La question est : est-ce que Mozilla fait aujourd'hui partie des gens qui protègent les libertés, ou partie des gens contre qui il faut se battre pour garder des libertés?
Je ne suis peut-être qu'un grand naïf, mais à mon avis l'absence de possibilité de désactivation de la fonction en question est une erreur, qui va rapidement être corrigée.
Euh… Tous les postes Linux au boulot sont chiffrés, ainsi que tous nos laptops et clés. Ça représente une quinzaine de machines, qui n'ont jamais été corrompues sur plusieurs années d'utilisation.
Donc non, pour moi dm-crypt est extrêmement fiable.
Par contre une clé sur laquelle il peut facilement y avoir le stockage d'une partie de mes emails, une clé ssh, ou une synchronisation Firefox, autant d'éléments non pris en charge par un chiffrement manuel, moi ça me fait peur.
Ou alors faut avertir l'utilisateur dès le début des risques de la solution, non ?
Maintenant si le projet a vocation à rester une demo technique et non faite pour un usage quotidien, pourquoi pas.
Pour le coup, je t'invite vraiment à essayer d'activer dm-crypt (via cryptsetup) sur tes clés. Pour l'utiliser au quotidien, je ne constate pas de dégradation sensible de performance.
De plus les clés USB sont quand même vachement plus propices à être perdues / volées qu'un PC classique, donc le besoin de chiffrement me semble très important.
Pour ma part j'utilise une Debian installée sur une clé USB, que j'ai toujours sur moi. Étant donc déjà utilisateur de ce type de produit, comment se démarque le votre ?
Malheureusement, j'aurais tendance à confirmer : je n'arrive pas à retrouver la source, mais on m'avait expliqué (il y a près de 10 ans) qu'une des sources d'acquisition de données de Médiamétrie c'était la fourniture d'un antivirus gratuit. Antivirus ciblant évidemment Windows uniquement (et même si une version Linux existait, je ne suis pas certains que beaucoup de Linuxiens accepteraient d'installer ce type de sonde/spyware).
Bref, oui Médiamétrie extrapole depuis des données «biaisées», mais naïvement j'ose espérer qu'ils essayent d'en tenir compte malgré tout.
Pour ma part j'utilise needrestart, qui repère une grande partie des démons à relancer.
Je ne sais pas comment c'est géré niveau système derrière, mais en tous cas après redémarrage les démons en question ne sont plus identifiés par needrestart comme exploitant une vieille version de la libc.
D'ailleurs, avec SSH, le seul moyen d'éviter ça c'est de publier les enregistrements SSHFP sur des DNS en DNSSEC, que le client ait activé VerifyHostKeyDNS (et n'utilise pas Debian Wheezy qui ne gère pas les SSHFP pour clés ECDSA), ou bien y a une autre astuce ?
Et en substance, c'est quoi qui est reproché en terme de sécurité à PureFTPd ? Parce qu'autant j'essaye au maximum de ne pas avoir recours au FTP, autant je n'ai jamais rien eu à reprocher à PureFTPd, et chez Debian je ne vois qu'un seul correctif de faille en 12 ans.
Le module-kernel au équivalent dans ton «routeur NAT» préféré fonctionne en espionnant/analysant le protocole FTP, chose impossible dès lors que le chiffrement est actif (FTPS).
Si quelqu'un s'heurte au message «mod_s2s: Forbidding insecure connection to/from jabber.org» tout comme moi depuis des semaines, et bien en mettant à jour le paquet «lua-sec» comme indiqué ci-dessus, le problème est corrigé.
À moins que je confonde avec une autre fonctionnalité, c'est le cas depuis longtemps, mais pas actif par défaut sous Linux : suffit de décocher «Barre de menus» dans «Affichage → Barre d'outils».
J'essaye de cloisonner un peu les infos en fait :
- tous les trucs avec beaucoup de «tracking utilisateur» tels que Facebook et Twitter, je n'y accède que via le mode «privé» du navigateur. Je me dis que j'évite ainsi une partie du flicage.
- les sites sensibles, type compte en banque, je n'y accède également que via le mode «privé» et à condition qu'aucune fenêtre facebook/twitter/etc ne soit ouverte dans ce mode. Je me dis que je limite les risques de XSS ou autres problèmes de sécurité.
Il m'arrive également utiliser les «webs applications» de GNOME pour ces mêmes raisons.
À ma connaissance la version Debian stable d'Apache est incapable de taper sur un PHP-FPM, à moins de sortir les paquets «non-free». En effet «mod-fastcgi» le gère, mais pas «mod-fcgi».
En «vraiment libre et maintenu», la solution serait du coté du «mod-proxy-fcgi», à partir d'Apache 2.4, et qu'on retrouvera par exemple dans la prochaine Debian.
Bref, Debian Wheezy (main) + Apache + démon fastCGI externe c'est actuellement compliqué. Maintenant est-ce la faute d'Apache ou de Debian ? :D
En tous cas je suis bien content de voir OverlayFS intégré au noyau. Pour rappel, c'est le principe utilisé par des systèmes comme les Debian Live (via AuFS), et qui permet dans leur cas d'avoir un système «Live» modifiable à chaud et non persistant.
Le fait de devoir jusque là utiliser un noyau modifié a toujours été un frein pour moi. Là je vais pouvoir réfléchir à un déploiement chez moi (par exemple utilisé comme système de secours, un «rescue system», sur mon infra virtualisée).
Par contre, ça veut dire qu'il y avait en piste au moins «UnionFS», «AuFS» et «OverlayFS» pour l'intégration au noyau. J'en déduis que seul «OverlayFS» a eu le courage de faire les modifications exigées par les mainteneurs ?
Le composant Rados chargé de la gestion des périphériques en mode bloc dans le projet Ceph gère désormais les requêtes discard. Pour rappel, ces requêtes permettent d'augmenter les performances et la durée de vie des disques SSD (TRIM).
Alors, dans le cas de Ceph, l'utilisation du discard n'est pas vraiment lié aux SSD : RBD (Rados Block Device) est un stockage avec «allocation fine et dynamique» (thin provisioning), et le discard permet donc ici de libérer l'espace précédemment réservé.
Je prends pour exemple un cluster Ceph tout neuf. Je crée une «image» de 10G pour une VM, j'y fais divers tests, dont un bench d'écriture sur un fichier de 2Go.
Au niveau de Ceph, il va donc m'indiquer que 2Go (au moins) sont utilisés.
Si j'efface mon fichier de test de 2Go, l'espace alloué à la VM sera toujours de 2Go, tant qu'une instruction «discard» de nettoyage n'aura pas été émise par la dite VM.
Bref, le support du discard au niveau de la version Kernel du client RBD est plutôt bienvenu, pas pour les SSD, mais surtout pour mieux gérer l'allocation de l'espace.
Les pages sont bien en UTF-8, sans encodage des entities, merci.
La problématique ici c'est clairement la saisie, ainsi que la lecture. Le «rédacteur» depuis son poste Windows va avoir un mal fou à gérer ça correctement, tu ne penses pas ?
En l'état on tente des remplacements automatiques coté code, mais dans le code également, ça ne saute pas particulièrement aux yeux ce type de caractère.
Pendant qu'on y est niveau pinaillage, mon chef nous avait demandé des Thin spaces ou «espaces maigres» comme il disait, qui seraient sensées être utilisées avant ces fameux ":".
Le hic c'est que par défaut la «thin space» ( en HTML) est sécable, ce qui fout la grouille. Du coup grâce à Wikipedia je viens de découvrir qu'il y avait une version insécable, mais sans entité HTML correspondante.
Mais donc sur du web ça me semble peu pratique à utiliser :/
Même constat qu'Ely, et je ne suis pas en mode zoom. La différence de qualité me semble flagrante sur ton exemple.
J'ai testé sur deux écrans différents pour en avoir le coeur net - un 27" en 2560x1440, ainsi qu'en 13" en 2560x1440 avec layout.css.devPixelsPerPx=2 (ou mode «retina») - et c'est bien visible. Bon je te l'accorde le mode «retina» peut être considéré comme un zoom ;)
[^] # Re: choisir une bonne distribution ?
Posté par Kioob (site web personnel) . En réponse au journal Mozilla est-il en train de devenir un Google junior?. Évalué à 2.
Je ne suis peut-être qu'un grand naïf, mais à mon avis l'absence de possibilité de désactivation de la fonction en question est une erreur, qui va rapidement être corrigée.
alf.life
[^] # Re: Espérance de vie de la clé ?
Posté par Kioob (site web personnel) . En réponse à la dépêche Le projet Libre OS USB a besoin de vous. Évalué à 5. Dernière modification le 11 février 2015 à 18:56.
Euh… Tous les postes Linux au boulot sont chiffrés, ainsi que tous nos laptops et clés. Ça représente une quinzaine de machines, qui n'ont jamais été corrompues sur plusieurs années d'utilisation.
Donc non, pour moi dm-crypt est extrêmement fiable.
Par contre une clé sur laquelle il peut facilement y avoir le stockage d'une partie de mes emails, une clé ssh, ou une synchronisation Firefox, autant d'éléments non pris en charge par un chiffrement manuel, moi ça me fait peur.
Ou alors faut avertir l'utilisateur dès le début des risques de la solution, non ?
Maintenant si le projet a vocation à rester une demo technique et non faite pour un usage quotidien, pourquoi pas.
alf.life
[^] # Re: Espérance de vie de la clé ?
Posté par Kioob (site web personnel) . En réponse à la dépêche Le projet Libre OS USB a besoin de vous. Évalué à 2.
Pour le coup, je t'invite vraiment à essayer d'activer dm-crypt (via cryptsetup) sur tes clés. Pour l'utiliser au quotidien, je ne constate pas de dégradation sensible de performance.
De plus les clés USB sont quand même vachement plus propices à être perdues / volées qu'un PC classique, donc le besoin de chiffrement me semble très important.
alf.life
[^] # Re: Espérance de vie de la clé ?
Posté par Kioob (site web personnel) . En réponse à la dépêche Le projet Libre OS USB a besoin de vous. Évalué à 1.
Même chose pour moi : depuis que j'utilise des clés «haut de gamme» (par exemple les SanDisk de la gamme "Extreme"), je n'ai plus ce problème d'usure.
alf.life
[^] # Re: Pas libre
Posté par Kioob (site web personnel) . En réponse à la dépêche Le projet Libre OS USB a besoin de vous. Évalué à 4.
Pour ma part j'utilise une Debian installée sur une clé USB, que j'ai toujours sur moi. Étant donc déjà utilisateur de ce type de produit, comment se démarque le votre ?
alf.life
# Autres méthodes d'acquisition
Posté par Kioob (site web personnel) . En réponse au journal Sous représentation de Linux dans les études médiamétrie ?. Évalué à 8.
Malheureusement, j'aurais tendance à confirmer : je n'arrive pas à retrouver la source, mais on m'avait expliqué (il y a près de 10 ans) qu'une des sources d'acquisition de données de Médiamétrie c'était la fourniture d'un antivirus gratuit. Antivirus ciblant évidemment Windows uniquement (et même si une version Linux existait, je ne suis pas certains que beaucoup de Linuxiens accepteraient d'installer ce type de sonde/spyware).
Bref, oui Médiamétrie extrapole depuis des données «biaisées», mais naïvement j'ose espérer qu'ils essayent d'en tenir compte malgré tout.
alf.life
[^] # Re: En parlant de faille concernant une bibliothèque partagée...
Posté par Kioob (site web personnel) . En réponse au journal Faille de sécurité glibc. Évalué à 2.
Pour ma part j'utilise needrestart, qui repère une grande partie des démons à relancer.
Je ne sais pas comment c'est géré niveau système derrière, mais en tous cas après redémarrage les démons en question ne sont plus identifiés par needrestart comme exploitant une vieille version de la libc.
alf.life
[^] # Re: Question rapide
Posté par Kioob (site web personnel) . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 2.
D'ailleurs, avec SSH, le seul moyen d'éviter ça c'est de publier les enregistrements SSHFP sur des DNS en DNSSEC, que le client ait activé VerifyHostKeyDNS (et n'utilise pas Debian Wheezy qui ne gère pas les SSHFP pour clés ECDSA), ou bien y a une autre astuce ?
alf.life
# Pure-FTPd & la sécurité
Posté par Kioob (site web personnel) . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 3. Dernière modification le 28 janvier 2015 à 20:39.
Et en substance, c'est quoi qui est reproché en terme de sécurité à PureFTPd ? Parce qu'autant j'essaye au maximum de ne pas avoir recours au FTP, autant je n'ai jamais rien eu à reprocher à PureFTPd, et chez Debian je ne vois qu'un seul correctif de faille en 12 ans.
alf.life
[^] # Re: Question rapide
Posté par Kioob (site web personnel) . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 4.
Le module-kernel au équivalent dans ton «routeur NAT» préféré fonctionne en espionnant/analysant le protocole FTP, chose impossible dès lors que le chiffrement est actif (FTPS).
alf.life
# mod_s2s: Forbidding insecure connection to/from jabber.org
Posté par Kioob (site web personnel) . En réponse à la dépêche Mettre en place un serveur Jabber avec du TLS et du Forward Secrecy. Évalué à 4.
Si quelqu'un s'heurte au message «mod_s2s: Forbidding insecure connection to/from jabber.org» tout comme moi depuis des semaines, et bien en mettant à jour le paquet «lua-sec» comme indiqué ci-dessus, le problème est corrigé.
Bref, merci beaucoup !
alf.life
[^] # Re: Barre de titre
Posté par Kioob (site web personnel) . En réponse à la dépêche Firefox 35 heures. Évalué à 0.
À moins que je confonde avec une autre fonctionnalité, c'est le cas depuis longtemps, mais pas actif par défaut sous Linux : suffit de décocher «Barre de menus» dans «Affichage → Barre d'outils».
alf.life
# pour cloisonner les sites sensibles
Posté par Kioob (site web personnel) . En réponse au sondage La navigation privée du navigateur me sert surtout :. Évalué à 4.
J'essaye de cloisonner un peu les infos en fait :
- tous les trucs avec beaucoup de «tracking utilisateur» tels que Facebook et Twitter, je n'y accède que via le mode «privé» du navigateur. Je me dis que j'évite ainsi une partie du flicage.
- les sites sensibles, type compte en banque, je n'y accède également que via le mode «privé» et à condition qu'aucune fenêtre facebook/twitter/etc ne soit ouverte dans ce mode. Je me dis que je limite les risques de XSS ou autres problèmes de sécurité.
Il m'arrive également utiliser les «webs applications» de GNOME pour ces mêmes raisons.
alf.life
[^] # Re: Ceph & discard
Posté par Kioob (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 3.18. Évalué à 2. Dernière modification le 19 décembre 2014 à 13:46.
Je jetterai un oeil la prochaine fois, mais je suis loin de suivre tous les FS, ni comprendre les tenants et aboutissants de tout ce qui est modifié.
alf.life
[^] # Re: Nginx
Posté par Kioob (site web personnel) . En réponse au journal Microsoft IIS ne dépasse pas Apache et il est encore en train de se prendre une taule. Évalué à 1.
À ma connaissance la version Debian stable d'Apache est incapable de taper sur un PHP-FPM, à moins de sortir les paquets «non-free». En effet «mod-fastcgi» le gère, mais pas «mod-fcgi».
En «vraiment libre et maintenu», la solution serait du coté du «mod-proxy-fcgi», à partir d'Apache 2.4, et qu'on retrouvera par exemple dans la prochaine Debian.
Bref, Debian Wheezy (main) + Apache + démon fastCGI externe c'est actuellement compliqué. Maintenant est-ce la faute d'Apache ou de Debian ? :D
alf.life
# OverlayFS intégré
Posté par Kioob (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 3.18. Évalué à 9.
En tous cas je suis bien content de voir OverlayFS intégré au noyau. Pour rappel, c'est le principe utilisé par des systèmes comme les Debian Live (via AuFS), et qui permet dans leur cas d'avoir un système «Live» modifiable à chaud et non persistant.
Le fait de devoir jusque là utiliser un noyau modifié a toujours été un frein pour moi. Là je vais pouvoir réfléchir à un déploiement chez moi (par exemple utilisé comme système de secours, un «rescue system», sur mon infra virtualisée).
Par contre, ça veut dire qu'il y avait en piste au moins «UnionFS», «AuFS» et «OverlayFS» pour l'intégration au noyau. J'en déduis que seul «OverlayFS» a eu le courage de faire les modifications exigées par les mainteneurs ?
alf.life
# Ceph & discard
Posté par Kioob (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 3.18. Évalué à 8. Dernière modification le 17 décembre 2014 à 13:39.
Alors, dans le cas de Ceph, l'utilisation du discard n'est pas vraiment lié aux SSD : RBD (Rados Block Device) est un stockage avec «allocation fine et dynamique» (thin provisioning), et le discard permet donc ici de libérer l'espace précédemment réservé.
Je prends pour exemple un cluster Ceph tout neuf. Je crée une «image» de 10G pour une VM, j'y fais divers tests, dont un bench d'écriture sur un fichier de 2Go.
Au niveau de Ceph, il va donc m'indiquer que 2Go (au moins) sont utilisés.
Si j'efface mon fichier de test de 2Go, l'espace alloué à la VM sera toujours de 2Go, tant qu'une instruction «discard» de nettoyage n'aura pas été émise par la dite VM.
Bref, le support du discard au niveau de la version Kernel du client RBD est plutôt bienvenu, pas pour les SSD, mais surtout pour mieux gérer l'allocation de l'espace.
alf.life
[^] # Re: Choix du nom
Posté par Kioob (site web personnel) . En réponse au journal Site à la Hacker News pour la communauté française : Journal Du Pirate. Évalué à 7.
Tristan Nitot utilise «bidouilleur» comme traduction, qui malgré le coté légèrement péjoratif me semble plus adaptée, non ?
alf.life
[^] # Re: Aucune chance de percer
Posté par Kioob (site web personnel) . En réponse au journal Nouveau format d'image BPG. Évalué à 3.
Idem avec le GIF d'ailleurs, même si un peu plus vieux.
alf.life
[^] # Re: Espace insécable !
Posté par Kioob (site web personnel) . En réponse à la dépêche Firefox 34, ce Hérault. Évalué à 1.
Les pages sont bien en UTF-8, sans encodage des entities, merci.
La problématique ici c'est clairement la saisie, ainsi que la lecture. Le «rédacteur» depuis son poste Windows va avoir un mal fou à gérer ça correctement, tu ne penses pas ?
En l'état on tente des remplacements automatiques coté code, mais dans le code également, ça ne saute pas particulièrement aux yeux ce type de caractère.
alf.life
[^] # Re: Espace insécable !
Posté par Kioob (site web personnel) . En réponse à la dépêche Firefox 34, ce Hérault. Évalué à 2.
Pendant qu'on y est niveau pinaillage, mon chef nous avait demandé des Thin spaces ou «espaces maigres» comme il disait, qui seraient sensées être utilisées avant ces fameux ":".
Le hic c'est que par défaut la «thin space» ( en HTML) est sécable, ce qui fout la grouille. Du coup grâce à Wikipedia je viens de découvrir qu'il y avait une version insécable, mais sans entité HTML correspondante.
Mais donc sur du web ça me semble peu pratique à utiliser :/
alf.life
[^] # Re: Un test en condition réelle
Posté par Kioob (site web personnel) . En réponse au journal Nouveau format d'image BPG. Évalué à 8.
Même constat qu'Ely, et je ne suis pas en mode zoom. La différence de qualité me semble flagrante sur ton exemple.
J'ai testé sur deux écrans différents pour en avoir le coeur net - un 27" en 2560x1440, ainsi qu'en 13" en 2560x1440 avec layout.css.devPixelsPerPx=2 (ou mode «retina») - et c'est bien visible. Bon je te l'accorde le mode «retina» peut être considéré comme un zoom ;)
alf.life
[^] # Re: Firefox perd du terrain...
Posté par Kioob (site web personnel) . En réponse à la dépêche Firefox 34, ce Hérault. Évalué à 6.
En fait ça marche très bien sous Linux aussi (testé avec Iceweasel 33 et 34).
Peux-tu en dire plus sur le problème que tu rencontrais ?
alf.life
[^] # Re: régressions
Posté par Kioob (site web personnel) . En réponse à la dépêche Firefox 34, ce Hérault. Évalué à 3.
Dans about:config, l'option «plugins.click_to_play» est pourtant à true par défaut, ce qui revient grosso modo à la même chose que Flashblock non ?
alf.life
[^] # Re: Et les DOM ?
Posté par Kioob (site web personnel) . En réponse au journal .bzh : la Bretagne a son TLD. Évalué à 5.
La Belgique aussi a son propre tld, .be !
(oui oui, la porte tout ça --------> [])
alf.life