Samba 4 supports the same kind of schema extensions as Microsoft Active Directory. Schema updates in AD are a sensitive action and you must be prepared to do a full restore of the DC holding the role of schema master if something goes wrong.
This is even more true in Samba 4 given it does not always generate some critical attributes that are generated on Microsoft AD and this lack of attributes can lead to a un-start-able samba provision. This is why schema updates in Samba 4 are currently disabled by default.
In order to allow them, the option dsdb:schema update allowed must be set to true in the smb.conf or passed on the command line.
Donc il semble qu’on puisse mettre à jour les schémas avec une option explicite.
Cela dit, ce qu’ils disent est intéressant, s’il est si risqué que ça de toucher aux schémas parce que ça peut mener très facilement à des incompatibilités avec Microsoft, alors utiliser volontairement un LDAP tiers n’apporte que la possibilité d’avoir ces mêmes risques.
Il est probable que j’installe un samba sur une machine virtuelle qui ne tienne que le rôle du KDC et du LDAP, et que mes serveurs samba actuels (qui servent des fichiers etc.) ne fassent que la gestion des fichiers en déléguant désormais leur authentification au Samba/KDC. si plus tard j’ai besoin de faire du LDAP avancé, il me sera très probablement possible de monter un OpenLDAP à coté qui authentifie ses utilisateurs auprès du Samba/KDC.
L’idée est de séparer le rôle du KDC pour pouvoir le maintenir indépendamment du reste, comme je ferais avec un Kerberos qui ne ferait que ça, mais en utilisant Samba comme ça ça limite la complexité de la solution (un seul type de logiciel à maintenir, même s’il y a plusieurs instances).
ce commentaire est sous licence cc by 4 et précédentes
Mon astuce est de lire le DVD avec un logiciel qui va lancer toute la tambouille de déchiffrement. Typiquement je lis le DVD avec VLC, je vérifie que le film se lit convenablement (genre je lance la lecture et je saute arbitrairement vers le milieu du film et je regarde si j’ai le son et l’image). Si j’ai le son et l’image, je quitte VLC, je lance le dd, et ça marche à tout les coups, d’ailleurs je fais toutes mes iso de DVD ainsi.
Je ne sais pas comment ça marche en interne, mais j’ai constaté que /dev/sr0 est illisible avant d’être lu par VLC, et qu’une fois que VLC l’a lu, /dev/sr0 est lisible, même par dd.
Après il y a d’autres protections anticopies, comme des systèmes de fichiers volontairement foirés (listant plus de fichiers que nécessaires, pointant vers des bouts de film, etc.), c’est pourquoi il vaut mieux copier tout le disque avec dd (après déchiffrement) que d’essayer de copier le dvd à un plus haut niveau (par exemple en copiant les fichiers VOB) car si vous essayez de copier au niveau système de fichier, vous prenez le risque de générer des copies plus grandes que le dvd lui-même (car certains fichiers volontairement foireux se superposent). Dans ce cas vous copiez le disque avec les autres protections, mais au moins vous êtes sûr d’avoir tout.
Note : ces protections sont vraiment une plaie, par exemple certains DVD montrent une centaine de titres et seulement une poignée sont valides, mais tous montre des vrais bouts de films (en commençant au début par exemple), le seul moyen de trouver le bon titre est de se taper toutes les publicités qui chacune pointe vers le titre suivant (titre 1 : pub → titre 47 : pub → titre 32 : pub → titre 96 : pub → titre 13 : pub → titre 29 : film). Un fois que vous avez identifié le bon titre, la fois suivante vous pouvez directement demander ce titre. Le problème c’est qu’il y a des titres qui ressemblent au film, du début à la fin, avec des durées équivalentes, mais avec des bouts qui manquent. Par exemple, sur le DVD “Cars 2” il y a un titre qui ressemble vraiment au film, mais en fait qui saute des scènes, donc si vous ne vous tapez pas les pubs avant et que vous chargez direct le titre le plus grand et qui vous semble être le film (ce que fait mplayer, VLC etc. quand on ne passe pas par le menu), votre mioche voit un film avec des scènes qui manquent…
ce commentaire est sous licence cc by 4 et précédentes
oui mais si tu peux utiliser dd, c’est que ton disque est sain, et que tu n’as pas besoin de ddrescue.
ddrescue fait des accès non séquentiels (puisque justement il se ballade à droite à gauche pour contourner les trous, puis revient dessus petit à petit en essayant par l’autre bout) et est donc inutilisable au travers d’un pipe.
ce commentaire est sous licence cc by 4 et précédentes
dans le concept de base, j'ai prévu un rôle intermédiaire qui permet de créer des espaces de travail.
si ça correspond à :
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
alors je pense qu’on est sur la même longueur d’onde.
Ce que je voulais dire, c’est qu’il faut éviter au maximum de donner des droits qui ne servent à rien. C’est du bon sens, mais parfois on tombe sur des outils qui ont du mal avec le bon sens (c’est comme le chmod 777, bien sûr, c’est tellement plus simple)… :/
ce commentaire est sous licence cc by 4 et précédentes
Question subsidiaire : dans le concept de base, j'ai prévu un rôle intermédiaire qui permet de créer des espaces de travail. Cela signifie, si j'ai bien compris la pratique LDAP qu'il faudrait que mon soft puisse créer des groupes dans LDAP, ce qui est à bannir (cf citation ci-dessus).
Ce n’est pas nécessairement à bannir. Le truc c’est que j’ai vu des applis web qui demandaient le mot de passe root, et ça je dis non.
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
Le problème des applis web qui font du LDAP, c’est que toi tu peux administrer le LDAP et quelqu’un d’autre développe l’appli web, et là tu n’as pas la moindre envie de mettre ton mot de passe root dans un fichier de config.
Typiquement tu fournis un espace disque, un server http, un serveur mysql, un serveur ldap déjà peuplé, il faut que quelqu’un d’autre que toi crée un blog qui soit accessible de tout utilisateur connu du ldap.
À ce quelqu’un d’autre tu donnes un dossier avec les bon droits unix, tu mets la bonne config apache/nginx, tu fournis une base de donnée, mais non, tu ne donnes pas le mot de passe root de ton LDAP, le plus simple est encore de ne faire que de l’authentification (aucun mot de passe à donner, ça utilise celui de l’utilisateur), et si tu as besoin que l’appli créée de groupes, et bien fait des ACL. Le fait de se limiter à la simple authentification simplifie beaucoup les choses, mais bien évidemment, parfois ça ne suffit pas.
ce commentaire est sous licence cc by 4 et précédentes
J'ai un peu regardé Samba 4, et au final j'ai repris l'ensemble DNS/LDAP/Kerberos.
Tu veux dire que tu as pris l’option LDAP et Kerberos à part (genre OpenLDAP + krb5 ou similaire) ?
Ils sont partis pour beaucoup de Python… mais Python 2 seulement alors que Python 3 est annoncé depuis très longtemps et qu'il est assez facile de faire un code compatible 2/3. Il y a quelques fonctions que je n'ai jamais réussi à faire fonctionner en utilisant l'API (absolument pas documentée, d'ailleurs).
Je ne crois pas que ça changera quelque chose pour moi tant que ça marche, je ne m’attends pas à toucher à ce code… Enfin jusqu’à maintenant je n’ai jamais eu à toucher à quoi que ce soit qui ressemble à du code avec Samba, excepté le fichier de config de samba lui-même, et des scripts windows que samba sert comme des fichiers… Donc à moins que j’ignore quelque chose, je ne me sens pas vraiment concerné par le langage ou l’API… Ai-je raison de ne pas me sentir concerné ? :-)
On ne peut pas ajouter ses propres schémas LDAP, donc il faudra probablement un LDAP à côté quand même.
Hmmm, c’est typiquement le genre d’info que j’attendais. Je crains que Samba fasse tout ce dont il a besoin, mais pas plus. En même temps, est-ce que c’est grave de cantonner Samba à ne faire ce que qu’il fait ?
Par exemple si venait à se faire sentir le besoin d’un LDAP pour y placer les coordonnées des contacts pour IPBX (exemple sorti du chapeau magique), il est très probable que je monte un LDAP à part histoire d’avoir deux services indépendants.
Connais-tu des exemples où il serait nécessaire d’ajouter des schémas au LDAP utilisé par Samba ?
ce commentaire est sous licence cc by 4 et précédentes
Si c’est pas Mocrosoft Office, ce n’est pas Microsoft Office. point, il n’y a pas à discuter.
Ceux qui acceptent de ne pas utiliser Microsoft Office sont très content de LibreOffice, alors non, je ne chercherais pas autre chose de pas libre.
Ceux qui s’opposent à LibreOffice s’opposent parce que ce n’est pas Microsoft Office, donc il y aurait la même opposition pour n’importe quoi d’autre, fut-ce cet autre non-libre et en version alpha.
ce commentaire est sous licence cc by 4 et précédentes
Voici mon expérience dans le cadre de la gestion d'un parc informatique mixte (80% Windows, 20% Linux) dans une moyenne entreprise de 100 personnes.
J'ai essayé divers d'annuaires LDAP (389ds, Apache DS, OpenDJ, OpenLdap) pour centraliser les authentifications, et finalement j'ai trouvé que le plus facile était encore de tout regrouper sur Microsoft Active Directory.
Et pas Samba ? :-)
Ou peut-être ces expériences étaient-elles avant que Samba ne sache en faire autant ?
Oh, merci pour le lien, ce document est très intéressant à lire !
les PME n'ont guère le choix, et sont obligé d'acheter Windows Server car les autres alternatives ne sont pas rentables à leurs échelles.
Parfois je rencontre des problèmes “XY” : quand il y a déjà toute l’infrastructure et qu’au lieu d’exprimer des besoin (exemple : « j’ai besoin de tel disque partagé »), certains expriment des solutions, par exemple quand le fournisseur de logiciel qui ne connaît que son environnement de développement et qui arrive avec des gros sabots en disant « comment puis-je mettre mon AD pour pouvoir mettre en réseau le logiciel sur le nouveau poste que je vous facture » et qui ne propose pas d’autre manière de fournir son logiciel qu’en remplaçant le parc complet avec ses machines et son AD, à-la-façon-de-chez-lui. Si, si ce type de fournisseur existe.
Bref, malheureusement, souvent quand je vois quelqu’un pousser un AD de chez microsoft, c’est qu’il n’exprime pas son besoin. Si les autres alternatives ne sont pas rentables à petite échelle (ce qui est possible), c’est peut-être aussi parce que l’AD fait partie du paquet obligé pour être conforme à de nombreux fournisseurs (personne n’a été viré pour avoir choisi Microsoft). Utiliser AD est donc infiniment plus facile puisque souvent, ne pas utiliser le produit Microsoft ferme la porte du support…
ce commentaire est sous licence cc by 4 et précédentes
ça ajoute une vulnérabilité dans le sens où tu as une dépendance double (LDAP dépend de Kerberos, qui dépend de LDAP).
Ah ok je comprends, j’avais compris « vulnérabilité » dans le sens qu’utiliser MIT krb5 était moins sûr qu’utiliser Heimdal et que donc MIT krb5 serait moins sûr qu’Heimdal, j’avais lu ça dans le sens de vulnérabilité à des attaques, pas dans le sens d’une vulnérabilité aux pannes. :-)
Je ne sais pas trop comment ça se passe si l'un des deux met un peu de temps à démarrer, par exemple.
En fait LDAP n’a pas besoin de Kerberos pour démarrer, ce sont les clients qui ont besoin de Kerberos pour se connecter au LDAP.
Kerberos ne peut probablement pas démarrer sans LDAP (à vrai dire je ne sais pas s’il échoue si LDAP manque ou s’il l’attend patiemment, je n’ai plus ce projet sous la main depuis longtemps), mais LDAP peut démarrer sans Kerberos, donc quelque soient les doutes, il suffit de démarrer OpenLDAP avant MIT krb5 et tout va bien.
Ce sont les clients LDAP qui doivent attendre le service Kerberos d’être après le service LDAP, donc en fait il n’y a pas de problème de compétition si tout cela est fait en séquence.
ce commentaire est sous licence cc by 4 et précédentes
C’est très intéressant, ça signifierait que par exemple, pour centraliser l’authentification d’appli web façon LDAP (wordpress, redmine, ownCloud) et d’autres service réseaux façon Kerberos (XMPP, IMAP, SMTP), il suffirait d’installer un Samba4 et de ne pas s’embêter avec OpenLDAP et MIT krb5, et ne rien activer des fonctionnalités ordinaires (comme les partages CIFS) ?
En fait je trouve ce Samba4 très intéressant, mais je m’inquiète un peu de tout lui déléguer, le Kerberos, le LDAP, et les partages réseaux, ça fait beaucoup je trouve, et je préfère m’inquiéter dès maintenant de ce que pourrait être une future migration quand il faudra mettre à jour vers un hypothétique Samba5, et que tout, tout reposera dessus. Plus tard, il sera trop tard. :-)
Donc c’est aussi ma question, pour ceux qui administrent des parcs assez conséquents (au moins 100 utilisateurs), voire plusieurs parcs, est-ce que vous déléguez tout à Samba, ou séparez un peu les tâches ?
ce commentaire est sous licence cc by 4 et précédentes
suivant ton besoin et ton infra existante, je dirais que si tu a un Active Directory sous la main, utilise le meilleur des 2 mondes.
Je n’ai pas d’AD. Toute l’infra serveur est sous Debian, en fait toutes les machines qui ne sont pas des postes clients sont sous Debian (routeurs, serveurs, jusqu’au sauvegarde. Ma philosophie est qu’une distribution est d’abord une méthode de travail avant d’être un dépôt logiciel, ce qui fait que je choisis mon matériel et mes logiciels (ceux que moi j’utilise) en fonction de sa compatibilité avec la méthode de travail. Ce qui jusqu’ici a vraiment très bien marché.
En fait, même le dernier service windows-only qui reste tourne sous wine, ça a libéré une machine qui ne servait qu’à ça et est devenu plus fiable et plus facile à maintenir.
Par contre côté client, quasiment (c’est à dire tous les postes à part les admins et quelques rares postes qui ne servent qu’à afficher des infos) tout est sous Windows. Parce qu’Office, parce que plein d’appli-métier windows-only, etc. Bref, tous ces trucs que moi je n’utilise pas mais que tous les autres utilisent.
Je n’ai jamais touché un seul AD de chez Microsoft de toute ma vie, jusque là j’ai toujours pu faire sans (et ça a toujours marché sans), ce qui est un très bon point pour Debian (la méthode que j’ai choisi) et GNU/Linux en général. ;-)
ce commentaire est sous licence cc by 4 et précédentes
Je ne sais plus pourquoi, cet exemple est un projet auquel je n’ai pas touché depuis longtemps. Je crois que c’était juste pour n’avoir qu’à sauvegarder LDAP pour tout sauvegarder, tout en gardant une authentification commune à Kerberos et LDAP.
De mémoire, ça oblige à utiliser MIT et non Heimdal et ça rajoute une vulnérabilité
Pourrais tu expliciter un peu ? en quoi MIT krb5 rajoute une vulnérabilité par rapport à Heimdal ?
ce commentaire est sous licence cc by 4 et précédentes
Ouuh, oui tiens c’est étrange, je suis arrivé sur ton commentaire en passant par "Mon tableau de bord" qui m’indiquait une réponse à mon propre commentaire… bizarre bizarre !
Au temps pour moi toussa.
ce commentaire est sous licence cc by 4 et précédentes
Je ne dis pas que « Bittorrent c’est le mal parce qu’on peut partager des fichiers sans se soucier du droit d’auteur » ou autre chose du même niveau que « Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement ».
Je dis que Bittorrent est un protocole de transfert de fichier décentralisé avec un point d’entrée hyper spécialisé, ce qui permet le commerce de cette entrée, et donc permet des commerces douteux. Et jusque là ça va encore.
Là où cela devient gênant, c’est quand, pour trouver un fichier qui t’intéresse, tu doive passer par un point d’entrée qui te rendre complice d’une économie que tu réprouves.
En clair, il est possible que ta conscience morale ne réprouve pas le fait de télécharger le dernier avenger (la contrefaçon n’est pas du vol), mais que ta conscience morale réprouve d’aller télécharger la graine sur un annuaire rempli de publicité pour des trucs douteux et d’arnaques (avec des clics sponsorisés pour récupérer la graine).
Perso j’évite les deux, j’ai suffisamment d’ami pour me prêter leurs films (et inversement je peux leur prêter les miens), ça permet de se retrouver pour échanger à ce sujet et tout. Mais je comprends parfaitement que quelqu’un ne veuille pas passer par ces portails.
En fait c’est exactement comme utiliser sourceforge pour héberger son logiciel libre (légal) quand on réprouve la politique d’escroc de sourceforge, qui se nourrit des arnaques par l’intermédiaire du système de publicité (qui ne sert quasiment qu’à annoncer des arnaques).
ce commentaire est sous licence cc by 4 et précédentes
Il y a en effet plein de petits « dealers » sur la toile qui ont absolument besoin d’avoir une page html traditionelle, car il est très facile de monétiser une page web (publicité par exemple), et c’est là que cloudflare intervient.
J’en profite donc pour partager une pensée personnelle à propos de bittorent que je vais employer comme exemple de « petit commerce ».
En soit bittorrent est un outil neutre (je ne suis pas convaincu que tous les outils soient neutres, non, mais certains le sont, bittorrent est de ceux-là), mais par contre, le protocole bittorrent manque cruellement d’un mécanisme d’annonce de contenu.
Et je pense que cet oubli (ou le fait que cette absence n’aie jamais été comblée) n’est pas anodin. En effet, même sans l’intégrer au protocole bittorrent, on aurait pu imaginer un réseau p2p faisant seulement office d’annuaire et voilà, un protocole à la façon du bon vieil emule, mais ne partageant que des « graines ». C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.
Tous les prédécesseurs de bittorrent (emule, kazaa, etc.) fournissaient un annuaire intégré, bittorrent ne le fait pas. J’ai comme l’impression que ce n’est pas une lacune involontaire : la « graine » d’un torrent est une information monnayable, et il y a une énorme industrie qui s’enrichit sur la fourniture d’annuaire de « graine » : publicité, proxy-captcha, etc.
L’utilisateur de bittorrent est toujours obligé de passer par des portails qui sont tout sauf peer to peer, traditionnellement de bonnes vieilles pages html…
Ainsi Bittorrent est une énorme régression, car il permet toute une industrie mafieuse que ne permet pas un réseau totalement décentralisé où les pairs annoncent aux pairs leurs fichiers : il n’y a plus seulement des individus qui s’échangent des fichiers, mais des « dealers » qui monétisent l’accès à l’échange de fichier.
Avec bittorrent, puisqu’il faut passer par des annuaires centralisés pour récupérer les « graines », l’utilisateur qui télécharge illégalement un film (par exemple) n’est pas seulement hors la loi en téléchargeant le film, il est surtout complice d’une industrie.
Et c’est là que cloudflare rentre en jeu. Je viens de faire un bref test que vous pouvez reproduire en toute légalité : installez et lancez tor browser, faites une recherche rapide sur le moteur de recherche par défaut avec le mot clé "torrent", vous devriez tomber sur une page référençant des annuaires de torrent, tentez d’accéder à autant d’annuaires que vous pouvez : vous n’aurez même pas besoin de rechercher un film ou n’importe quoi (jusqu’ici vous ne faites que naviguer et vous êtes toujours dans la légalité), et essayez de ne pas passer par cloudflare… essayez seulement…
Et oui, la « personne » qui profite le plus de toutes ces activités illégales est probablement cloudflare.
Bref, il y a des millions de sites qui essaient chacun de se faire de l’argent avec des pubs, en redistribuant des malwares, ou en faisant résoudre des captcha à leurs utilisateurs en les attirant avec des choses excitantes (films « piratés », etc.), et il y a une « personne » qui se sucre sur ces millions de petit business douteux : cloudflare.
cloudflare a réussi à se placer comme fournisseur d’accès à tous ces petits dealers, c’est une forme de blanchiment au bénéfice de cloudflare seul (les petits dealers qui se nourrissent avec de l’argent sale paient leur accès à cloudflare, mais dans les mains de cloudflare, cet argent est propre).
J’ai développé l’exemple du commerce de « graîne » bittorrent, mais on peut imaginer des tas d’autres scénarios du même type.
ce commentaire est sous licence cc by 4 et précédentes
Imposer un cookie et un captcha aux internautes derrière Tor.
C’est un très gros problème, n’importe quel site douteux à gros trafic (torrent, porno…) peux « imiter » la page de captcha de cloudflare, et demander à ses utilisateurs de le résoudre. Il est impossible pour un utilisateur de savoir s’il a réellement affaire aux captcha de cloudlfare ou une imitation.
Je rappelle la méthode la plus fiable pour casser des captcha : utiliser un site proxy et soumettre les captcha à des utilisateurs d’un autre service.
______________
| monblog.info |
|‾‾‾‾‾‾‾‾‾‾‾‾‾‾|
| write your |
| comment: ... |
| ............ |
| |
| prove you |
| are human |
| |
.--| captcha: pic |
| | answer: .... |←--------------.
| |______________| |
| |
| |
| |
| ______________ |
| | grosnéné.biz | |
| |‾‾‾‾‾‾‾‾‾‾‾‾‾‾| |
| | do you want | |
| | to see more | |
| | stuff? | |
| | | |
| | prove you | |
| | are human | |
| | | |
'--------------→| captcha: pic | |
| answer: .... |--'
|______________|
| ↑
| |
__↓________|__
| |
| user |
|______________|
Voilà, n’importe quel site peut montrer une fausse page cloudflare, et vous connaissez l’histoire du garçon qui crie au loup: quand les personnes sont habituées à remplir compulsivement des captchas cloudflare, ces personnes ne se méfieront pas si vous présentez un formulaire àla cloudflare et ils deviennent de parfaites machines à résoudre des captchas.
Si vous allez sur des sites torrent/porno ou autres, ne remplissez pas les captchas, vous êtes très certainement en train de participer à une opération plus vaste qui a besoin de vous pour résoudre des captchas. Après on s’étonne que la cousine a perdu son compte mail parce qu’un « pirate » a réussi à passer toute la procédure d’appropriation de compte, captcha compris, ou que des spammeurs arrivent à écrire partout leur merde, en passant outre les captchas toujours plus compliqués.
Remarquez que cloudflare tient exactement la place de grosnéné.biz sur mon schéma (et dans tous les cas, même quand monblog.info n’a pas de captcha à résoudre), donc non seulement il est possible de profiter de la popularité de cloudflare pour faire résoudre des captchas en montrant une fausse page cloudflare, mais cloudflare est en fait l’agent le mieux placé pour demander à des internautes de résoudre des captchas de sites tiers.
Cloudflare c’est une énorme machine à résoudre des captchas.
Hors, comme l’explique bien ThibG, cloudflare est un homme du milieu, la page de captcha cloudflare est servie sur la même adresse que le contenu désiré, il est impossible donc de savoir si la page cloudflare est bien de cloudflare. Ce serait différent si cloudflare redirigeait vers un domaine cloudflare pour résoudre le captcha puis ensuite redirigeait vers l’adresse désirée (un peu à la façon d’OpenID) après validation.
En fait, à chaque fois que vous voyez un captcha àla cloudflare, passez votre chemin, ne le résolvez pas, vous ne savez pas ce que vous faites. Vous êtes peut-être complice de quelque chose de malhonnête (que ce soit une vrai captcha cloudflare ou un faux captcha cloudflare), il est impossible de vérifier.
______
Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr, si vous résolvez le captcha, vous êtes complice d’une intrusion ou de spam quelque part. Après s’être enrichi sur les publicités intempestives qu’il affiche ou autres choses de ce type, l’auteur du malware s’enrichit une dernière fois lors de la désinstallation en servant de proxy captcha.
ce commentaire est sous licence cc by 4 et précédentes
il y a 10 ans j’avais du 1600x1200, aujourd’hui j’ai du 1920x1080 : 320px de plus en largeur, 120px de moins en hauteur, comme quoi en dix ans, y a pas eu une grande progression, on a juste changé le rapport hauteur/largeur…
ce commentaire est sous licence cc by 4 et précédentes
Ça pourra marcher partout, pour les sites Web dont l'administrateur aura pensé à publier une chaîne de certification utilisant la version du certificat intermédiaire signé par cette autre autorité de certification déjà connue.
De toute manière il faut déjà le faire pour les mobiles, les navigateurs de mobiles ont généralement une liste très restreinte de certificats et l’administrateur est déjà contraint de publier une chaîne de certificat contenant les certificats intermédiaires.
ce commentaire est sous licence cc by 4 et précédentes
Comment celui qui poste peut-il savoir si on trouve qu'il a raison, que son contradicteur a raison
Ça alors, je n’attends pas du tout cela du système de pertinentage. o.O
Perso je regarde mes propres notes pour évaluer la réception de ce que j’ai écrit. De même quand je regarde les notes des messages des autres,j’évalue comment le message a été reçu et perçu par la masse. Évaluer la réception c’est aussi parfois évaluer l’appréciation, mais ça n’indique rien quant au fait qu’on soit d’accord ou pas. En fait en général quand un de mes posts a été bien noté, je me dis « cool, j’ai été lu et probablement compris ».
Avoir raison ou tort est rarement une information pertinente. Aussi, on ne peut pas tout résoudre à une dialectique d’opposition, certains posts ne font que rajouter à quelque chose d’existant (notamment de l’information et autres choses instructives).
Je pertinente très souvent ce qui est instructif, et personne n’a tord ni raison.
De toute manière, dans le cas d’un débat pour ou contre, il faut juste se dire qu’on ne peut pas gagner un débat, tout ce qu’on peut faire c’est être instructif et constructif. Si quelqu’un change d’avis, ce sera dans le secret de son cœur, surtout pas en public, et surtout pas à la fin d’un débat impétueux.
Bref, mesurer qui a raison ou tort avec le système de pertinentage est complètement impertinent : si le pertinentage exprimais un avis « qui a raison ou tory », alors on ne ferait que mesurer quelle population est la plus nombreuse, on ne ferait que mesurer un rapport de force. Et si la loi du plus fort désigne le gagnant, elle ne désigne pas qui a raison.
ce commentaire est sous licence cc by 4 et précédentes
Il n’empêche qu’il a bien résumé ce que je voulais dire. Je peux pas piffrer les baratineurs et les séducteurs (que je repère d’ailleurs très vite tellement ça m’horripile) et je ne parlais pas de ceux là.
En fait voici peut-être l’unique cas où je moinse : les sophismes et autres arnaques insidieuses, bref, les faux discours intelligent qui ne font que tromper l’intelligence et pervertir une réflexion saine.
De même, je ne suis pas dérangé par le fait qu’une discussion dérive vers un autre sujet, mais par contre je ne supporte pas les interventions qui tentent de produire cela dans l’intention de tuer une conversation ou de détourner le sens d’une proposition initiale (par exemple en vue d’un homme de paille, ou tout simplement pour ne pas avoir à aller au bout d’un problème pour ne pas avoir à en accepter la solution). J’ai en horreur la fraude à l’intelligence.
Les baratineurs qui ne disent rien, il est probable que je les ignore, mais les baratineurs qui trompent leur monde à coup d’artifice mesquins, là oui, ils peuvent se faire moinser.
Les attaques ad-hominem sont aussi des bons candidats pour le moinsage, bref, ce qui est petit et fourbe.
Bref, je n’ai pas moinsé Riendf parce qu’il n’en a pas besoin, mais son post est un bon exemple de candidat au moinsage (homme de paille explicite et attaque ad hominem en sous-main).
ce commentaire est sous licence cc by 4 et précédentes
Une raison évidente à mes yeux est que l'intelligence est définie comme la capacité à comprendre le monde qui nous entoure. Un gamin intelligent va comprendre mieux que les autres ce qu'on attend de lui, afin d'obtenir ce qu'il souhaite. Et ce qu'on attend de lui, c'est d'avoir des bonnes notes à l'école
Ça c’est de l’intelligence sociale, c’est pas dit que le QI mesure cela.
Un gamin intelligent va comprendre mieux que les autres ce qu'on attend de lui, afin d'obtenir ce qu'il souhaite.
Non. Tu peux être très bon en math et être incapable de jouer à ce jeu social.
D’ailleurs, ce que tu décris sont surtout des compétences fondées sur le simple besoin d’appartenance, d’affection et de reconnaissance par ses pairs et qui sont des compétences partagées par tous les mammifères et que, pas besoin de savoir compter pour ça ni d’être un être humain, c’est très animal. Les chiens font cela très bien, mieux que les lapins, peut-être mieux que les hommes. Étonnamment, certains savent très bien compter mais sont complètement handicapés sur ce plan-là (tout passe par leur raison, et rien par leur sentiments, leurs besoins et autres moteurs émotionnels) et font cela moins bien que les chiens et ça c’est sûr, certains font moins bien. C’est assez fréquent chez les personnes à fort QI.
Et ce qu'on attend de lui, c'est d'avoir des bonnes notes à l'école.
D’une, l’élève à fort QI peut tout à fait n’y voir aucun intérêt, de deux, il ne sait pas forcément comment les avoir, ces bonnes notes. C’est bien le problème. Comprendre qu’il faut avoir des bonnes notes et comprendre le cours pour avoir des bonnes notes sont deux choses différentes.
ce commentaire est sous licence cc by 4 et précédentes
Généralement je pertinente quand je trouve que ce qu’écrit quelqu’un est très bien présenté, cela signifie que le langage est au moins correct et que cela fait preuve d’une réflexion travaillée. Ce dernier point est très important, si le post est visiblement le fruit d’une pensée travaillée, je pertinente.
Aussi, je pertinente généralement ce qui participe de manière constructive à un débat.
C’est pourquoi je pertinente très souvent les messages avec lesquels je ne suis pas d’accord et que je contredit. De fait, je pertinente énormément mes contradicteurs. C’est d’ailleurs je pense la majorité de mes plussages.
Si je réponds à quelqu’un, même pour le contredire, ce qu’il a écrit est forcément pertinent puisqu’il a au moins le mérite de susciter ma réponse. De même quand je vois un message (qui ne soit pas stupide mais faux) qui suscite plein de réponses pertinentes : participer correctement à un débat qui suscite des réponses pertinentes est pertinent. Énoncer une erreur qui est l’occasion d’en apprendre plus est pertinent.
Bon parfois il y a vraiment des gros cons et il faut quand même leur dire d’arrêter les frais, mais dans ce cas là je ne pertinente ni ne moinsse, j’ignore.
Le fait d’être intéressant ou passionnant (même hors-sujet) augmente fortement les chances d’être pertinenté, idem pour une bonne blague. Faire de l’esprit et le faire bien est pertinent.
Par contre je moinsse très rarement, peut-être une à deux fois par an (alors que je pertinente plusieurs fois par jour), cela signifie que le post est vraiment complètement hors-sujet, inintéressant, illisible, faux et crétin.
Je ne moinsse jamais les doublons, parce que je ne veux pas pénaliser l’auteur et que ça ne sert à rien car, réponse à la question subsidiaire : je navigue à -42.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2. Dernière modification le 04 novembre 2015 à 17:33.
Hum, j’ai lu ici https://wiki.samba.org/index.php/Samba_AD_schema_extensions
Donc il semble qu’on puisse mettre à jour les schémas avec une option explicite.
Cela dit, ce qu’ils disent est intéressant, s’il est si risqué que ça de toucher aux schémas parce que ça peut mener très facilement à des incompatibilités avec Microsoft, alors utiliser volontairement un LDAP tiers n’apporte que la possibilité d’avoir ces mêmes risques.
Il est probable que j’installe un samba sur une machine virtuelle qui ne tienne que le rôle du KDC et du LDAP, et que mes serveurs samba actuels (qui servent des fichiers etc.) ne fassent que la gestion des fichiers en déléguant désormais leur authentification au Samba/KDC. si plus tard j’ai besoin de faire du LDAP avancé, il me sera très probablement possible de monter un OpenLDAP à coté qui authentifie ses utilisateurs auprès du Samba/KDC.
L’idée est de séparer le rôle du KDC pour pouvoir le maintenir indépendamment du reste, comme je ferais avec un Kerberos qui ne ferait que ça, mais en utilisant Samba comme ça ça limite la complexité de la solution (un seul type de logiciel à maintenir, même s’il y a plusieurs instances).
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: DVD Vidéo
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse à la dépêche ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque. Évalué à 9.
FTFY: Avec un dvd protégé !
Voici mon expérience. Je ne sais pas comment ces choses fonctionne, mais la procédure que je vous donne fonctionne à tout les coups :
Mon astuce est de lire le DVD avec un logiciel qui va lancer toute la tambouille de déchiffrement. Typiquement je lis le DVD avec VLC, je vérifie que le film se lit convenablement (genre je lance la lecture et je saute arbitrairement vers le milieu du film et je regarde si j’ai le son et l’image). Si j’ai le son et l’image, je quitte VLC, je lance le dd, et ça marche à tout les coups, d’ailleurs je fais toutes mes iso de DVD ainsi.
Je ne sais pas comment ça marche en interne, mais j’ai constaté que
/dev/sr0est illisible avant d’être lu par VLC, et qu’une fois que VLC l’a lu,/dev/sr0est lisible, même par dd.Après il y a d’autres protections anticopies, comme des systèmes de fichiers volontairement foirés (listant plus de fichiers que nécessaires, pointant vers des bouts de film, etc.), c’est pourquoi il vaut mieux copier tout le disque avec dd (après déchiffrement) que d’essayer de copier le dvd à un plus haut niveau (par exemple en copiant les fichiers VOB) car si vous essayez de copier au niveau système de fichier, vous prenez le risque de générer des copies plus grandes que le dvd lui-même (car certains fichiers volontairement foireux se superposent). Dans ce cas vous copiez le disque avec les autres protections, mais au moins vous êtes sûr d’avoir tout.
Note : ces protections sont vraiment une plaie, par exemple certains DVD montrent une centaine de titres et seulement une poignée sont valides, mais tous montre des vrais bouts de films (en commençant au début par exemple), le seul moyen de trouver le bon titre est de se taper toutes les publicités qui chacune pointe vers le titre suivant (titre 1 : pub → titre 47 : pub → titre 32 : pub → titre 96 : pub → titre 13 : pub → titre 29 : film). Un fois que vous avez identifié le bon titre, la fois suivante vous pouvez directement demander ce titre. Le problème c’est qu’il y a des titres qui ressemblent au film, du début à la fin, avec des durées équivalentes, mais avec des bouts qui manquent. Par exemple, sur le DVD “Cars 2” il y a un titre qui ressemble vraiment au film, mais en fait qui saute des scènes, donc si vous ne vous tapez pas les pubs avant et que vous chargez direct le titre le plus grand et qui vous semble être le film (ce que fait mplayer, VLC etc. quand on ne passe pas par le menu), votre mioche voit un film avec des scènes qui manquent…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Envoie réseau
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse à la dépêche ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque. Évalué à 4.
oui mais si tu peux utiliser dd, c’est que ton disque est sain, et que tu n’as pas besoin de ddrescue.
ddrescue fait des accès non séquentiels (puisque justement il se ballade à droite à gauche pour contourner les trous, puis revient dessus petit à petit en essayant par l’autre bout) et est donc inutilisable au travers d’un pipe.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Je profite de la présence de compétences LDAP sur ce fil de discussion...
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2. Dernière modification le 29 octobre 2015 à 18:40.
Au fait quand tu écris :
si ça correspond à :
alors je pense qu’on est sur la même longueur d’onde.
Ce que je voulais dire, c’est qu’il faut éviter au maximum de donner des droits qui ne servent à rien. C’est du bon sens, mais parfois on tombe sur des outils qui ont du mal avec le bon sens (c’est comme le chmod 777, bien sûr, c’est tellement plus simple)… :/
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Je profite de la présence de compétences LDAP sur ce fil de discussion...
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Ce n’est pas nécessairement à bannir. Le truc c’est que j’ai vu des applis web qui demandaient le mot de passe root, et ça je dis non.
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
Le problème des applis web qui font du LDAP, c’est que toi tu peux administrer le LDAP et quelqu’un d’autre développe l’appli web, et là tu n’as pas la moindre envie de mettre ton mot de passe root dans un fichier de config.
Typiquement tu fournis un espace disque, un server http, un serveur mysql, un serveur ldap déjà peuplé, il faut que quelqu’un d’autre que toi crée un blog qui soit accessible de tout utilisateur connu du ldap.
À ce quelqu’un d’autre tu donnes un dossier avec les bon droits unix, tu mets la bonne config apache/nginx, tu fournis une base de donnée, mais non, tu ne donnes pas le mot de passe root de ton LDAP, le plus simple est encore de ne faire que de l’authentification (aucun mot de passe à donner, ça utilise celui de l’utilisateur), et si tu as besoin que l’appli créée de groupes, et bien fait des ACL. Le fait de se limiter à la simple authentification simplifie beaucoup les choses, mais bien évidemment, parfois ça ne suffit pas.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Tu veux dire que tu as pris l’option LDAP et Kerberos à part (genre OpenLDAP + krb5 ou similaire) ?
Je ne crois pas que ça changera quelque chose pour moi tant que ça marche, je ne m’attends pas à toucher à ce code… Enfin jusqu’à maintenant je n’ai jamais eu à toucher à quoi que ce soit qui ressemble à du code avec Samba, excepté le fichier de config de samba lui-même, et des scripts windows que samba sert comme des fichiers… Donc à moins que j’ignore quelque chose, je ne me sens pas vraiment concerné par le langage ou l’API… Ai-je raison de ne pas me sentir concerné ? :-)
Hmmm, c’est typiquement le genre d’info que j’attendais. Je crains que Samba fasse tout ce dont il a besoin, mais pas plus. En même temps, est-ce que c’est grave de cantonner Samba à ne faire ce que qu’il fait ?
Par exemple si venait à se faire sentir le besoin d’un LDAP pour y placer les coordonnées des contacts pour IPBX (exemple sorti du chapeau magique), il est très probable que je monte un LDAP à part histoire d’avoir deux services indépendants.
Connais-tu des exemples où il serait nécessaire d’ajouter des schémas au LDAP utilisé par Samba ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Avec Active directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Si c’est pas Mocrosoft Office, ce n’est pas Microsoft Office. point, il n’y a pas à discuter.
Ceux qui acceptent de ne pas utiliser Microsoft Office sont très content de LibreOffice, alors non, je ne chercherais pas autre chose de pas libre.
Ceux qui s’opposent à LibreOffice s’opposent parce que ce n’est pas Microsoft Office, donc il y aurait la même opposition pour n’importe quoi d’autre, fut-ce cet autre non-libre et en version alpha.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Et pas Samba ? :-)
Ou peut-être ces expériences étaient-elles avant que Samba ne sache en faire autant ?
Oh, merci pour le lien, ce document est très intéressant à lire !
Parfois je rencontre des problèmes “XY” : quand il y a déjà toute l’infrastructure et qu’au lieu d’exprimer des besoin (exemple : « j’ai besoin de tel disque partagé »), certains expriment des solutions, par exemple quand le fournisseur de logiciel qui ne connaît que son environnement de développement et qui arrive avec des gros sabots en disant « comment puis-je mettre mon AD pour pouvoir mettre en réseau le logiciel sur le nouveau poste que je vous facture » et qui ne propose pas d’autre manière de fournir son logiciel qu’en remplaçant le parc complet avec ses machines et son AD, à-la-façon-de-chez-lui. Si, si ce type de fournisseur existe.
Bref, malheureusement, souvent quand je vois quelqu’un pousser un AD de chez microsoft, c’est qu’il n’exprime pas son besoin. Si les autres alternatives ne sont pas rentables à petite échelle (ce qui est possible), c’est peut-être aussi parce que l’AD fait partie du paquet obligé pour être conforme à de nombreux fournisseurs (personne n’a été viré pour avoir choisi Microsoft). Utiliser AD est donc infiniment plus facile puisque souvent, ne pas utiliser le produit Microsoft ferme la porte du support…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: stockage ldap
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Ah ok je comprends, j’avais compris « vulnérabilité » dans le sens qu’utiliser MIT krb5 était moins sûr qu’utiliser Heimdal et que donc MIT krb5 serait moins sûr qu’Heimdal, j’avais lu ça dans le sens de vulnérabilité à des attaques, pas dans le sens d’une vulnérabilité aux pannes. :-)
En fait LDAP n’a pas besoin de Kerberos pour démarrer, ce sont les clients qui ont besoin de Kerberos pour se connecter au LDAP.
Kerberos ne peut probablement pas démarrer sans LDAP (à vrai dire je ne sais pas s’il échoue si LDAP manque ou s’il l’attend patiemment, je n’ai plus ce projet sous la main depuis longtemps), mais LDAP peut démarrer sans Kerberos, donc quelque soient les doutes, il suffit de démarrer OpenLDAP avant MIT krb5 et tout va bien.
Ce sont les clients LDAP qui doivent attendre le service Kerberos d’être après le service LDAP, donc en fait il n’y a pas de problème de compétition si tout cela est fait en séquence.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Samba 4
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
C’est très intéressant, ça signifierait que par exemple, pour centraliser l’authentification d’appli web façon LDAP (wordpress, redmine, ownCloud) et d’autres service réseaux façon Kerberos (XMPP, IMAP, SMTP), il suffirait d’installer un Samba4 et de ne pas s’embêter avec OpenLDAP et MIT krb5, et ne rien activer des fonctionnalités ordinaires (comme les partages CIFS) ?
En fait je trouve ce Samba4 très intéressant, mais je m’inquiète un peu de tout lui déléguer, le Kerberos, le LDAP, et les partages réseaux, ça fait beaucoup je trouve, et je préfère m’inquiéter dès maintenant de ce que pourrait être une future migration quand il faudra mettre à jour vers un hypothétique Samba5, et que tout, tout reposera dessus. Plus tard, il sera trop tard. :-)
Donc c’est aussi ma question, pour ceux qui administrent des parcs assez conséquents (au moins 100 utilisateurs), voire plusieurs parcs, est-ce que vous déléguez tout à Samba, ou séparez un peu les tâches ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Avec Active directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 7.
Je n’ai pas d’AD. Toute l’infra serveur est sous Debian, en fait toutes les machines qui ne sont pas des postes clients sont sous Debian (routeurs, serveurs, jusqu’au sauvegarde. Ma philosophie est qu’une distribution est d’abord une méthode de travail avant d’être un dépôt logiciel, ce qui fait que je choisis mon matériel et mes logiciels (ceux que moi j’utilise) en fonction de sa compatibilité avec la méthode de travail. Ce qui jusqu’ici a vraiment très bien marché.
En fait, même le dernier service windows-only qui reste tourne sous wine, ça a libéré une machine qui ne servait qu’à ça et est devenu plus fiable et plus facile à maintenir.
Par contre côté client, quasiment (c’est à dire tous les postes à part les admins et quelques rares postes qui ne servent qu’à afficher des infos) tout est sous Windows. Parce qu’Office, parce que plein d’appli-métier windows-only, etc. Bref, tous ces trucs que moi je n’utilise pas mais que tous les autres utilisent.
Je n’ai jamais touché un seul AD de chez Microsoft de toute ma vie, jusque là j’ai toujours pu faire sans (et ça a toujours marché sans), ce qui est un très bon point pour Debian (la méthode que j’ai choisi) et GNU/Linux en général. ;-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: stockage ldap
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Je ne sais plus pourquoi, cet exemple est un projet auquel je n’ai pas touché depuis longtemps. Je crois que c’était juste pour n’avoir qu’à sauvegarder LDAP pour tout sauvegarder, tout en gardant une authentification commune à Kerberos et LDAP.
Pourrais tu expliciter un peu ? en quoi MIT krb5 rajoute une vulnérabilité par rapport à Heimdal ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 2.
Ouuh, oui tiens c’est étrange, je suis arrivé sur ton commentaire en passant par "Mon tableau de bord" qui m’indiquait une réponse à mon propre commentaire… bizarre bizarre !
Au temps pour moi toussa.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 2.
Toi tu n’as pas lu mon commentaire.
Je ne dis pas que « Bittorrent c’est le mal parce qu’on peut partager des fichiers sans se soucier du droit d’auteur » ou autre chose du même niveau que « Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement ».
Je dis que Bittorrent est un protocole de transfert de fichier décentralisé avec un point d’entrée hyper spécialisé, ce qui permet le commerce de cette entrée, et donc permet des commerces douteux. Et jusque là ça va encore.
Là où cela devient gênant, c’est quand, pour trouver un fichier qui t’intéresse, tu doive passer par un point d’entrée qui te rendre complice d’une économie que tu réprouves.
En clair, il est possible que ta conscience morale ne réprouve pas le fait de télécharger le dernier avenger (la contrefaçon n’est pas du vol), mais que ta conscience morale réprouve d’aller télécharger la graine sur un annuaire rempli de publicité pour des trucs douteux et d’arnaques (avec des clics sponsorisés pour récupérer la graine).
Perso j’évite les deux, j’ai suffisamment d’ami pour me prêter leurs films (et inversement je peux leur prêter les miens), ça permet de se retrouver pour échanger à ce sujet et tout. Mais je comprends parfaitement que quelqu’un ne veuille pas passer par ces portails.
En fait c’est exactement comme utiliser sourceforge pour héberger son logiciel libre (légal) quand on réprouve la politique d’escroc de sourceforge, qui se nourrit des arnaques par l’intermédiaire du système de publicité (qui ne sert quasiment qu’à annoncer des arnaques).
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 10. Dernière modification le 07 octobre 2015 à 21:07.
Il y a en effet plein de petits « dealers » sur la toile qui ont absolument besoin d’avoir une page html traditionelle, car il est très facile de monétiser une page web (publicité par exemple), et c’est là que cloudflare intervient.
J’en profite donc pour partager une pensée personnelle à propos de bittorent que je vais employer comme exemple de « petit commerce ».
En soit bittorrent est un outil neutre (je ne suis pas convaincu que tous les outils soient neutres, non, mais certains le sont, bittorrent est de ceux-là), mais par contre, le protocole bittorrent manque cruellement d’un mécanisme d’annonce de contenu.
Et je pense que cet oubli (ou le fait que cette absence n’aie jamais été comblée) n’est pas anodin. En effet, même sans l’intégrer au protocole bittorrent, on aurait pu imaginer un réseau p2p faisant seulement office d’annuaire et voilà, un protocole à la façon du bon vieil emule, mais ne partageant que des « graines ». C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.
Tous les prédécesseurs de bittorrent (emule, kazaa, etc.) fournissaient un annuaire intégré, bittorrent ne le fait pas. J’ai comme l’impression que ce n’est pas une lacune involontaire : la « graine » d’un torrent est une information monnayable, et il y a une énorme industrie qui s’enrichit sur la fourniture d’annuaire de « graine » : publicité, proxy-captcha, etc.
L’utilisateur de bittorrent est toujours obligé de passer par des portails qui sont tout sauf peer to peer, traditionnellement de bonnes vieilles pages html…
Ainsi Bittorrent est une énorme régression, car il permet toute une industrie mafieuse que ne permet pas un réseau totalement décentralisé où les pairs annoncent aux pairs leurs fichiers : il n’y a plus seulement des individus qui s’échangent des fichiers, mais des « dealers » qui monétisent l’accès à l’échange de fichier.
Avec bittorrent, puisqu’il faut passer par des annuaires centralisés pour récupérer les « graines », l’utilisateur qui télécharge illégalement un film (par exemple) n’est pas seulement hors la loi en téléchargeant le film, il est surtout complice d’une industrie.
Et c’est là que cloudflare rentre en jeu. Je viens de faire un bref test que vous pouvez reproduire en toute légalité : installez et lancez tor browser, faites une recherche rapide sur le moteur de recherche par défaut avec le mot clé "torrent", vous devriez tomber sur une page référençant des annuaires de torrent, tentez d’accéder à autant d’annuaires que vous pouvez : vous n’aurez même pas besoin de rechercher un film ou n’importe quoi (jusqu’ici vous ne faites que naviguer et vous êtes toujours dans la légalité), et essayez de ne pas passer par cloudflare… essayez seulement…
Et oui, la « personne » qui profite le plus de toutes ces activités illégales est probablement cloudflare.
Bref, il y a des millions de sites qui essaient chacun de se faire de l’argent avec des pubs, en redistribuant des malwares, ou en faisant résoudre des captcha à leurs utilisateurs en les attirant avec des choses excitantes (films « piratés », etc.), et il y a une « personne » qui se sucre sur ces millions de petit business douteux : cloudflare.
cloudflare a réussi à se placer comme fournisseur d’accès à tous ces petits dealers, c’est une forme de blanchiment au bénéfice de cloudflare seul (les petits dealers qui se nourrissent avec de l’argent sale paient leur accès à cloudflare, mais dans les mains de cloudflare, cet argent est propre).
J’ai développé l’exemple du commerce de « graîne » bittorrent, mais on peut imaginer des tas d’autres scénarios du même type.
ce commentaire est sous licence cc by 4 et précédentes
# captcha
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 10. Dernière modification le 07 octobre 2015 à 01:31.
C’est un très gros problème, n’importe quel site douteux à gros trafic (torrent, porno…) peux « imiter » la page de captcha de cloudflare, et demander à ses utilisateurs de le résoudre. Il est impossible pour un utilisateur de savoir s’il a réellement affaire aux captcha de cloudlfare ou une imitation.
Je rappelle la méthode la plus fiable pour casser des captcha : utiliser un site proxy et soumettre les captcha à des utilisateurs d’un autre service.
Voilà, n’importe quel site peut montrer une fausse page cloudflare, et vous connaissez l’histoire du garçon qui crie au loup: quand les personnes sont habituées à remplir compulsivement des captchas cloudflare, ces personnes ne se méfieront pas si vous présentez un formulaire àla cloudflare et ils deviennent de parfaites machines à résoudre des captchas.
Si vous allez sur des sites torrent/porno ou autres, ne remplissez pas les captchas, vous êtes très certainement en train de participer à une opération plus vaste qui a besoin de vous pour résoudre des captchas. Après on s’étonne que la cousine a perdu son compte mail parce qu’un « pirate » a réussi à passer toute la procédure d’appropriation de compte, captcha compris, ou que des spammeurs arrivent à écrire partout leur merde, en passant outre les captchas toujours plus compliqués.
Remarquez que cloudflare tient exactement la place de grosnéné.biz sur mon schéma (et dans tous les cas, même quand monblog.info n’a pas de captcha à résoudre), donc non seulement il est possible de profiter de la popularité de cloudflare pour faire résoudre des captchas en montrant une fausse page cloudflare, mais cloudflare est en fait l’agent le mieux placé pour demander à des internautes de résoudre des captchas de sites tiers.
Cloudflare c’est une énorme machine à résoudre des captchas.
Hors, comme l’explique bien ThibG, cloudflare est un homme du milieu, la page de captcha cloudflare est servie sur la même adresse que le contenu désiré, il est impossible donc de savoir si la page cloudflare est bien de cloudflare. Ce serait différent si cloudflare redirigeait vers un domaine cloudflare pour résoudre le captcha puis ensuite redirigeait vers l’adresse désirée (un peu à la façon d’OpenID) après validation.
En fait, à chaque fois que vous voyez un captcha àla cloudflare, passez votre chemin, ne le résolvez pas, vous ne savez pas ce que vous faites. Vous êtes peut-être complice de quelque chose de malhonnête (que ce soit une vrai captcha cloudflare ou un faux captcha cloudflare), il est impossible de vérifier.
______
Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr, si vous résolvez le captcha, vous êtes complice d’une intrusion ou de spam quelque part. Après s’être enrichi sur les publicités intempestives qu’il affiche ou autres choses de ce type, l’auteur du malware s’enrichit une dernière fois lors de la désinstallation en servant de proxy captcha.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Test objectif?
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Codec War S42E84. Évalué à 10.
il y a 10 ans j’avais du 1600x1200, aujourd’hui j’ai du 1920x1080 : 320px de plus en largeur, 120px de moins en hauteur, comme quoi en dix ans, y a pas eu une grande progression, on a juste changé le rapport hauteur/largeur…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Cross-signed
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Le premier certificat SSL de Let's Encrypt. Évalué à 3.
De toute manière il faut déjà le faire pour les mobiles, les navigateurs de mobiles ont généralement une liste très restreinte de certificats et l’administrateur est déjà contraint de publier une chaîne de certificat contenant les certificats intermédiaires.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: je moinse les commentaires trop longs pour être utiles
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à -2.
J’ai pertinenté le tiens. cf. un de mes commentaires au dessus pour savoir pourquoi. ;-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: bien écrit, raisonnable, élégant, constructif, intéressant (drôle et futé: bonus)
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à 0.
Je voulais dire par là ceux qui enrobent du vide ou ceux qui enrobent du faux, je ne parlais pas des bavards (ce qui me va très bien). :-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: bien écrit, raisonnable, élégant, constructif, intéressant (drôle et futé: bonus)
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à 6.
Ça alors, je n’attends pas du tout cela du système de pertinentage. o.O
Perso je regarde mes propres notes pour évaluer la réception de ce que j’ai écrit. De même quand je regarde les notes des messages des autres,j’évalue comment le message a été reçu et perçu par la masse. Évaluer la réception c’est aussi parfois évaluer l’appréciation, mais ça n’indique rien quant au fait qu’on soit d’accord ou pas. En fait en général quand un de mes posts a été bien noté, je me dis « cool, j’ai été lu et probablement compris ».
Avoir raison ou tort est rarement une information pertinente. Aussi, on ne peut pas tout résoudre à une dialectique d’opposition, certains posts ne font que rajouter à quelque chose d’existant (notamment de l’information et autres choses instructives).
Je pertinente très souvent ce qui est instructif, et personne n’a tord ni raison.
De toute manière, dans le cas d’un débat pour ou contre, il faut juste se dire qu’on ne peut pas gagner un débat, tout ce qu’on peut faire c’est être instructif et constructif. Si quelqu’un change d’avis, ce sera dans le secret de son cœur, surtout pas en public, et surtout pas à la fin d’un débat impétueux.
Bref, mesurer qui a raison ou tort avec le système de pertinentage est complètement impertinent : si le pertinentage exprimais un avis « qui a raison ou tory », alors on ne ferait que mesurer quelle population est la plus nombreuse, on ne ferait que mesurer un rapport de force. Et si la loi du plus fort désigne le gagnant, elle ne désigne pas qui a raison.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: bien écrit, raisonnable, élégant, constructif, intéressant (drôle et futé: bonus)
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à 1.
Il n’empêche qu’il a bien résumé ce que je voulais dire. Je peux pas piffrer les baratineurs et les séducteurs (que je repère d’ailleurs très vite tellement ça m’horripile) et je ne parlais pas de ceux là.
En fait voici peut-être l’unique cas où je moinse : les sophismes et autres arnaques insidieuses, bref, les faux discours intelligent qui ne font que tromper l’intelligence et pervertir une réflexion saine.
De même, je ne suis pas dérangé par le fait qu’une discussion dérive vers un autre sujet, mais par contre je ne supporte pas les interventions qui tentent de produire cela dans l’intention de tuer une conversation ou de détourner le sens d’une proposition initiale (par exemple en vue d’un homme de paille, ou tout simplement pour ne pas avoir à aller au bout d’un problème pour ne pas avoir à en accepter la solution). J’ai en horreur la fraude à l’intelligence.
Les baratineurs qui ne disent rien, il est probable que je les ignore, mais les baratineurs qui trompent leur monde à coup d’artifice mesquins, là oui, ils peuvent se faire moinser.
Les attaques ad-hominem sont aussi des bons candidats pour le moinsage, bref, ce qui est petit et fourbe.
Bref, je n’ai pas moinsé Riendf parce qu’il n’en a pas besoin, mais son post est un bon exemple de candidat au moinsage (homme de paille explicite et attaque ad hominem en sous-main).
ce commentaire est sous licence cc by 4 et précédentes
# Ahah
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal La dépêche sur le noyau retardé par une attaque pro-conspirationniste.. Évalué à 4.
J’ai trouvé ce journal vraiment tout pourri moisi, mais je vais le pertinenter à cause de l’Open Red-Hat BSD (aka Michael Jackson BSD).
Est-ce qu’ils font le même en aluminium ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Véritable génie ou simple escroc vantard ?
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Bitcoin : le Français Mark Karpelès mis en examen au Japon pour détournement de fonds. Évalué à 10. Dernière modification le 13 septembre 2015 à 00:26.
Ça c’est de l’intelligence sociale, c’est pas dit que le QI mesure cela.
Non. Tu peux être très bon en math et être incapable de jouer à ce jeu social.
D’ailleurs, ce que tu décris sont surtout des compétences fondées sur le simple besoin d’appartenance, d’affection et de reconnaissance par ses pairs et qui sont des compétences partagées par tous les mammifères et que, pas besoin de savoir compter pour ça ni d’être un être humain, c’est très animal. Les chiens font cela très bien, mieux que les lapins, peut-être mieux que les hommes. Étonnamment, certains savent très bien compter mais sont complètement handicapés sur ce plan-là (tout passe par leur raison, et rien par leur sentiments, leurs besoins et autres moteurs émotionnels) et font cela moins bien que les chiens et ça c’est sûr, certains font moins bien. C’est assez fréquent chez les personnes à fort QI.
D’une, l’élève à fort QI peut tout à fait n’y voir aucun intérêt, de deux, il ne sait pas forcément comment les avoir, ces bonnes notes. C’est bien le problème. Comprendre qu’il faut avoir des bonnes notes et comprendre le cours pour avoir des bonnes notes sont deux choses différentes.
ce commentaire est sous licence cc by 4 et précédentes
# bien écrit, raisonnable, élégant, constructif, intéressant (drôle et futé: bonus)
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à 4. Dernière modification le 13 septembre 2015 à 00:07.
Généralement je pertinente quand je trouve que ce qu’écrit quelqu’un est très bien présenté, cela signifie que le langage est au moins correct et que cela fait preuve d’une réflexion travaillée. Ce dernier point est très important, si le post est visiblement le fruit d’une pensée travaillée, je pertinente.
Aussi, je pertinente généralement ce qui participe de manière constructive à un débat.
C’est pourquoi je pertinente très souvent les messages avec lesquels je ne suis pas d’accord et que je contredit. De fait, je pertinente énormément mes contradicteurs. C’est d’ailleurs je pense la majorité de mes plussages.
Si je réponds à quelqu’un, même pour le contredire, ce qu’il a écrit est forcément pertinent puisqu’il a au moins le mérite de susciter ma réponse. De même quand je vois un message (qui ne soit pas stupide mais faux) qui suscite plein de réponses pertinentes : participer correctement à un débat qui suscite des réponses pertinentes est pertinent. Énoncer une erreur qui est l’occasion d’en apprendre plus est pertinent.
Bon parfois il y a vraiment des gros cons et il faut quand même leur dire d’arrêter les frais, mais dans ce cas là je ne pertinente ni ne moinsse, j’ignore.
Le fait d’être intéressant ou passionnant (même hors-sujet) augmente fortement les chances d’être pertinenté, idem pour une bonne blague. Faire de l’esprit et le faire bien est pertinent.
Par contre je moinsse très rarement, peut-être une à deux fois par an (alors que je pertinente plusieurs fois par jour), cela signifie que le post est vraiment complètement hors-sujet, inintéressant, illisible, faux et crétin.
Je ne moinsse jamais les doublons, parce que je ne veux pas pénaliser l’auteur et que ça ne sert à rien car, réponse à la question subsidiaire : je navigue à -42.
ce commentaire est sous licence cc by 4 et précédentes