Pas si sûr : Netscape est plus vieux que IE et pas mal de code de Mozilla vient de Netscape. De toutes façons, le nombre de bugs dans un soft n'est certainement pas proportionnel à son âge.
Je confirme moi aussi. A une époque, j'achetais Login assez régulièrement parce qu'il traitait de Linux mais aussi de BeOS.
Entre autre les légendes des photos tiennent plutot du mauvais jeu de mot qu'autre chose.
Ah, mais ça fait partie du mythe Login. Je n'est pas connu Dream, à l'époque où j'ai acheté Login il vennaient de changer de nom, mais je pense que la tradition des photos décalées vient de cette époque.
En fait s'il y a un public à qui est destiné Login, c'est celui des nouveaux venus dans le monde des systèmes alternatifs. Je me souviens encore de ma lecture des premiers LinuxMag, je ne comprenais pas grand chose, et pourtant j'utilisais déjà (un peu) Linux depuis quelques temps. Login m'avais alors paru plus facile d'accès.
Oui, aujourd'hui. Mais il y a 20-25 ans, Microsoft s'est simplement installé sur le secteur de l'informatique personnelle, secteur que tous les autres acteurs de l'époque boudaient plus ou moins. Quand je dis que Microsoft n'a pas imposé son monopole je veux juste dire qu'à l'époque personne ne s'est imposé à cette prise de pouvoir. On ne peut quand même pas reprocher à Microsoft d'avoir vu dans le marché de l'informatique personnelle un secteur d'avenir.
oui, mais ce qui me dérange c'est la manière dont MS à imposé son monopole et fait tout pour le garder
Microsoft n'a pas imposé son monopole. Quand microsoft est arrivé sur le marché du PC à la fin des années 70 personne ne s'y intéressait. Le marché de l'ordinateur personnel était encore peu considéré et des entreprises comme IBM ne juraient que par les mainframes et les mini-ordinateurs. La manière dont il s'est assuré de conserver son monopole, en coulant OS/2 par exemple, est bien plus discutable.
L'autre solution est d'envoyer les contenus chiffrés aux enceintes, ce qui veut dire changer tout le matos de la planète
Tout à fait d'accord. Si on veut de la DRM qui marche, il faudra changer/améliorer le matériel existant.
et se tourner vers la solution TCPA/Palladium/flicage à fond évoquée précédemment.
Là je ne suis pas d'accord. Pourquoi parler de protection de la vie privée quand on parle de partitions ou de mails chiffrés et de flicage quand il s'agit de musique ou de films.
Le trou de l'analogique a toujours existé, avant même Internet. Tu peux aller à un concert avec enregistreur, au cinéma avec une caméra. La DRM ne doit s'occuper que de la gestion des droits numériques. Je prends un exemple : j'ai acheté un DVD ; la DRM doit donner par exemple les solutions aux problèmes suivants :
- si on me vole mon DVD, comment interdire à un tiers de l'utiliser
- comment protéger la copie privée
Le jour où les logiciels libres implémenteront les DRM, ils pourront aussi les contourner.
Le jour où les logiciels libres implémenteront les DRM foireuse comme aujourd'hui, ils pourront aussi les contourner. Cependant OpenSSL possède une implémentation de RSA, ça ne me permet pas de le contourner et de forger de fausses signatures.
Pour le domaine public, il faudrait alors tout déposer sans DRM auprès de l'État. Il pourrait alors resortir les versions sans DRM au bout de 70 ans + vie de l'auteur (sympa le stockage).
Non, pourquoi déposer des versions sans DRM ? La DRM t'assure que 70 ans après la mort de l'auteur, l'accès aux contenus se fera selon les règles du domaine public.
La DRM n'est qu'un outil, elle peut être mal utilisée pour restreintre indument les droits des utilisateurs, ou au contraire pour les protéger.
Tu me permettras de modérer tes propos. Il ne faut pas mélanger le cadre technique qu'est la DRM et le cadre légal/juridique. La DRM est un ensemble de technologies permettant la gestion des droits d'auteur pour les contenus numériques.
- les DRM, le consommateur n'en veut pas
Ce que les consommateurs ne veulent pas c'est être génés dans l'utilisation des produits qu'ils ont acheté. Il ne veulent pas de la DRM telle qu'elle est proposée actuellement parce qu'elle est trop contraignante.
- les DRM ne marchent pas
Aujourd'hui elles ne marchent pas mais les technologies progressent.
- les DRM empêchent l'interopérabilité - les DRM condamnent le logiciel libre à ne pas pouvoir lire les documents
Non, c'est l'abscence de standard qui empêche l'interopérabilité. Par conséquent quand des standards auront fait leur apparition, c'est-à-dire quand la DRM sera autre chose qu'une vaste blague, les logiciels libre pourront les implémenter.
- la technique ne peut remplacer un juge et décidé à sa place de ce qu'est l'usage privé - les DRM menacent le domaine public
Oui la DRM est une tehnologie, ce n'est qu'un outil dans un cadre légal. Dans ce cas ce n'est pas la DRM qui menace le domaine public mais le legislateur.
Pire : tous envoient de l'audio aux hauts parleurs qu'en remplacant par un ordinateur je pourrais les enregistrer dans un format qui existe et qui soit réellement défini et ecoutable sur n'importe quel ordi ou equippement audio
Oui mais ce ne serait pas une copie numérique, ce qui inquiète beaucoup c'est la copie sans perte.
De toutes façon les technologies DRM ne fonctionneront pas tant que les périphériques, en l'occurence dans le cas de la musique, la carte son, ne seront pas plus intelligents. Par exemple en ajoutant des fonctions de carte à puce aux cartes son, on peut imaginer de la musique uniquement lisible par une carte donnée.
On comprend alors mieux la petite phrase :
Nous adhérons à l'approche de Microsoft, qui considère le bureau de l'ordinateur comme un tout indissociable de ses éléments.
Effectivement, cette phrase peut choquer les afficionados de java.
Non, je ne pense pas. Les afficionados sont bien conscients que Java s'il est omniprésent côté serveur, il est presque complètement abscent côté client. ll n'y a qu'à regarder les offres d'emplois pour s'en rendre compte : quand il est question de java c'est toujours Tomcat, EJB, Servlets et compagnie.
La raison de ce déséquilibre ? Même s'il existait des problèmes de performance au début, je pense qu'une grande partie en revient à Microsoft et ses facéties au sujet de la JVM qu'il distribuait, telles que les problèmes d'interopérabilité. Par contre sur d'autres terres vierges comme les téléphones portables, Java, côté client cette fois, se taille la part du lion, au point même d'en faire un argument commercial, les fameux jeux Java sur les derniers modèles.
Moi j'ai déjà envoyé plein de dépèche et j'ai rien gagné :o( Bon d'un autre côté je suis déjà abonné à LinuxMag...
Par contre c'est vrai que c'est cher. Par exemple aux Etats-Unis un abonnement d'un an (12 numéros) à Linux Journal coute 25$ soit à peine plus de 20 alors qu'en France un abonnement à LMF (11 numéros) c'est 53.
Non amis à l'étranger comme FRLinux, Erwan Loisant... pourraient nous donner des points de comparaison.
Quant à Civ3, et bien j'ai soutenu il y a quelques semaines sur LinuxFR (et je persite aujourd'hui) qu'il fonctionnait avec WineX 3.x et Mandrake 9.2 étant donné que j'y avais moi-même joué.
Cependant depuis je suis passé sous Mandrake 10.0 et WineX 4.0 ; maintenant l'installation plante : l'installeur recherche data3.cab qui n'existe pas. Il semble d'après les forums de Transgaming que ce soit un sorte de bug récurrent avec divers jeux mais je n'ai pas eu le temps d'investiguer davantage. Je vais peut-être essayer de monter en loopback une image iso du CD.
Par contre XIII ne fonctionne pas (encore) sous WineX, mais je n'ai pas encore testé avec WineX 4.
Malheureusement je ne garde mon multiboot que parce que les jeux que j'aime n'existent pas où ne sont pas jouable sur console. J'ai essayé XIII sur GameCube mais je persite et signe : le RTS n'est pas fait être joué au pad. Civilization III : pas de version console, tout comme les jeux d'aventure (Runaway, Siberia pour ne citer que les derniers auxquel j'ai joué)
Mais as-tu lu ça ? Parce que je je viens de lire la licence, en diagonale certes, et je ne vois pas que où la resposabilité de l'auteur peut être engagée.
Au contraire le paragraphe 8.2 explique clairement que la responsabilité du Concédant [...] ne saurait être engagée en raison [...] des dommages directs ou indirects découlant de l'utilisation ou des performances du Logiciel.
Si je crypte mon disque dur ( avec un fs crypté ) , même ça ils peuvent le décrypter ?
A priori non, ce n'est pas possible quand l'algorithme est sûr (AES, 3DES...). Mais les protocoles de chiffrement peuvent avoir des failles : ils savent sans doute faire une attaque par dictionnaire, ou alors une recherche de traces (clé intermédiaires...) dans le swap.
Il y a quand même des contre-exemples: Torvals, Cox.....
Je ne pense pas, simplement dans le monde libre les individualités sont importantes contrairement au monde propriétaire où ce sont les entreprises qui font l'image de marque. A mon avis, des personnes aussi douée que Linus Torvald ou Alan Cox il en existe aussi chez Microsoft, Sun et IBM.
Si je suis par exemple embauché par Microsoft pour dévelloper WIndows et qu'au bout de deux mois ca commence à me saouler, je vais venir quand meme tous les matins pour le salaire mais je ne vais pas me faire chier à dévelloper proprements, sans bugs....
Et bien, désolé de te dire ça, mais je n'aimerai pas t'avoir comme collègue. Tu imagine un médecin dire ça : quand je suis démotivé bon je viens quand même soigner mes patients mais je ne vais pas me faire chier à vérifier s'ils ont des allergies aux médicaments. Moi aussi mon travail me saoule parfois mais ce n'est pas pour ça que je le fais moins bien.
Couler pour une boite qui gere les droits d'editions de Beatles releverait d'une mauvaise gestions.
Je pensais que c'était Michael Jackson qui possédait les droits sur les chansons des Beatles (du moins en bonne partie) et que Sony avait tout fait pour l'obliger à les lui vendre ?
Il y a plusieurs raisons :
- il est plus simple de distribuer des milliers (millions) de certificats X.509 et de gérer un hiérarchie de CA plutôt que créer un réseau de confiance GPG.
- Le support des certificats X.509 est inclus par défaut dans 99% des navigateurs web (et aussi dans la CryptoAPI de Windows).
Il y en a probablement d'autres mais à 23h30 je commence à fatiguer :-)
De toutes façon X.509 et GPG utilisent les même algo de crypto (RSA, DSS...), sont tous les deux basés sur des standards (PKIX, ISO...), ils n'ont tout simplement pas la même finalité.
Petite question (totalement HS, désolé de ne pas pouvoir aider) mais tu arrives à utiliser aMule sous Mdk 10 Offcielle ? Parce que chez moi avec la même distribution (à jour je précise) au bout de 15 secondes après avoir lancer le soft, ça segfault lamentablement.
Tu utilises le package rpm ou c'est du compilé maison ?
Surtout ne crois pas que je mette ta parole en doute mais c'est le donc de Donc... la clé privée est calculée par l'Autorité qui m'a fait réagir : il n'y a aucun lien du conséquence entre fournir des infos personnelles à l'autorité et que cette autorité génère elle-même la clé privée.
Il faut bien voir qu'il y a deux étapes lors de la récupération d'un certificat : l'enregistrement auprès d'une autorité d'enregistrement (la RA) et la récupération du certificat à proprement parlé.
L'enregistrement peut prendre plusieurs formes : un formulaire web par exemple ou alors un guichet. Lors de cet enregistrement tu donnes des informations personnelles et tu les prouves si nécessaire. En échange la RA te donne un moyen de t'authentifier à la CA quand tu vas aller récupérer ton certificat. Cet enregistrement est nécessaire pour 2 raisons :
- prouver que tu as bien le droit à un certificat
- "préremplir" certains champs du certificat, si tu prouve que tu es Jean Dupont, tu ne peux demander un certificat dont le subject est Jean Dupont.
La 2e partie concerne la requête elle-même telle que je l'ai décrite dans mon post précédent (génération des clés, requête...). En fait la requête ne contient pas nécessairement toutes tes infos personnelles car tu as pu les fournir lors de l'enregistrement. Cette demande est d'ailleurs être asynchrone, c'est à dire que le navigateur web (qui sert souvent d'interface avec la RA) envoie la requête fabriquée à grand coup de VBScript (IE pour discuter avec la CryptoAPI Windows) ou javascript(Netscape & Co pour discuter avec les modules PKCS#11) avec une récupération du certificat plus tard sous forme d'une URL reçue dans un mail envoyé par la RA.
Ca c'est, plus ou moins, le comportement normal d'une PKI. Il est possible de faire l'enregistrment sur une machine (voir sans machine du tout si on la fait "physiquement" à un guichet) puis de récupérer le certificat plus tard.
Après tout, si c'était à titre expérimental, il est toujours possible de faire générer les clés par l'autorité, même si ce n'est pas vraiment conseillé.
Donc... la clé privée est calculée par l'Autorité
Mais non, où tu as vu ça ?
Ce qui est fortement souhaitable, c'est qu'un individu puisse se présenter avec sa clé USB et sa carte d'identité à la Préfecture de Police, et qu'un Officer de Police signe sa clé (GPG) ou son certificat (X509).
Oui c'est ce qui se passe. Les clés (privée et publique) sont créées sur le poste local, par exemple dans la carte à puce, la partie privée de la paire de clés n'en sort jamais.
Ensuite la carte à puce fabrique une requête (souvent une requête PKCS#10) qu'elle va envoyer à l'autorité de certification (la CA). Cette requête contient ta clé publique, des informations te concernant (par exemple ton nom, ton adresse e-mail,... bref ce que tu trouves dans le champ subject d'un certificat) et des infos sur le certificat que tu demandes (les fameuses extensions des certificats X.509 v3 qui indiquent par exemple les usages possibles de la clé). Dans la requête on trouve aussi un moyen d'authentifier sa provenance pour que la CA soit sûre que la demande vient bien de toi ainsi qu'une Proof of Possession qui prouve que tu possèdes bien la clé privé associée à la clé publique pour laquelle du demande un certificat.
C'est à partir de cette requête que le certificat est frabiqué et signé par la CA qui ne connait jamais la clé privée.
En ce qui concerne les différences entre X.509 et GPG on peut dire que la structure hiérarchique de X.509 fonctionne bien dans le cas de grands déploiements mais demande une lourde architecture (déployer et gérer des CA, gérer les politiques de certifications...) alors que GPG est parfait pour les petites communautés mais il fonctionne moins bien pour des groupes plus larges.
Par exemple si je signe A, A signe B, B signe C, C signe D. Est-ce que je dois faire confiance à D ? C a signé D mais je ne connait pas C, je ne connais que A à qui je fais raisonnablement confiance. C a peut-être signé D un soir dans un bar après 3 bières.
En revanche GPG ne demande pas de grosse infrastructure.
Au temps pour moi, je n'avais pas fait attention, je pensais que tout était disponible. j'aurais du dire les chroniques du 7-9. Mais c'est assez fourbe dans la mesure où il y a deux entées dans le menu (Inter matin 7/9 et Les chroniques) qui mènent à la même page.
[^] # Re: merchi
Posté par jcs (site web personnel) . En réponse au journal Faille importante de sécurité dans Mozilla et Firefox. Évalué à 1.
[^] # Re: Login ?!? Bof Bof
Posté par jcs (site web personnel) . En réponse au journal Hors-Série Spécial Langage C. Évalué à 4.
Entre autre les légendes des photos tiennent plutot du mauvais jeu de mot qu'autre chose.
Ah, mais ça fait partie du mythe Login. Je n'est pas connu Dream, à l'époque où j'ai acheté Login il vennaient de changer de nom, mais je pense que la tradition des photos décalées vient de cette époque.
En fait s'il y a un public à qui est destiné Login, c'est celui des nouveaux venus dans le monde des systèmes alternatifs. Je me souviens encore de ma lecture des premiers LinuxMag, je ne comprenais pas grand chose, et pourtant j'utilisais déjà (un peu) Linux depuis quelques temps. Login m'avais alors paru plus facile d'accès.
[^] # Re: Bienfaisance
Posté par jcs (site web personnel) . En réponse au journal Microsoft et les gros sous. Évalué à 2.
[^] # Re: Bienfaisance
Posté par jcs (site web personnel) . En réponse au journal Microsoft et les gros sous. Évalué à 1.
Microsoft n'a pas imposé son monopole. Quand microsoft est arrivé sur le marché du PC à la fin des années 70 personne ne s'y intéressait. Le marché de l'ordinateur personnel était encore peu considéré et des entreprises comme IBM ne juraient que par les mainframes et les mini-ordinateurs. La manière dont il s'est assuré de conserver son monopole, en coulant OS/2 par exemple, est bien plus discutable.
[^] # Re: critique
Posté par jcs (site web personnel) . En réponse à la dépêche De l'interopérabilité : réalité, arlésienne ou bonne excuse ?. Évalué à 2.
Tout à fait d'accord. Si on veut de la DRM qui marche, il faudra changer/améliorer le matériel existant.
et se tourner vers la solution TCPA/Palladium/flicage à fond évoquée précédemment.
Là je ne suis pas d'accord. Pourquoi parler de protection de la vie privée quand on parle de partitions ou de mails chiffrés et de flicage quand il s'agit de musique ou de films.
[^] # Re: critique
Posté par jcs (site web personnel) . En réponse à la dépêche De l'interopérabilité : réalité, arlésienne ou bonne excuse ?. Évalué à 3.
- si on me vole mon DVD, comment interdire à un tiers de l'utiliser
- comment protéger la copie privée
Le jour où les logiciels libres implémenteront les DRM, ils pourront aussi les contourner.
Le jour où les logiciels libres implémenteront les DRM foireuse comme aujourd'hui, ils pourront aussi les contourner. Cependant OpenSSL possède une implémentation de RSA, ça ne me permet pas de le contourner et de forger de fausses signatures.
Pour le domaine public, il faudrait alors tout déposer sans DRM auprès de l'État. Il pourrait alors resortir les versions sans DRM au bout de 70 ans + vie de l'auteur (sympa le stockage).
Non, pourquoi déposer des versions sans DRM ? La DRM t'assure que 70 ans après la mort de l'auteur, l'accès aux contenus se fera selon les règles du domaine public.
La DRM n'est qu'un outil, elle peut être mal utilisée pour restreintre indument les droits des utilisateurs, ou au contraire pour les protéger.
[^] # Re: critique
Posté par jcs (site web personnel) . En réponse à la dépêche De l'interopérabilité : réalité, arlésienne ou bonne excuse ?. Évalué à 6.
- les DRM, le consommateur n'en veut pas
Ce que les consommateurs ne veulent pas c'est être génés dans l'utilisation des produits qu'ils ont acheté. Il ne veulent pas de la DRM telle qu'elle est proposée actuellement parce qu'elle est trop contraignante.
- les DRM ne marchent pas
Aujourd'hui elles ne marchent pas mais les technologies progressent.
- les DRM empêchent l'interopérabilité
- les DRM condamnent le logiciel libre à ne pas pouvoir lire les documents
Non, c'est l'abscence de standard qui empêche l'interopérabilité. Par conséquent quand des standards auront fait leur apparition, c'est-à-dire quand la DRM sera autre chose qu'une vaste blague, les logiciels libre pourront les implémenter.
- la technique ne peut remplacer un juge et décidé à sa place de ce qu'est l'usage privé
- les DRM menacent le domaine public
Oui la DRM est une tehnologie, ce n'est qu'un outil dans un cadre légal. Dans ce cas ce n'est pas la DRM qui menace le domaine public mais le legislateur.
[^] # Re: Le pire...
Posté par jcs (site web personnel) . En réponse à la dépêche De l'interopérabilité : réalité, arlésienne ou bonne excuse ?. Évalué à 3.
Oui mais ce ne serait pas une copie numérique, ce qui inquiète beaucoup c'est la copie sans perte.
De toutes façon les technologies DRM ne fonctionneront pas tant que les périphériques, en l'occurence dans le cas de la musique, la carte son, ne seront pas plus intelligents. Par exemple en ajoutant des fonctions de carte à puce aux cartes son, on peut imaginer de la musique uniquement lisible par une carte donnée.
On comprend alors mieux la petite phrase :
[^] # Re: decret d'application
Posté par jcs (site web personnel) . En réponse au journal CNIL out : c'est fait .... Évalué à 7.
[^] # Re: C'est un troll.
Posté par jcs (site web personnel) . En réponse à la dépêche Mono 1.0 sous le feu des projecteurs. Évalué à 10.
Non, je ne pense pas. Les afficionados sont bien conscients que Java s'il est omniprésent côté serveur, il est presque complètement abscent côté client. ll n'y a qu'à regarder les offres d'emplois pour s'en rendre compte : quand il est question de java c'est toujours Tomcat, EJB, Servlets et compagnie.
La raison de ce déséquilibre ? Même s'il existait des problèmes de performance au début, je pense qu'une grande partie en revient à Microsoft et ses facéties au sujet de la JVM qu'il distribuait, telles que les problèmes d'interopérabilité. Par contre sur d'autres terres vierges comme les téléphones portables, Java, côté client cette fois, se taille la part du lion, au point même d'en faire un argument commercial, les fameux jeux Java sur les derniers modèles.
[^] # Re: Gagne-les
Posté par jcs (site web personnel) . En réponse au journal Magazines d'informatique = trop cher. Évalué à 3.
Par contre c'est vrai que c'est cher. Par exemple aux Etats-Unis un abonnement d'un an (12 numéros) à Linux Journal coute 25$ soit à peine plus de 20 alors qu'en France un abonnement à LMF (11 numéros) c'est 53.
Non amis à l'étranger comme FRLinux, Erwan Loisant... pourraient nous donner des points de comparaison.
[^] # Re: J'ai glissé, chef...
Posté par jcs (site web personnel) . En réponse au journal Jean Lefèbvre nous a quitté.... Évalué à 3.
[^] # Re: J'ai comme un doute là
Posté par jcs (site web personnel) . En réponse au journal Merci Mandrake et a ceux du plf. Évalué à 2.
Quant à Civ3, et bien j'ai soutenu il y a quelques semaines sur LinuxFR (et je persite aujourd'hui) qu'il fonctionnait avec WineX 3.x et Mandrake 9.2 étant donné que j'y avais moi-même joué.
Cependant depuis je suis passé sous Mandrake 10.0 et WineX 4.0 ; maintenant l'installation plante : l'installeur recherche data3.cab qui n'existe pas. Il semble d'après les forums de Transgaming que ce soit un sorte de bug récurrent avec divers jeux mais je n'ai pas eu le temps d'investiguer davantage. Je vais peut-être essayer de monter en loopback une image iso du CD.
Par contre XIII ne fonctionne pas (encore) sous WineX, mais je n'ai pas encore testé avec WineX 4.
[^] # Re: J'ai comme un doute là
Posté par jcs (site web personnel) . En réponse au journal Merci Mandrake et a ceux du plf. Évalué à 2.
Malheureusement je ne garde mon multiboot que parce que les jeux que j'aime n'existent pas où ne sont pas jouable sur console. J'ai essayé XIII sur GameCube mais je persite et signe : le RTS n'est pas fait être joué au pad. Civilization III : pas de version console, tout comme les jeux d'aventure (Runaway, Siberia pour ne citer que les derniers auxquel j'ai joué)
[^] # Re: Pas du tout
Posté par jcs (site web personnel) . En réponse au journal Brevets logiciels: aidez Mandrakesoft à tenir son engagement !. Évalué à 4.
et oui :
un commencement est un moment d'une délicatesse extrême...
-- Frank Herbert - Dune
[^] # Re: Il y en as qui revent...
Posté par jcs (site web personnel) . En réponse au journal Nouvelle Licence Francaise compatible GPL. Évalué à 3.
Au contraire le paragraphe 8.2 explique clairement que la responsabilité du Concédant [...] ne saurait être engagée en raison [...] des dommages directs ou indirects découlant de l'utilisation ou des performances du Logiciel.
[^] # Re: Et les fs cryptés
Posté par jcs (site web personnel) . En réponse au journal TF1 montre linux. Évalué à 6.
A priori non, ce n'est pas possible quand l'algorithme est sûr (AES, 3DES...). Mais les protocoles de chiffrement peuvent avoir des failles : ils savent sans doute faire une attaque par dictionnaire, ou alors une recherche de traces (clé intermédiaires...) dans le swap.
[^] # Re: Les développeurs du libre sont-ils....... meilleurs que les développ
Posté par jcs (site web personnel) . En réponse au journal Les développeurs du libre sont-ils..... Évalué à 9.
Je ne pense pas, simplement dans le monde libre les individualités sont importantes contrairement au monde propriétaire où ce sont les entreprises qui font l'image de marque. A mon avis, des personnes aussi douée que Linus Torvald ou Alan Cox il en existe aussi chez Microsoft, Sun et IBM.
Si je suis par exemple embauché par Microsoft pour dévelloper WIndows et qu'au bout de deux mois ca commence à me saouler, je vais venir quand meme tous les matins pour le salaire mais je ne vais pas me faire chier à dévelloper proprements, sans bugs....
Et bien, désolé de te dire ça, mais je n'aimerai pas t'avoir comme collègue. Tu imagine un médecin dire ça : quand je suis démotivé bon je viens quand même soigner mes patients mais je ne vais pas me faire chier à vérifier s'ils ont des allergies aux médicaments. Moi aussi mon travail me saoule parfois mais ce n'est pas pour ça que je le fais moins bien.
[^] # Re: Qu'en pensent la SACEM et autres sociétés d'auteurs ?
Posté par jcs (site web personnel) . En réponse au journal Piratage organisé ?. Évalué à 2.
Je pensais que c'était Michael Jackson qui possédait les droits sur les chansons des Beatles (du moins en bonne partie) et que Sony avait tout fait pour l'obliger à les lui vendre ?
[^] # Re: gpg vs x509
Posté par jcs (site web personnel) . En réponse à la dépêche Signature de clés GPG jeudi 8 juillet. Évalué à 3.
- il est plus simple de distribuer des milliers (millions) de certificats X.509 et de gérer un hiérarchie de CA plutôt que créer un réseau de confiance GPG.
- Le support des certificats X.509 est inclus par défaut dans 99% des navigateurs web (et aussi dans la CryptoAPI de Windows).
Il y en a probablement d'autres mais à 23h30 je commence à fatiguer :-)
De toutes façon X.509 et GPG utilisent les même algo de crypto (RSA, DSS...), sont tous les deux basés sur des standards (PKIX, ISO...), ils n'ont tout simplement pas la même finalité.
[^] # Re: Petite précision
Posté par jcs (site web personnel) . En réponse au journal Question comparative Windows / Linux. Évalué à -2.
Tu utilises le package rpm ou c'est du compilé maison ?
[^] # Re: euh...
Posté par jcs (site web personnel) . En réponse à la dépêche Signature de clés GPG jeudi 8 juillet. Évalué à 2.
Il faut bien voir qu'il y a deux étapes lors de la récupération d'un certificat : l'enregistrement auprès d'une autorité d'enregistrement (la RA) et la récupération du certificat à proprement parlé.
L'enregistrement peut prendre plusieurs formes : un formulaire web par exemple ou alors un guichet. Lors de cet enregistrement tu donnes des informations personnelles et tu les prouves si nécessaire. En échange la RA te donne un moyen de t'authentifier à la CA quand tu vas aller récupérer ton certificat. Cet enregistrement est nécessaire pour 2 raisons :
- prouver que tu as bien le droit à un certificat
- "préremplir" certains champs du certificat, si tu prouve que tu es Jean Dupont, tu ne peux demander un certificat dont le subject est Jean Dupont.
La 2e partie concerne la requête elle-même telle que je l'ai décrite dans mon post précédent (génération des clés, requête...). En fait la requête ne contient pas nécessairement toutes tes infos personnelles car tu as pu les fournir lors de l'enregistrement. Cette demande est d'ailleurs être asynchrone, c'est à dire que le navigateur web (qui sert souvent d'interface avec la RA) envoie la requête fabriquée à grand coup de VBScript (IE pour discuter avec la CryptoAPI Windows) ou javascript(Netscape & Co pour discuter avec les modules PKCS#11) avec une récupération du certificat plus tard sous forme d'une URL reçue dans un mail envoyé par la RA.
Ca c'est, plus ou moins, le comportement normal d'une PKI. Il est possible de faire l'enregistrment sur une machine (voir sans machine du tout si on la fait "physiquement" à un guichet) puis de récupérer le certificat plus tard.
Après tout, si c'était à titre expérimental, il est toujours possible de faire générer les clés par l'autorité, même si ce n'est pas vraiment conseillé.
[^] # Re: euh...
Posté par jcs (site web personnel) . En réponse à la dépêche Signature de clés GPG jeudi 8 juillet. Évalué à 5.
Mais non, où tu as vu ça ?
Ce qui est fortement souhaitable, c'est qu'un individu puisse se présenter avec sa clé USB et sa carte d'identité à la Préfecture de Police, et qu'un Officer de Police signe sa clé (GPG) ou son certificat (X509).
Oui c'est ce qui se passe. Les clés (privée et publique) sont créées sur le poste local, par exemple dans la carte à puce, la partie privée de la paire de clés n'en sort jamais.
Ensuite la carte à puce fabrique une requête (souvent une requête PKCS#10) qu'elle va envoyer à l'autorité de certification (la CA). Cette requête contient ta clé publique, des informations te concernant (par exemple ton nom, ton adresse e-mail,... bref ce que tu trouves dans le champ subject d'un certificat) et des infos sur le certificat que tu demandes (les fameuses extensions des certificats X.509 v3 qui indiquent par exemple les usages possibles de la clé). Dans la requête on trouve aussi un moyen d'authentifier sa provenance pour que la CA soit sûre que la demande vient bien de toi ainsi qu'une Proof of Possession qui prouve que tu possèdes bien la clé privé associée à la clé publique pour laquelle du demande un certificat.
C'est à partir de cette requête que le certificat est frabiqué et signé par la CA qui ne connait jamais la clé privée.
En ce qui concerne les différences entre X.509 et GPG on peut dire que la structure hiérarchique de X.509 fonctionne bien dans le cas de grands déploiements mais demande une lourde architecture (déployer et gérer des CA, gérer les politiques de certifications...) alors que GPG est parfait pour les petites communautés mais il fonctionne moins bien pour des groupes plus larges.
Par exemple si je signe A, A signe B, B signe C, C signe D. Est-ce que je dois faire confiance à D ? C a signé D mais je ne connait pas C, je ne connais que A à qui je fais raisonnablement confiance. C a peut-être signé D un soir dans un bar après 3 bières.
En revanche GPG ne demande pas de grosse infrastructure.
[^] # Re: Le texte
Posté par jcs (site web personnel) . En réponse au journal France Inter ce matin - Jetez IE. Évalué à 2.
[^] # Re: Le texte
Posté par jcs (site web personnel) . En réponse au journal France Inter ce matin - Jetez IE. Évalué à 6.
Par contre le site est en flash alors qu'il aurait pu s'en passer et c'est du real audio à lire donc avec le lecteur idoine.