Les publications de B sont-elles synchronisées aux préalable
entre serveur Y et X sans même que se connectes A ou seulement
à la connexion de celui-ci?
Sans que A soit connecté.
Utilisateur A va t-il voir le pouet de B de 10h00 ?
Oui.
Peut-il encore consulter les publications de B de la veille?
Oui.
Ou B disparait-il toute la durée de la panne du flux de A?
Non.
De ce que je comprends, ActivityPub est basé sur le push et le pull. Tu va suivre un compte, le serveur du compte va t'envoyer les messages dans ta inbox. Ton serveur peut aussi aller chercher les messages envoyés (donc plus du pull), mais je ne sais pas comment ça se passe en pratique (ça doit dépendre du serveur, et servir quand ton serveur à toi est en panne).
Mais le push, c'est ce qui résulte dans l'effet décrit ici.
Je n'avais pas de comptes de réseaux sociaux (ou alors, juste github qui compte comme "réseau social" pour la douane US), mais j'ai installé un serveur en avril, en me disant que l'expérience serait utile pour le cas ou Twitter explose et que le boulot me demande de regarder ça (et en effet, ça n'a pas loupé). Donc j'ai commencé à l'utiliser.
Mais l'idée d'interagir avec des gens que je ne connais pas et de poster un truc en publique me terrifie quand même un peu (alors que comme toi, c'est ce que je fait ici avec des gens que j'ai jamais croisé pour la plupart, et c'est aussi ce que je fait régulièrement en allant parler à des evenements autour du libre).
Et c'est pas juste une conséquence du fait d'avoir quelqu'un qui me stalke, vu que je sais que je n'était pas à l'aise avec ça déjà avant (genre, je m'abstient de tout les événements de team building du taf si ça implique de parler de ma vie en dehors du boulot, et le jour ou il y en a eu un par surprise, j'ai clairement notifié ma directrice de mon inconfort assez vite).
Mais je sais que visiblement, tout le monde n'est pas comme moi, et il y a plein de gens plus confortables avec le fait de poster des choses et de discuter. Et une fois qu'on retire (ou plutôt réduit) le coté commercial des réseaux sociaux via l'usage du fediverse, vu que contrairement à Facebook/twitter, il y a plein de question qui se posent sur la participation à un commun.
Qu'est ce qu'on en tire en tant que personne qui l'utilise, est ce qu'il faut redonner et sous quel forme (en dehors du désir de vouloir détruire le web commercial, car la, je peux voir l'impératif moral).
Et ta remarque sur la lassitude du bruit ambiant, c'est pour moi la principale raison de favoriser les protocoles ouverts (qui entraîne des logiciels libres, donc un plus grand choix et plus de capacités à les modifier), car ça permet de filtrer agressivement et de contrôler les notifications et le bruit.
C'est encore une alpha (par exemple, je peux pas encore filtrer des messages, donc j'ai régulièrement ma timeline remplie de costumes de furry), mais c'est super simple à installer. C'est un binaire go, tu le lances après avoir mis les variables d'env, et basta. Et ça avance assez vite.
Ensuite, je suis tout seul sur l'instance. En terme de ram, pour 1 personne, qui suit ~50 personnes, et qui a fédéré avec 96 instances, j'ai 80 Mo de res, 20 Mo de shared, 897Mo de virt sur htop. Et 3G de disque dans le répertoire de cache ( la base sqlite fait 80 Mo, donc c'est vraiment les médias). En terme de CPU, je vois bien des pics à 1 ou 2% quand je me connecte, mais c'est tout (sur une droplet de digital ocean à 2Ghz, avec 1 vcpu, donc ç'est rien).
Comme toi, j'essaye depuis quelques jours, par curiosité, et je
trouve que le principal défaut est la nécessité de
copier/coller qqch dans le champ recherche lorsqu'un veut
s'abonner à qqun d'une autre instance. Ça me gêne pas
tellement, mais je vois bien comment ça peut rebuter mon
entourage "non passionné d'informatique".
Oui, ça, et le fait que tu n'as que les messages qui sont envoyés sur ton instance (sauf à spécifiquement aller chercher le contexte). Par exemple, quelqu'un booste un autre message, tu va pas avoir le contexte, et je trouve ça gênant (car par exemple, tu ne sais pas si tu n'es pas la 15 éme personne à répondre, tu ne voit pas la suite ou ce qu'il y a avant).
Simple : il ne s'agit pas de doxxing. Le compte poste des
données publiques sur la position de son jet privé. On ne sait
pas qui est dedans, on ne sait pas si ses enfants sont jamais
monté à bord.
En fait, c'est même pire. Tout l'incident en lui même a été tordu par Musk, cf l'article des journalistes du Washington Post:
c'est juste le nouveau nom de Microsoft Defender, qui surveille
en plus le comportement des applications, ce que fait déjà
apparmor sous Linux
Non.
Primo, apparmor est pas présent partout (et ses politiques de confinement étaient assez nulles y a quelque années), et ensuite, ça ne fait pas la même chose du tout. Apparmor ne fait pas de rapports centralisés, Apparmor ne fait de vérification de hashes de fichiers connus comme malicieux, Apparmor ne va pas vérifier des comportements suspects comme lancer un truc en root.
Robert de la compta qui installe GCC sur son poste, c'est au mieux quelqu'un qui va installer un truc que le support va devoir se taper "mais si regarde, tu peux aller plus vite avec ce module noyau qui bypasse le pci pour nvidia". Au pire, c'est pas Robert mais un malware.
Bien sur, ça va être différent de Jeanne la spécialiste de l'embarqué qui installe rust pour le nouveau microcontrôleur à missile de la boite, mais la question du classement des alertes, ça implique d'avoir des alertes.
Et le PDG a changé d'avis à nouveau après qu'un streameur d’extrême droite a dit "j'ai un lien vers mon site qui vends du café, je concurrence pas Twitter"
Je me demande ce que vont en penser les différentes autorités
anticoncurrence (contrairement à d'autres, je ne suis pas
persuadé que ça soit interdit).
En même temps, est ce que Twitter a encore une équipe de juriste pour se défendre ?
Intéressant, en même temps 50 000€ c’est vraiment démesuré pour
obtenir quelque chose comme ça alors qu’il est tout à fait
rationnel de supposer qu’il ne devrait y avoir rien à payer.
Bah, si Musk veut être protégé par une législation forte en matière de vie privé, il faut pas rester aux états unis.
Il a les moyen de bouger, et/ou de faire du lobbying politique si la vie privée lui importe vraiment.
Le fait de ne pas avoir bloqué des comptes comme libsoftiktok qui annonce régulièrement des événements de la communauté LGBT en sachant que ça va entraîner des violences (car relayé par des présentateurs d’extrême droite comme Matt Walsh, etc) montre bien que c'est pas le fait de publier des choses qui entraîne de la violence, mais bien l'idée que ça soit ce qui pourrait lui arriver.
Il est dans sa bulle paranoïaque que d'autres exploitent à des fins politiques.
Et les gens qui défendent Musk sont curieusement silencieux alors qu'il y a un nombre croissant de publications qui pointent les liens entre la rhétorique haineuse de l’extrême droite et les alertes à la bombe dans des hôpitaux (le Boston Children Hospital a été ciblé plusieurs fois), les milices armées (par exemple, dans l'Idaho, en Floride, et ailleurs). Et les liens entre l'ambiance haineuse et la fusillade du mois dernier dans le Colorado sont documentés assez largement.
Et en pratique, le mec est riche, il a sans aucun doute une équipe de sécurité pour s'occuper de ça (sauf si il n'est pas assez riche pour ça, ou tellement con qu'il pense qu'il n'a pas besoin, ou que ça le fait chier).
La solution est simple, il suffit d'avoir de signaler avant si le jet est utilisé pour lui, ou pour lui et sa famille., et de ne rien faire dans le second cas.
On touche à un problème d'extraterritorialité particulièrement
velu. La solution n'est pas simple.
Le problème général est velu, mais on peut pas dire que le problème particulier d'aujourd'hui le soit.
Elon Musk a pris le contrôle de Twitter, il a réduit de 90% son staff. Il est capable de faire passer des changements rapidement parce qu'il a viré tout le monde, mais ça implique aussi que tout les gens qui savent que c'était une mauvaise idée ne sont plus la.
Du coup, il passe pour un gamin capricieux parce que Twitter n'est pas Tesla, ses caprices peuvent être mis en œuvre dans la journée.
Le problème devient qu'une entreprise de taille conséquente est soudainement redevenu une startup, avec un gamin à sa tête, tout en gardant sa base de clients/utilisateurs, un truc quand même assez rare pour une boite de la taille de Twitter (parce que sinon, Reworld Media ou Crossover, ça existe). Personne ne se dit "c'est réaliste de virer 90% du staff" car ça serait une catastrophe pour la boite sur le long terme, et sans doute illégal dans plusieurs pays.
Et pourtant, c'est arrivé, ce qui montre aussi la limite des lois et du bon sens.
Maintenant, je pense que la direction que va prendre la solution générale, c'est effectivement de déclarer qu'au delà d'une certaine taille, soit tu as une "fédération" (cad une pluralité d'acteur qui peuvent se remplacer les uns et les autres et interagir), soit tu es considéré comme un service public, avec des obligations plus strictes qu'une boite privée.
Par exemple, les banques. C'est des entités privées, mais tu peux passer d'une banque à une autre avec plus ou moins de soucis. Les opérateurs téléphoniques, c'est pareil.
Ou Thales, qui est une entreprise privée en situation favorable vis à vis de certains marchés, mais qui peut pas exactement dire merde ou vendre ce qu'elle veut ou elle veut.
Le DSA n'est pas parfait (et encore, je prends les critiques du monde diplo avec un peu de recul vu leur avis sur la guerre en Ukraine), mais l'interopérabilité en fait parti, sans doute parce que c'est le compromis acceptable en "on nationalise autant que possible" et "on doit privatiser tout". L'équilibre entre le bénéfices des membres (nationaliser, car chaque pays garde le contrôle) et celui du groupe (eg, privatiser, c'est aussi permettre l’émergence d'acteur transnationaux et c'est aussi ce qu'on veut via l'UE).
Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
Si une autorité de certification se met à émettre des
certificats n'importe comment, elle se fera dégager manu
militari de bases de certificats, et les certificats qu'elle a > émis ou émettra ne seront plus valides (en gros, elle peut
fermer boutique).
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sans cette rétroaction, rien n'empêchera plus les autorités de
la France/Allemagne/Pologne/Hongrie/Macédoine de faire croire à
tout le monde (ou au moins les citoyens concernés par cette
legislation), que leur serveur MITM est celui de google.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Pour rappel, il y'a déjà eu des précédents, avec des services
secrets étatiques qui s'en sont pris à des CA mal sécurisées,
pour faire ce genre de choses (ex: Diginotar).
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Pour le coup, je trouve que l'EFF fait très bien d'alerter là-
dessus. Avec un équilibre si délicat, je pense y gagner si tout
le monde se tient en joue
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
[^] # Re: J’héberge ma propre instance Mastodon, et je ne recommande pas
Posté par Misc (site web personnel) . En réponse au journal Mes premiers pas sur Mastodon. Évalué à 8.
Sans que A soit connecté.
Oui.
Oui.
Non.
De ce que je comprends, ActivityPub est basé sur le push et le pull. Tu va suivre un compte, le serveur du compte va t'envoyer les messages dans ta inbox. Ton serveur peut aussi aller chercher les messages envoyés (donc plus du pull), mais je ne sais pas comment ça se passe en pratique (ça doit dépendre du serveur, et servir quand ton serveur à toi est en panne).
Mais le push, c'est ce qui résulte dans l'effet décrit ici.
[^] # Re: mastodon or not mastodon that is the question
Posté par Misc (site web personnel) . En réponse au journal Mes premiers pas sur Mastodon. Évalué à 6.
Je te rejoins dans ton analyse.
Je n'avais pas de comptes de réseaux sociaux (ou alors, juste github qui compte comme "réseau social" pour la douane US), mais j'ai installé un serveur en avril, en me disant que l'expérience serait utile pour le cas ou Twitter explose et que le boulot me demande de regarder ça (et en effet, ça n'a pas loupé). Donc j'ai commencé à l'utiliser.
Mais l'idée d'interagir avec des gens que je ne connais pas et de poster un truc en publique me terrifie quand même un peu (alors que comme toi, c'est ce que je fait ici avec des gens que j'ai jamais croisé pour la plupart, et c'est aussi ce que je fait régulièrement en allant parler à des evenements autour du libre).
Et c'est pas juste une conséquence du fait d'avoir quelqu'un qui me stalke, vu que je sais que je n'était pas à l'aise avec ça déjà avant (genre, je m'abstient de tout les événements de team building du taf si ça implique de parler de ma vie en dehors du boulot, et le jour ou il y en a eu un par surprise, j'ai clairement notifié ma directrice de mon inconfort assez vite).
Mais je sais que visiblement, tout le monde n'est pas comme moi, et il y a plein de gens plus confortables avec le fait de poster des choses et de discuter. Et une fois qu'on retire (ou plutôt réduit) le coté commercial des réseaux sociaux via l'usage du fediverse, vu que contrairement à Facebook/twitter, il y a plein de question qui se posent sur la participation à un commun.
Qu'est ce qu'on en tire en tant que personne qui l'utilise, est ce qu'il faut redonner et sous quel forme (en dehors du désir de vouloir détruire le web commercial, car la, je peux voir l'impératif moral).
Et ta remarque sur la lassitude du bruit ambiant, c'est pour moi la principale raison de favoriser les protocoles ouverts (qui entraîne des logiciels libres, donc un plus grand choix et plus de capacités à les modifier), car ça permet de filtrer agressivement et de contrôler les notifications et le bruit.
[^] # Re: J’héberge ma propre instance Mastodon, et je ne recommande pas
Posté par Misc (site web personnel) . En réponse au journal Mes premiers pas sur Mastodon. Évalué à 8.
Perso, j'utilise gotosocial.
C'est encore une alpha (par exemple, je peux pas encore filtrer des messages, donc j'ai régulièrement ma timeline remplie de costumes de furry), mais c'est super simple à installer. C'est un binaire go, tu le lances après avoir mis les variables d'env, et basta. Et ça avance assez vite.
Ensuite, je suis tout seul sur l'instance. En terme de ram, pour 1 personne, qui suit ~50 personnes, et qui a fédéré avec 96 instances, j'ai 80 Mo de res, 20 Mo de shared, 897Mo de virt sur htop. Et 3G de disque dans le répertoire de cache ( la base sqlite fait 80 Mo, donc c'est vraiment les médias). En terme de CPU, je vois bien des pics à 1 ou 2% quand je me connecte, mais c'est tout (sur une droplet de digital ocean à 2Ghz, avec 1 vcpu, donc ç'est rien).
[^] # Re: Marrant la critique sur la complexité
Posté par Misc (site web personnel) . En réponse au journal Mes premiers pas sur Mastodon. Évalué à 3.
Oui, ça, et le fait que tu n'as que les messages qui sont envoyés sur ton instance (sauf à spécifiquement aller chercher le contexte). Par exemple, quelqu'un booste un autre message, tu va pas avoir le contexte, et je trouve ça gênant (car par exemple, tu ne sais pas si tu n'es pas la 15 éme personne à répondre, tu ne voit pas la suite ou ce qu'il y a avant).
Mais pour le copier coller, il y a https://github.com/Lartsch/FediAct
[^] # Re: si le doxxing était banni de Twitter, le compte de Musk serait fermé
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 7.
En fait, c'est même pire. Tout l'incident en lui même a été tordu par Musk, cf l'article des journalistes du Washington Post:
https://www.washingtonpost.com/technology/2022/12/18/details-of-musk-stalking-incident/
[^] # Re: Mais le RSSI a imposé d'installer Microsoft Defender APT....
Posté par Misc (site web personnel) . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 10.
Non.
Primo, apparmor est pas présent partout (et ses politiques de confinement étaient assez nulles y a quelque années), et ensuite, ça ne fait pas la même chose du tout. Apparmor ne fait pas de rapports centralisés, Apparmor ne fait de vérification de hashes de fichiers connus comme malicieux, Apparmor ne va pas vérifier des comportements suspects comme lancer un truc en root.
Robert de la compta qui installe GCC sur son poste, c'est au mieux quelqu'un qui va installer un truc que le support va devoir se taper "mais si regarde, tu peux aller plus vite avec ce module noyau qui bypasse le pci pour nvidia". Au pire, c'est pas Robert mais un malware.
Bien sur, ça va être différent de Jeanne la spécialiste de l'embarqué qui installe rust pour le nouveau microcontrôleur à missile de la boite, mais la question du classement des alertes, ça implique d'avoir des alertes.
[^] # Re: Les utilisateurs de Twitter veulent la démission d'Elon Musk
Posté par Misc (site web personnel) . En réponse au lien Elon Musk lance un sondage pour demander si il doit quitter la tête de Twitter. Évalué à 5.
en fait, oui. Par exemple, les investisseurs de Tesla demandent à avoir un autre CEO:
https://www.msn.com/en-us/money/companies/twitter-users-want-musk-to-step-down-while-tesla-investors-worry-about-distraction/ar-AA15skbj
Et l'action a bien chuté (soit c'est une correction à son prix normal, soit ça se casse la gueule). Donc pour sa crédibilité, il faut une excuse.
[^] # Re: liens non-Twitter
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 3.
Et le PDG a changé d'avis à nouveau après qu'un streameur d’extrême droite a dit "j'ai un lien vers mon site qui vends du café, je concurrence pas Twitter"
https://twitter.com/elonmusk/status/1604615711036407809
[^] # Re: liens non-Twitter
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 3.
https://edition.cnn.com/2022/12/16/tech/mastodon-twitter-links/index.html
C'est bien, la presse est en avance sur ce que fait Twitter.
Et Eric Freyssinet semble croire que ça retire des protections dont Twitter jouit:
https://twitter.com/ericfreyss/status/1604538198054535169
(mais je ne sais pas à quel point c'est viable comme analyse)
[^] # Re: Le sens du timing et la publicité
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 6.
En même temps, est ce que Twitter a encore une équipe de juriste pour se défendre ?
[^] # Re: « chantage »
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 9.
Bah, si Musk veut être protégé par une législation forte en matière de vie privé, il faut pas rester aux états unis.
Il a les moyen de bouger, et/ou de faire du lobbying politique si la vie privée lui importe vraiment.
Le fait de ne pas avoir bloqué des comptes comme libsoftiktok qui annonce régulièrement des événements de la communauté LGBT en sachant que ça va entraîner des violences (car relayé par des présentateurs d’extrême droite comme Matt Walsh, etc) montre bien que c'est pas le fait de publier des choses qui entraîne de la violence, mais bien l'idée que ça soit ce qui pourrait lui arriver.
Il est dans sa bulle paranoïaque que d'autres exploitent à des fins politiques.
Et les gens qui défendent Musk sont curieusement silencieux alors qu'il y a un nombre croissant de publications qui pointent les liens entre la rhétorique haineuse de l’extrême droite et les alertes à la bombe dans des hôpitaux (le Boston Children Hospital a été ciblé plusieurs fois), les milices armées (par exemple, dans l'Idaho, en Floride, et ailleurs). Et les liens entre l'ambiance haineuse et la fusillade du mois dernier dans le Colorado sont documentés assez largement.
Et en pratique, le mec est riche, il a sans aucun doute une équipe de sécurité pour s'occuper de ça (sauf si il n'est pas assez riche pour ça, ou tellement con qu'il pense qu'il n'a pas besoin, ou que ça le fait chier).
Autre contre exemple, il semble que quelqu'un à Twitter travaille sur le fait de forcer à accepter les pubs personnalisés et à devoir partager sa géolocalisation.
C'est totalement hypocrite (et illégal).
[^] # Re: doxxing de la famille
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 3.
La solution est simple, il suffit d'avoir de signaler avant si le jet est utilisé pour lui, ou pour lui et sa famille., et de ne rien faire dans le second cas.
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 6.
Le problème général est velu, mais on peut pas dire que le problème particulier d'aujourd'hui le soit.
Elon Musk a pris le contrôle de Twitter, il a réduit de 90% son staff. Il est capable de faire passer des changements rapidement parce qu'il a viré tout le monde, mais ça implique aussi que tout les gens qui savent que c'était une mauvaise idée ne sont plus la.
Du coup, il passe pour un gamin capricieux parce que Twitter n'est pas Tesla, ses caprices peuvent être mis en œuvre dans la journée.
Le problème devient qu'une entreprise de taille conséquente est soudainement redevenu une startup, avec un gamin à sa tête, tout en gardant sa base de clients/utilisateurs, un truc quand même assez rare pour une boite de la taille de Twitter (parce que sinon, Reworld Media ou Crossover, ça existe). Personne ne se dit "c'est réaliste de virer 90% du staff" car ça serait une catastrophe pour la boite sur le long terme, et sans doute illégal dans plusieurs pays.
Et pourtant, c'est arrivé, ce qui montre aussi la limite des lois et du bon sens.
Maintenant, je pense que la direction que va prendre la solution générale, c'est effectivement de déclarer qu'au delà d'une certaine taille, soit tu as une "fédération" (cad une pluralité d'acteur qui peuvent se remplacer les uns et les autres et interagir), soit tu es considéré comme un service public, avec des obligations plus strictes qu'une boite privée.
Par exemple, les banques. C'est des entités privées, mais tu peux passer d'une banque à une autre avec plus ou moins de soucis. Les opérateurs téléphoniques, c'est pareil.
Ou Thales, qui est une entreprise privée en situation favorable vis à vis de certains marchés, mais qui peut pas exactement dire merde ou vendre ce qu'elle veut ou elle veut.
Le DSA n'est pas parfait (et encore, je prends les critiques du monde diplo avec un peu de recul vu leur avis sur la guerre en Ukraine), mais l'interopérabilité en fait parti, sans doute parce que c'est le compromis acceptable en "on nationalise autant que possible" et "on doit privatiser tout". L'équilibre entre le bénéfices des membres (nationaliser, car chaque pays garde le contrôle) et celui du groupe (eg, privatiser, c'est aussi permettre l’émergence d'acteur transnationaux et c'est aussi ce qu'on veut via l'UE).
# Tu es second :p
Posté par Misc (site web personnel) . En réponse au lien La Fondation Linux prend en main une alternative à Google Maps : Overture Maps - letemps.ch. Évalué à 5.
Déjà posté:
https://linuxfr.org/users/misc/liens/linux-foundation-announces-overture-maps-foundation-to-build-interoperable-open-map-data
(mais je pertinente quand même, car c'est en français)
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 3.
Y a aussi au moins un cryptographe/chercheur en sécurité qui a été suspendu:
https://soatok.blog/2022/12/16/security-research-on-twitter-before-and-after-musks-takeover/
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 4.
Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 6.
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 3.
Non, parce que l'Europe n'a pas ralé sur freenode: https://www.bbc.com/news/world-us-canada-63996061
[^] # Re: UT - GOTY rulez
Posté par Misc (site web personnel) . En réponse au lien Epic Games are killing off a bunch of classics like Unreal Tournament. Évalué à 5.
Curieusement, le jeu est encore sur gog.com.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
La régulation en question dans son point 23 dit:
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Le seul truc vaguement que je vois en rapport, c'est l'amendement 64 du comité sur le marché international et de la protection des consommateurs.
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 3.
Comme le GDPR ou les prises de chargements de téléphones en usb, des amendes.
Parce que les éditeurs en question, encore une fois, c'est Google, Microsoft, Apple. Avec ces 3 la, tu couvre 90% du marché.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 7. Dernière modification le 12 décembre 2022 à 22:59.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
[^] # Re: Les failles sont déjà corrigés
Posté par Misc (site web personnel) . En réponse au lien Practically-exploitable Cryptographic Vulnerabilities in Matrix. Évalué à 3.
J'ai aussi vu un épisode de podcast sur le sujet.
# Discussion précédente
Posté par Misc (site web personnel) . En réponse au lien Statement from Fosshost's Founder. Évalué à 5.
https://linuxfr.org/users/pulkomandy/liens/fosshost-a-perdu-contact-avec-son-ceo-et-va-arreter-tous-ses-services