et celui-là : http://smarteiffel.loria.fr(...) (the GNU Eiffel Compilier)
J'aime beaucoup eiffel (c'est avec Eiffel que j'ai découvert les notions d'objets) même si je le trouve parfois un peu "verbeux". La syntaxe est déroutante pour les nouveaux venus, mais elle oblige à "penser objet".
En parlant de .NET, voici un article de Edd Dumbil publié chez O'Reilly : Will Mono Become the Preferred Platform for Linux Development? (http://www.onlamp.com/pub/a/onlamp/2004/03/11/mono.html(...)) où il est question du projet Mono, de l'IDE MonoDevelop, de l'avenir du développement sous Linux et des prochaines évolutions de GNOME.
Suite un changement de disque dur, j'ai décidé de remplacer ma 9.2 qui marchait bien par une 10.0 ; et bien désormais :
- mon appareil photo numérique (un bête usb-storage) n'est plus monté automagiquement sur le bureau (et j'ai des messages pas clairs dans le syslog)
- cdrecord refuse de graver quoi que ce soit : il ne trouve pas de /dev/sg* alors que mon graveur (IDE) est détecté sur 1,0,0 si je fais cdrecord -scanbus.
Bref le noyau 2.6 n'est pas drole même si je l'ai bien cherché en remplaçant quelque-chose qui tournait au poil. Ah là là, quand j'ai vu que le CD1 ne voulait pas booter, j'aurais du me méfier :o)
Sinon, j'ai joué les bons samaritains pendant presque 3 ans, je te promets que ça use
Je sais ce que c'est, l'été dernier je suis allé jusqu'au Pays-Bas pour dépanner ma soeur, j'en ai profité pour prendre quelques jours de vacances... en avance sur mon calendrier. Moi aussi j'en ai parfois marre de jouer à la hotline (Windows ou Linux d'ailleurs)
Si tes amis ne sont pas là quand tu as besoin d'aide, ne te rembourse pas quand tu leur avances du blé, je ne sais pas quoi dire : mauvais ami, changer ami. Si ça te bourre d'aller les dépanner, dis leur franchement ce que tu en as marre d'être la bonne poire de service. Certains partiront en claquant la porte... Et bien, ceux-là ne seront pas une grosse perte. Les autres s'excuseront vous pourrez repartir sur des bases plus saines.
Aussi je m'interrogeais sur le fait d'aller la dépanner moyennant contribution (au moins pour les frais de déplacement), et je voulais savoir combien vous lui demanderiez ?
Tu le dis toi même, ça s'est un peu calmé. En plus tu dis que c'est une amie que tu n'as pas vu depuis longtemps : donc tu vas faire ce que tout ami se doit de faire, tu vas aller rendre service au titre gracieux ; mince les amis sont fait pour ça après tout. Franchement, il ne me viendrait même pas à l'esprit de demander quoi que soit (bon à part un café ou un verre d'eau). Et puis un jour viendra où toi aussi tu auras besoin d'un coup de main - dans le genre déménagement de panio, tout seul c'est pas facile - tu seras bien content d'avoir quelqu'un près à venir t'aider "toutes affaires cessantes", pour rien, juste parce que tu le lui as demandé.
De mon côté, même si je trouve les jeux de LucasArt vraiment géniaux, je tiens à ajouter à la liste des must-play les 3 épisodes de Gabriel Knight de Sierra. En trois mots : richesse scénaristique, musiques exceptionnelles, histoires vraiment bien ficelé.
je comprends toujours pas comment des gens peuvent encore l'utiliser.
Mon non plus, je te l'avoue. Mais les gens ont peur devant leur ordinateur comme devant quelque chose qu'ils ne maitrisent pas. Quand ils connaissent un soft, il ne veulent pas en changer, ils savent quels effets auront leurs manipulations et donc se sentent en sécurité. Changer de logiciel, c'est perdre cette sécurité.
Et petit à petit les gens regarderez autour d'eux ce qu'il existe d'autre...
Le gens ne regardent pas autour d'eux parce que :
1 - ils ne savant pas comment fonctionne un ordinateur, ne savent pas à quoi sert l'OS, ni comment en changer. Pour faire une petite comparaison : tu sais changer un moteur de voiture (passer du diesel au GPL par exemple :o) ) ? Pas moi, et même avec une bonne doc trouvée sur le net. Le le ferais si j'ai l'aide d'un bon mécano (Guru) et encore mon moteur (OS) me convient, pourquoi le remplacer - enfin il y a toujours la possibilité d'un moteur hybride (Dual Boot) ;o)
2 - Windows est pré-installé sur l'immense majorité des PC vendus, la licence a été payée dans ce cas là.
Il ne faut pas se leurrer, il y a probablement beaucoup plus de Office piratés que de Windows piratés.
J'ai un peu l'impression que ça ressemble à une tentative bien malheureuse pour éviter d'avoir à télécharger cette bibliothèque de cryptographie à chaque fois qu'on relance l'applet (ou les applets en fait). J'aimerais bien savoir quelle est sa taille.
Le java est une bonne solution... quand c'est bien fait. Je ne critique pas la solution de la DGI, je ne l'ai pas utilisée. Par contre je peux vous assurer qu'il est possible de faire du java qui fonctionne sous toutes les versions (ou presque, il y a tellement de versions différentes, difficile de toutes les tester, surout les VM de microsoft qui sont nombreuses et ne sont plus diffusées), puisque dans le cadre de mon boulot je l'ai déjà fait.
D'ailleurs ce n'est pas une taxe anti-piratage mais bien une taxe sur les supports numériques servant à la copie privée. Elle ne compense pas le piratage mais le manque à gagner causé par la copie privée.
des articles qui nous ramènent 15 ans en arrière (les pointeurs en C, le lisp, les makefiles)
Ah, sujet récurrent ! Mais ce n'est pas parce que toi tu lis le GLMF depuis le numéro 1 et que tu maitrise C, lisp et make que c'est le cas de tous les lecteurs. Il en faut pour tous les goûts et pour tout les niveaux. Moi aussi tous les sujets ne me passionnent, soit parce que je n'ai pas l'utilité de ce qui est présenté, soit parce que je connais déjà bien le sujet. Mais il ne faut pas exagérer, le contenu est suffisamment varié d'un numéro à l'autre (SNMP, dev avec Mozilla, LVM pour ne citer que les dossiers des numéros que j'ai relu dernièrement), et même dans un même numéro, pour intéresser un maximum de gens.
des pages entières de code
La plupart du temps je trouve qu'il est utilisé à bon escient, mais de temps en temps, j'ai vraiment l'impression que c'est du remplissage de colonne.
Petite remarque sur le titre : la Cour de Cassation ne condamne pas, d'ailleurs elle ne juge pas l'affaire une trosième fois mais examine la forme du procès. Par conséquent, soit elle confirme une condamnation, soit elle casse le jugement de la Cour d'Appel, et dans ce cas renvoie l'affaire devant une autre Cour d'Appel.
C'était vrai avant mais aujourd'hui c'est tout à fait utilisable. Je connais bien le sujet, je développe des applications en java/swing toute la journée et ma machine n'est pas un foudre de guerre. Sur ce point, les dernières versions de la JVM, du compilateur JIT et de Java/Swing ont été grandement améliorées.
Bien sûr Java est plus lourd à utiliser : il faut installer un JRE, la JVM commence toujours pas allouer beaucoup de mémoire, et dans certains domaines, ça reste plus lent que le natif (il y a un niveau d'interprétation en plus, il y a des vérifications de type, d'accès mémoire : allez donc faire un buffer overflow en java :o) ). Mais pour de nombreuses applications, java est aujourd'hui une solution aussi crédible que le C ou le C++.
Enfin un troll intéressant. il y a une dimension stratégique complétement absente des échecs
Comment ? Qu'est-ce que j'entends ? Pas de stratégie dans les échecs ? Si je te dis : controle du centre, déploiement des pièces, attaques de 2 fous sur le roque... voilà des éléments de stratégie.
Un bon joueur d'échec est à la fois un bon stratège (la stratégie = gagner la partie, objectif à long terme) et bon tacticien (la tactique = gagner des avantages pour être mettre en oeuvre la stratégie, objectif à court et moyen terme). Mais chez les débutants, la stratégie est souvent balbutiante, ils jouent avec des morceaux de bois morts, sans réel plan d'ensemble, sans objectif. C'est pour ça que très souvent même avec le même matériel de chaque côté, le joueur expérimenté, avec son jeu plus construit, est mieux pendant la finale.
On peut considérer qu'écrire une ligne de code c'est produire de la richesse. Donc un fork, c'est une guerre civile, on divise le pays en deux. Maintenant, imagine qu'à chaque fois que tu "forkes" un projet, tu fais un rm -rf sur la moitier de ton CVS et tu donnes ce code au nouveau projet...
Ma copine-de-geek, ne voulant pas faire l'effort de comprendre les messages en anglais s'est contente de presser "Entree" a chaque question.
Voilà encore une preuve flagrante que l'informatique (pas Linux en particulier, mais l'informatique en général) n'est pas faite pour le grand public. Je crois de plus en plus que l'avenir de l'informatique grand public est aux Set-Top-Boxes, aux consoles de jeux, aux téléphones/PDA... Vous verrez, bientôt le simple fait d'avoir un ordinateur à la maison nous fera passer pour des marginaux ; ce qui ne nous changera pas ajouterons certains.
Je pense que tu peux signer les certificats d'autres personnes avec ton certificat validé par verisign
Oui et non. Techniquement si Verisign te signe une clé RSA, tu peux signer ce que tu veux avec, y compris des certificats. Donc tu peux avoir une chaine valide si tu te contentes de vérifier les signatures. Cependant, vérifier une chaine de certificats est un peu (beaucoup) plus complexe. On se contente pas de vérifier les signatures, il existe d'autres conditions, par exemple :
- si le certificat CA racine est v1 (version 1) alors la chaine est nécessairement de longueur 1 donc ton certificat est au bout de la chaine
- l'extension BasicConstraints indique si ta clé peut signer peut signer des clés (c'est un certificat CA) et la longueur maximale de la chaine qu'elle peut signer. Ton certificat peux avoir cette extension indiquant que ton certificat n'est pas un certificat de CA, ou alors le certificat root de Verisign peut indiquer une longueur max de 1. (par exemple, les certificats délivré par le service Thawte Freemail ont cette extension avec le flag CA à faux)
- l'extension KeyUsage indique les utilisations autorisées de ta clé (signature, chiffrement, signature de clé, signature de CRL...) et donc indiquer explicitement que ta clé n'est pas autorisée à signer d'autres clés.
Ces 2 dernières extensions sont critiques ce qui signifie que si un logicel ne sait pas les traiter, alors il doit refuser d'utiliser le certificat.
Il existe d'autres vérifications (mais je ne les ai pas en tête) avant de valider une chaine de certificats et les logiciels comme OpenSSL, ou les navigateurs web implémentent des versions plus ou moins complète de l'algorithme de validation (cf. RFC 3280). Donc il y a de fortes chances que, même si tu signes un certificat avec ta clé signé par Verisign, la chaine soit invalide.
Je suis presque sûr que Verisign inclus une de ces extensions (ou alors son certificat est v1) pour éviter que tu obtiennes une clé de CA pour quelques centaines d'euros.
Par ailleurs, si je veux garantir encore plus de sécurité, il me faut certifier ma clé publique avec un Certificate Agent (genre Verisign)
Plus de sécurité ? C'est très relatif. Verisign signe les clés en respectant une "politique de certification". C'est un document qui explique, entre autres, quelles sont les procédures préalables à la signature de ta clé (par exemple vérifier que tu possède bien de domaine que tu veux protéger avec ton certificat SSL). En clair Verisign apporte 2 choses :
- L'assurance que ton certificat a été émis selon certaines règles (la politique de certification). Mais quel utilisateur va aller les lire ?
- la résolution partielle du problème de distribution du certificat de CA (partiel car après tout, personne n'est obligé de faire confiance à Verisign)
Verisign va en fait authentifier ma clé publique grace à sa clé privée. L'utilisateur (qui fait confiance à Verisign, car la clé publique de Verisign est stockée dans son navigateur) saura donc que mon serveur web est bien à moi.
Non, il saura que Verisign a délivré un certificat pour le domaine toto.com selon les règles définies par la politique de certification.
Serait-il possible, dès lors, que moi aussi je certifie d'autre clés ? Et si oui, que doit faire le visiteur pour dire à son navigateur que "Lee Nux" est autentifié par Verisign et qu'il autentifie lui-même "Pierre Tramo" ?
Bref, est-ce que les navigateurs supportent l'autentification de manière récursive ? Et si oui, où peuvent-ils trouver les clés publiques qui ne sont pas livrées d'origine ?
Tu veux que Verisign te signe une clé de CA, pour que tu puisse signer toi même d'autres certificats.
La bonne nouvelle c'est que le navigateur reconstitue les chaines de certificats tout seul, c'est prévu dans les protocoles (l'algorithme de validation des chaines de certificat est dans la RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) s'il connait la "root CA" (dans ton exemple Verisign).
La mauvaise c'est que Verisign ne te vendra pas de clé de CA, pour plusieurs raisons. D'abord parce que c'est très cher, Verisign ne va pas te donner le bâton avec lequel les frapper, après tout avec ta CA tu peux très bien vendre des certificats SSL tout aussi valables que ceux de Verisign pour moins cher. Ensuite il faut une infrastructure : on ne garde pas une clé de CA sur un disque dur, même chiffré, il faut un module de sécurité hardware (plusieurs milliers d'euro au bas mot) et un lieu sécurisé, une PKI pour traiter les demandes de certification qui arrivent et signer les clés publiques... Et en plus il faut payer un audit de sécurité demandé par Verisign et un avaocat pour rédiger la politique de certificattion de ta CA.
Une clé de CA distribuée à n'importe qui, ça fait déordre, et la crédibilité en prend un coup. Quand on a compris que le business de Verisign (et des autres root CA) est surtout basé sur la confiance que les gens ont dans leur clé, et donc les clés qu'ils ont signée, on comprend pourquoi ils demandent de sérieuses garanties quand ils signent une clé de CA.
Thawte c'est Verisign, depuis 4 ans déjà. Mark Shuttleworth (http://www.markshuttleworth.com/(...)), le fondateur de Thawte (et accessoirement le premier africain dans l'espace) a vendu Thawte à Verisign en décembre 1999.
Moi j'amais bien le système d'XP et de notation et j'étais plutôt contre leur suppression. Comme beacoup (je n'ose pas dire tout le monde) je suis content quand on me note positivement et quand je gagne des XP. Mais depuis quelques temps j'hésite pas mal à poster des commentaires qui exposent une opinion qui ne va pas dans "le sens du vent" : je vais me faire moinsser, le commentaire va disparaître et finalement il sera peu lu. Donc pourquoi m'emmerder à écrire quelque chose de construit et d'argumenté ?
Virer les XP et les votes ? Je ne sais pas mais ce dont je suis sûr c'est qu'on coupera pas à une "réforme" du site.
Juste une question, certes un peu hors sujet. Y a-t-il un avantage à compiler dans le noyau ou plutôt en module ? Typiquement des modules comme USB, ext3... vont être chargés au boot et jamais déchargés (ben oui mes partitions sont en ext3 et le jour où j'aurais une imprimante, il y a de fortes chances qu'elle soit USB).
Ou encore que vaut-il mieux compiler dans le noyau/en module (et surtout pourquoi) ?
[^] # Re: On oublie toujours OCaml
Posté par jcs (site web personnel) . En réponse à la dépêche Havoc Pennington se pose des questions sur les langages du libre. Évalué à 3.
J'aime beaucoup eiffel (c'est avec Eiffel que j'ai découvert les notions d'objets) même si je le trouve parfois un peu "verbeux". La syntaxe est déroutante pour les nouveaux venus, mais elle oblige à "penser objet".
# Re: Havoc Pennington se pose des questions sur les langages du libre
Posté par jcs (site web personnel) . En réponse à la dépêche Havoc Pennington se pose des questions sur les langages du libre. Évalué à 2.
# Re: sondage
Posté par jcs (site web personnel) . En réponse au journal sondage. Évalué à 1.
ben... 8 ans de plus, ça fait 25 ans
une Slackware sur le CD de PCTeam
lycéen
ingénieur [informaticien]
[^] # Re: Test de la Mandrake 10.0 Community
Posté par jcs (site web personnel) . En réponse au journal Test de la Mandrake 10.0 Community. Évalué à 1.
# Re: Test de la Mandrake 10.0 Community
Posté par jcs (site web personnel) . En réponse au journal Test de la Mandrake 10.0 Community. Évalué à 1.
- mon appareil photo numérique (un bête usb-storage) n'est plus monté automagiquement sur le bureau (et j'ai des messages pas clairs dans le syslog)
- cdrecord refuse de graver quoi que ce soit : il ne trouve pas de /dev/sg* alors que mon graveur (IDE) est détecté sur 1,0,0 si je fais cdrecord -scanbus.
Bref le noyau 2.6 n'est pas drole même si je l'ai bien cherché en remplaçant quelque-chose qui tournait au poil. Ah là là, quand j'ai vu que le CD1 ne voulait pas booter, j'aurais du me méfier :o)
[^] # Re: Ca y est, ça recommence !
Posté par jcs (site web personnel) . En réponse au journal Ca y est, ça recommence !. Évalué à 2.
Je sais ce que c'est, l'été dernier je suis allé jusqu'au Pays-Bas pour dépanner ma soeur, j'en ai profité pour prendre quelques jours de vacances... en avance sur mon calendrier. Moi aussi j'en ai parfois marre de jouer à la hotline (Windows ou Linux d'ailleurs)
Si tes amis ne sont pas là quand tu as besoin d'aide, ne te rembourse pas quand tu leur avances du blé, je ne sais pas quoi dire : mauvais ami, changer ami. Si ça te bourre d'aller les dépanner, dis leur franchement ce que tu en as marre d'être la bonne poire de service. Certains partiront en claquant la porte... Et bien, ceux-là ne seront pas une grosse perte. Les autres s'excuseront vous pourrez repartir sur des bases plus saines.
# Re: Ca y est, ça recommence !
Posté par jcs (site web personnel) . En réponse au journal Ca y est, ça recommence !. Évalué à 2.
Tu le dis toi même, ça s'est un peu calmé. En plus tu dis que c'est une amie que tu n'as pas vu depuis longtemps : donc tu vas faire ce que tout ami se doit de faire, tu vas aller rendre service au titre gracieux ; mince les amis sont fait pour ça après tout. Franchement, il ne me viendrait même pas à l'esprit de demander quoi que soit (bon à part un café ou un verre d'eau). Et puis un jour viendra où toi aussi tu auras besoin d'un coup de main - dans le genre déménagement de panio, tout seul c'est pas facile - tu seras bien content d'avoir quelqu'un près à venir t'aider "toutes affaires cessantes", pour rien, juste parce que tu le lui as demandé.
[^] # Re: Full Throttle : jouer au coupe doigt avec Emmet ?
Posté par jcs (site web personnel) . En réponse au journal Full Throttle : jouer au coupe doigt avec Emmet ?. Évalué à 1.
# Re: Marre de MSIE
Posté par jcs (site web personnel) . En réponse au journal Marre de MSIE. Évalué à 0.
Mon non plus, je te l'avoue. Mais les gens ont peur devant leur ordinateur comme devant quelque chose qu'ils ne maitrisent pas. Quand ils connaissent un soft, il ne veulent pas en changer, ils savent quels effets auront leurs manipulations et donc se sentent en sécurité. Changer de logiciel, c'est perdre cette sécurité.
[^] # Re: Interview d'un cracker
Posté par jcs (site web personnel) . En réponse au journal Interview d'un cracker. Évalué à 2.
Le gens ne regardent pas autour d'eux parce que :
1 - ils ne savant pas comment fonctionne un ordinateur, ne savent pas à quoi sert l'OS, ni comment en changer. Pour faire une petite comparaison : tu sais changer un moteur de voiture (passer du diesel au GPL par exemple :o) ) ? Pas moi, et même avec une bonne doc trouvée sur le net. Le le ferais si j'ai l'aide d'un bon mécano (Guru) et encore mon moteur (OS) me convient, pourquoi le remplacer - enfin il y a toujours la possibilité d'un moteur hybride (Dual Boot) ;o)
2 - Windows est pré-installé sur l'immense majorité des PC vendus, la licence a été payée dans ce cas là.
Il ne faut pas se leurrer, il y a probablement beaucoup plus de Office piratés que de Windows piratés.
[^] # Re: Déclaration d'impôts
Posté par jcs (site web personnel) . En réponse au journal Déclaration d'impôts. Évalué à 1.
[^] # Re: Declaration d'impots en ligne ...
Posté par jcs (site web personnel) . En réponse au journal Declaration d'impots en ligne .... Évalué à 1.
[^] # Re: Apple & iPod détaxés
Posté par jcs (site web personnel) . En réponse au journal Apple versus Sacem. Évalué à 1.
[^] # Re: Revue de presse - Mars 2004
Posté par jcs (site web personnel) . En réponse à la dépêche Revue de presse - Mars 2004. Évalué à 1.
Ah, sujet récurrent ! Mais ce n'est pas parce que toi tu lis le GLMF depuis le numéro 1 et que tu maitrise C, lisp et make que c'est le cas de tous les lecteurs. Il en faut pour tous les goûts et pour tout les niveaux. Moi aussi tous les sujets ne me passionnent, soit parce que je n'ai pas l'utilité de ce qui est présenté, soit parce que je connais déjà bien le sujet. Mais il ne faut pas exagérer, le contenu est suffisamment varié d'un numéro à l'autre (SNMP, dev avec Mozilla, LVM pour ne citer que les dossiers des numéros que j'ai relu dernièrement), et même dans un même numéro, pour intéresser un maximum de gens.
des pages entières de code
La plupart du temps je trouve qu'il est utilisé à bon escient, mais de temps en temps, j'ai vraiment l'impression que c'est du remplissage de colonne.
# Re: AOL condamné en cassation
Posté par jcs (site web personnel) . En réponse au journal AOL condamné en cassation. Évalué à 1.
[^] # Re: Un éditeur de texte pratique, léger...
Posté par jcs (site web personnel) . En réponse au journal Un éditeur de texte pratique, léger.... Évalué à 2.
Bien sûr Java est plus lourd à utiliser : il faut installer un JRE, la JVM commence toujours pas allouer beaucoup de mémoire, et dans certains domaines, ça reste plus lent que le natif (il y a un niveau d'interprétation en plus, il y a des vérifications de type, d'accès mémoire : allez donc faire un buffer overflow en java :o) ). Mais pour de nombreuses applications, java est aujourd'hui une solution aussi crédible que le C ou le C++.
# Re: Un éditeur de texte pratique, léger...
Posté par jcs (site web personnel) . En réponse au journal Un éditeur de texte pratique, léger.... Évalué à 1.
[^] # Re: Jeu de Shogi sous Linux
Posté par jcs (site web personnel) . En réponse au journal Jeu de Shogi sous Linux. Évalué à 1.
il y a une dimension stratégique complétement absente des échecs
Comment ? Qu'est-ce que j'entends ? Pas de stratégie dans les échecs ? Si je te dis : controle du centre, déploiement des pièces, attaques de 2 fous sur le roque... voilà des éléments de stratégie.
Un bon joueur d'échec est à la fois un bon stratège (la stratégie = gagner la partie, objectif à long terme) et bon tacticien (la tactique = gagner des avantages pour être mettre en oeuvre la stratégie, objectif à court et moyen terme). Mais chez les débutants, la stratégie est souvent balbutiante, ils jouent avec des morceaux de bois morts, sans réel plan d'ensemble, sans objectif. C'est pour ça que très souvent même avec le même matériel de chaque côté, le joueur expérimenté, avec son jeu plus construit, est mieux pendant la finale.
[^] # Re: imaginez ....
Posté par jcs (site web personnel) . En réponse au journal imaginez ..... Évalué à 2.
# Re: AU SECOUR : resurrection de partition ext2
Posté par jcs (site web personnel) . En réponse au journal AU SECOUR : resurrection de partition ext2. Évalué à 4.
Voilà encore une preuve flagrante que l'informatique (pas Linux en particulier, mais l'informatique en général) n'est pas faite pour le grand public. Je crois de plus en plus que l'avenir de l'informatique grand public est aux Set-Top-Boxes, aux consoles de jeux, aux téléphones/PDA... Vous verrez, bientôt le simple fait d'avoir un ordinateur à la maison nous fera passer pour des marginaux ; ce qui ne nous changera pas ajouterons certains.
[^] # Re: Certificats X.509
Posté par jcs (site web personnel) . En réponse au journal Certificats X.509. Évalué à 5.
Oui et non. Techniquement si Verisign te signe une clé RSA, tu peux signer ce que tu veux avec, y compris des certificats. Donc tu peux avoir une chaine valide si tu te contentes de vérifier les signatures. Cependant, vérifier une chaine de certificats est un peu (beaucoup) plus complexe. On se contente pas de vérifier les signatures, il existe d'autres conditions, par exemple :
- si le certificat CA racine est v1 (version 1) alors la chaine est nécessairement de longueur 1 donc ton certificat est au bout de la chaine
- l'extension BasicConstraints indique si ta clé peut signer peut signer des clés (c'est un certificat CA) et la longueur maximale de la chaine qu'elle peut signer. Ton certificat peux avoir cette extension indiquant que ton certificat n'est pas un certificat de CA, ou alors le certificat root de Verisign peut indiquer une longueur max de 1. (par exemple, les certificats délivré par le service Thawte Freemail ont cette extension avec le flag CA à faux)
- l'extension KeyUsage indique les utilisations autorisées de ta clé (signature, chiffrement, signature de clé, signature de CRL...) et donc indiquer explicitement que ta clé n'est pas autorisée à signer d'autres clés.
Ces 2 dernières extensions sont critiques ce qui signifie que si un logicel ne sait pas les traiter, alors il doit refuser d'utiliser le certificat.
Il existe d'autres vérifications (mais je ne les ai pas en tête) avant de valider une chaine de certificats et les logiciels comme OpenSSL, ou les navigateurs web implémentent des versions plus ou moins complète de l'algorithme de validation (cf. RFC 3280). Donc il y a de fortes chances que, même si tu signes un certificat avec ta clé signé par Verisign, la chaine soit invalide.
Je suis presque sûr que Verisign inclus une de ces extensions (ou alors son certificat est v1) pour éviter que tu obtiennes une clé de CA pour quelques centaines d'euros.
# Re: Certificats X.509
Posté par jcs (site web personnel) . En réponse au journal Certificats X.509. Évalué à 4.
Plus de sécurité ? C'est très relatif. Verisign signe les clés en respectant une "politique de certification". C'est un document qui explique, entre autres, quelles sont les procédures préalables à la signature de ta clé (par exemple vérifier que tu possède bien de domaine que tu veux protéger avec ton certificat SSL). En clair Verisign apporte 2 choses :
- L'assurance que ton certificat a été émis selon certaines règles (la politique de certification). Mais quel utilisateur va aller les lire ?
- la résolution partielle du problème de distribution du certificat de CA (partiel car après tout, personne n'est obligé de faire confiance à Verisign)
Verisign va en fait authentifier ma clé publique grace à sa clé privée. L'utilisateur (qui fait confiance à Verisign, car la clé publique de Verisign est stockée dans son navigateur) saura donc que mon serveur web est bien à moi.
Non, il saura que Verisign a délivré un certificat pour le domaine toto.com selon les règles définies par la politique de certification.
Serait-il possible, dès lors, que moi aussi je certifie d'autre clés ? Et si oui, que doit faire le visiteur pour dire à son navigateur que "Lee Nux" est autentifié par Verisign et qu'il autentifie lui-même "Pierre Tramo" ?
Bref, est-ce que les navigateurs supportent l'autentification de manière récursive ? Et si oui, où peuvent-ils trouver les clés publiques qui ne sont pas livrées d'origine ?
Tu veux que Verisign te signe une clé de CA, pour que tu puisse signer toi même d'autres certificats.
La bonne nouvelle c'est que le navigateur reconstitue les chaines de certificats tout seul, c'est prévu dans les protocoles (l'algorithme de validation des chaines de certificat est dans la RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) s'il connait la "root CA" (dans ton exemple Verisign).
La mauvaise c'est que Verisign ne te vendra pas de clé de CA, pour plusieurs raisons. D'abord parce que c'est très cher, Verisign ne va pas te donner le bâton avec lequel les frapper, après tout avec ta CA tu peux très bien vendre des certificats SSL tout aussi valables que ceux de Verisign pour moins cher. Ensuite il faut une infrastructure : on ne garde pas une clé de CA sur un disque dur, même chiffré, il faut un module de sécurité hardware (plusieurs milliers d'euro au bas mot) et un lieu sécurisé, une PKI pour traiter les demandes de certification qui arrivent et signer les clés publiques... Et en plus il faut payer un audit de sécurité demandé par Verisign et un avaocat pour rédiger la politique de certificattion de ta CA.
Une clé de CA distribuée à n'importe qui, ça fait déordre, et la crédibilité en prend un coup. Quand on a compris que le business de Verisign (et des autres root CA) est surtout basé sur la confiance que les gens ont dans leur clé, et donc les clés qu'ils ont signée, on comprend pourquoi ils demandent de sérieuses garanties quand ils signent une clé de CA.
[^] # Re: Certificats X.509
Posté par jcs (site web personnel) . En réponse au journal Certificats X.509. Évalué à 7.
[^] # Re: pensée unique et linuxfr
Posté par jcs (site web personnel) . En réponse au journal pensée unique et linuxfr. Évalué à 3.
Virer les XP et les votes ? Je ne sais pas mais ce dont je suis sûr c'est qu'on coupera pas à une "réforme" du site.
# Re: Emul-SCSI or not ?
Posté par jcs (site web personnel) . En réponse au journal Emul-SCSI or not ?. Évalué à 1.
Ou encore que vaut-il mieux compiler dans le noyau/en module (et surtout pourquoi) ?