Goffi a écrit 1524 commentaires

Non, la confiance (et c'est comme ça que tu le décris) c'est quand tu te permet de réduire ta sécurité. Pleins de gens ont confiance en Google, tu pense que c'est de la sécurité ?

Euh non, la confiance est également utilisée en chiffrement: les autorités de certification par exemple, ou le web of trust qui est utilisé par PGP.

Pleins de gens sont curieux et aiment les potins leur laisser lire tes mails c'est de la sécurité ?

Qui parle de laisse lire les courriels ? Je te dis justement que ça joue un rôle parce que j'ai bien plus confiance en mes amis pour ne pas lire les courriel qu'en Google (que je sais le faire). Je sais à qui je peux laisser mon portable sans risque qu'il lise mes messages. Le chiffrement c'est la serrure, la confiance c'est d'estimer que la personne va tenter de la crocheter ou pas.

Mettre mon mot de passe sur un port-it à coté du clavier parce que j'ai confiance en mes collègues de boulots c'est de la confiance ?

Non, ça c'est juste tendre le bâton pour se faire battre. Laisser un post-it aux yeux de tous c'est un problème qui n'a rien à voir avec la confiance.

Clairement pas. C'est peut être suffisant chacun met le curseur de sécurité là où il le souhaite, mais ça n'est pas ce que l'on appel communément de la sécurité (après tu peut te faire ta définition, hein).

Encore une fois tu as lu à moitié, qui parle de suffisant ?

Là où tu as de la sécurité c'est quand tu es en mesure d'auditer, de vérifier, de contrôler,… et donc que tu as une transparence sur ce qui est fait de tes données. C'est en ça que le pote ou l'association peut se révéler meilleur en terme de sécurité.

Je n'ai jamais dit qu'il ne fallait pas faire ça si on en avait la possibilité (physique et technique).

La confiance c'est ce que te vendent les marketeux pour te faire manger du cheval payé au prix du bœuf.

Tu cite justement ce en quoi je n'ai pas confiance. Si un jour le maraîcher de mon AMAP me vend de fausses tomates cœur de bœuf, ma confiance sera trahie.

Ça veut dire qu'ils doivent se mettre à quelque chose de nouveau (est-ce que ça existe sur tous les terminaux qu'ils utilisent ? est-ce que c'est aussi pratique ?), ça veut dire que toi tu dois gérer 2 listes de contacts ceux avec qui tu chiffre et ceux avec qui tu ne chiffre pas, etc

oui donc on ne parle pas de la même chose, moi j'entendais avec des outils nouveaux, et dans le meilleur des mondes avec tout le monde qui les utilise. Avec les outils d'aujourd'hui ça ne peut pas se passer simplement ça on est d'accord.

Tu as parlé d'OTR pour faire de l'authentification ce qui n'a pas grand chose à voir. Je ne connais pas OTR.
Imaginons que je veuille aujourd'hui utiliser OTR et que mes contacts ont des logiciels qui gèrent OTR. Si je me mets à l'utiliser, je présume que je dois créer une paire de clefs ou un mot de passe ou quelque chose comme ça. Qu'est ce que doivent faire mes contacts pour pouvoir lire mes messages ?

la création de clef peut être automatisée, la négociation est faite par les logiciels (en gros ça chiffre tout seul, mais si tu veux t'assurer de l'identité de ton contact, avec la V2 il y a une clef à vérifier par un canal séparé, ou une question secrète à répondre, en V3 tu n'as rien à faire). Bon OTR n'est pas adapté, c'est pour de la messagerie instantanée en texte uniquement, c'était juste un exemple pour montrer que ça peut être simple.

le chiffrement de bout en bout → personne ne doit être capable de le déchiffrer mis à part ton interlocuteur, donc c'est impossible que ce soit transparent

je ne vois pas la relation de cause à effet, ou alors on ne parle pas du même transparent. Est-ce que tu entends transparent = sans que ça se voit avec les outils actuels, ou sans que ça se voit tout court (c.-à-d. même une fois l'outil changé). Si c'est dans le deuxième cas, j'ai donné l'exemple d'OTR v3+ qui ne demande plus de vérification manuelle.

le chiffrement pas de bout en bout → est-ce que c'est vraiment un plus ? Est-ce que la version sécurisée SMTP ne suffit pas ?

Oui bien sûr que c'est un plus. Même si mon serveur et celui de mon correspondant (qu'on peut tout à fait administrer nous même) voient le message en clair, c'est déjà bien de le protéger des autres yeux indiscrets.

Tu lis à moitié. Je dis qu'il y a des solutions techniques, mais elles sont (et seront probablement toujours) insuffisantes. Et oui la confiance joue un rôle en sécurité: je n'ai aucun problème à laisser mes clefs à ma famille ou mes amis, voire parfois (assez souvent en fait) à des inconnus, et pourtant ils pourraient s'en servir pour fouiller dans ma vie très facilement. À côté de ça, j'ai un gros problème à laisser des messages dans les mains de Google ou FB.

Pour faire simple: j'ai clairement plus confiance en une association, surtout si je connais les gens, qu'en de grosses entreprises avec des milliers d'employés (et souvent des pratiques qu'on sait douteuses).

le rôle des associations est sous-estimé. Par exemple j'ai été en contact avec Nanterrux (j'avais invité à faire une conf avec eux): ils font ce genre de choses: gestion de serveurs, des sauvegardes, support humain (c.-à-d. à proximité, et sans suivre un questionnaire pré-établi ou prendre les gens pour des cons), rencontres conviviales etc.

Pour les courriels j'ai conseillé mailoo a plusieurs amis qui en sont très contents (et qui sont prêts à donner quelques euros de temps en temps pour ça). Enfin on y reviendra dans la prochaine dépêche de toute façon.

Un serveur c'est pas forcément « celui qui s'y connaît » dans la famille, ça a bien plus de sens si c'est des associations. Ça peut poser d'autres problèmes (quelqu'un qu'on connaît aura plus intérêt à lire nos courriels), mais il y a des solutions techniques (chiffrement), et surtout un truc qu'on perd pas mal: la confiance.

Bref, il faudrait augmenter le nombre d'associations, et qu'elles collaborent facilement entre elles. Quand je vois les réseaux de distribution impressionnant qui s'organisent avec les AMAP par exemple, je me dis que dans l'info c'est tout à fait faisable. Je pense aussi qu'il faudrait beaucoup de petites assoces qui collaborent, plutôt qu'un énorme truc au niveau national.

pas nécessairement: si tu mets de côté les problème d'autorité de vérification, SSL est relativement facile. OTR V3+ est capable de vérifier l'identité du contact sans intervention manuelle. Après oui ça nécessite un changement d'outil, c'est peut-être ça que tu entendais, mais ça n'est pas forcément beaucoup complexe…

Oui, avec SàT c'est ce que nous prévoyons, cf Recevez et envoyez vos messages XMPP/Jabber avec votre lecteur de courriel grâce à Salut à Toi !.

Il y a encore du boulot pour remplacer SMTP, mais c'est envisageable à pas si long terme.

Salut,

est-ce qu'il y a des gens impliqués dans le projet dans les contributeurs de la dépêche (je dis ça à cause du « je » dans « nombreux j'espère ») ?

Bon c'est un projet dont j'avais déjà entendu parlé (j'ai loupé la conf à l'Ubuntu Party, mais je me rattraperai à Pas Sage en Seine), qui jusqu'ici me paraissait très très flou, c'est bien qu'il y ait une dépêche pour éclaircir :).

À première vu il y a beaucoup d'idées communes, d'ailleurs ça partage beaucoup de points avec des projets actuels comme Movim, Friendica, ou Salut à Toi (installation simple je pense qu'on le souhaite tous, unification des outils de communication c'est très à la mode, vues personnalisées ça en découle logiquement, confidentialité ça tout le monde y pense clairement).

Je ne suis pas fan du tout de jouer sur le côté « ludique » et la compétition, pour différentes raisons:

• je n'aime pas ce tout divertissement permanent ni l'infantilisation qui l'accompagne

• j'aime encore moins (pour ne pas dire déteste) la mise en compétition qui devient de plus en plus courante aussi (et qui s'ancre dans les esprits comme la meilleure façon d'avancer, y compris chez les libristes, pfffff)

• je pense que les gens sont capables de comprendre les choses quand elles sont présentées correctement. On leur demande pas de comprendre les algos ou l'implémentation, mais ce qu'est le chiffrement et pourquoi c'est important tout le monde est capable de le comprendre.

Ceci dit, je trouve les idées d'afficher une « barre de confidentialité » et une dégradation en fonction de l'environnement très bonnes.

Maintenant question technique: y'a quoi en dessous ? C'est une sur-couche à SMTP et consort ? Ça utilise un protocole maison ? Un protocole connu (XMPP ?) ? C'est un outil de centralisation des communication un peu comme un super Pidgin, ou un truc décentralisé capable de communiquer avec d'autre Caliopen ?

Bon bref, c'est encore flou pour moi, et pour le moment je suis un peu mi figue mi raisin sur ce projet.

edit: j'ai oublié de dire un autre bon point: l'interface a l'air claire et accessible sur la capture

Où je ne suis pas calme ? Je dis juste que pinailler sur ce genre de truc ça fait 6 mois qu'on peut le faire, maintenant vous pouvez toujours le faire pour les prochaines.

On parle des moteurs de recherche ici, elle est valide dans ce cas. Sinon ça fait 6 mois au doigt mouillé que le dépêche est en rédaction collective, personne ne vous a empêché de faire les corrections qui vont bien…

elles n'ont pas été mise parce qu'un service propriétaire implique que ça soit centralisé (enfin techniquement non on pourrait avoir un blob binaire à installer chez soi, ou ça pourrait être réparti entre plusieurs boîtes, mais en pratique c'est toujours le cas).

mysearch comme présenté dans le journal était centralisé, visiblement ça n'est plus le cas. Le fait de pouvoir installer une instance chez soi ne le rend pas décentralisé pour autant: elgg est centralisé et tu peux l'installer chez toi, de même que dotclear ou wordpress.

super ! Est-ce qu'un modo peut mettre une note dans la dépêche vers ce commentaire ?

C'est aussi le nom d'un client XMPP qui n'est pas trop vilain d'ailleurs. Font pas trop dans l'originalité…

j'ai oublié de répondre. Ici on publie sur DLFP, sur une agrégation de blogs, on publie sur son propre blog. Je pense que la différence est importante (surtout que même sans la redirection, on sait qui lit quoi rien qu'avec les logs du serveur web sur DLFP). Dans mon flux, j'ai tous les billets, et j'aimerais bien qu'on ne sache pas lesquels j'ai ouvert en particulier.

Bon de toute façon ça a été changé, merci à l'équipe de planet-libre.

C'était l'utilisation à la base, ce n'est plus utile depuis que ce site intègre son propre raccourcisseur et compte les urls pour un nombre fixe de caractères quelle que soit la taille de celle-ci.

ah je ne savais pas ça, n'utilisant pas le site en question. Je ne comprends donc vraiment pas l'intérêt de ces trucs (sauf à la limite dans le cas d'IRC avec une URL beaucoup trop longue).

Si le but, c'est de pouvoir le mettre sur des affiches, ça va poser problème quand les gens vont devoir taper ☃ ou ␲ dans la barre d'URL.

Oui enfin si c'est pour avoir un truc facile à taper, autant utiliser la vraie URL. Parce 7xcEfs12 c'est pas super facile à taper non plus sans faire d'erreur, ni à retenir. À la limite sur une affiche les codes QR sont plus adaptés.

Je l'attendais celle là :)

À ma connaissance, les raccourcisseurs sont surtout utilisés sur un machin limité à 140 caractères et non octets, ou dans des système de messagerie sans hyperlien, le tout étant déjà en unicode. Le seul « intérêt » (à part pour les receleurs d'informations personnelles) c'est d'avoir un truc visuellement plus court, indépendamment du nombres d'octets utilisés en sous-main.

une approche naïve pourrait déjà être de lister les suites de caractères les plus utilisées, et des les associer à un caractère unicode. Par exemple je vois dans l'adresse de mon commentaire linux, fr, .org, nodes, comments, modifier qu'on pourrait associer à un caractère unicode.

Outre que je trouve aussi ces raccourcisseurs d'url ridicules, je me demande s'il ne serait pas possible, quite à faire ça, de les compresser de manière bijective, en utilisant par exemple unicode (à supposer que l'url de base ne soit pas internationalisée). Au moins ça rendrait la chose dépendante d'un algorithme et non d'un site, et ça éviterait le traçage… Bon évidemment ça veut dire que le client implémente l'algorithme, vu que ça ne marcherait plus en cliquant simplement sur le lien.

me demande si ça a été tenté tiens.

on trouvait. la version python de PhantomJS n'est plus maintenu depuis longtemps à priori…

une des réponses (la mieux notée) passe par selenium. Je n'ai pas testé mais gageons que ça reste d'actualité.

bon de toute façon dans l'idéal nos tests vont devoir passer su Gecko et Webkit, donc si l'API est compatible (ce qui à peu près le cas mais pas à 100% de ce que j'ai lu), je vais faire en sorte de pouvoir utiliser phantomJS et SlimerJS.

en tout cas merci, c'est bien utile ce genre de projet.

Je crois que tu bosses sur SlimerJS justement non ? Est-ce qu'il y a des facilités pour l'utiliser en Python ? Il n'est pas encore headless apparemment, la FAQ indique comment se passer de xorg, mais quid des dépendances ? Elles sont nombreuses ?

En fait je vais avoir besoin d'un projet du style pour les tests automatisés de mon projet, et pour le moment PhantomJS me parait plus intéressant notamment parce qu'il est headless (et qu'on trouve facilement comment l'utiliser avec Python).

je n'ai pas dit qu'il l'avait aboli, Badinter tout ça 1981 je connais quand même, mais de mémoire il a ou il a eu l'intention de l'inscrire dans la constitution pour rendre impossible ou au moins très difficile de la rétablir.

il y a inscrit l'abolition de la peine de mort non ?

Ce n'est pas PGP lui même qui est obsolète, c'est l'utilisation de PGP avec XMPP, cf XEP-0027.

Bravo pour cette version, c'est un projet actif et c'est impressionnant de voir le nombre de modules.

2 petites questions:

• est-ce que vous allez maintenir une version python 2 (éventuellement sous la forme d'un code utilisable sous python 2 et 3) ? Dans le cas contraire, quand estimez vous la fin du support python 2 ?

• est-ce que browser2 est utilisable en dehors de weboob ? Pour un projet d'une fois qui ne mérite pas une inclusion sous forme de module ?

Oui je pense aussi que c'est plutôt l'absence de MAM (la 0313) qui pose problème, mais j'aurais voulu avoir confirmation