on m'avait faite je doute que ce soit vraiment une procédure volontaire de leur part.
Et .. au téléphone on me demande mon nom, mon adresse, et mon code vocalia, le truc qui est sur un relevé sur deux. En gros il suffit de fouiller ma boite au lettres au début du mois pour avoir accès à tout. Sécurisé ? vraiment ? je préfère un bon vieux code secret vraiment secret.
[^] # Re: Pas si con que ça quand même
Posté par Éric (site web personnel) . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 2.
[^] # Re: pas d'enregistrement de mot de passe
Posté par Éric (site web personnel) . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 2.
[^] # Re: Le réveil de la bête
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 5.
> et les responsabilité que cela représente.
Et si tu ne t'es pas proposé comme tel il faut admettre que ceux qui l'ont fait n'ont pas la même opinion que toi et puissent de pas faire les mêmes choix.
> Après mes multiples interventions (pas de problème pour une
> 21ème), je suis sûr qu'à la prochaine news de ce style, tu te
> souviendras de celle-là et certaines alarmes s'allumeront dans ton
> esprit.
Je vais te décevoir mais moi au moins je t'assures que si cette news repasse telle quelle dans un mois, je ferai tout pour qu'elle soit publiée, parce que je pense que c'est une bonne chose qu'elle l'ai été.
Et non, ce n'est pas en répétant 21 fois la même chose en disant "j'ai raison" que tu risques de convaincre grand monde. Tu commences même à bloquer les gens dans l'option inverse par rejet.
[^] # Re: Nous avons besoin de plus que la GPL
Posté par Éric (site web personnel) . En réponse à la dépêche ESR : «Nous n'avons plus besoin de la GPL.». Évalué à 5.
> logiciels libres préfèrent encore utiliser cette licence?
Franchement ? parce que les gens sont des moutons. Sur les petits projets il n'y a généralement aucune réflexion de licence et tout le monde dit "GPL" sans y réfléchir, sans regarder si c'est adapté, et surtout sans en comprendre les implications.
Je ne dis pas que c'est un mauvais choix, mais dans tous les petits projets que j'ai pu croiser cette licence a été prise "par défaut", sans réellement savoir ce qu'elle faisait. Elle n'avait certainement pas été prise pour ses avantages/idéaux ou quoi que ce soit.
> tout comme on peut redistribuer à la communauté les sources d'un
> projet BSD dérivé, tout comme on peut avoir des armes à feu et ne
> tuer personne
C'est tout de même du grs FUD aussi que d'associer le BSD à une arme à feu. Faudrait pas pousser non plus mémé dans les orties. La BSD est libre et ne fait elle même que du bien.
Je crois que la grosse différence c'est entre ceux qui sont *pour le libre* et ceux qui sont *contre le poprio*. La seconde différence c'est dans l'optique de savoir si le libre doit être imposé (copyleft) ou proposé (la version libre existe, à toi de voir ce que tu veux).
Si l'objectif unique c'est de distribuer en libre on se moque à priori que quelqu'un fasse du proprio avec les sources, le soft reste libre et accessible. Si quelqu'un veut le continuer il peut (et le pari c'est qu'aujourd'hui le libre soit assez fort et répandu pour qu'il le soit effectivement).
Si l'objectif est la lutte contre le proprio alors oui, le but c'est qu'ils ne puissent pas utiliser ce qu'on fait et là le copyleft permet de préserver les buts originaux.
[^] # Re: ESR fait chier
Posté par Éric (site web personnel) . En réponse à la dépêche ESR : «Nous n'avons plus besoin de la GPL.». Évalué à 4.
Quant à critiquer les licences dont il n'est pas à l'origine je crois que les deux peuvent largement concurrir ;)
Le libre, pour beaucoup c'est aussi simplement quelque chose de bien qu'on souhaite faire, pas forcément avec le but de supprimer le proprio, pas forcément avec le but de convertir les gens, pas forcément dans une optique militante.
[^] # Re: Moi qui croyait...
Posté par Éric (site web personnel) . En réponse à la dépêche ESR : «Nous n'avons plus besoin de la GPL.». Évalué à 6.
> comme des chevaux et intelligents comme les ânes, mais stériles.
C'est du grand FUD (volontaire ou pas, peu importe). Le BSD reste aussi libre et aussi disponnible que le GPL.
Quelqu'un a beau faire un fork proprio, tout ce qui a été utilisé au départ reste accessible, tu peux toujours l'utiliser et continuer en libre. Tu as l'impression que tous les projets à la Apache/BSD sontr stériles ?
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 5.
> de mes fautes d'orthographe avant de passer ma news?
> Non, ils vont bouger leurs fesses pour aller vérifier s'il y a
> effectivement faille et la corriger avant de penser à en parler.
Hé ! mais pour quasiment tous les softs les correctifs ils existent déjà. Ils sont dans les autres distrib, ils sont dans les dépots officiels des différents softs, ils sont même souvent dans testing.
Effectivement tout n'est pas reprenable tel quel mais si j'ai bien suivi le débat ce qui manque ce n'est pas le correctif, c'est la personne pour le valider et l'uploader.
Alors quoi ? à part nous présenter nous-même en tant que manager sécurité pour debian non, nous n'avions rien à faire.
> Leur attitude est donc impardonnable sur ce coup là, pas parce que
> c'est Debian ou Linux mais parce qu'ils prennent la sécurité des
> autres à la légère.
On ne va pas faire le débat du full disclosure, mais quand une distrib complète n'est pas patchée depuis longtemps la distrib est déjà attaquable par n'importe quel script kiddie qui teste les failles des derniers mois.
Tu préfères qu'on ne dise rien et qu'on laisse tous les gens qui utilisent des debian sans rien et sans comm ? tu crois que ça ne serait pas ça prendre la sécurité à la légère ?
Laisser une faille sous silence c'est déjà à double tranchant. Quand elle est déjà plus que publique continuer à la cacher ça ne laisse plus vraiment de positif.
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 4.
> problème de sécurité avant de poster la news.
Ca serait valable pour un problème de sécurité relativement inconnu, pas pour un débat qui a déjà rage en public partout et que même les concernés font en public.
Il n'y a pas de mal à dire "il y a un problème" quand c'est le cas. D'ailleurs je pense que sur ce coup là on aide beaucoup plus d'admin qui n'étaient pas conscients du problème que de méchants. Je pense que ceux là sont contents de l'avoir le débat.
[^] # Re: En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 5.
> pas migrer leur machine sous Sarge et sont encore en Woody
Ou (pas impossible non plus) .... ils étaient déjà sous sarge avant la sortie stable parce que woody il lui manquait plein de trucs récents qui peuvent être utiles.
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 4.
Et euh .. "entre les membres de l'équipe" ? si dans l'équipe on remplace tous les membres inactif il n'y aura plus de problème de confiance avec les membres actuels vu qu'ils ne seront plus là ;)
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 6.
> ne sommes pas habitués à venir chercher des scoop ici.
> Je pense qu'il aurait été assez sympathique de garder celle-là sous le
> coude le temps de voir comment Debian se sort de ce problème.
Oui, retenons les infos d'actu pour ne les publier que quand c'est à notre avantage. Désolé ce n'est pas ma politique (et heureusement visiblement ce n'est pas la politique des autres relecteurs/modéros puisque la seule personne a voter contre l'a fait à cause d'une rédaction perfectible)
C'est une actu, une actu importante, qui concerne le libre et une distribution Linux majeure. Elle est vérifiée, elle fait déjà débat, elle pose de réelles problématiques. Pourquoi ne pas la passer ? C'est mal de donner la connaissance aux gens ?
Quand l'affaire sera résolue, que tu propose une news documentée, elle passera probablement aussi.
Pour le rythme de linuxfr il n'est pas faramineux en ce moment, ce n'est pas slashdot ni freshmeat (et ça ne cherche pas à l'être), mais sur les 21 news sur la page d'accueil (phare, 10 principales et 10 secondaires), aucune n'a plus d'une semaine. Ca me parait suffisant pour dire que les actus ont leur place.
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Éric (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 7.
Dites, pourquoi personne n'envisage de demander à ceux qui ne sont pas actifs depuis longtemps de passer la main pour être remplacés ?
Le problème semble ici très proche de tout ce que j'ai pu voir dans les milieux associatifs:
- ce n'est pas qu'on manque de volontaire,
- ce n'est pas que les volontaires peuvent se désengager
- ce n'est pas qu'un volontaire puisse être indisponnible parfois temporairement
Le problème c'est quand un volontaire occupe la place, ne fait rien depuis longtemps et cède pas la place pour remettre la charge à un autre.
S'ils sont inactifs depuis longtemps, que c'est connu, que eux même le disent, pourquoi sont-ils en postent et ne voient-ils pas comme solution de se faire remplacer (et non de grossir l'équipe) ?
[^] # Re: Brevets?
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 3.
> # Won't spammers start spamming mailing lists instead?
Sauf que ce passage ne répond pas à ma problématique. La réponse parle de spammer des listes existantes.
Toi tu me dis qu'il n'y a besoin que d'un seul hash si on envoie à une liste (donc grosso modo qu'on ne fait un hash que au destinataire marqué dans l'entete, pas à ceux qui recoivent via le smtp). Et alors rien ne les empêche soit de simuler une pseudo-liste inexistante, soit de créer eux même leurs liste.
Aucune des solutions explicités ne répond à ce problème : le filtrage de la liste, sa modération ou la contrainte d'être inscript ne servent à rien si c'est le spammeur qui contrôle (ou simule la liste). Et le seul moyen de faire la différence entre une liste réelle et un truc de spammeur c'est faire un filtre par white list .. on retourne en rond avec le problème des utilisateurs qui n'iront jamais tenir à jour une white list (enfin pas ceux que je connais)
> > Ou alors ils augmenteront leur puissance de calcul (qui ne doit pas être
> > actuellement ni le facteur limitant ni le facteur le pluscher).
> FAQ :
> # But won't spammers steal CPU time?
Elle est bien la FAQ mais encore une fois ta citation répond à coté. Je parle bien de bêtement monter des serveurs chez le spammeurs, parce que le cpu ce n'est pas vraiment ce qui leur coute cher. Je ne parle pas de voler le cpu à des zombies.
> Dans le monde réel le maximum de personnes à qui j'ai envoyé un mail ça n'a
> jamais du dépasser 15
Je crois que le problème bien de là : on ne vit pas dans le même monde. Dans mon monde imposer aux machines de ramer pour envoyer un mail ce n'est acceptable que pour quelques utilisateurs finaux avec bonne machine : ni pour les sites perso, ni pour les sites pro, ni pour les entreprises, ni pour madame michu avec son vieux tromblon qui veut envoyer ses voeux.
(notes que mon exemple est concret puisqu'envoyer ce genre de mail va m'arriver très rapidement pour organiser mon mariage, je recois aussi très fréquement des mails avec des blagues avec plus de 15personnes en destinataires, beurk d'ailleurs)
> Au lieu d'attendre que Microsoft impose son système, tout en conduisant des
> discussions à n'en plus finir visant à trouver la solution parfaite (hint : il n'y aura
> pas de solution parfaite), je pense qu'on devrait essayer de voir en face ce
> système qui n'est pas idéal mais qui est la moins mauvaise solution qu'il m'ait été
> personnellement donné de voir.
Ce n'est pas parce que MS cherche à imposer une mauvaise solution qu'on est obligés de faire pareil en catastrophe. Ce d'autant plus qu'on n'a pas la force de frappe de MS pour imposer notre solution alors on a intérêt qu'elle soit bonne si on veut qu'elle marche.
Notes qu'à choisir entre les deux celle de MS me parait meilleure que le coup du hash à calculer (et pourtant je n'aime pas celle de MS).
> Pourquoi partir du principe que ce truc est débile ?
Je pars du principe que ce n'est pas parce que des gens proposent des trucs que c'est forcément une bonne idée. Des trucs idiots ou simplement pas bons on en a vu pas mal, même en ne parlant que des anti-spam ça doit se compter par centaines. Tu pars toi même sur le principe que la solution de MS est mauvaise et qu'il vaut mieux les hash. Laisses donc aux autres la possibilité d'être critique sur ce que tu soutiens si tu l'es sur ce que d'autres soutiennent.
Je ne dis pas que c'est débile, je pense simplement que ce n'est pas une bonne solution qui risque d'apporter des emmerdes pour une efficacité très réduite à terme. Je pense aussi qu'on ne convaincra pas les professionnels de faire ramer volontairement leurs machines pour envoyer des mails (et oui, la possibilité de la solution éventuelle pour s'imposer fait aussi parti du problème)
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 2.
Je ne pense pas là par contre. Tu peux très bien rechercher un type de fichier sans atteindre le moindre du monde aux correspondances privées (tu ne lis rien) au aux données personnelles. Une recherche avec "find" suffit. S'il est établit que ce type de fichier est interdit ou que c'est visiblement en dehors du cadre scolaire ça peut bien effectivement être supprimé.
Sauf si je me trompe, ce qu'il n'aurait pas le droit de faire, ça serait aller lire le contenu du-dit divx s'il sait que c'est une vidéo personnelle. Je pense même qu'il doit être en mesure de faire un bref apperçu pour savoir si c'est un film piraté ou une vidéo personnelle pour peu qu'il s'arrête dès qu'il sait que c'est personnel.
> le gusse en tole pour avoir mis un seau d'acide en équilibre au dessus d'une porte
Doucement avec les analogies tout de même. Dans ton exemple le piège en lui même fait une action illégale, ce qui n'est pas forcément le cas pour un simple scan de dossier pour repérer des extensions interdites. Puis mettons tout de même de la mesure, même s'il fait des choses pas bien ça n'a quand même rien à voir avec un seau d'acide au dessus d'une porte en attendant quelqu'un.
[^] # Re: Brevets?
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 5.
> mailing-list. On génère un timbre hashcash avec comme destinataire la mailing-list,
> et un seul. Rien à faire du côté de la ML.
Euh, j'espère que non parce que sinon tous les SPAM vont avoir un "To" sur une adresse semblant de ML (beaucoup le font déjà) et n'auront qu'un seul hash à calculer.
Il n'y a pas d'échapatoire : soit tu fais un hash par destinaire (long) soit tu demande au destinataire de mettre l'adresse en liste blanche (illusoire)
> S'ils ne peuvent plus qu'en envoyer 60 à la minute
Ou alors ils augmenteront leur puissance de calcul (qui ne doit pas être actuellement ni le facteur limitant ni le facteur le pluscher).
> donc peut-etre environ 10~20 pour les autres
10~20 pour les autres ? à 20s, si ma copine envoie ses voeux ou une nouvelle importante (on se marie bientot) à son carnet d'adresse ça veut dire une heure de calcul. Je ne parle même pas de *mon* carnet d'adresse. C'est loin d'être négligeable, même en arrière plan.
Même sur un site perso un mail d'information à 1000 personnes c'est loin d'être rare. Par contre le serveur lui il n'a pas forcément plein de CPU à revendre contrairement à la machine perso. On va parler d'un site perso donc pas d'un quadri-xeon, on va prendre dans les 5s par mail, pour 1000 personnes on consomme environ 1h30 de cpu. Désolé c'est innacceptable pour beaucoup de monde. Et je ne parle même pas du fait que pour ne pas ralentir le serveur ce temps cpu doivent être très réparti dans le temps donc induire un délai très important entre la soumission et l'envoi réel, ce qui peut poser problème dans certains cas.
[^] # Re: Brevets?
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 5.
> les spammeurs. Il n'y a aucune utilisation légitime de cela
Il y a les lettres d'information, les listes de diffusion très publiques (genre la ML Linux mais c'est très loin d'être un cas à part) ou simplement de serveurs qui ont des listes à faible/moyen traffic maisen nombre importat. Bref, beaucoup de cas qui doivent représenter un volume assez important pour être gênés.
Et non, croire que les utilisateurs vont établir des whitelist à chaque fois qu'ils s'inscrivent quelque part c'est totalement illusoire. De même qu'il est autant illusoire de croire que les utilisateurs vont accepter de perdre ces mails en se disant "c'est normal j'ai oublié de remplir la whitelist" (et là je prend le pai qu'ils s'en rendront compte, ce qui est déjà probablement une erreur).
Quant à gêner les spammeurs, je ne suis pas sûr que ce qui leur coute le plus cher ce soit la puissance de calcul, franchement. Et même alors, je ne suis pas sûr que multiplier le nombre de serveurs en interne les empêche vraiment d'opérer.
Pire, avec la montée en fréquence des machines ce qui prend 5 secondes aujourd'hui ne prendra déjà plus que 4 secondes le temps que ça se mette en place, dans les deux secondes une vingtaine de mois après. C'est vraiment à court terme.
Que fait on ? on change d'algo tous les ans pour prendre en compte la montée en puissance ? sympa pour ceux qui sont encore en PII-500. Si celui qui a un P4-3Ghz met 5 secondes, celui qui a un PII-500 commence à en mettre quasiment 30. Rien que pour envoyer ses voeux à son carnet d'adresse son ordinateur risque de ramer une heure alors qu'il devrait faire ça en moins d'une minute. Bonjour aussi les gens qui devront tenir tout ça à jour pour supporter à chaque fois le nouvel algo.
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 2.
> sauf vers leurs serveurs officiels internes. Ce serait nettemment plus
> efficace que l'initiative de Microsoft, et serait plus éducatif envers les
> clients du FAI si le FAI explique qu'il fait cela pour réduire les envois de
> spam depuis chez lui.
Ce qui veut dire que le zombie enverra ses mails par le FAI au lieu de directement, ce qui n'est pas vraiment plus en complexe à faire au final (on repique la config d'outlook ou on utilise smtp.domain.tld). Si tu es capable d'utiliser un vers/virus/bidule qui envoie des mails, tu dois pouvoir faire ça. D'ailleurs il me semble qu'une partie non négligeable des zombies sont de bêtes virus outlook (donc bénéficient du FAI).
On y gagne quoi au final ?
Bon, la FAI pourra bloquer l'utilisateur s'il y a trop de spam mais il peut déjà le faire actuellement sans imposer un smtp central.
Tout ce qui n'est pas basé sur le contenu me parait peu utile à long terme.
(tant qu'on ne m'empêche pas d'avoir un smtp en réception, ou d'envoyer des mails avec un "from" qui n'est pas celui de mon FAI, et que le smtp du fai est stable, ça ne me gêne pas vraiment mais je doute de l'utilité)
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 2.
> simple curiosité, donne moi les liens qui le précise.
Attend, tu es en train de me dire que tu crois ne pas être soumis aux même lois parce que tu bosses dans une école ? c'est ça que tu me dis ? j'espère que tu n'y crois pas, en tout cas ce serait très grave.
> Il me semble pourtant que si la justice le lui réclame, il est bien obligé
> de lui fournir de tels renseignements
Si *la justice* le réclame. Pas s'il a envie de surveiller et pas si le PDG veut jeter un oeil.
Notes d'ailleurs que non, ils ne stockent pas le contenu des échanges, juste les paramètres de connexion (login/ip/date). Eventuellement s'il y a proxy ils stockent les url vues, mais jamais ils n'iront stocker le contenu d'un mail ou d'un échange de messagerie instantanée.
Ce qui est stockable est précisément encadré. D'ailleurs je doute que vous ayez une autorisation de la CNIL pour le stockage des contenus de mail à des fins de surveillance, c'est quelque chose qu'elle n'acceptera surement pas. (mais bon, là aussi tu vas me dire que vu que c'est une école de l'état tu n'as pas besoin d'autorisation je suis sûr)
> protège son réseau d'une utilisation frauduleuse et qu'un utilisateur
> frauduleux se plaigne d'avoir vu ses droits baffoués quant à
> l'utilisation du réseau, j'suis pas vraiment certain que la justice
> abonde dans le sens de l'utilisateur, vois tu
Moi j'en suis sur vu qu'on a des exemples (correspondance privée interdite, qui s'est révélée lue, l'entreprise a été condamnée bien que la dite conversation n'aurait pas du avoir lieu).
Notes en même temps qu'outrepasser le règlement intérieur de l'école est heureusement moins grave qu'outrepasser la loi donc si vraiment on devait trancher en faveur de l'un ou de l'autre ...
De toutes façons le fait que le gars d'en face fasse quelque chose qu'il n'a pas le droit n'a jamais autoriser quiconque à outrepasser la loi. Heureusement d'ailleurs.
> Quant à l'utilisateur il se sera sans doute préparé un beau dossier
> pour son avenir, qu'il aura superbement officialisé en venant se
> plaindre....
Mais je rêve ? tu es en train de soumettre le respect des droits à la menace d'avoir un mauvais dossier ? j'espere que j'ai mal compris.
Bordel, mais si c'est ça l'école publique maintenant moi je n'y enverrai pas mes gosses. "parles pas sinon tu verras les conséquences" ... et c'est toi plus haut qui parlait des gosses avec leurs "dis le pas au prof sinon tu vas voir ta gueule" ?
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 2.
> permis de son matériel, qui en régit les contraintes et les obligations.
> Donne moi un lien prétendant le contraire.
C'est pareil pour les entreprises. Mais il y a eu plusieurs jugements, et tous ont sont sortis avec l'idée que la lecture des correspondances privées était interdite, même si l'entreprise refusant normalement toute conversation privée.
Le fait que tu contrôles le matériel ne te donne pas droit de violer ce qui est interdit par ailleurs. Aller lire les correspondances privées est interdit, que tu contrôles le matériel et son utilisation n'y change rien. Que tu sois un fonctionnaire de l'état non plus (au contraire).
> le filtrage des sites blogs relevait de la décision du directeur de
> l'établissement. Pourtant aucune loi n'a été voté pour cela ?
Tu peux interdire tout ce que tu veux. Tu ne peux pas lire les messages personnels ou privés. La limite est pourtant bien claire non ?
Interdis le mail et le Web si tu veux, interdits les mails privés si tu veux, mais si jamais tu tombes sur un mail privé tu n'as pas le droit de le lire une fois que tu t'en es rendu compte.
> De plus, je me repête peut-être, mais je NE LIS PAS les mails. Ils
> sont stocké sur disque afin d'être consultable par des personnes
> abilitées à les lire, comme un directeur, un CPE, etc....
> je ne fais que ce que m'autorise le rectorat et le chef
> d'établissement,
Mouais, c'est je trouve un peu facile de se déresponsabiliser ainsi alors que c'est toi qui met à disposition activement. Notes que d'ailleurs non, ça n'enleves rien à ce que tu fais. A ton avis, qu'est-ce que dirai le chef d'établissement si un éleve lui rapportait "oui, j'imprime les lettres de menace pour du racket (ou autre activité répréhensible), oui je suis payé pour ça, mais c'est Bob à coté qui me l'a demandé, qui rédige et qui envoie" Tu crois vraiment qu'on le considèrerai comme n'ayant rien à voir ? Ta position est très similaire.
> Où j'ai écrit que je les lisait ? dis ?
Euh :
"""Officieusement, on nous demande même de l'anticiper. Officiellement, les communications ne sont pas espionnés."""
"""" > Je rapelle que les admins doivent respecter la vie privee des
> utilisateurs , et ce officiellement comme officieusement..."
Ouais enfin, comme j'ai dit le principe de précaution prévaut. Donc t'as pas mal de passe droit quand même..."""
Ca veut tout de même dire que oui, tu fais des choses répréhensible. J'ai beau tourner ca comme je peux au final ça dit bien ce que ça veut dire, même si ce n'étais pas toi qui lisait les mails au final.
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 4.
Il y a une énorme différence entre garder des logs exploitables en cas de problèmes, et faire ce que tu disais c'est à dire lire activement les conversations. Un fossé même. Notes d'ailleurs que les logs sont obligatoires dans bien des cas, leur utilisation à priori pour surveillance des conversations privées ne l'est pas.
> De même, la prochiane qu'on trouve un divx sur le réseau
Attend, mais ça n'a rien à voir. Tu parlais de lire des échanges de messagerie instantanée tout à l'heure. Filtrer une extension, un type de fichier qui a été explicitement interdit c'est tout à fait autre chose. C'est la même différence qu'entre lire les mails et interdire les pièces jointes.
Effaces tes divx autant que tu veux, ce n'est certes pas ça qui t'es reproché.
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 2.
> un verdict ou un quelconque jugement rendu là dessus ? par contre j'ai bien
> entendu l'expression "principe de précaution".
La différence c'est que ceux dont tu parles (gouvernement et parlement) ont justement le pouvoir et la responsabilité de prendre ce genre de loi/ordonnance. Tu ne l'as pas. Eux utilisent la responsabilité qu'on leur a donné, en accord avec la loi. Toi tu usurpes une responsabilité que tu n'as pas, en violation de la loi.
> le principe est vieux comme le monde et prévaut sur la loi dans beaucoup de domaine
Ah ? non. Parce que dans ce que tu parles ton principe de précaution est dans la loi, ou ceux qui le prennent en ont le droit grace à la loi.
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 4.
Un spammeur est-il moins capable de configurer son réseau et ses dns ?
C'est le genre de règle qui ne cible pas le contenu mais l'enveloppe, et l'enveloppe n'a aucune raison d'être différente entre un spammeur et un non spammeur.C'est exactement le filtre qui ne sert à rien à terme et qui fait des faux positifs inutiles.
[^] # Re: Hey mais c'est génial ca!!
Posté par Éric (site web personnel) . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 4.
14 ans, lycée, collège ....
- depuis quand la signature d'un mineur engage t'elle quoi que ce soit ?
- l'école étant un droit et une obligation à cet age, imposer la signature (parce que je doute qu'on te donne le choix) ça la rend un peu inutile et caduque non ?
- quoi que tu fasses signer, ça ne te dégages pas de la loi
> si tu le dis aux profs ou à tes parents, mes potes et moi on va te casser la gueule
Donc tu crois que si c'est l'admin qui lit la conversation, qui va arrêter le massacre le lendemain, le copains croiront la victime qui dit "c'est pas moi qui ait dénoncé" ?
Si tu répond oui à la question précédente, qu'est ce qui empêche le gamin de prévenir pour faire croire que c'est l'admin qui a intercepté ?
Faut pas prendre les gamins pour des idiots. Soit c'est une menace en l'air et il ne se passera rien, soit ca n'en est pas une et ton petit il se recevra une branlée si l'admin intercepte ce qu'il veut intercepter.
> Ouais enfin, comme j'ai dit le principe de précaution prévaut
Ah ? pour moi la loi prévaut
Et quand on commence à justifier/accepter trop d"intrusion au titre de la sécurité, on sait ce que ça donne. On en a malheureusement eu des exemples depuis le 11 septembre.
Il y a une ligne à tracer et à ne pas franchir, toujours. Je crois qu'aller surveiller sans justification des conversation ou échanges privés est au dela de la limite. D'ailleurs il me semble que nos législateurs ont tranché de la même façon