Glandos a écrit 1215 commentaires

Ouais, un super commentaire !
Ouais, plein de choses à répondre ! Par quoi commencer ?

Oui, l'IPv6 résoudrait tellement de problèmes. Ça serait vraiment bien si seulement… Si seulement les gens lisaient les RFC, et arrêtaient d'avoir un esprit commercial à court terme.
IPv6 fonctionne chez moi depuis au moins 5 ans, via ma Freebox v5. J'ai dû bien bidouiller, à base de mélange de NPD6 et de règle de routage complexe parce que la Freebox n'annonce qu'un /64 en pensant qu'elle est toute seule.
En passant chez Orange, je ne comptais pas sur mieux, et pourtant, j'ai vu ça dans l'interface de la Livebox :

IPv6 activé vous permet de disposer d'adresses IPv6 pour les équipements de votre réseau local. En cas d'incompatibilité IPv6 de certains équipements, il est possible de désactiver la connectivité IPv6.

Le préfixe IPv6 est : 2a01:cb19:XXXX:c000::/56

Ooooh, un /56 rien que pour moi ? Ça c'est gentil, merci. Bon j'aurais bien aimé de la délégation de préfixe, mais soit. Je teste donc avec 2a01:cb19:XXXX:c000::2/64 sur eth_livebox (oui, c'est un serveur, c'est donc statique, c'est peut-être bête, je sais pas trop), et hop ça marche. Bien. Voyons voir avec 2a01:cb19:XXXX:c001::2/64 (qui est dans le sous-réseau suivant) : paf, ça répond plus.
Alors je suis peut-être une quiche, j'ai raté un truc, je ne sais pas, mais la Livebox envoie des RA comme ça :

#
# radvd configuration generated by radvdump 2.17
# based on Router Advertisement from fe80::a63e:51ff:fe73:c7f6
# received by interface eth_livebox
#

interface eth_livebox
{
    AdvSendAdvert on;
    # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
    AdvManagedFlag off;
    AdvOtherConfigFlag on;
    AdvReachableTime 0;
    AdvRetransTimer 0;
    AdvCurHopLimit 64;
    AdvDefaultLifetime 600;
    AdvHomeAgentFlag off;
    AdvDefaultPreference high;
    AdvLinkMTU 1500;
    AdvSourceLLAddress on;

    prefix 2a01:cb19:XXXX:c000::/64
    {
        AdvValidLifetime 1800;
        AdvPreferredLifetime 600;
        AdvOnLink on;
        AdvAutonomous on;
        AdvRouterAddr off;
    }; # End of prefix definition


    RDNSS fe80::a63e:51ff:fe73:c7f6
    {
        AdvRDNSSLifetime 600;
    }; # End of RDNSS definition


    DNSSL home
    {
        AdvDNSSLLifetime 600;
    }; # End of DNSSL definition

}; # End of interface definition

Et j'ai essayé un client DHCPv6 : pas de réponse. Donc on en est là, toujours à faire du routage complexe pour rien, juste parce qu'il n'y a pas une case à cocher pour faire mieux qu'un simple /64 annoncé par la « box » elle-même, soit à peu près aussi utile que le NAT en IPv4. Oui c'est mieux, mais c'est tout aussi utile.

Pour revenir sur l'intelligence dans le réseau je suis partagé. D'un côté, j'aime bien quand les routeurs n'en font pas trop, et de l'autre, beeeen, j'aimerais bien pouvoir choisir moi-même ce qui passe par où, sans avoir à le configurer sur toutes mes machines terminales. Du coup, en IPv4, vu qu'il y a un SNAT, c'est pas trop dur : certains paquets sont marqués par iptables, et les paquets marqués passent via la règle de SNAT différente.
En IPv6, évidemment, c'est pas le même raisonnement, et je pense que je vais effectivement laisser faire les machines terminales. Pas question de faire du SNAT, c'est vraiment malpropre.

Et pour finir le module rpfilter. Le but, c'est bien d'éviter d'envoyer des paquets forgés via une machine potentiellement infectée. Je ne pense pas qu'une telle règle filtre quoi que ce soit pour les paquets qui arrivent de l'extérieur. Vu que le principe est de tester si le routeur peut router le paquet dans l'autre sens, à part si l'adresse source contient une adresse non routable (dans ce cas, mon FAI laisse vraiment passer des trucs bizarres), tout le reste va passer le test.
Mais oui, j'ai déjà bien ces règles mentionnées dans mes tables, pour router correctement ce qui sort.

La conclusion, c'est qu'il y a des centaines de personnes très qualifiées qui ont pondu un écosystème très perfectionné, et répondant parfaitement à quasiment tous les problèmes de IPv4, qui était quand même déjà bien conçu pour son époque. Mais on se retrouve avec des tas de gens qui n'ont rien compris, ou ne veulent pas comprendre, et qui cassent tout ce beau travail.

Je confirme qu'utiliser le module rpfilter de iptables sur la table raw a résolu mon problème. Merci beaucoup pour cette ouverture de connaissance.

Je vais donc creuser cette piste. En fonction de mon temps libre, c'est sûr.

Mais c'est bien, c'est exactement ce que je demandais, merci beaucoup.

Alors là, ça m'avait échappé. Oui, il y a bien le module rpfilter. Le genre de commentaire bien qu'on trouve sur linuxfr. Et ça a le GROS GROS avantage d'être visible au même niveau que les règles de pare-feu. Plutôt que dans l'obscur /etc/sysctl.conf.

Merci !

Merci pour la référence. J'en ai trouvé pas mal des explications comme ça. Mais dans les rares qui mentionnaient rp_filter, personne ne disait pourquoi. Mais au moins, c'est une référence synthétique et en français. C'est bien :)

C'est ce que j'ai cru comprendre, mais j'ai rien trouvé de clair.

Mais le contraire serait quand même surprenant :)

Y a même un modèle de sécurité : https://docs.clip-os.org/clipos/security.html

Bon, OK, je sais que c'est pas des incompétents à l'ANSSI, mais ça fait plaisir à voir un truc qui intègre dès le départ ce genre de chose.

https://github.com/antirez/redis/issues/5335

L'article de blog vaut le coup aussi : http://antirez.com/news/122

c'est le soin qui est pris par l'équipe de dev de Python pour garantir au maximum la compatibilité ascendante.

Et ils ont rajouté deux mots-clés. Non mais vraiment, j'aime bien python, j'aime bien son développement, mais on ne rajoute pas des mots-clés sur des versions intermédiaires. Ça casse tout.

S'il y a du deuxième degré, de l'auto-critique, ou de l'auto-critique, cela ne transparaît pas du tout dans l'article.

Ne le laisse pas tomber,
Il est si fragile,
C'est un code libéré,
Tu sais c'est pas si facile.

En tout cas en France. À défaut de licence explicite, on ne peut pas faire grand chose de ce code, à part le regarder. Et peut-être l'installer.
Enfin, c'est une belle première étape, c'est évident :)

https://netbeans.apache.org/

Mais ça ne fait que Java pour l'instant (même pas J2EE).

… la fête est plus (m|f)olle !

Bref, sans JS, pas d'embêtement, juste le contenu. C'est pas mal des fois. Souvent, c'est pas comme ça.

N'appeler le captcha sur l'identifiant qu'à partir du 3ème ou 5ème échec, quelle que soit l'IP ? Ça me semble pas mal.

Pour éviter les bruteforce sur les login.

Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !

Oui, c'est pas faux, les solutions clés en main ont un vrai historique, bien gros.

Par contre, c'est en général pas impossible de récupérer les identifiants d'un collègue. Surtout quand les communications internes vers le système d'authentification ne sont pas chiffrées.

Il me semble compliqué d'exiger des entreprises qu'elles identifient les sites des banques des employés (pour ne parler que de ça).

Ma boîte le fait très bien. Les sites « sensibles » comme les banques, ameli.fr, impots.gouv.fr, etc, ne sont pas interceptés. Par contre, le reste… Si :) Souvent l'interception sert à faire une redirection vers une page interne de blocage. Parfois (comme linuxfr ou GitHub, mais pas tout le temps), c'est juste pour rechiffrer.

Apparemment, ça utilise WebSense. Je n'ai pas plus creusé que ça.

Bah, tu sais, il y a reCaptcha pour s'identifier. Donc Google connaît déjà ton login et ton mot de passe.

reCaptcha pour créer un compte, pourquoi pas… Mais pour s'identifier, je ne comprendrais jamais.

Au début de la page 29 du document de l'ANSSI, il est clairement mentionné la chose suivante :

« La mise en place par une entité d’un mécanisme de déchiffrement des flux doit s’accompagner du respect des principes généraux suivants :
– transparence et loyauté de l’employeur vis-à-vis de ses salariés en les informant sur la nature des mesures informatiques prises sur le réseau informatique de l’entité et en recueillant leur consentement individuel sur la charte informatique ainsi qu’en consultant les
instances représentatives
du personnel »

Donc CHAQUE individu doit avoir signé un papier.

Ensuite, il faut savoir que cette note rappelle aussi un point important : ce n'est plus l'utilisateur qui fait la connexion, mais l'entreprise. En effet, à partir du moment où c'est elle qui chiffre, c'est elle qui devient responsable de la communication sortante. Je ne sais pas si les entreprises ont bien compris ce qu'implique cette responsabilité. En cas d'activité frauduleuse, ce sera donc à l'entreprise de démontrer que ce n'est pas elle qui est à l'origine de l'activité, et surtout de désigner le coupable. C'est pas évident.

Il faut avouer que le droit d'auteur est de moindre importance face à l'accord de Paris, les règles sociales et environnementales, et même au secret de la négociation, qui, même s'il n'est que de la forme, conditionne justement tout le reste de l'accord.

Ceci dit, c'est intéressant de voir qu'effectivement, « l'Occident » impose sa vision des choses. Enfin, j'imagine que ça ne déplaît pas non plus au Japon d'étendre les droits d'auteur.

Et ça n'a toujours aucun sens de le faire, du point de vue de la société. Évidemment, du point de vue des producteurs, ça a beaucoup plus de sens.

Stallman n'a rien fait pour empêcher les comportements que tu évalues comme non éthique d'une part, mais pire il a voulu accorder des droits larges.

Cf. le débat sur la licence JSON qui mentionne « […] for good, not evil », ou dans le genre, et qui n'est du coup pas considérée comme libre, parce que la notion de bien et de mal réduit la liberté des utilisateurs.

C'est vrai que c'est un point important. On peut légitimement vouloir que ses logiciels ne contribuent pas à l'extinction de la race humaine, ou d'autres choses, mais c'est une notion orthogonale à la liberté d'utilisation et de modification.

Oui, oui. Comme le vote sur le Brexit : https://www.lemonde.fr/referendum-sur-le-brexit/article/2018/07/17/au-royaume-uni-la-campagne-pour-le-brexit-sanctionnee-pour-infraction-au-code-electoral_5332744_4872498.html

La campagne a été un peu irrégulière (dépassement de budget), mais maintenant que c'est fait, le résultat est le même. C'est pas possible de revenir en arrière.

Commission européenne : http://europa.eu/rapid/press-release_IP-18-4581_fr.htm

UPDATE : Google : https://twitter.com/googleeurope/status/1019539840457723904

Bon, attention avant de tout remplir : il y a un Google reCAPTCHA, à la fin.

Donc, si vous voulez remplir ce formulaire, plutôt simple d'ailleurs, n'oubliez pas de débloquer les ressources externes en provenance de notre Grand Ami.