J'ai fini par faire ça aussi.
Et un accès de secours avec Shell in a box. Sur une URL en HTTPS, avec un sous-chemin non indexé.
Il est possible aussi de faire écouter le serveur SSH sur un port secondaire.
Question de goût.
Perso, quand j'écris des playbooks ansible, c'est toujours la misère, parce qu'il y a une espace en trop (ou en moins), et ce n'est plus une liste, c'est un dictionnaire, ou l'inverse.
C'est sûrement un problème qui vient de moi, mais perso, JSON, je trouve que c'est plus « sympa ».
Ah. Sourceforge. Y a-t-il une bonne raison, autre que historique ?
Évidemment, la centralisation de tout le code sur GitHub est un souci, mais il y a des alternatives :
- BitBucket
- GitLab
- FramaGit
C'est surtout que SourceForge a une interface vraiment pas top. OK, je viens, grâce à OpenJardin, de voir qu'ils ont totalement rafraîchi l'interface, mais ça reste quand même en deçà des standards.
Actuellement, boobank a une commande d'export vers Budgea.
C'est pratique, parce que ça permet d'avoir boobank sur un autre ordinateur, de confiance. Peut-être est-il possible de faire pareil pour Cozy ? C'est une simple suggestion, je ne connais pas les plans en interne :)
Ne plus stocker les fichiers dans CouchBD (pour simplifier les sauvegardes et savoir retrouver les fichiers en cas de corruption de la base CouchDB). Les fichiers ne sont plus stockés dans CouchDB. Sur notre infrastructure, ils sont stockés dans Swift. Pour les auto-hébergés, ils sont stockés dans un répertoire du disque dur local (attention, il ne faut pas modifier directement ce répertoire). On aimerait ajouter d'autres modes de stockage, minio en particulier.
J'aimerais partager mon expérience avec Nextcloud sur ce point. J'ai mes fichiers photos, films, et musique sur mon NAS, accessibles en NFS sur mon ordinateur à la maison. Donc performant. Nextcloud, installer sur le même serveur me permet d'accéder aux fichiers locaux en créant des « points de montage », façon UNIX. C'est très efficace, et ça évite la redondance d'informations. Évidemment, ça demande à Nextcloud d'avoir une routine un peu complexe de scan de nouveaux fichiers et de mise en cache des index.
Cela a-t-il été envisagé pour Cozy ?
Sinon, c'est un beau logiciel. Pour l'instant, il en fait peut-être moins que les autres, mais il a l'air de le faire bien. C'est chouette.
Lol. J'ai un Intel Atom D2550 en auto-hébergement. Avec 4 Go de RAM. Docker, c'est pas envisageable, même en mettant de côté tous les autres défauts. Oui, c'est un peu un troll, mais je continuerai pas ici quand même.
Et d'après le site, un autre pré-requis est SQL Server 2017. Donc non, c'est pas possible, même si c'est docker-isé, de faire tourner ça sur ma machine, pour le côté propriétaire de la chose.
Un grand merci vers le serveur Bitwarden en ruby. La version officielle est en C#, donc vraiment dure à mettre sous GNU/Linux. En ruby, bon, ça va déjà mieux. J'aime pas trop ruby, c'est une question de goût, mais ça tourne quand même ;)
Tiens. Merci beaucoup d'avoir amené les jumeaux monozygotes sur la table du débat des marqueurs biométriques. On les avait oubliés. C'est peut-être la même chose qui nous fait oublier les différents handicaps lorsqu'on parle d'accessibilité, mais là, c'est encore plus marrant, parce que la biométrie marche vraiment rarement avec cette particularité.
Je pense que personne n'a jamais demandé qu'il y ait quoi que ce soit de secret. Ce qu'on veut, c'est être sûr que la personne qui accède au service soit la même que celle qui a créé le compte.
OK, j'abandonne par KO au nombre de réponses. On ne se convaincra pas mutuellement. Allez, juste une dernière.
Comment être sûr que c'est la même personne ? En lui demandant quelque chose qu'elle a inventé. Et pas quelque chose qu'elle n'a pas choisi, comme ses empreintes digitales. Car la biométrie pose également le problème de l'identification (justement) : en admettant que le lecteur ne transmette qu'une version non réversible de l'identificateur biométrique choisi, une fois qu'on le possède, on peut accéder à TOUS les services, sans distinction. Et identifier la personne sur TOUS les services.
La procédure d'accès en cas de décès, en cas de perte fait forcément intervenir un facteur humain. Une machine ne sait pas le faire. C'est un gros défaut de l'informatique d'aujourd'hui, et la biométrie ne le résoudra pas. Parce que si je meurs noyé dans un accident d'avion, personne ne va aller chercher ma main ou ma tête pour déverrouiller mon compte. On a la même problématique qu'avec les mots de passe.
Fiabilité : qui n'a pas perdu un vieux mdp pour accéder à une archive ou à un ordinateur? (ex: mot de passe du BIOS), avec à la clé des pertes de données ou d'argent? (mdp d'un portefeuille BitCoin?).
C'est exactement ce que je demande à un mot de passe. Si le l'ai perdu, c'est tant pis.
Coût : Pour une entreprise, quel est le coût de l'identification par mot de passe (éventuellement, récupération des mdp perdus, stockage au coffre fort, temps perdu par tout ça, etc).
Le coût sera le même quel que soit la méthode d'authentification, puisqu'il faut stocker un secret côté serveur. Le coût de récupération est autrement plus élevé quand il s'agit d'autre chose que d'un mot de passe puisque ça nécessite des étapes supplémentaire (envoi d'un jeton physique, vérification de l'identité par un humain, …).
Ergonomie : on impose à l'utilisateur une démarche d'identification qui prend un certain temps et qui occuppe son cerveau pendant de précieuses secondes. La démarche n'a rien de naturel, elle demande d'inventer et de mémoriser des mots de passes, éventuellement complexes, de les changer régulièrement, etc.
Gestionnaire de mots de passe. Gestionnaire de mots de passe. Gestionnaire de mots de passe.
Sécurité : utiliser un mdp faible ou un protocole trouvé met en danger les données qu'on manipule. Utiliser un mdp fort et un protocole non-trouvé met en danger la confidentialité future des données, puisqu'il est probable que dans un avenir plus ou moins proche, la puissance de calcul ou des failles découvertes permettront d'accéder au contenu.
Une dernière pour la route : gestionnaire de mots de passe.
Oui, je l'ai mis dans le dépôt après avoir utilisé ssl-cert-check.
Je n'aime pas tomber sur des dépôts en jachère sans savoir quoi utiliser, donc j'essaie d'être poli avec les autres. Et ne pas supprimer le dépôt non plus, vu que je l'ai annoncé publiquement.
Mais je suis passé à ssl-cert-check. Ça couvre parfaitement mon besoin. C'est en bash (bof), ça forke de partout (bof, mais en shell, on fait pas autrement), ça dépend de openssl (bof aussi, mais ça gère le starttls de base), mais c'est lisible et le développement est actif.
Vu que l'implémentation en CoffeeScript est différente, est-il possible de s'en servir va scorepw ?
Je sais que c'est pas évident… Foutre du JS dans un programme C, quel dommage ;)
Mais ça va finir par arriver si d'autres bibliothèques d'évaluation de la qualité des mots de passe arrivent.
Ou aussi pour jouer en ligne sur les jeux déjà achetés. Quand je me connecte sur Mariokart, j'ai pas le droit d'y aller si j'ai pas fait la dernière mise-à-jour.
Et quand bien même, il y a un nombre incroyable de question « Voulez-vous mettre la console à jour ? » dès qu'on sort de la veille ou qu'on démarre un jeu.
La solution est de ne pas du tout connecter la console, mais bon, même pour moi qui ne joue pas beaucoup, ça limite quand même franchement le potentiel de la console…
Personnellement, je me suis fait un interrupteur de wifi, avec une clé USB branchée sur mon point d'accès. Il y a deux services, hostapd.service et rfkill-by-card.service. Le premier gère le point d'accès en lui-même, le deuxième me permet de couper les ondes, vraiment.
Si j'étais Niantic, je ne m'appuierais pas sur les serveurs du portail public de tuiles.
Si j'étais OSM, je n'autoriserais pas une application commerciale aussi importante utiliser des serveurs mis à dispositions gracieusement.
Par contre Niantic peut avoir télécharger la base, fait le rendu, et distribuer les tuiles, c'est pas super compliqué non plus.
OpenStreetMap data is free for everyone to use. Our tile servers are not.
[…]
Heavy use (e.g. distributing an app that uses tiles from openstreetmap.org) is forbidden without prior permission from the System Administrators. See below for alternatives.
C'est dommage, je n'ai plus les liens sous la main.
Mais un Français avait bloggé ça : en gros, un jour, la police est venu chez lui, et a saisi toutes ses machines. Un petit jour de garde à vue. Ça s'est plutôt bien passé, la police a fait son travail, et il n'a pas été soupçonné au-delà. L'enquête concernait de la pédopornographie, et son IP est remontée.
En France, comme on légalement responsable de son IP, c'est un peu compliqué de faire face à tous ce qui peut arriver. Il vaut mieux faire des dons à une association qui gère ça.
Donc effectivement, la seedbox, c'est pas la meilleure des idées. Par contre magnetico, c'est avoir son propre annuaire de DHT. Et ça nécessite surtout de la bande passante et du disque. Alors, ça consomme aussi un peu de CPU, surtout avec une grosse bande passante, faut voir. Attention, une réécriture en Go est en cours.
Cloud personnel
Franchement, avec un onduleur BackUPS 500, mon installation tient plus d'une heure sans courant. De quoi assurer une bonne dispo. Et les seules coupures Internet que j'ai, c'est la pose de la tranchée pour l'enfouissement des réseaux (une fois tous les 30 ans), et des coups de pieds dans la prise par les gamins. Les coupures durent moins de 2 minutes.
Le seul problème finalement, c'est le maigre CPU qui fait que les pages sont lentes à charger…
Relais Tor
Bon, là, c'est plutôt politique, et surtout de la bande passante. Si je me souviens bien, c'est pas très risqué. Par contre, héberger un nœud de sortie est une très mauvaise idée.
Un service au pif
Parmi ceux développés par Framasoft : https://framasoft.org/#topPgCloud
Y en a pas beaucoup qui demande de l'espace disque… À part le partage de fichier.
La censure n'est pas que politique. Dès aujourd'hui, Firefox et Chrome « bloquent » certains sites avec un gros panneau rouge d'avertissement de site malveillant. C'est de la censure assumée.
Dans le cas de Quad9, un code de retour serait utile, au lieu d'avoir une requête HTTP et retour en JSON.
Bon, après, entre le résolveur qui doit interpréter ce code, et le logiciel qui n'a probablement aucun moyen de savoir que ce code a été renvoyé… C'est surtout pour le debug.
[^] # Re: Ban de 24h ?
Posté par Glandos . En réponse à la dépêche Pyruse 1.0 : pour remplacer Fail2ban et autres « scruteurs » de journaux sur un GNU/Linux moderne. Évalué à 4.
J'ai fini par faire ça aussi.
Et un accès de secours avec Shell in a box. Sur une URL en HTTPS, avec un sous-chemin non indexé.
Il est possible aussi de faire écouter le serveur SSH sur un port secondaire.
[^] # Re: YAML
Posté par Glandos . En réponse à la dépêche Pyruse 1.0 : pour remplacer Fail2ban et autres « scruteurs » de journaux sur un GNU/Linux moderne. Évalué à 4.
Question de goût.
Perso, quand j'écris des playbooks ansible, c'est toujours la misère, parce qu'il y a une espace en trop (ou en moins), et ce n'est plus une liste, c'est un dictionnaire, ou l'inverse.
C'est sûrement un problème qui vient de moi, mais perso, JSON, je trouve que c'est plus « sympa ».
Sans troller, y a-t-il des meilleurs arguments ?
[^] # Re: Gestionnaire de version
Posté par Glandos . En réponse à la dépêche Un logiciel libre de gestion des cultures OpenJardin. Évalué à 2.
Ah. Sourceforge. Y a-t-il une bonne raison, autre que historique ?
Évidemment, la centralisation de tout le code sur GitHub est un souci, mais il y a des alternatives :
- BitBucket
- GitLab
- FramaGit
C'est surtout que SourceForge a une interface vraiment pas top. OK, je viens, grâce à OpenJardin, de voir qu'ils ont totalement rafraîchi l'interface, mais ça reste quand même en deçà des standards.
[^] # Re: BMP? O_o
Posté par Glandos . En réponse à la dépêche Un logiciel libre de gestion des cultures OpenJardin. Évalué à 8.
Le SVG, c'est la vie. Enfin, non pas tout le temps, mais dans le cadre d'un logiciel avec affichage potentiellement dynamique, il faudrait l'utiliser.
[^] # Re: "Le Logiciel Libre fait partie de notre ADN"
Posté par Glandos . En réponse à la dépêche Cozy, votre domicile numérique. Évalué à 7.
Actuellement, boobank a une commande d'export vers Budgea.
C'est pratique, parce que ça permet d'avoir boobank sur un autre ordinateur, de confiance. Peut-être est-il possible de faire pareil pour Cozy ? C'est une simple suggestion, je ne connais pas les plans en interne :)
[^] # Re: Accès aux fichiers locaux
Posté par Glandos . En réponse à la dépêche Cozy, votre domicile numérique. Évalué à 2.
https://docs.nextcloud.com/server/12/admin_manual/configuration_files/external_storage_configuration_gui.html
Mon répertoire data est plutôt vide. Il ne contient que quelques documents synchronisés pour des raisons pratiques.
# Accès aux fichiers locaux
Posté par Glandos . En réponse à la dépêche Cozy, votre domicile numérique. Évalué à 4.
J'aimerais partager mon expérience avec Nextcloud sur ce point. J'ai mes fichiers photos, films, et musique sur mon NAS, accessibles en NFS sur mon ordinateur à la maison. Donc performant. Nextcloud, installer sur le même serveur me permet d'accéder aux fichiers locaux en créant des « points de montage », façon UNIX. C'est très efficace, et ça évite la redondance d'informations. Évidemment, ça demande à Nextcloud d'avoir une routine un peu complexe de scan de nouveaux fichiers et de mise en cache des index.
Cela a-t-il été envisagé pour Cozy ?
Sinon, c'est un beau logiciel. Pour l'instant, il en fait peut-être moins que les autres, mais il a l'air de le faire bien. C'est chouette.
# Faux ami ou typo ?
Posté par Glandos . En réponse au journal linuxboot/nerf update et une annonce concernant la linux fondation. Évalué à 2.
Euh, c'est Edge Funds ou Hedge Funds ? Le premier n'a pas l'air d'exister pour moi.
[^] # Re: Mots de passe
Posté par Glandos . En réponse au journal Résolution pour 2018. Évalué à 1.
Lol. J'ai un Intel Atom D2550 en auto-hébergement. Avec 4 Go de RAM. Docker, c'est pas envisageable, même en mettant de côté tous les autres défauts. Oui, c'est un peu un troll, mais je continuerai pas ici quand même.
Et d'après le site, un autre pré-requis est SQL Server 2017. Donc non, c'est pas possible, même si c'est docker-isé, de faire tourner ça sur ma machine, pour le côté propriétaire de la chose.
[^] # Re: Mots de passe
Posté par Glandos . En réponse au journal Résolution pour 2018. Évalué à 1.
Un grand merci vers le serveur Bitwarden en ruby. La version officielle est en C#, donc vraiment dure à mettre sous GNU/Linux. En ruby, bon, ça va déjà mieux. J'aime pas trop ruby, c'est une question de goût, mais ça tourne quand même ;)
[^] # Re: Individu surveillé
Posté par Glandos . En réponse au journal Microsoft voudrait de la biométrie. Évalué à 4.
Tiens. Merci beaucoup d'avoir amené les jumeaux monozygotes sur la table du débat des marqueurs biométriques. On les avait oubliés. C'est peut-être la même chose qui nous fait oublier les différents handicaps lorsqu'on parle d'accessibilité, mais là, c'est encore plus marrant, parce que la biométrie marche vraiment rarement avec cette particularité.
[^] # Re: Et sur le fond?
Posté par Glandos . En réponse au journal Microsoft voudrait de la biométrie. Évalué à 10.
OK, j'abandonne par KO au nombre de réponses. On ne se convaincra pas mutuellement. Allez, juste une dernière.
Comment être sûr que c'est la même personne ? En lui demandant quelque chose qu'elle a inventé. Et pas quelque chose qu'elle n'a pas choisi, comme ses empreintes digitales. Car la biométrie pose également le problème de l'identification (justement) : en admettant que le lecteur ne transmette qu'une version non réversible de l'identificateur biométrique choisi, une fois qu'on le possède, on peut accéder à TOUS les services, sans distinction. Et identifier la personne sur TOUS les services.
La procédure d'accès en cas de décès, en cas de perte fait forcément intervenir un facteur humain. Une machine ne sait pas le faire. C'est un gros défaut de l'informatique d'aujourd'hui, et la biométrie ne le résoudra pas. Parce que si je meurs noyé dans un accident d'avion, personne ne va aller chercher ma main ou ma tête pour déverrouiller mon compte. On a la même problématique qu'avec les mots de passe.
[^] # Re: Et sur le fond?
Posté par Glandos . En réponse au journal Microsoft voudrait de la biométrie. Évalué à 3.
C'est exactement ce que je demande à un mot de passe. Si le l'ai perdu, c'est tant pis.
Gestionnaire de mots de passe. Gestionnaire de mots de passe. Gestionnaire de mots de passe.
Une dernière pour la route : gestionnaire de mots de passe.
[^] # Re: ssl-cert-check
Posté par Glandos . En réponse au journal Vérification des certificats X.509 sur le point d'expirer. Évalué à 2.
Oui, je l'ai mis dans le dépôt après avoir utilisé ssl-cert-check.
Je n'aime pas tomber sur des dépôts en jachère sans savoir quoi utiliser, donc j'essaie d'être poli avec les autres. Et ne pas supprimer le dépôt non plus, vu que je l'ai annoncé publiquement.
Mais je suis passé à ssl-cert-check. Ça couvre parfaitement mon besoin. C'est en bash (bof), ça forke de partout (bof, mais en shell, on fait pas autrement), ça dépend de openssl (bof aussi, mais ça gère le starttls de base), mais c'est lisible et le développement est actif.
[^] # Re: ssl-cert-check
Posté par Glandos . En réponse au journal Vérification des certificats X.509 sur le point d'expirer. Évalué à 1.
Ça, ça a l'air d'être le genre de script que j'aurais bien écrit.
Bon, c'est en bash, mais en bash lisible.
[^] # Re: Correct horse battery staple
Posté par Glandos . En réponse au journal Scorepw, un évaluateur de mots de passe. Évalué à 1.
Vu que l'implémentation en CoffeeScript est différente, est-il possible de s'en servir va scorepw ?
Je sais que c'est pas évident… Foutre du JS dans un programme C, quel dommage ;)
Mais ça va finir par arriver si d'autres bibliothèques d'évaluation de la qualité des mots de passe arrivent.
[^] # Re: Probablement pas mieux mais très répendu
Posté par Glandos . En réponse au journal Vérification des certificats X.509 sur le point d'expirer. Évalué à 2.
Merci beaucoup :)
Au moins, ça sera dispo pour les autres.
[^] # Re: Ça sera vite rectifié
Posté par Glandos . En réponse au journal Plongée dans les entrailles de la switch. Évalué à 5.
Ou aussi pour jouer en ligne sur les jeux déjà achetés. Quand je me connecte sur Mariokart, j'ai pas le droit d'y aller si j'ai pas fait la dernière mise-à-jour.
Et quand bien même, il y a un nombre incroyable de question « Voulez-vous mettre la console à jour ? » dès qu'on sort de la veille ou qu'on démarre un jeu.
La solution est de ne pas du tout connecter la console, mais bon, même pour moi qui ne joue pas beaucoup, ça limite quand même franchement le potentiel de la console…
# Devinette gagnante
Posté par Glandos . En réponse au journal NERF(3) vers des serveurs ouverts. Évalué à 2.
B… ANANE !
J'ai bon ?
# systemd sans règle udev
Posté par Glandos . En réponse au journal Orange, Batterie et Rock and Roll (partie 2). Évalué à 1.
Personnellement, je me suis fait un interrupteur de wifi, avec une clé USB branchée sur mon point d'accès. Il y a deux services,
hostapd.serviceetrfkill-by-card.service. Le premier gère le point d'accès en lui-même, le deuxième me permet de couper les ondes, vraiment.Et le deuxième:
Et comme ça, j'ai pas de règle udev. Le nom de l'unité device peut être connu avec
systemctl -t devicelorsque le périphérique est branché.[^] # Re: surcharge
Posté par Glandos . En réponse au journal Pokemon GO migre sur OpenStreetMap. Évalué à 8. Dernière modification le 06 décembre 2017 à 12:54.
Si j'étais Niantic, je ne m'appuierais pas sur les serveurs du portail public de tuiles.
Si j'étais OSM, je n'autoriserais pas une application commerciale aussi importante utiliser des serveurs mis à dispositions gracieusement.
Par contre Niantic peut avoir télécharger la base, fait le rendu, et distribuer les tuiles, c'est pas super compliqué non plus.
EDIT : voilà, c'est sur https://operations.osmfoundation.org/policies/tiles/
[^] # Re: Compléments d'idée
Posté par Glandos . En réponse au journal disque dur qui dort. Évalué à 2.
C'est dommage, je n'ai plus les liens sous la main.
Mais un Français avait bloggé ça : en gros, un jour, la police est venu chez lui, et a saisi toutes ses machines. Un petit jour de garde à vue. Ça s'est plutôt bien passé, la police a fait son travail, et il n'a pas été soupçonné au-delà. L'enquête concernait de la pédopornographie, et son IP est remontée.
En France, comme on légalement responsable de son IP, c'est un peu compliqué de faire face à tous ce qui peut arriver. Il vaut mieux faire des dons à une association qui gère ça.
# Compléments d'idée
Posté par Glandos . En réponse au journal disque dur qui dort. Évalué à 2.
Je suis exactement dans ce cas là. La fibre en moins. Mais bon, j'y réfléchis aussi quand même, parce que la fibre, elle va arriver.
Seedbox => magnetico
Donc effectivement, la seedbox, c'est pas la meilleure des idées. Par contre magnetico, c'est avoir son propre annuaire de DHT. Et ça nécessite surtout de la bande passante et du disque. Alors, ça consomme aussi un peu de CPU, surtout avec une grosse bande passante, faut voir. Attention, une réécriture en Go est en cours.
Cloud personnel
Franchement, avec un onduleur BackUPS 500, mon installation tient plus d'une heure sans courant. De quoi assurer une bonne dispo. Et les seules coupures Internet que j'ai, c'est la pose de la tranchée pour l'enfouissement des réseaux (une fois tous les 30 ans), et des coups de pieds dans la prise par les gamins. Les coupures durent moins de 2 minutes.
Le seul problème finalement, c'est le maigre CPU qui fait que les pages sont lentes à charger…
Relais Tor
Bon, là, c'est plutôt politique, et surtout de la bande passante. Si je me souviens bien, c'est pas très risqué. Par contre, héberger un nœud de sortie est une très mauvaise idée.
Un service au pif
Parmi ceux développés par Framasoft : https://framasoft.org/#topPgCloud
Y en a pas beaucoup qui demande de l'espace disque… À part le partage de fichier.
[^] # Re: Résolveur DNS menteur
Posté par Glandos . En réponse au journal Quad9, résolveur DNS public, et sécurisé par TLS. Évalué à -1.
La censure n'est pas que politique. Dès aujourd'hui, Firefox et Chrome « bloquent » certains sites avec un gros panneau rouge d'avertissement de site malveillant. C'est de la censure assumée.
Dans le cas de Quad9, un code de retour serait utile, au lieu d'avoir une requête HTTP et retour en JSON.
Bon, après, entre le résolveur qui doit interpréter ce code, et le logiciel qui n'a probablement aucun moyen de savoir que ce code a été renvoyé… C'est surtout pour le debug.
[^] # Re: Résolveur DNS menteur
Posté par Glandos . En réponse au journal Quad9, résolveur DNS public, et sécurisé par TLS. Évalué à 6.
Il manque un code de réponse qui dirait « Contenu censuré », comme le code HTTP 451. Je ne sais pas si ça existe en DNS…