Non, justement. Tous mes comptes sont dans un dépôt Git chiffré, donc je peux perdre mes machines sans perdre mes authentifications. Et ces infos sont clonées partout où c'est utile.
Oki je pensais à un greffon Firefox avec chiffrement en local. Tu restes quand même embêté sur une machine étrangère, vu que tu n'as pas forcément la possibilité d'installer un greffon (et de le configurer avec ton compte, comment entrer ton mot de passe de déchiffrement sans risque par exemple ?).
Et puis git + chiffrement c'est pas super accessible au grand public.
À contrario, le système proposé ici est moins robuste. Si on vole un mobile avec un client XMPP, on peut ensuite s'authentifier en un clic ! C'est pour cela que l'authentification par SMS n'est utilisée qu'en second niveau, après l'authentification principale.
Rien n'empêche de demander un mot de passe supplémentaire, on peut même le faire uniquement pour les sites sensibles (d'ailleurs ça serait pas mal d'ajouter ça dans la XEP, un drapeau qui annonce un site très sensible).
L'email (SMTP) ne dispose pas de l'authentification forte, le chiffrement n'est pas systématique, et tu peux avoir un délai (greylisting par exemple) entre l'émission du message et sa réception comme premiers problèmes qui me viennent à l’esprit.
Donc oui tu pourrais, en mettant par exemple un GPG pour valider l'identité, en t'assurant que les serveurs auxquels tu parles sont chiffrés, et en faisant une extension pour afficher une popup (reste le problème du greylisting), pas franchement simple à généraliser !
XMPP gère tout ce qu'il faut de base, et son système d'extensions permet de facilement récupérer les infos nécessaires à la popup.
C'est marrant que les choses bougent après si longtemps. Ça fait presque chaud au cœur.
ça bouge parce qu'à force d'acharnement l'aïoli finit par monter.
Si tu fais ton plugin Wordpress tout seul, ça a peu de chances de prendre. Si Chteufleur fait son composant tout seul, idem. Mais si y'a ton plugin, le composant de Chteufleur, les implés qui vont bien, là ça commence déjà a faire quelque chose. Reste à ce que certains qui lisent cette dépêche suivent pour continuer sur la lancée.
Je pense que la communauté commence à se rendre compte qu'on avance et qu'on a fait un très gros chemin ces dernières années, et que des projets comme Movim ou SàT (ou Prosody, Ejabberd, MongooseIM, Poezio, Gajim, Conversations, etc) sont toujours là.
En d'autres termes: faire aussi ce que fait OAuth.
C'est en gros ce que je proposais avec ma XEP qui a subit un veto. Y'avait une partie avec gestion des permissions, mais qui a été refusée parce que ça n'était pas l'état de l'art (et je comprends tout à fait, avec le recul je pense que ça n'était effectivement pas la meilleure solution). Il est prévu de travailler sur un système de gestion des permissions type ABAC, mais c'est beaucoup de boulot et pas dans mes priorités actuelles.
Si vous êtes partants, Chteufleur, Goffi et d'autres intéressés par cette fonctionnalité précise de XMPP, je suis partant pour réécrire la XEP-0070 en co-auteur avec vous et la rendre plus moderne.
Je suis partant pour participer oui. Par contre moi aussi j'ai énormément de travail, et pour l'instant la priorité c'est Cagou notre interface bureau/android promise suite à notre financement participatif. Donc OK mais sur du moyen terme. Là je pense que la XEP en l'état est suffisante pour le moment.
la seule contrainte est que le serveur de départ puisse se connecter en HTTPS à une autorité de confiance qui joue le rôle d'intermédiaire (en étant un serveur XMPP avec ce composant). C'est ça ?
Oui c'est ça
Est-ce qu'il y a de serveurs prêts à l'emploi, qui soient de facto des "autorités de confiance" HTTP/XMPP ?
Il est fort probable que jabber.fr/jabberfr.org l'installe à court ou moyen terme. Nous allons certainement le mettre sur libervia.org aussi, et peut être qu'on peut pousser des gens en qui on a confiance comme Framasoft (surtout que Diaspora permet les conversations via XMPP maintenant, donc ça peut être intégré a priori très facilement à framasphère).
Si ça passe sur 3/4 gros sites francophones, ça peut inciter à suivre dans d'autres langues, et faire boule de neige comme dit dans la dépêche.
Heureusement qu'il n'y a pas que ça comme alternative, parce que je ne me suis jamais connecté à ces machins, et je m'en passe bien.
Je me souviens avoir voulu ajouter SàT à alternative.to et avoir fait marche arrière parce que la seule possibilité non dépendante de ces sites était OpenID, que je n'utilise pas. Et ça m'étonnerait pas que ça se généralise et que les login/mot de passe soit de moins en moins possible (vu que les sites on intérêt à récupérer les infos que Facebook leur file), et pas forcément toujours avec OpenID. Du coup SàT n'est toujours pas listé sur ce site.
Les gestionnaires de mots de passe, notamment ceux intégrés aux navigateurs, sont bien pratiques
Oui mais si t'as pas ta machine à côté (ou si tu la perds ou on te la pique), t'es mal.
[…] mais ça n'a pas décollé, et Mozilla abandonne complètement le projet à la fin de l'année.
C'était beaucoup plus lourd à installer, et très lié à Mozilla, ce qui fait que suite à son abandon, ça n'a pas suivi.
Là les serveurs XMPP sont répandus, côté site c'est une simple requête HTTPS à faire, et côté client ça marche (avec la solution de secours mentionnée dans la dépêche) même si la XEP n'est pas implémentée. Bref, très facile à mettre en place, il y a tous le atouts pour que ça décolle.
Là, j'ai l'impression qu'on est dans une niche encore plus étroite.
Il y a une autre différence avec OpenID et Persona à mon sens, c'est que là c'est un truc en plus, pas un truc dédié uniquement à l'authentification. On peut avoir un client/serveur XMPP pour tout un tas de raisons, c'est pas un truc à installer spécifiquement et uniquement pour l'authentification.
Autrement dit, un site devra en pratique ajouter ce système en parallèle de mécanisme plus larges.
encore une fois, une requête HTTS à faire, il faut vérifier son code de retour, c'est tout ! On peut difficilement faire plus simple (y'a pas besoin d'installer un serveur XMPP ou le composant, suffit d'en utiliser un en qui on a confiance et qui a déjà le composant).
Même pour l'utilisateur client, il y a des inconvénients évidents : il faut avoir un client XMPP actif, et l'anonymat est plus faible qu'avec le couple mdp/email-jetable.
Il y a des comptes « anonymes » sur XMPP, bien plus simples à utiliser qu'une adresse de courriel jetable, il faut juste trouver un serveur public qui les autorise et qui autorise le S2S avec (c.-à-d. la communication avec les autres serveurs).
On peut même ajouter une couche Tor ou autre si on veut, il faut que le serveur XMPP qu'on utilise gère les .onion par exemple (possible avec au moins Prosody).
je soupçonne que cette authentification serait adoptée par une minorité d'utilisateurs.
Vu la facilité d'implémentation, surtout maintenant grâce au composant de Chteufleur, je pense que l'adoption peut être très rapide. Mais il faut que ça suive du côté des mainteneurs et développeurs de sites, et c'est franchement pas un gros effort à faire. Reste à savoir si on veut dépendre des FB et autres G+ ou pas.
Si on se dit toujours que personne n'utilisera, que ça va prendre etc, autant arrêter de faire des choses ;)
Espérons tout de même que d’autres clients viendront s’ajouter à cette liste, notamment sur appareils portables.
j'en profite pour préciser qu'on a avancé sur le frontal bureau/android/éventuellement autre (un billet sur le développement est à venir au moins sur mon blog), donc ça sera prochainement disponible sur appareils portables au moins avec SàT, et gageons que si des sites suivent, ça sera rapidement implémenté par d'autres clients.
Ça serait vraiment super de voir ça se répandre, ceux qui ont un peu de temps libre pendant l'été, faut en profiter ;)
pour éviter qu'on accepte une requête illégitime qui aurait été effectuée pile au même moment que la notre, j'imagine
c'est exactement ça
Est-ce qu'il y a pas un risque de se choper plein de popup dues à des requêtes illégitimes?
Il y a toujours des risques de spam pour tout, on en parlait justement hier sur le salon SàT. Je pense que c'est pas le vecteur de spam le plus efficace ceci dit, c'est plus simple d'envoyer directement des messages.
Si le cas se présente et qu'il y a une grosse vague, ça serait assez facile à éviter: tu peux faire une liste blanche de sites que tu fréquentes, et/ou faire un système ou tu dis d'abord sur ton client « j'attends une requête, tu peux m'afficher les popups », puis tu fais la requête sur le site et enfin du valide (juste un clique en plus en gros).
Ah ben je pensais que c'était un problème chez moi, mais ça m'est arrivé pas mal de fois. Je n'ai pas beaucoup d'extensions, principalement pentadactyl et ublock origin. Aucune idée de ce qui permet de reproduire, ça m'arrive parfois et dans ce cas je reviens en arrière, copie le commentaire, recommence un commentaire en rechargeant la page, et re-colle.
bon quand j'y pense OTR c'est pas le meilleur choix pour DLFP, vu que ça ne marche pas hors ligne, par contre OX (OpenPGP) devrait parfaitement convenir.
Prosody a un module qui permet de forcer l'utilisation d'OTR (et c'est facile de faire une évolution du protocole par la suite, par exemple OMEMO quand ça sera standard), vous pouvez l'utiliser de manière restreinte avec une adresse automatiquement assignée (on parle de jid anonyme dans XMPP) pour qui n'en a pas encore. Et ceux qui veulent une communication non restreinte peuvent indiquer leur jid perso, comme c'est déjà possible.
En gros il vous faut un Prosody (ou autre), désactiver tout ce que vous voulez pas gérer (genre MUC, PEP, etc) et ne garder que les messages de chat simple avec chiffrement de bout en bout obligatoire. Il faut aussi autoriser les comptes anonymes (et les restreindre au serveur local uniquement, ce qui devrait être le cas par défaut).
bon c'est juste une idée, ça demande un peu de dév (mais pas tant que ça), et Ruby a déjà des outils pour faire du XMPP.
Ah et j'oubliais : pour faire de l'OTR côté navigateur (sans que les serveurs DLFP puissent voir donc), vous pouvez utiliser otr.js, c'est ce qu'on fait pour Libervia.
est-ce qu'il est envisageable de mettre des images d'OS pré-installés pour Qemu ? Un truc un peu similaire à ce qu'on trouve pour VMware sur http://www.osboxes.org ? L'intérêt est grand, ne serait-ce que de mon point de vue de développeur : c'est très utile de tester si une installation fonctionne bien sur différentes distros, et les installer à la main sur une VM demande beaucoup de temps. Si je pouvais télécharger des images pré-installées pour Qemu ça serait vraiment bien !
Je sais qu'on peut convertir une image VMware pour Qemu avec qemu-img, mais ça prend également du temps et les matériels émulés ne sont pas forcément les mêmes.
je ne m'intéresse pas (plus) trop au développement de jeux pour être honnête, mais on entend beaucoup parler de Godot (y compris ici).
Du coup je me pose la question par curiosité : est-ce que les 2 plateformes sont comparables, et si oui quelles seraient les raisons de choisir l'une plutôt que l'autre ? J'avais cru comprendre que Godot avec un langage plutôt proche de Python ce qui n'a pas l'air d'être le cas de Haxe (ce qui n'est pas un bien ou un mal, juste une observation).
C'est quand même intéressant de voir ces outils qui facilitent l'écriture multi-plateformes, même en dehors du jeu vidéo.
Oui. En l'occurrence, ce que tu appelles un annuaire se substitue à un moteur de recherche. Peut-être que dans ta définition perso, un moteur de recherche est en fait un annuaire. Et dans ce cas, je suis tout à fait d'accord avec toi.
Ah oui en effet, et j'avais loupé le « à l'ancienne » du commentaire initial, je pensais effectivement à un moteur de recherche dans ce cas, et effectivement on est d'accord.
Un « annuaire à l'ancienne » ça reste tout de même sympa (ça peut-être complémentaire à un moteur de recherche), mais uniquement s'il y a un travail de mise à jour constant, et un avis subjectif assumé. Bref, c'est bien si c'est un contenu éditorial, une des choses importantes que le numérique n'a pas (pour le moment) par rapport à la presse papier.
je te l'ai déjà dit mais je le redis : je trouve que l'utilisation de « groupe » est un choix très malheureux vu que le terme est déjà utilisé pour les groupes de contacts dans le roster, ça ne peux que porter à confusion.
Le bon terme serait un nœud, vu qu'il s'agit d'un nœud (pubsub) de blogage, mais c'est pas forcément le meilleur choix non plus. Je ne sais pas trop quel serait le meilleur terme (flux ? liste ?), surtout qu'on va avoir encore le terme « mix » qui va arriver dans les prochains mois/années.
Je ne suis pas forcément d'accord avec toi sur ce coup. Un annuaire c'est utile même si on sait ce qu'on cherche. Par exemple tu peux te demander quelles sont les nœuds qui parlent de XMPP, ou de planche à voile, sans savoir exactement où ils se trouvent.
On a un petit annuaire en développement d'ailleurs, et j'aimerais l'étendre pour qu'il gère non seulement les personnes, mais aussi les salons MUC, les nœud de microblog, etc, et qu'il soit capable d'échanger ces infos avec d'autres. Mais bon manque de temps et/ou de contributeurs pour faire ça pour le moment.
Je ne connais pas bien pubsub, y a-t-il une possibilité que le producteur de contenu perde sa liste de consommateurs et arrête brusquement de lui pousser du contenu ?
Un très gros bug. Mais tu peux toujours vérifier tes inscriptions si tu as des doutes.
Ça revient à se demander si ton serveur XMPP, DLFP ou autre ne t'as pas oublié, tu peux envisager ça avec tout.
Avec les RSS on n'a pas ce problème, le client est autonome et ne fait confiance à personne pour se rappeler qu'il existe, il se sert quand il a besoin de contenu.
Tu peux fonctionner comme ça aussi avec PubSub si tu préfères, les notifications sont optionnelles.
Ce cas est-il géré par pubsub ? Vérifications de souscriptions de la part du client ? Si oui on retombe dans dans le système de requêtes "périodiques" qu'on voulait éviter ?
C'est possible de vérifier, mais a priori inutile.
Si tu veux savoir comment pubsub fonctionne (en gros), tu peux te référer à l'article publié à ce sujet ici même, et n'hésite pas à demander si tu as d'autres questions.
En voyant cet usage, qui subvertit un outil@universel en moyen de chat, je me demande s'il ne serait pas plus productif pour lutter contre les ogres du Minitel 2.0 de développer cet usage plutôt que de passer par un autre outil qui n'a jamais percé : le XMPP.
Il n'est absolument pas exclusif d'utiliser le courriel avec XMPP, ça fait même longtemps qu'on en parle : https://frama.link/xmpp_courriel
C'est standard et répandu, c'est tout à fait naturel de l'utiliser, mais il ne faut pas oublier qu'aujourd'hui la plupart des messages envoyés par ce moyen sont non chiffrés (sans même parler de chiffrement de bout en bout, c'est pas toujours chiffré entre client et serveur (MUA/MTA)), et qu'une grosse partie des communications finit chez des gros fournisseurs comme gmachin.
Bon je suppose que c'est un projet pour le plaisir de développer ta propre solution, et puis c'est du C++ quand on fait majoritairement du Python, donc bon courage et tiens nous au courant.
je pensais à l'entité qui gère le serveur (donc l'entreprise ici) puisqu'on parle de facilité d'utilisation.
Mais puisque tu en parles, il y a également un problème du côté de l'utilisateur, tout comme quelqu'un qui pose une photo de quelqu'un d'autre sur un site non privé sans lui demander (a fortiori si la photo peut poser un problème quelconque). Dans le cas de l'annuaire, contrairement à celui de la photo, il y a probablement une majorité de personnes qui ignore que c'est ce qu'il se passe.
Le fait d'avoir confiance ou pas en l'entité tierce qui gère le serveur ne change rien au fait qu'on a rien demandé aux contacts.
Oui c'est sûr que si on n'a aucun problème d'éthique c'est plus facile.
Envoyer tout ton annuaire à un serveur tiers sans demander l'autorisation de tes contacts, très peu pour moi merci. Et je ne suis pas persuadé que tous les gens qui installent ce genre d'application savent que c'est ce qu'il se passe, même s'ils ont dit OK aux permissions demandées.
[^] # Re: Le Persona de Jabber ?
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 3.
Oki je pensais à un greffon Firefox avec chiffrement en local. Tu restes quand même embêté sur une machine étrangère, vu que tu n'as pas forcément la possibilité d'installer un greffon (et de le configurer avec ton compte, comment entrer ton mot de passe de déchiffrement sans risque par exemple ?).
Et puis git + chiffrement c'est pas super accessible au grand public.
Rien n'empêche de demander un mot de passe supplémentaire, on peut même le faire uniquement pour les sites sensibles (d'ailleurs ça serait pas mal d'ajouter ça dans la XEP, un drapeau qui annonce un site très sensible).
[^] # Re: Email ?
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 6.
L'email (SMTP) ne dispose pas de l'authentification forte, le chiffrement n'est pas systématique, et tu peux avoir un délai (greylisting par exemple) entre l'émission du message et sa réception comme premiers problèmes qui me viennent à l’esprit.
Donc oui tu pourrais, en mettant par exemple un GPG pour valider l'identité, en t'assurant que les serveurs auxquels tu parles sont chiffrés, et en faisant une extension pour afficher une popup (reste le problème du greylisting), pas franchement simple à généraliser !
XMPP gère tout ce qu'il faut de base, et son système d'extensions permet de facilement récupérer les infos nécessaires à la popup.
[^] # Re: Quelques années plus tard…
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 2.
ça bouge parce qu'à force d'acharnement l'aïoli finit par monter.
Si tu fais ton plugin Wordpress tout seul, ça a peu de chances de prendre. Si Chteufleur fait son composant tout seul, idem. Mais si y'a ton plugin, le composant de Chteufleur, les implés qui vont bien, là ça commence déjà a faire quelque chose. Reste à ce que certains qui lisent cette dépêche suivent pour continuer sur la lancée.
Je pense que la communauté commence à se rendre compte qu'on avance et qu'on a fait un très gros chemin ces dernières années, et que des projets comme Movim ou SàT (ou Prosody, Ejabberd, MongooseIM, Poezio, Gajim, Conversations, etc) sont toujours là.
C'est en gros ce que je proposais avec ma XEP qui a subit un veto. Y'avait une partie avec gestion des permissions, mais qui a été refusée parce que ça n'était pas l'état de l'art (et je comprends tout à fait, avec le recul je pense que ça n'était effectivement pas la meilleure solution). Il est prévu de travailler sur un système de gestion des permissions type ABAC, mais c'est beaucoup de boulot et pas dans mes priorités actuelles.
Je suis partant pour participer oui. Par contre moi aussi j'ai énormément de travail, et pour l'instant la priorité c'est Cagou notre interface bureau/android promise suite à notre financement participatif. Donc OK mais sur du moyen terme. Là je pense que la XEP en l'état est suffisante pour le moment.
[^] # Re: Le Persona de Jabber ?
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 6.
Oui c'est ça
Il est fort probable que jabber.fr/jabberfr.org l'installe à court ou moyen terme. Nous allons certainement le mettre sur libervia.org aussi, et peut être qu'on peut pousser des gens en qui on a confiance comme Framasoft (surtout que Diaspora permet les conversations via XMPP maintenant, donc ça peut être intégré a priori très facilement à framasphère).
Si ça passe sur 3/4 gros sites francophones, ça peut inciter à suivre dans d'autres langues, et faire boule de neige comme dit dans la dépêche.
Je me souviens avoir voulu ajouter SàT à alternative.to et avoir fait marche arrière parce que la seule possibilité non dépendante de ces sites était OpenID, que je n'utilise pas. Et ça m'étonnerait pas que ça se généralise et que les login/mot de passe soit de moins en moins possible (vu que les sites on intérêt à récupérer les infos que Facebook leur file), et pas forcément toujours avec OpenID. Du coup SàT n'est toujours pas listé sur ce site.
Oui mais si t'as pas ta machine à côté (ou si tu la perds ou on te la pique), t'es mal.
[^] # Re: OpenID et XEP 0070
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 4.
ah ben je ne connaissais pas, c'est plutôt cool, merci pour le lien.
[^] # Re: Le Persona de Jabber ?
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 9.
Tu n'es pas le seul à y avoir pensé ;)
C'était beaucoup plus lourd à installer, et très lié à Mozilla, ce qui fait que suite à son abandon, ça n'a pas suivi.
Là les serveurs XMPP sont répandus, côté site c'est une simple requête HTTPS à faire, et côté client ça marche (avec la solution de secours mentionnée dans la dépêche) même si la XEP n'est pas implémentée. Bref, très facile à mettre en place, il y a tous le atouts pour que ça décolle.
Il y a une autre différence avec OpenID et Persona à mon sens, c'est que là c'est un truc en plus, pas un truc dédié uniquement à l'authentification. On peut avoir un client/serveur XMPP pour tout un tas de raisons, c'est pas un truc à installer spécifiquement et uniquement pour l'authentification.
encore une fois, une requête HTTS à faire, il faut vérifier son code de retour, c'est tout ! On peut difficilement faire plus simple (y'a pas besoin d'installer un serveur XMPP ou le composant, suffit d'en utiliser un en qui on a confiance et qui a déjà le composant).
Il y a des comptes « anonymes » sur XMPP, bien plus simples à utiliser qu'une adresse de courriel jetable, il faut juste trouver un serveur public qui les autorise et qui autorise le S2S avec (c.-à-d. la communication avec les autres serveurs).
On peut même ajouter une couche Tor ou autre si on veut, il faut que le serveur XMPP qu'on utilise gère les .onion par exemple (possible avec au moins Prosody).
Vu la facilité d'implémentation, surtout maintenant grâce au composant de Chteufleur, je pense que l'adoption peut être très rapide. Mais il faut que ça suive du côté des mainteneurs et développeurs de sites, et c'est franchement pas un gros effort à faire. Reste à savoir si on veut dépendre des FB et autres G+ ou pas.
Si on se dit toujours que personne n'utilisera, que ça va prendre etc, autant arrêter de faire des choses ;)
# appareils portables
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 8.
j'en profite pour préciser qu'on a avancé sur le frontal bureau/android/éventuellement autre (un billet sur le développement est à venir au moins sur mon blog), donc ça sera prochainement disponible sur appareils portables au moins avec SàT, et gageons que si des sites suivent, ça sera rapidement implémenté par d'autres clients.
Ça serait vraiment super de voir ça se répandre, ceux qui ont un peu de temps libre pendant l'été, faut en profiter ;)
[^] # Re: Gajim et le code de validation (et autres considérations et questions naïves)
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 5. Dernière modification le 22 juillet 2016 à 10:33.
c'est exactement ça
Il y a toujours des risques de spam pour tout, on en parlait justement hier sur le salon SàT. Je pense que c'est pas le vecteur de spam le plus efficace ceci dit, c'est plus simple d'envoyer directement des messages.
Si le cas se présente et qu'il y a une grosse vague, ça serait assez facile à éviter: tu peux faire une liste blanche de sites que tu fréquentes, et/ou faire un système ou tu dis d'abord sur ton client « j'attends une requête, tu peux m'afficher les popups », puis tu fais la requête sur le site et enfin du valide (juste un clique en plus en gros).
[^] # Re: Un composant disponible
Posté par Goffi (site web personnel, Mastodon) . En réponse à l’entrée du suivi Identification via XMPP. Évalué à 2 (+0/-0).
http://linuxfr.org/news/authentifiez-vous-sans-mot-de-passe-grace-a-xmpp
[^] # Re: moi aussi
Posté par Goffi (site web personnel, Mastodon) . En réponse à l’entrée du suivi Page blanche en commentant obligeant à se relogguer. Évalué à 2 (+0/-0).
j'ai pas le souvenir d'avoir été déconnecté, mais peut-être que je me reconnecte machinalement et que du coup je fais pas gaffe :)
# moi aussi
Posté par Goffi (site web personnel, Mastodon) . En réponse à l’entrée du suivi Page blanche en commentant obligeant à se relogguer. Évalué à 4 (+0/-0).
Ah ben je pensais que c'était un problème chez moi, mais ça m'est arrivé pas mal de fois. Je n'ai pas beaucoup d'extensions, principalement pentadactyl et ublock origin. Aucune idée de ce qui permet de reproduire, ça m'arrive parfois et dans ce cas je reviens en arrière, copie le commentaire, recommence un commentaire en rechargeant la page, et re-colle.
[^] # Re: Le point 4 ans plus tard
Posté par Goffi (site web personnel, Mastodon) . En réponse à l’entrée du suivi 'Envoyer un message' disparu ?. Évalué à 2 (+0/-0).
bon quand j'y pense OTR c'est pas le meilleur choix pour DLFP, vu que ça ne marche pas hors ligne, par contre OX (OpenPGP) devrait parfaitement convenir.
[^] # Re: Le point 4 ans plus tard
Posté par Goffi (site web personnel, Mastodon) . En réponse à l’entrée du suivi 'Envoyer un message' disparu ?. Évalué à 2 (+0/-0). Dernière modification le 20 juillet 2016 à 16:13.
Prosody a un module qui permet de forcer l'utilisation d'OTR (et c'est facile de faire une évolution du protocole par la suite, par exemple OMEMO quand ça sera standard), vous pouvez l'utiliser de manière restreinte avec une adresse automatiquement assignée (on parle de jid anonyme dans XMPP) pour qui n'en a pas encore. Et ceux qui veulent une communication non restreinte peuvent indiquer leur jid perso, comme c'est déjà possible.
En gros il vous faut un Prosody (ou autre), désactiver tout ce que vous voulez pas gérer (genre MUC, PEP, etc) et ne garder que les messages de chat simple avec chiffrement de bout en bout obligatoire. Il faut aussi autoriser les comptes anonymes (et les restreindre au serveur local uniquement, ce qui devrait être le cas par défaut).
bon c'est juste une idée, ça demande un peu de dév (mais pas tant que ça), et Ruby a déjà des outils pour faire du XMPP.
Ah et j'oubliais : pour faire de l'OTR côté navigateur (sans que les serveurs DLFP puissent voir donc), vous pouvez utiliser otr.js, c'est ce qu'on fait pour Libervia.
# Images pour machines virtuelles
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Présentation de freeostorrent.fr. Évalué à 10.
Salut et merci pour ton travail,
est-ce qu'il est envisageable de mettre des images d'OS pré-installés pour Qemu ? Un truc un peu similaire à ce qu'on trouve pour VMware sur http://www.osboxes.org ? L'intérêt est grand, ne serait-ce que de mon point de vue de développeur : c'est très utile de tester si une installation fonctionne bien sur différentes distros, et les installer à la main sur une VM demande beaucoup de temps. Si je pouvais télécharger des images pré-installées pour Qemu ça serait vraiment bien !
Je sais qu'on peut convertir une image VMware pour Qemu avec qemu-img, mais ça prend également du temps et les matériels émulés ne sont pas forcément les mêmes.
bonne continuation
# Godot
Posté par Goffi (site web personnel, Mastodon) . En réponse à la dépêche OpenFL 4.0. Évalué à 5.
Salut,
je ne m'intéresse pas (plus) trop au développement de jeux pour être honnête, mais on entend beaucoup parler de Godot (y compris ici).
Du coup je me pose la question par curiosité : est-ce que les 2 plateformes sont comparables, et si oui quelles seraient les raisons de choisir l'une plutôt que l'autre ? J'avais cru comprendre que Godot avec un langage plutôt proche de Python ce qui n'a pas l'air d'être le cas de Haxe (ce qui n'est pas un bien ou un mal, juste une observation).
C'est quand même intéressant de voir ces outils qui facilitent l'écriture multi-plateformes, même en dehors du jeu vidéo.
[^] # Re: Annuaire ou outil de recherche pubsub
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Movim Groups réinvente les flux d'actualité . Évalué à 2.
Ah oui en effet, et j'avais loupé le « à l'ancienne » du commentaire initial, je pensais effectivement à un moteur de recherche dans ce cas, et effectivement on est d'accord.
Un « annuaire à l'ancienne » ça reste tout de même sympa (ça peut-être complémentaire à un moteur de recherche), mais uniquement s'il y a un travail de mise à jour constant, et un avis subjectif assumé. Bref, c'est bien si c'est un contenu éditorial, une des choses importantes que le numérique n'a pas (pour le moment) par rapport à la presse papier.
[^] # Re: Annuaire ou outil de recherche pubsub
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Movim Groups réinvente les flux d'actualité . Évalué à 2.
s/quelles/quels/ oups :(
# choix de nom malheureux
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Movim Groups réinvente les flux d'actualité . Évalué à 4.
Salut Edhelas,
je te l'ai déjà dit mais je le redis : je trouve que l'utilisation de « groupe » est un choix très malheureux vu que le terme est déjà utilisé pour les groupes de contacts dans le roster, ça ne peux que porter à confusion.
Le bon terme serait un nœud, vu qu'il s'agit d'un nœud (pubsub) de blogage, mais c'est pas forcément le meilleur choix non plus. Je ne sais pas trop quel serait le meilleur terme (flux ? liste ?), surtout qu'on va avoir encore le terme « mix » qui va arriver dans les prochains mois/années.
Quelqu'un a une bonne idée ?
[^] # Re: Annuaire ou outil de recherche pubsub
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Movim Groups réinvente les flux d'actualité . Évalué à 4.
Je ne suis pas forcément d'accord avec toi sur ce coup. Un annuaire c'est utile même si on sait ce qu'on cherche. Par exemple tu peux te demander quelles sont les nœuds qui parlent de XMPP, ou de planche à voile, sans savoir exactement où ils se trouvent.
On a un petit annuaire en développement d'ailleurs, et j'aimerais l'étendre pour qu'il gère non seulement les personnes, mais aussi les salons MUC, les nœud de microblog, etc, et qu'il soit capable d'échanger ces infos avec d'autres. Mais bon manque de temps et/ou de contributeurs pour faire ça pour le moment.
[^] # Re: Pubsub et résilience
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Movim Groups réinvente les flux d'actualité . Évalué à 3.
Un très gros bug. Mais tu peux toujours vérifier tes inscriptions si tu as des doutes.
Ça revient à se demander si ton serveur XMPP, DLFP ou autre ne t'as pas oublié, tu peux envisager ça avec tout.
Tu peux fonctionner comme ça aussi avec PubSub si tu préfères, les notifications sont optionnelles.
C'est possible de vérifier, mais a priori inutile.
Si tu veux savoir comment pubsub fonctionne (en gros), tu peux te référer à l'article publié à ce sujet ici même, et n'hésite pas à demander si tu as d'autres questions.
[^] # Re: Résister
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Meta chat. Évalué à 5.
Qu'est-ce que tu entends par là ?
# Pas exclusif
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Meta chat. Évalué à 5. Dernière modification le 04 juillet 2016 à 17:15.
Il n'est absolument pas exclusif d'utiliser le courriel avec XMPP, ça fait même longtemps qu'on en parle : https://frama.link/xmpp_courriel
C'est standard et répandu, c'est tout à fait naturel de l'utiliser, mais il ne faut pas oublier qu'aujourd'hui la plupart des messages envoyés par ce moyen sont non chiffrés (sans même parler de chiffrement de bout en bout, c'est pas toujours chiffré entre client et serveur (MUA/MTA)), et qu'une grosse partie des communications finit chez des gros fournisseurs comme gmachin.
# Archi
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal 'Epeios organizer' : le commencement. Évalué à 8.
Ton archi a beaucoup de similitudes avec celle de SàT (cf. http://www.goffi.org/post/2015/11/09/S%C3%A0T%3A-Comment-%C3%A7a-marche) et d'ailleurs les prises de notes, carnet d'adresses et autre agenda sont également envisagés/eables.
Bon je suppose que c'est un projet pour le plaisir de développer ta propre solution, et puis c'est du C++ quand on fait majoritairement du Python, donc bon courage et tiens nous au courant.
[^] # Re: Il y'a plus simple justement
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Promotion d'XMPP, message pour nos amis. Évalué à 5.
je pensais à l'entité qui gère le serveur (donc l'entreprise ici) puisqu'on parle de facilité d'utilisation.
Mais puisque tu en parles, il y a également un problème du côté de l'utilisateur, tout comme quelqu'un qui pose une photo de quelqu'un d'autre sur un site non privé sans lui demander (a fortiori si la photo peut poser un problème quelconque). Dans le cas de l'annuaire, contrairement à celui de la photo, il y a probablement une majorité de personnes qui ignore que c'est ce qu'il se passe.
Le fait d'avoir confiance ou pas en l'entité tierce qui gère le serveur ne change rien au fait qu'on a rien demandé aux contacts.
[^] # Re: Il y'a plus simple justement
Posté par Goffi (site web personnel, Mastodon) . En réponse au journal Promotion d'XMPP, message pour nos amis. Évalué à 9.
Oui c'est sûr que si on n'a aucun problème d'éthique c'est plus facile.
Envoyer tout ton annuaire à un serveur tiers sans demander l'autorisation de tes contacts, très peu pour moi merci. Et je ne suis pas persuadé que tous les gens qui installent ce genre d'application savent que c'est ce qu'il se passe, même s'ils ont dit OK aux permissions demandées.