J’espère que je ne rencontrerai pas de problème à long terme, parce que ça a quand même bien chauffé !
Comme tu le disais plus bas, les processeurs et cartes graphiques se coupent avant d'atteindre la température critique qui abime le composant.
Vu qu'il s'est coupé tout seul, c'est que cela a bien fonctionné.
Oui, mais j’ai eu cette odeur de quelque chose qui avait surchauffé, comme quand quelque chose commence à brûler quoi. :/
Ce n'est pas un problème, ton processeur n'étant plus alimenté, il n'y a plus d'addition de chaleur, il va directement commencer à se refroidir.
Oui bien sûr, mais je ne suis pas sur que garder cette très haute température longtemps soit une bonne idée. :-)
Même en usage normal tu peux avoir des difficulté à toucher ces éléments à chaud donc après une telle coupure c'est normal.
De fait, ordinairement je peux toucher le dissipateur. :-)
Après, si tu fais cela tous les jours, tu risques d'user plus rapidement ton processeur à force de faire de la dilatation thermique.
Bien vu !
ce commentaire est sous licence cc by 4 et précédentes
Faisons juste une parenthèse sur la forme. […] Ton propos n'est pas structuré, ton propos n'est pas clair.
J’ai pondu un gros pavé sur la forme un peu plus bas, je te remercie de dire cela car c’est un aspect que je n’ai pas abordé mais qui est plus important encore, car l’élégance d’une pelle page ne rattrape pas un discours indigeste.
Structurer la pensée et clarifier le propos ! Structure et clarté sont deux choses dont on ne peut faire l’économie.
Bref, +1.
ce commentaire est sous licence cc by 4 et précédentes
Bonjour, ton journal n’est pas trop long, mais je ne l’ai pas encore lu et peut-être que je ne le lirais pas si je n’en trouve pas le courage.
Je ne te connais pas et je n’ai aucun devoir envers toi ni ton journal dont j’ignore encore complètement le contenu, mais ce commentaire est tombé sur toi. Pour une fois tu as gagné à la loterie.
Voici quelque conseils que je te donne :
1. Respire !
Lis et relis ton journal à voix haute, comme si tu lisais un livre devant un public d’auditeurs. Chaque fois que tu dois reprendre ta respiration, arrange-toi pour y placer une respiration dans ton texte : virgule, point… Reformule, découpe et réordonne les propositions. Personne n’aime lire en apnée !
2. Aère !
Lis et relis ton journal à voix haute, et quand tu te dis que cela fait un peu longtemps que tu es sur la même tirade, fais une pause dans ton discours, et fais de même dans ton écrit : termine un paragraphe et ouvre un autre. Reformule, découpe, recoupe, et réordonne les propositions.
4. Découpe !
Organise ton journal en parties. Si quelque chose l’en empêche, c’est que ton texte est un tunnel et donc là encore une apnée. Fais des parties, mets des titres, et découpe. Reformule ton texte et réorganise tes idées autour de tes titres.
3. Rythme !
Lis et relis ton journal à voix haute. Reformule et réordonne les propositions. Si ton texte est aisé à prononcer, il sera aisé et agréable à lire. Si ta langue bute sur des syllabes et des liaisons difficiles, si ta voix se fatigue, si certaines répétitions t’ennuient, reformule, réordonne. Aussi, naturellement, tu rythmera tes propositions comme j’ai rythmé ce paragraphe.
4. Écris !
Fais des exercices d’écriture. Là je ne parle pas de formulation, mais d’écriture. Ce n’est que de la graphie. Achète-toi du papier, un buvard, une plume et un encrier, et écris. Surtout, ne prends pas de plume à réservoir ni une plume qui retient trop d’encre. Chaque fois que ta plume est sèche, prends le temps de respirer, et trempe ta plume dans l’encrier. Laisse l’encre qui s’écoule de ta plume aérer ton écriture, comme l’air qui s’écoule de tes poumons aère tes phrases. Pas besoin de faire de la calligraphie au calame, mais c’est là le modèle : tu inspires entre chaque trait.
5. Rédige !
Évite les parenthèses quand tu peux, reformule si tu peux. Évite de parler comme à l’oral, même si je te demande de relire à l’oral. Certaines associations d’idées et lien logiques peuvent être induis à l’oral, en s’appuyant sur des élément de langage non-verbal : la gestuelle ou le simple rythme de la voix, ou le silence que l’on laisse ou qu’on ne laisse pas à soi ni à l’autre. Les allusions ne marchent pas à l’écrit, ou très mal, et interrompent le lecteur qui doit alors décoder tes sous-entendus, et donc perdre le fil de la lecture. La lecture de ton écrit doit être un fil où le lecteur doit pouvoir se reposer sans jamais le lâcher.
6. Dessine !
La typographie c’est important, la mise en forme c’est important ! N’oublie pas d’espace après les virgules, n’oublie pas de point en fin de phrase, utilise de beaux guillemets. Ne place pas d’alinéa superflu, saute des paragraphes quand visuellement ça commence à faire un pâté. Applique le style d’emphase sur tes emphases, fais des liens hypertextes.
7. Aide-toi !
Installe LibreOffice avec un dictionnaire français et Grammalecte. Avant de publier, copie-colle ton journal dans Libreoffice et corrige toutes les erreurs de grammaire, conjugaison, orthographe et typographie indiquées. Cela ne corrigera pas tout (une dizaine n’ont pas été vues dans le présent commentaire, essentiellement les formes impératives), mais c’est un énorme saut qualitatif qui est à ta portée à moindre coût !
8. Respecte ton lecteur !
Ne réduis pas ton lecteur à la caricature de tes contradicteurs. Tu auras des contradicteurs, alors n’assimile pas tous tes lecteurs à ces contradicteurs. Ou bien ils le seront par réaction, ou bien ils seront blessés parce que tu ne leur permets pas leur libre arbitre et que tu les associes à ceux qu’ils refusent d’être. En faisant tel que tu le fais, tu n’as que deux publics : ceux qui te contredisent, et ceux qui te désavouent.
9. Respecte-toi !
Si tu ne respectes pas ton travail, si tu penses qu’il ne vaut pas la peine d’être présentable, alors il ne sera pas recevable.
Tu ne peux pas te plaindre que certains attaquent la forme sans parler du fond : personne n’est obligé de faire l’effort de lire ton texte, un commentaire sur le fond n’est jamais un du, c’est toujours un cadeau que l’autre te fait, et il n’y est en rien obligé.
La forme, elle, tu l’imposes à l’autre, et ici tu l’imposes en forme d’agression. L’homme est un animal qui réagit à l’agression. C’est pour cette seule cause, très animale et instinctive, que ton journal a des réponses.
10. Civilise-toi !
Si tu veux des réponses civilisées, alors apprends les règles du discours civilisé. Si tu grognes et gémis, ne t’étonne pas de ne recevoir que des grognements et des gémissements.
Voilà, je ne te connais pas et je ne te dois rien, mais c’est cadeau.
_________
Note : j’ai appliqué toutes ces règles pour rédiger ce commentaire.
ce commentaire est sous licence cc by 4 et précédentes
Sinon, et bien tu fais un article sur ton blog et tu poste icitte un journal bookmark avec un lien vers ton billet (et une nimage qui n’a rien à voir).
^_^
ce commentaire est sous licence cc by 4 et précédentes
Samba 4 supports the same kind of schema extensions as Microsoft Active Directory. Schema updates in AD are a sensitive action and you must be prepared to do a full restore of the DC holding the role of schema master if something goes wrong.
This is even more true in Samba 4 given it does not always generate some critical attributes that are generated on Microsoft AD and this lack of attributes can lead to a un-start-able samba provision. This is why schema updates in Samba 4 are currently disabled by default.
In order to allow them, the option dsdb:schema update allowed must be set to true in the smb.conf or passed on the command line.
Donc il semble qu’on puisse mettre à jour les schémas avec une option explicite.
Cela dit, ce qu’ils disent est intéressant, s’il est si risqué que ça de toucher aux schémas parce que ça peut mener très facilement à des incompatibilités avec Microsoft, alors utiliser volontairement un LDAP tiers n’apporte que la possibilité d’avoir ces mêmes risques.
Il est probable que j’installe un samba sur une machine virtuelle qui ne tienne que le rôle du KDC et du LDAP, et que mes serveurs samba actuels (qui servent des fichiers etc.) ne fassent que la gestion des fichiers en déléguant désormais leur authentification au Samba/KDC. si plus tard j’ai besoin de faire du LDAP avancé, il me sera très probablement possible de monter un OpenLDAP à coté qui authentifie ses utilisateurs auprès du Samba/KDC.
L’idée est de séparer le rôle du KDC pour pouvoir le maintenir indépendamment du reste, comme je ferais avec un Kerberos qui ne ferait que ça, mais en utilisant Samba comme ça ça limite la complexité de la solution (un seul type de logiciel à maintenir, même s’il y a plusieurs instances).
ce commentaire est sous licence cc by 4 et précédentes
Mon astuce est de lire le DVD avec un logiciel qui va lancer toute la tambouille de déchiffrement. Typiquement je lis le DVD avec VLC, je vérifie que le film se lit convenablement (genre je lance la lecture et je saute arbitrairement vers le milieu du film et je regarde si j’ai le son et l’image). Si j’ai le son et l’image, je quitte VLC, je lance le dd, et ça marche à tout les coups, d’ailleurs je fais toutes mes iso de DVD ainsi.
Je ne sais pas comment ça marche en interne, mais j’ai constaté que /dev/sr0 est illisible avant d’être lu par VLC, et qu’une fois que VLC l’a lu, /dev/sr0 est lisible, même par dd.
Après il y a d’autres protections anticopies, comme des systèmes de fichiers volontairement foirés (listant plus de fichiers que nécessaires, pointant vers des bouts de film, etc.), c’est pourquoi il vaut mieux copier tout le disque avec dd (après déchiffrement) que d’essayer de copier le dvd à un plus haut niveau (par exemple en copiant les fichiers VOB) car si vous essayez de copier au niveau système de fichier, vous prenez le risque de générer des copies plus grandes que le dvd lui-même (car certains fichiers volontairement foireux se superposent). Dans ce cas vous copiez le disque avec les autres protections, mais au moins vous êtes sûr d’avoir tout.
Note : ces protections sont vraiment une plaie, par exemple certains DVD montrent une centaine de titres et seulement une poignée sont valides, mais tous montre des vrais bouts de films (en commençant au début par exemple), le seul moyen de trouver le bon titre est de se taper toutes les publicités qui chacune pointe vers le titre suivant (titre 1 : pub → titre 47 : pub → titre 32 : pub → titre 96 : pub → titre 13 : pub → titre 29 : film). Un fois que vous avez identifié le bon titre, la fois suivante vous pouvez directement demander ce titre. Le problème c’est qu’il y a des titres qui ressemblent au film, du début à la fin, avec des durées équivalentes, mais avec des bouts qui manquent. Par exemple, sur le DVD “Cars 2” il y a un titre qui ressemble vraiment au film, mais en fait qui saute des scènes, donc si vous ne vous tapez pas les pubs avant et que vous chargez direct le titre le plus grand et qui vous semble être le film (ce que fait mplayer, VLC etc. quand on ne passe pas par le menu), votre mioche voit un film avec des scènes qui manquent…
ce commentaire est sous licence cc by 4 et précédentes
oui mais si tu peux utiliser dd, c’est que ton disque est sain, et que tu n’as pas besoin de ddrescue.
ddrescue fait des accès non séquentiels (puisque justement il se ballade à droite à gauche pour contourner les trous, puis revient dessus petit à petit en essayant par l’autre bout) et est donc inutilisable au travers d’un pipe.
ce commentaire est sous licence cc by 4 et précédentes
dans le concept de base, j'ai prévu un rôle intermédiaire qui permet de créer des espaces de travail.
si ça correspond à :
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
alors je pense qu’on est sur la même longueur d’onde.
Ce que je voulais dire, c’est qu’il faut éviter au maximum de donner des droits qui ne servent à rien. C’est du bon sens, mais parfois on tombe sur des outils qui ont du mal avec le bon sens (c’est comme le chmod 777, bien sûr, c’est tellement plus simple)… :/
ce commentaire est sous licence cc by 4 et précédentes
Question subsidiaire : dans le concept de base, j'ai prévu un rôle intermédiaire qui permet de créer des espaces de travail. Cela signifie, si j'ai bien compris la pratique LDAP qu'il faudrait que mon soft puisse créer des groupes dans LDAP, ce qui est à bannir (cf citation ci-dessus).
Ce n’est pas nécessairement à bannir. Le truc c’est que j’ai vu des applis web qui demandaient le mot de passe root, et ça je dis non.
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
Le problème des applis web qui font du LDAP, c’est que toi tu peux administrer le LDAP et quelqu’un d’autre développe l’appli web, et là tu n’as pas la moindre envie de mettre ton mot de passe root dans un fichier de config.
Typiquement tu fournis un espace disque, un server http, un serveur mysql, un serveur ldap déjà peuplé, il faut que quelqu’un d’autre que toi crée un blog qui soit accessible de tout utilisateur connu du ldap.
À ce quelqu’un d’autre tu donnes un dossier avec les bon droits unix, tu mets la bonne config apache/nginx, tu fournis une base de donnée, mais non, tu ne donnes pas le mot de passe root de ton LDAP, le plus simple est encore de ne faire que de l’authentification (aucun mot de passe à donner, ça utilise celui de l’utilisateur), et si tu as besoin que l’appli créée de groupes, et bien fait des ACL. Le fait de se limiter à la simple authentification simplifie beaucoup les choses, mais bien évidemment, parfois ça ne suffit pas.
ce commentaire est sous licence cc by 4 et précédentes
J'ai un peu regardé Samba 4, et au final j'ai repris l'ensemble DNS/LDAP/Kerberos.
Tu veux dire que tu as pris l’option LDAP et Kerberos à part (genre OpenLDAP + krb5 ou similaire) ?
Ils sont partis pour beaucoup de Python… mais Python 2 seulement alors que Python 3 est annoncé depuis très longtemps et qu'il est assez facile de faire un code compatible 2/3. Il y a quelques fonctions que je n'ai jamais réussi à faire fonctionner en utilisant l'API (absolument pas documentée, d'ailleurs).
Je ne crois pas que ça changera quelque chose pour moi tant que ça marche, je ne m’attends pas à toucher à ce code… Enfin jusqu’à maintenant je n’ai jamais eu à toucher à quoi que ce soit qui ressemble à du code avec Samba, excepté le fichier de config de samba lui-même, et des scripts windows que samba sert comme des fichiers… Donc à moins que j’ignore quelque chose, je ne me sens pas vraiment concerné par le langage ou l’API… Ai-je raison de ne pas me sentir concerné ? :-)
On ne peut pas ajouter ses propres schémas LDAP, donc il faudra probablement un LDAP à côté quand même.
Hmmm, c’est typiquement le genre d’info que j’attendais. Je crains que Samba fasse tout ce dont il a besoin, mais pas plus. En même temps, est-ce que c’est grave de cantonner Samba à ne faire ce que qu’il fait ?
Par exemple si venait à se faire sentir le besoin d’un LDAP pour y placer les coordonnées des contacts pour IPBX (exemple sorti du chapeau magique), il est très probable que je monte un LDAP à part histoire d’avoir deux services indépendants.
Connais-tu des exemples où il serait nécessaire d’ajouter des schémas au LDAP utilisé par Samba ?
ce commentaire est sous licence cc by 4 et précédentes
Si c’est pas Mocrosoft Office, ce n’est pas Microsoft Office. point, il n’y a pas à discuter.
Ceux qui acceptent de ne pas utiliser Microsoft Office sont très content de LibreOffice, alors non, je ne chercherais pas autre chose de pas libre.
Ceux qui s’opposent à LibreOffice s’opposent parce que ce n’est pas Microsoft Office, donc il y aurait la même opposition pour n’importe quoi d’autre, fut-ce cet autre non-libre et en version alpha.
ce commentaire est sous licence cc by 4 et précédentes
Voici mon expérience dans le cadre de la gestion d'un parc informatique mixte (80% Windows, 20% Linux) dans une moyenne entreprise de 100 personnes.
J'ai essayé divers d'annuaires LDAP (389ds, Apache DS, OpenDJ, OpenLdap) pour centraliser les authentifications, et finalement j'ai trouvé que le plus facile était encore de tout regrouper sur Microsoft Active Directory.
Et pas Samba ? :-)
Ou peut-être ces expériences étaient-elles avant que Samba ne sache en faire autant ?
Oh, merci pour le lien, ce document est très intéressant à lire !
les PME n'ont guère le choix, et sont obligé d'acheter Windows Server car les autres alternatives ne sont pas rentables à leurs échelles.
Parfois je rencontre des problèmes “XY” : quand il y a déjà toute l’infrastructure et qu’au lieu d’exprimer des besoin (exemple : « j’ai besoin de tel disque partagé »), certains expriment des solutions, par exemple quand le fournisseur de logiciel qui ne connaît que son environnement de développement et qui arrive avec des gros sabots en disant « comment puis-je mettre mon AD pour pouvoir mettre en réseau le logiciel sur le nouveau poste que je vous facture » et qui ne propose pas d’autre manière de fournir son logiciel qu’en remplaçant le parc complet avec ses machines et son AD, à-la-façon-de-chez-lui. Si, si ce type de fournisseur existe.
Bref, malheureusement, souvent quand je vois quelqu’un pousser un AD de chez microsoft, c’est qu’il n’exprime pas son besoin. Si les autres alternatives ne sont pas rentables à petite échelle (ce qui est possible), c’est peut-être aussi parce que l’AD fait partie du paquet obligé pour être conforme à de nombreux fournisseurs (personne n’a été viré pour avoir choisi Microsoft). Utiliser AD est donc infiniment plus facile puisque souvent, ne pas utiliser le produit Microsoft ferme la porte du support…
ce commentaire est sous licence cc by 4 et précédentes
ça ajoute une vulnérabilité dans le sens où tu as une dépendance double (LDAP dépend de Kerberos, qui dépend de LDAP).
Ah ok je comprends, j’avais compris « vulnérabilité » dans le sens qu’utiliser MIT krb5 était moins sûr qu’utiliser Heimdal et que donc MIT krb5 serait moins sûr qu’Heimdal, j’avais lu ça dans le sens de vulnérabilité à des attaques, pas dans le sens d’une vulnérabilité aux pannes. :-)
Je ne sais pas trop comment ça se passe si l'un des deux met un peu de temps à démarrer, par exemple.
En fait LDAP n’a pas besoin de Kerberos pour démarrer, ce sont les clients qui ont besoin de Kerberos pour se connecter au LDAP.
Kerberos ne peut probablement pas démarrer sans LDAP (à vrai dire je ne sais pas s’il échoue si LDAP manque ou s’il l’attend patiemment, je n’ai plus ce projet sous la main depuis longtemps), mais LDAP peut démarrer sans Kerberos, donc quelque soient les doutes, il suffit de démarrer OpenLDAP avant MIT krb5 et tout va bien.
Ce sont les clients LDAP qui doivent attendre le service Kerberos d’être après le service LDAP, donc en fait il n’y a pas de problème de compétition si tout cela est fait en séquence.
ce commentaire est sous licence cc by 4 et précédentes
C’est très intéressant, ça signifierait que par exemple, pour centraliser l’authentification d’appli web façon LDAP (wordpress, redmine, ownCloud) et d’autres service réseaux façon Kerberos (XMPP, IMAP, SMTP), il suffirait d’installer un Samba4 et de ne pas s’embêter avec OpenLDAP et MIT krb5, et ne rien activer des fonctionnalités ordinaires (comme les partages CIFS) ?
En fait je trouve ce Samba4 très intéressant, mais je m’inquiète un peu de tout lui déléguer, le Kerberos, le LDAP, et les partages réseaux, ça fait beaucoup je trouve, et je préfère m’inquiéter dès maintenant de ce que pourrait être une future migration quand il faudra mettre à jour vers un hypothétique Samba5, et que tout, tout reposera dessus. Plus tard, il sera trop tard. :-)
Donc c’est aussi ma question, pour ceux qui administrent des parcs assez conséquents (au moins 100 utilisateurs), voire plusieurs parcs, est-ce que vous déléguez tout à Samba, ou séparez un peu les tâches ?
ce commentaire est sous licence cc by 4 et précédentes
suivant ton besoin et ton infra existante, je dirais que si tu a un Active Directory sous la main, utilise le meilleur des 2 mondes.
Je n’ai pas d’AD. Toute l’infra serveur est sous Debian, en fait toutes les machines qui ne sont pas des postes clients sont sous Debian (routeurs, serveurs, jusqu’au sauvegarde. Ma philosophie est qu’une distribution est d’abord une méthode de travail avant d’être un dépôt logiciel, ce qui fait que je choisis mon matériel et mes logiciels (ceux que moi j’utilise) en fonction de sa compatibilité avec la méthode de travail. Ce qui jusqu’ici a vraiment très bien marché.
En fait, même le dernier service windows-only qui reste tourne sous wine, ça a libéré une machine qui ne servait qu’à ça et est devenu plus fiable et plus facile à maintenir.
Par contre côté client, quasiment (c’est à dire tous les postes à part les admins et quelques rares postes qui ne servent qu’à afficher des infos) tout est sous Windows. Parce qu’Office, parce que plein d’appli-métier windows-only, etc. Bref, tous ces trucs que moi je n’utilise pas mais que tous les autres utilisent.
Je n’ai jamais touché un seul AD de chez Microsoft de toute ma vie, jusque là j’ai toujours pu faire sans (et ça a toujours marché sans), ce qui est un très bon point pour Debian (la méthode que j’ai choisi) et GNU/Linux en général. ;-)
ce commentaire est sous licence cc by 4 et précédentes
Je ne sais plus pourquoi, cet exemple est un projet auquel je n’ai pas touché depuis longtemps. Je crois que c’était juste pour n’avoir qu’à sauvegarder LDAP pour tout sauvegarder, tout en gardant une authentification commune à Kerberos et LDAP.
De mémoire, ça oblige à utiliser MIT et non Heimdal et ça rajoute une vulnérabilité
Pourrais tu expliciter un peu ? en quoi MIT krb5 rajoute une vulnérabilité par rapport à Heimdal ?
ce commentaire est sous licence cc by 4 et précédentes
Ouuh, oui tiens c’est étrange, je suis arrivé sur ton commentaire en passant par "Mon tableau de bord" qui m’indiquait une réponse à mon propre commentaire… bizarre bizarre !
Au temps pour moi toussa.
ce commentaire est sous licence cc by 4 et précédentes
Je ne dis pas que « Bittorrent c’est le mal parce qu’on peut partager des fichiers sans se soucier du droit d’auteur » ou autre chose du même niveau que « Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement ».
Je dis que Bittorrent est un protocole de transfert de fichier décentralisé avec un point d’entrée hyper spécialisé, ce qui permet le commerce de cette entrée, et donc permet des commerces douteux. Et jusque là ça va encore.
Là où cela devient gênant, c’est quand, pour trouver un fichier qui t’intéresse, tu doive passer par un point d’entrée qui te rendre complice d’une économie que tu réprouves.
En clair, il est possible que ta conscience morale ne réprouve pas le fait de télécharger le dernier avenger (la contrefaçon n’est pas du vol), mais que ta conscience morale réprouve d’aller télécharger la graine sur un annuaire rempli de publicité pour des trucs douteux et d’arnaques (avec des clics sponsorisés pour récupérer la graine).
Perso j’évite les deux, j’ai suffisamment d’ami pour me prêter leurs films (et inversement je peux leur prêter les miens), ça permet de se retrouver pour échanger à ce sujet et tout. Mais je comprends parfaitement que quelqu’un ne veuille pas passer par ces portails.
En fait c’est exactement comme utiliser sourceforge pour héberger son logiciel libre (légal) quand on réprouve la politique d’escroc de sourceforge, qui se nourrit des arnaques par l’intermédiaire du système de publicité (qui ne sert quasiment qu’à annoncer des arnaques).
ce commentaire est sous licence cc by 4 et précédentes
Il y a en effet plein de petits « dealers » sur la toile qui ont absolument besoin d’avoir une page html traditionelle, car il est très facile de monétiser une page web (publicité par exemple), et c’est là que cloudflare intervient.
J’en profite donc pour partager une pensée personnelle à propos de bittorent que je vais employer comme exemple de « petit commerce ».
En soit bittorrent est un outil neutre (je ne suis pas convaincu que tous les outils soient neutres, non, mais certains le sont, bittorrent est de ceux-là), mais par contre, le protocole bittorrent manque cruellement d’un mécanisme d’annonce de contenu.
Et je pense que cet oubli (ou le fait que cette absence n’aie jamais été comblée) n’est pas anodin. En effet, même sans l’intégrer au protocole bittorrent, on aurait pu imaginer un réseau p2p faisant seulement office d’annuaire et voilà, un protocole à la façon du bon vieil emule, mais ne partageant que des « graines ». C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.
Tous les prédécesseurs de bittorrent (emule, kazaa, etc.) fournissaient un annuaire intégré, bittorrent ne le fait pas. J’ai comme l’impression que ce n’est pas une lacune involontaire : la « graine » d’un torrent est une information monnayable, et il y a une énorme industrie qui s’enrichit sur la fourniture d’annuaire de « graine » : publicité, proxy-captcha, etc.
L’utilisateur de bittorrent est toujours obligé de passer par des portails qui sont tout sauf peer to peer, traditionnellement de bonnes vieilles pages html…
Ainsi Bittorrent est une énorme régression, car il permet toute une industrie mafieuse que ne permet pas un réseau totalement décentralisé où les pairs annoncent aux pairs leurs fichiers : il n’y a plus seulement des individus qui s’échangent des fichiers, mais des « dealers » qui monétisent l’accès à l’échange de fichier.
Avec bittorrent, puisqu’il faut passer par des annuaires centralisés pour récupérer les « graines », l’utilisateur qui télécharge illégalement un film (par exemple) n’est pas seulement hors la loi en téléchargeant le film, il est surtout complice d’une industrie.
Et c’est là que cloudflare rentre en jeu. Je viens de faire un bref test que vous pouvez reproduire en toute légalité : installez et lancez tor browser, faites une recherche rapide sur le moteur de recherche par défaut avec le mot clé "torrent", vous devriez tomber sur une page référençant des annuaires de torrent, tentez d’accéder à autant d’annuaires que vous pouvez : vous n’aurez même pas besoin de rechercher un film ou n’importe quoi (jusqu’ici vous ne faites que naviguer et vous êtes toujours dans la légalité), et essayez de ne pas passer par cloudflare… essayez seulement…
Et oui, la « personne » qui profite le plus de toutes ces activités illégales est probablement cloudflare.
Bref, il y a des millions de sites qui essaient chacun de se faire de l’argent avec des pubs, en redistribuant des malwares, ou en faisant résoudre des captcha à leurs utilisateurs en les attirant avec des choses excitantes (films « piratés », etc.), et il y a une « personne » qui se sucre sur ces millions de petit business douteux : cloudflare.
cloudflare a réussi à se placer comme fournisseur d’accès à tous ces petits dealers, c’est une forme de blanchiment au bénéfice de cloudflare seul (les petits dealers qui se nourrissent avec de l’argent sale paient leur accès à cloudflare, mais dans les mains de cloudflare, cet argent est propre).
J’ai développé l’exemple du commerce de « graîne » bittorrent, mais on peut imaginer des tas d’autres scénarios du même type.
ce commentaire est sous licence cc by 4 et précédentes
Imposer un cookie et un captcha aux internautes derrière Tor.
C’est un très gros problème, n’importe quel site douteux à gros trafic (torrent, porno…) peux « imiter » la page de captcha de cloudflare, et demander à ses utilisateurs de le résoudre. Il est impossible pour un utilisateur de savoir s’il a réellement affaire aux captcha de cloudlfare ou une imitation.
Je rappelle la méthode la plus fiable pour casser des captcha : utiliser un site proxy et soumettre les captcha à des utilisateurs d’un autre service.
______________
| monblog.info |
|‾‾‾‾‾‾‾‾‾‾‾‾‾‾|
| write your |
| comment: ... |
| ............ |
| |
| prove you |
| are human |
| |
.--| captcha: pic |
| | answer: .... |←--------------.
| |______________| |
| |
| |
| |
| ______________ |
| | grosnéné.biz | |
| |‾‾‾‾‾‾‾‾‾‾‾‾‾‾| |
| | do you want | |
| | to see more | |
| | stuff? | |
| | | |
| | prove you | |
| | are human | |
| | | |
'--------------→| captcha: pic | |
| answer: .... |--'
|______________|
| ↑
| |
__↓________|__
| |
| user |
|______________|
Voilà, n’importe quel site peut montrer une fausse page cloudflare, et vous connaissez l’histoire du garçon qui crie au loup: quand les personnes sont habituées à remplir compulsivement des captchas cloudflare, ces personnes ne se méfieront pas si vous présentez un formulaire àla cloudflare et ils deviennent de parfaites machines à résoudre des captchas.
Si vous allez sur des sites torrent/porno ou autres, ne remplissez pas les captchas, vous êtes très certainement en train de participer à une opération plus vaste qui a besoin de vous pour résoudre des captchas. Après on s’étonne que la cousine a perdu son compte mail parce qu’un « pirate » a réussi à passer toute la procédure d’appropriation de compte, captcha compris, ou que des spammeurs arrivent à écrire partout leur merde, en passant outre les captchas toujours plus compliqués.
Remarquez que cloudflare tient exactement la place de grosnéné.biz sur mon schéma (et dans tous les cas, même quand monblog.info n’a pas de captcha à résoudre), donc non seulement il est possible de profiter de la popularité de cloudflare pour faire résoudre des captchas en montrant une fausse page cloudflare, mais cloudflare est en fait l’agent le mieux placé pour demander à des internautes de résoudre des captchas de sites tiers.
Cloudflare c’est une énorme machine à résoudre des captchas.
Hors, comme l’explique bien ThibG, cloudflare est un homme du milieu, la page de captcha cloudflare est servie sur la même adresse que le contenu désiré, il est impossible donc de savoir si la page cloudflare est bien de cloudflare. Ce serait différent si cloudflare redirigeait vers un domaine cloudflare pour résoudre le captcha puis ensuite redirigeait vers l’adresse désirée (un peu à la façon d’OpenID) après validation.
En fait, à chaque fois que vous voyez un captcha àla cloudflare, passez votre chemin, ne le résolvez pas, vous ne savez pas ce que vous faites. Vous êtes peut-être complice de quelque chose de malhonnête (que ce soit une vrai captcha cloudflare ou un faux captcha cloudflare), il est impossible de vérifier.
______
Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr, si vous résolvez le captcha, vous êtes complice d’une intrusion ou de spam quelque part. Après s’être enrichi sur les publicités intempestives qu’il affiche ou autres choses de ce type, l’auteur du malware s’enrichit une dernière fois lors de la désinstallation en servant de proxy captcha.
ce commentaire est sous licence cc by 4 et précédentes
il y a 10 ans j’avais du 1600x1200, aujourd’hui j’ai du 1920x1080 : 320px de plus en largeur, 120px de moins en hauteur, comme quoi en dix ans, y a pas eu une grande progression, on a juste changé le rapport hauteur/largeur…
ce commentaire est sous licence cc by 4 et précédentes
Ça pourra marcher partout, pour les sites Web dont l'administrateur aura pensé à publier une chaîne de certification utilisant la version du certificat intermédiaire signé par cette autre autorité de certification déjà connue.
De toute manière il faut déjà le faire pour les mobiles, les navigateurs de mobiles ont généralement une liste très restreinte de certificats et l’administrateur est déjà contraint de publier une chaîne de certificat contenant les certificats intermédiaires.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Tu ne risques pas grand chose, à part redémarrer
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal burn, cpu, burn !. Évalué à 4.
Oui, mais j’ai eu cette odeur de quelque chose qui avait surchauffé, comme quand quelque chose commence à brûler quoi. :/
Oui bien sûr, mais je ne suis pas sur que garder cette très haute température longtemps soit une bonne idée. :-)
De fait, ordinairement je peux toucher le dissipateur. :-)
Bien vu !
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Problème de conception?
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal burn, cpu, burn !. Évalué à 10.
Un été j’ai fait cela pour refroidir un ordi portable :
\o/
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Je l'ai lu en entier…
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Et si l'on pensai ? Enfin je veux dire et si l'on pensai par soi même, ça donnerai quoi ? . Évalué à 3.
Quel courage !
J’ai pondu un gros pavé sur la forme un peu plus bas, je te remercie de dire cela car c’est un aspect que je n’ai pas abordé mais qui est plus important encore, car l’élégance d’une pelle page ne rattrape pas un discours indigeste.
Structurer la pensée et clarifier le propos ! Structure et clarté sont deux choses dont on ne peut faire l’économie.
Bref, +1.
ce commentaire est sous licence cc by 4 et précédentes
# Esthétique de l’écrit
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Et si l'on pensai ? Enfin je veux dire et si l'on pensai par soi même, ça donnerai quoi ? . Évalué à 10.
Sommaire
Bonjour, ton journal n’est pas trop long, mais je ne l’ai pas encore lu et peut-être que je ne le lirais pas si je n’en trouve pas le courage.
Je ne te connais pas et je n’ai aucun devoir envers toi ni ton journal dont j’ignore encore complètement le contenu, mais ce commentaire est tombé sur toi. Pour une fois tu as gagné à la loterie.
Voici quelque conseils que je te donne :
1. Respire !
Lis et relis ton journal à voix haute, comme si tu lisais un livre devant un public d’auditeurs. Chaque fois que tu dois reprendre ta respiration, arrange-toi pour y placer une respiration dans ton texte : virgule, point… Reformule, découpe et réordonne les propositions. Personne n’aime lire en apnée !
2. Aère !
Lis et relis ton journal à voix haute, et quand tu te dis que cela fait un peu longtemps que tu es sur la même tirade, fais une pause dans ton discours, et fais de même dans ton écrit : termine un paragraphe et ouvre un autre. Reformule, découpe, recoupe, et réordonne les propositions.
4. Découpe !
Organise ton journal en parties. Si quelque chose l’en empêche, c’est que ton texte est un tunnel et donc là encore une apnée. Fais des parties, mets des titres, et découpe. Reformule ton texte et réorganise tes idées autour de tes titres.
3. Rythme !
Lis et relis ton journal à voix haute. Reformule et réordonne les propositions. Si ton texte est aisé à prononcer, il sera aisé et agréable à lire. Si ta langue bute sur des syllabes et des liaisons difficiles, si ta voix se fatigue, si certaines répétitions t’ennuient, reformule, réordonne. Aussi, naturellement, tu rythmera tes propositions comme j’ai rythmé ce paragraphe.
4. Écris !
Fais des exercices d’écriture. Là je ne parle pas de formulation, mais d’écriture. Ce n’est que de la graphie. Achète-toi du papier, un buvard, une plume et un encrier, et écris. Surtout, ne prends pas de plume à réservoir ni une plume qui retient trop d’encre. Chaque fois que ta plume est sèche, prends le temps de respirer, et trempe ta plume dans l’encrier. Laisse l’encre qui s’écoule de ta plume aérer ton écriture, comme l’air qui s’écoule de tes poumons aère tes phrases. Pas besoin de faire de la calligraphie au calame, mais c’est là le modèle : tu inspires entre chaque trait.
5. Rédige !
Évite les parenthèses quand tu peux, reformule si tu peux. Évite de parler comme à l’oral, même si je te demande de relire à l’oral. Certaines associations d’idées et lien logiques peuvent être induis à l’oral, en s’appuyant sur des élément de langage non-verbal : la gestuelle ou le simple rythme de la voix, ou le silence que l’on laisse ou qu’on ne laisse pas à soi ni à l’autre. Les allusions ne marchent pas à l’écrit, ou très mal, et interrompent le lecteur qui doit alors décoder tes sous-entendus, et donc perdre le fil de la lecture. La lecture de ton écrit doit être un fil où le lecteur doit pouvoir se reposer sans jamais le lâcher.
6. Dessine !
La typographie c’est important, la mise en forme c’est important ! N’oublie pas d’espace après les virgules, n’oublie pas de point en fin de phrase, utilise de beaux guillemets. Ne place pas d’alinéa superflu, saute des paragraphes quand visuellement ça commence à faire un pâté. Applique le style d’emphase sur tes emphases, fais des liens hypertextes.
7. Aide-toi !
Installe LibreOffice avec un dictionnaire français et Grammalecte. Avant de publier, copie-colle ton journal dans Libreoffice et corrige toutes les erreurs de grammaire, conjugaison, orthographe et typographie indiquées. Cela ne corrigera pas tout (une dizaine n’ont pas été vues dans le présent commentaire, essentiellement les formes impératives), mais c’est un énorme saut qualitatif qui est à ta portée à moindre coût !
8. Respecte ton lecteur !
Ne réduis pas ton lecteur à la caricature de tes contradicteurs. Tu auras des contradicteurs, alors n’assimile pas tous tes lecteurs à ces contradicteurs. Ou bien ils le seront par réaction, ou bien ils seront blessés parce que tu ne leur permets pas leur libre arbitre et que tu les associes à ceux qu’ils refusent d’être. En faisant tel que tu le fais, tu n’as que deux publics : ceux qui te contredisent, et ceux qui te désavouent.
9. Respecte-toi !
Si tu ne respectes pas ton travail, si tu penses qu’il ne vaut pas la peine d’être présentable, alors il ne sera pas recevable.
Tu ne peux pas te plaindre que certains attaquent la forme sans parler du fond : personne n’est obligé de faire l’effort de lire ton texte, un commentaire sur le fond n’est jamais un du, c’est toujours un cadeau que l’autre te fait, et il n’y est en rien obligé.
La forme, elle, tu l’imposes à l’autre, et ici tu l’imposes en forme d’agression. L’homme est un animal qui réagit à l’agression. C’est pour cette seule cause, très animale et instinctive, que ton journal a des réponses.
10. Civilise-toi !
Si tu veux des réponses civilisées, alors apprends les règles du discours civilisé. Si tu grognes et gémis, ne t’étonne pas de ne recevoir que des grognements et des gémissements.
Voilà, je ne te connais pas et je ne te dois rien, mais c’est cadeau.
_________
Note : j’ai appliqué toutes ces règles pour rédiger ce commentaire.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: "éviter de spammer DLFP"
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Parlons XMPP - épisode 9 - copie de fichiers et Jingle. Évalué à 3.
Sinon, et bien tu fais un article sur ton blog et tu poste icitte un journal bookmark avec un lien vers ton billet (et une nimage qui n’a rien à voir).
^_^ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2. Dernière modification le 04 novembre 2015 à 17:33.
Hum, j’ai lu ici https://wiki.samba.org/index.php/Samba_AD_schema_extensions
Donc il semble qu’on puisse mettre à jour les schémas avec une option explicite.
Cela dit, ce qu’ils disent est intéressant, s’il est si risqué que ça de toucher aux schémas parce que ça peut mener très facilement à des incompatibilités avec Microsoft, alors utiliser volontairement un LDAP tiers n’apporte que la possibilité d’avoir ces mêmes risques.
Il est probable que j’installe un samba sur une machine virtuelle qui ne tienne que le rôle du KDC et du LDAP, et que mes serveurs samba actuels (qui servent des fichiers etc.) ne fassent que la gestion des fichiers en déléguant désormais leur authentification au Samba/KDC. si plus tard j’ai besoin de faire du LDAP avancé, il me sera très probablement possible de monter un OpenLDAP à coté qui authentifie ses utilisateurs auprès du Samba/KDC.
L’idée est de séparer le rôle du KDC pour pouvoir le maintenir indépendamment du reste, comme je ferais avec un Kerberos qui ne ferait que ça, mais en utilisant Samba comme ça ça limite la complexité de la solution (un seul type de logiciel à maintenir, même s’il y a plusieurs instances).
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: DVD Vidéo
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse à la dépêche ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque. Évalué à 9.
FTFY: Avec un dvd protégé !
Voici mon expérience. Je ne sais pas comment ces choses fonctionne, mais la procédure que je vous donne fonctionne à tout les coups :
Mon astuce est de lire le DVD avec un logiciel qui va lancer toute la tambouille de déchiffrement. Typiquement je lis le DVD avec VLC, je vérifie que le film se lit convenablement (genre je lance la lecture et je saute arbitrairement vers le milieu du film et je regarde si j’ai le son et l’image). Si j’ai le son et l’image, je quitte VLC, je lance le dd, et ça marche à tout les coups, d’ailleurs je fais toutes mes iso de DVD ainsi.
Je ne sais pas comment ça marche en interne, mais j’ai constaté que
/dev/sr0est illisible avant d’être lu par VLC, et qu’une fois que VLC l’a lu,/dev/sr0est lisible, même par dd.Après il y a d’autres protections anticopies, comme des systèmes de fichiers volontairement foirés (listant plus de fichiers que nécessaires, pointant vers des bouts de film, etc.), c’est pourquoi il vaut mieux copier tout le disque avec dd (après déchiffrement) que d’essayer de copier le dvd à un plus haut niveau (par exemple en copiant les fichiers VOB) car si vous essayez de copier au niveau système de fichier, vous prenez le risque de générer des copies plus grandes que le dvd lui-même (car certains fichiers volontairement foireux se superposent). Dans ce cas vous copiez le disque avec les autres protections, mais au moins vous êtes sûr d’avoir tout.
Note : ces protections sont vraiment une plaie, par exemple certains DVD montrent une centaine de titres et seulement une poignée sont valides, mais tous montre des vrais bouts de films (en commençant au début par exemple), le seul moyen de trouver le bon titre est de se taper toutes les publicités qui chacune pointe vers le titre suivant (titre 1 : pub → titre 47 : pub → titre 32 : pub → titre 96 : pub → titre 13 : pub → titre 29 : film). Un fois que vous avez identifié le bon titre, la fois suivante vous pouvez directement demander ce titre. Le problème c’est qu’il y a des titres qui ressemblent au film, du début à la fin, avec des durées équivalentes, mais avec des bouts qui manquent. Par exemple, sur le DVD “Cars 2” il y a un titre qui ressemble vraiment au film, mais en fait qui saute des scènes, donc si vous ne vous tapez pas les pubs avant et que vous chargez direct le titre le plus grand et qui vous semble être le film (ce que fait mplayer, VLC etc. quand on ne passe pas par le menu), votre mioche voit un film avec des scènes qui manquent…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Envoie réseau
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse à la dépêche ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque. Évalué à 4.
oui mais si tu peux utiliser dd, c’est que ton disque est sain, et que tu n’as pas besoin de ddrescue.
ddrescue fait des accès non séquentiels (puisque justement il se ballade à droite à gauche pour contourner les trous, puis revient dessus petit à petit en essayant par l’autre bout) et est donc inutilisable au travers d’un pipe.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Je profite de la présence de compétences LDAP sur ce fil de discussion...
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2. Dernière modification le 29 octobre 2015 à 18:40.
Au fait quand tu écris :
si ça correspond à :
alors je pense qu’on est sur la même longueur d’onde.
Ce que je voulais dire, c’est qu’il faut éviter au maximum de donner des droits qui ne servent à rien. C’est du bon sens, mais parfois on tombe sur des outils qui ont du mal avec le bon sens (c’est comme le chmod 777, bien sûr, c’est tellement plus simple)… :/
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Je profite de la présence de compétences LDAP sur ce fil de discussion...
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Ce n’est pas nécessairement à bannir. Le truc c’est que j’ai vu des applis web qui demandaient le mot de passe root, et ça je dis non.
À mon avis le mieux est de créer un groupe privilégié avec des ACL bien taillées pour l’usage (par exemple, qui a seulement le droit de créer des groupes dans une arborescence particulière et rien d’autre), et tu crées un utilisateur de maintenance qui appartient à ce groupe.
Le problème des applis web qui font du LDAP, c’est que toi tu peux administrer le LDAP et quelqu’un d’autre développe l’appli web, et là tu n’as pas la moindre envie de mettre ton mot de passe root dans un fichier de config.
Typiquement tu fournis un espace disque, un server http, un serveur mysql, un serveur ldap déjà peuplé, il faut que quelqu’un d’autre que toi crée un blog qui soit accessible de tout utilisateur connu du ldap.
À ce quelqu’un d’autre tu donnes un dossier avec les bon droits unix, tu mets la bonne config apache/nginx, tu fournis une base de donnée, mais non, tu ne donnes pas le mot de passe root de ton LDAP, le plus simple est encore de ne faire que de l’authentification (aucun mot de passe à donner, ça utilise celui de l’utilisateur), et si tu as besoin que l’appli créée de groupes, et bien fait des ACL. Le fait de se limiter à la simple authentification simplifie beaucoup les choses, mais bien évidemment, parfois ça ne suffit pas.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Tu veux dire que tu as pris l’option LDAP et Kerberos à part (genre OpenLDAP + krb5 ou similaire) ?
Je ne crois pas que ça changera quelque chose pour moi tant que ça marche, je ne m’attends pas à toucher à ce code… Enfin jusqu’à maintenant je n’ai jamais eu à toucher à quoi que ce soit qui ressemble à du code avec Samba, excepté le fichier de config de samba lui-même, et des scripts windows que samba sert comme des fichiers… Donc à moins que j’ignore quelque chose, je ne me sens pas vraiment concerné par le langage ou l’API… Ai-je raison de ne pas me sentir concerné ? :-)
Hmmm, c’est typiquement le genre d’info que j’attendais. Je crains que Samba fasse tout ce dont il a besoin, mais pas plus. En même temps, est-ce que c’est grave de cantonner Samba à ne faire ce que qu’il fait ?
Par exemple si venait à se faire sentir le besoin d’un LDAP pour y placer les coordonnées des contacts pour IPBX (exemple sorti du chapeau magique), il est très probable que je monte un LDAP à part histoire d’avoir deux services indépendants.
Connais-tu des exemples où il serait nécessaire d’ajouter des schémas au LDAP utilisé par Samba ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Avec Active directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Si c’est pas Mocrosoft Office, ce n’est pas Microsoft Office. point, il n’y a pas à discuter.
Ceux qui acceptent de ne pas utiliser Microsoft Office sont très content de LibreOffice, alors non, je ne chercherais pas autre chose de pas libre.
Ceux qui s’opposent à LibreOffice s’opposent parce que ce n’est pas Microsoft Office, donc il y aurait la même opposition pour n’importe quoi d’autre, fut-ce cet autre non-libre et en version alpha.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Microsoft Active Directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Et pas Samba ? :-)
Ou peut-être ces expériences étaient-elles avant que Samba ne sache en faire autant ?
Oh, merci pour le lien, ce document est très intéressant à lire !
Parfois je rencontre des problèmes “XY” : quand il y a déjà toute l’infrastructure et qu’au lieu d’exprimer des besoin (exemple : « j’ai besoin de tel disque partagé »), certains expriment des solutions, par exemple quand le fournisseur de logiciel qui ne connaît que son environnement de développement et qui arrive avec des gros sabots en disant « comment puis-je mettre mon AD pour pouvoir mettre en réseau le logiciel sur le nouveau poste que je vous facture » et qui ne propose pas d’autre manière de fournir son logiciel qu’en remplaçant le parc complet avec ses machines et son AD, à-la-façon-de-chez-lui. Si, si ce type de fournisseur existe.
Bref, malheureusement, souvent quand je vois quelqu’un pousser un AD de chez microsoft, c’est qu’il n’exprime pas son besoin. Si les autres alternatives ne sont pas rentables à petite échelle (ce qui est possible), c’est peut-être aussi parce que l’AD fait partie du paquet obligé pour être conforme à de nombreux fournisseurs (personne n’a été viré pour avoir choisi Microsoft). Utiliser AD est donc infiniment plus facile puisque souvent, ne pas utiliser le produit Microsoft ferme la porte du support…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: stockage ldap
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 3.
Ah ok je comprends, j’avais compris « vulnérabilité » dans le sens qu’utiliser MIT krb5 était moins sûr qu’utiliser Heimdal et que donc MIT krb5 serait moins sûr qu’Heimdal, j’avais lu ça dans le sens de vulnérabilité à des attaques, pas dans le sens d’une vulnérabilité aux pannes. :-)
En fait LDAP n’a pas besoin de Kerberos pour démarrer, ce sont les clients qui ont besoin de Kerberos pour se connecter au LDAP.
Kerberos ne peut probablement pas démarrer sans LDAP (à vrai dire je ne sais pas s’il échoue si LDAP manque ou s’il l’attend patiemment, je n’ai plus ce projet sous la main depuis longtemps), mais LDAP peut démarrer sans Kerberos, donc quelque soient les doutes, il suffit de démarrer OpenLDAP avant MIT krb5 et tout va bien.
Ce sont les clients LDAP qui doivent attendre le service Kerberos d’être après le service LDAP, donc en fait il n’y a pas de problème de compétition si tout cela est fait en séquence.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Samba 4
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
C’est très intéressant, ça signifierait que par exemple, pour centraliser l’authentification d’appli web façon LDAP (wordpress, redmine, ownCloud) et d’autres service réseaux façon Kerberos (XMPP, IMAP, SMTP), il suffirait d’installer un Samba4 et de ne pas s’embêter avec OpenLDAP et MIT krb5, et ne rien activer des fonctionnalités ordinaires (comme les partages CIFS) ?
En fait je trouve ce Samba4 très intéressant, mais je m’inquiète un peu de tout lui déléguer, le Kerberos, le LDAP, et les partages réseaux, ça fait beaucoup je trouve, et je préfère m’inquiéter dès maintenant de ce que pourrait être une future migration quand il faudra mettre à jour vers un hypothétique Samba5, et que tout, tout reposera dessus. Plus tard, il sera trop tard. :-)
Donc c’est aussi ma question, pour ceux qui administrent des parcs assez conséquents (au moins 100 utilisateurs), voire plusieurs parcs, est-ce que vous déléguez tout à Samba, ou séparez un peu les tâches ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Avec Active directory
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 7.
Je n’ai pas d’AD. Toute l’infra serveur est sous Debian, en fait toutes les machines qui ne sont pas des postes clients sont sous Debian (routeurs, serveurs, jusqu’au sauvegarde. Ma philosophie est qu’une distribution est d’abord une méthode de travail avant d’être un dépôt logiciel, ce qui fait que je choisis mon matériel et mes logiciels (ceux que moi j’utilise) en fonction de sa compatibilité avec la méthode de travail. Ce qui jusqu’ici a vraiment très bien marché.
En fait, même le dernier service windows-only qui reste tourne sous wine, ça a libéré une machine qui ne servait qu’à ça et est devenu plus fiable et plus facile à maintenir.
Par contre côté client, quasiment (c’est à dire tous les postes à part les admins et quelques rares postes qui ne servent qu’à afficher des infos) tout est sous Windows. Parce qu’Office, parce que plein d’appli-métier windows-only, etc. Bref, tous ces trucs que moi je n’utilise pas mais que tous les autres utilisent.
Je n’ai jamais touché un seul AD de chez Microsoft de toute ma vie, jusque là j’ai toujours pu faire sans (et ça a toujours marché sans), ce qui est un très bon point pour Debian (la méthode que j’ai choisi) et GNU/Linux en général. ;-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: stockage ldap
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Disputatio : Samba, Kerberos et LDAP. Évalué à 2.
Je ne sais plus pourquoi, cet exemple est un projet auquel je n’ai pas touché depuis longtemps. Je crois que c’était juste pour n’avoir qu’à sauvegarder LDAP pour tout sauvegarder, tout en gardant une authentification commune à Kerberos et LDAP.
Pourrais tu expliciter un peu ? en quoi MIT krb5 rajoute une vulnérabilité par rapport à Heimdal ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 2.
Ouuh, oui tiens c’est étrange, je suis arrivé sur ton commentaire en passant par "Mon tableau de bord" qui m’indiquait une réponse à mon propre commentaire… bizarre bizarre !
Au temps pour moi toussa.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 2.
Toi tu n’as pas lu mon commentaire.
Je ne dis pas que « Bittorrent c’est le mal parce qu’on peut partager des fichiers sans se soucier du droit d’auteur » ou autre chose du même niveau que « Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement ».
Je dis que Bittorrent est un protocole de transfert de fichier décentralisé avec un point d’entrée hyper spécialisé, ce qui permet le commerce de cette entrée, et donc permet des commerces douteux. Et jusque là ça va encore.
Là où cela devient gênant, c’est quand, pour trouver un fichier qui t’intéresse, tu doive passer par un point d’entrée qui te rendre complice d’une économie que tu réprouves.
En clair, il est possible que ta conscience morale ne réprouve pas le fait de télécharger le dernier avenger (la contrefaçon n’est pas du vol), mais que ta conscience morale réprouve d’aller télécharger la graine sur un annuaire rempli de publicité pour des trucs douteux et d’arnaques (avec des clics sponsorisés pour récupérer la graine).
Perso j’évite les deux, j’ai suffisamment d’ami pour me prêter leurs films (et inversement je peux leur prêter les miens), ça permet de se retrouver pour échanger à ce sujet et tout. Mais je comprends parfaitement que quelqu’un ne veuille pas passer par ces portails.
En fait c’est exactement comme utiliser sourceforge pour héberger son logiciel libre (légal) quand on réprouve la politique d’escroc de sourceforge, qui se nourrit des arnaques par l’intermédiaire du système de publicité (qui ne sert quasiment qu’à annoncer des arnaques).
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: s/cloud/crime/
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 10. Dernière modification le 07 octobre 2015 à 21:07.
Il y a en effet plein de petits « dealers » sur la toile qui ont absolument besoin d’avoir une page html traditionelle, car il est très facile de monétiser une page web (publicité par exemple), et c’est là que cloudflare intervient.
J’en profite donc pour partager une pensée personnelle à propos de bittorent que je vais employer comme exemple de « petit commerce ».
En soit bittorrent est un outil neutre (je ne suis pas convaincu que tous les outils soient neutres, non, mais certains le sont, bittorrent est de ceux-là), mais par contre, le protocole bittorrent manque cruellement d’un mécanisme d’annonce de contenu.
Et je pense que cet oubli (ou le fait que cette absence n’aie jamais été comblée) n’est pas anodin. En effet, même sans l’intégrer au protocole bittorrent, on aurait pu imaginer un réseau p2p faisant seulement office d’annuaire et voilà, un protocole à la façon du bon vieil emule, mais ne partageant que des « graines ». C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.
Tous les prédécesseurs de bittorrent (emule, kazaa, etc.) fournissaient un annuaire intégré, bittorrent ne le fait pas. J’ai comme l’impression que ce n’est pas une lacune involontaire : la « graine » d’un torrent est une information monnayable, et il y a une énorme industrie qui s’enrichit sur la fourniture d’annuaire de « graine » : publicité, proxy-captcha, etc.
L’utilisateur de bittorrent est toujours obligé de passer par des portails qui sont tout sauf peer to peer, traditionnellement de bonnes vieilles pages html…
Ainsi Bittorrent est une énorme régression, car il permet toute une industrie mafieuse que ne permet pas un réseau totalement décentralisé où les pairs annoncent aux pairs leurs fichiers : il n’y a plus seulement des individus qui s’échangent des fichiers, mais des « dealers » qui monétisent l’accès à l’échange de fichier.
Avec bittorrent, puisqu’il faut passer par des annuaires centralisés pour récupérer les « graines », l’utilisateur qui télécharge illégalement un film (par exemple) n’est pas seulement hors la loi en téléchargeant le film, il est surtout complice d’une industrie.
Et c’est là que cloudflare rentre en jeu. Je viens de faire un bref test que vous pouvez reproduire en toute légalité : installez et lancez tor browser, faites une recherche rapide sur le moteur de recherche par défaut avec le mot clé "torrent", vous devriez tomber sur une page référençant des annuaires de torrent, tentez d’accéder à autant d’annuaires que vous pouvez : vous n’aurez même pas besoin de rechercher un film ou n’importe quoi (jusqu’ici vous ne faites que naviguer et vous êtes toujours dans la légalité), et essayez de ne pas passer par cloudflare… essayez seulement…
Et oui, la « personne » qui profite le plus de toutes ces activités illégales est probablement cloudflare.
Bref, il y a des millions de sites qui essaient chacun de se faire de l’argent avec des pubs, en redistribuant des malwares, ou en faisant résoudre des captcha à leurs utilisateurs en les attirant avec des choses excitantes (films « piratés », etc.), et il y a une « personne » qui se sucre sur ces millions de petit business douteux : cloudflare.
cloudflare a réussi à se placer comme fournisseur d’accès à tous ces petits dealers, c’est une forme de blanchiment au bénéfice de cloudflare seul (les petits dealers qui se nourrissent avec de l’argent sale paient leur accès à cloudflare, mais dans les mains de cloudflare, cet argent est propre).
J’ai développé l’exemple du commerce de « graîne » bittorrent, mais on peut imaginer des tas d’autres scénarios du même type.
ce commentaire est sous licence cc by 4 et précédentes
# captcha
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal CloudFlare au milieu. Évalué à 10. Dernière modification le 07 octobre 2015 à 01:31.
C’est un très gros problème, n’importe quel site douteux à gros trafic (torrent, porno…) peux « imiter » la page de captcha de cloudflare, et demander à ses utilisateurs de le résoudre. Il est impossible pour un utilisateur de savoir s’il a réellement affaire aux captcha de cloudlfare ou une imitation.
Je rappelle la méthode la plus fiable pour casser des captcha : utiliser un site proxy et soumettre les captcha à des utilisateurs d’un autre service.
Voilà, n’importe quel site peut montrer une fausse page cloudflare, et vous connaissez l’histoire du garçon qui crie au loup: quand les personnes sont habituées à remplir compulsivement des captchas cloudflare, ces personnes ne se méfieront pas si vous présentez un formulaire àla cloudflare et ils deviennent de parfaites machines à résoudre des captchas.
Si vous allez sur des sites torrent/porno ou autres, ne remplissez pas les captchas, vous êtes très certainement en train de participer à une opération plus vaste qui a besoin de vous pour résoudre des captchas. Après on s’étonne que la cousine a perdu son compte mail parce qu’un « pirate » a réussi à passer toute la procédure d’appropriation de compte, captcha compris, ou que des spammeurs arrivent à écrire partout leur merde, en passant outre les captchas toujours plus compliqués.
Remarquez que cloudflare tient exactement la place de grosnéné.biz sur mon schéma (et dans tous les cas, même quand monblog.info n’a pas de captcha à résoudre), donc non seulement il est possible de profiter de la popularité de cloudflare pour faire résoudre des captchas en montrant une fausse page cloudflare, mais cloudflare est en fait l’agent le mieux placé pour demander à des internautes de résoudre des captchas de sites tiers.
Cloudflare c’est une énorme machine à résoudre des captchas.
Hors, comme l’explique bien ThibG, cloudflare est un homme du milieu, la page de captcha cloudflare est servie sur la même adresse que le contenu désiré, il est impossible donc de savoir si la page cloudflare est bien de cloudflare. Ce serait différent si cloudflare redirigeait vers un domaine cloudflare pour résoudre le captcha puis ensuite redirigeait vers l’adresse désirée (un peu à la façon d’OpenID) après validation.
En fait, à chaque fois que vous voyez un captcha àla cloudflare, passez votre chemin, ne le résolvez pas, vous ne savez pas ce que vous faites. Vous êtes peut-être complice de quelque chose de malhonnête (que ce soit une vrai captcha cloudflare ou un faux captcha cloudflare), il est impossible de vérifier.
______
Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr, si vous résolvez le captcha, vous êtes complice d’une intrusion ou de spam quelque part. Après s’être enrichi sur les publicités intempestives qu’il affiche ou autres choses de ce type, l’auteur du malware s’enrichit une dernière fois lors de la désinstallation en servant de proxy captcha.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Test objectif?
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Codec War S42E84. Évalué à 10.
il y a 10 ans j’avais du 1600x1200, aujourd’hui j’ai du 1920x1080 : 320px de plus en largeur, 120px de moins en hauteur, comme quoi en dix ans, y a pas eu une grande progression, on a juste changé le rapport hauteur/largeur…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Cross-signed
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au journal Le premier certificat SSL de Let's Encrypt. Évalué à 3.
De toute manière il faut déjà le faire pour les mobiles, les navigateurs de mobiles ont généralement une liste très restreinte de certificats et l’administrateur est déjà contraint de publier une chaîne de certificat contenant les certificats intermédiaires.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: je moinse les commentaires trop longs pour être utiles
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à -2.
J’ai pertinenté le tiens. cf. un de mes commentaires au dessus pour savoir pourquoi. ;-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: bien écrit, raisonnable, élégant, constructif, intéressant (drôle et futé: bonus)
Posté par Thomas Debesse (site web personnel, Mastodon) . En réponse au sondage Sur LinuxFr.org, quand je vote pertinent/inutile, en fait je vote.... Évalué à 0.
Je voulais dire par là ceux qui enrobent du vide ou ceux qui enrobent du faux, je ne parlais pas des bavards (ce qui me va très bien). :-)
ce commentaire est sous licence cc by 4 et précédentes