our celle là je suis d'accord, mais la blague sur l'univers et la bétise humaine, des comme ça j'en sors tous les jours (et je suis un bon vieux péquin des familles), c'est du bon vieil humour marrant et facile, y a pas besoin de s'appeler Einstein :)
Forcément, il était très intelligent, et ça déborde de la physique et donc il cause mieux que la moyenne, mais ça en fait pas forcément le penseur du siècle, c'est tout ce que je voulais dire
Aucun problème avec ça, c'est ton droit et justement, je pense que c'est à chacun de faire la part des choses, et aux adultes de surveiller eux-mêmes leurs enfants.
Sinon, pour "l'intérêt ludique", je pense que le jeu vidéo à le droit justement d'aller au delà du jeu, de ne pas être uniquement ludique façon Mario Bros. Une scène dure peut servir l'immersion dans un univers, une ambiance. Il y en a dans des films, et ce n'est pas toujours répréhensible. Ici encore chacun à son opinion sur le sujet, le tout étant de respecter celle des autres, dans une certaine mesure.
ça résonne parce que c'est lui qui les a sorties, mais franchement, en toute objectivité, tu es sûr que lui seul pouvait les sortir ? des vannes comme ça tout le monde en sort. donc ça correspond à ce que je dis, c'est juste parce que Einstein a dit une phrase que tout le monde la répète, c'est pas franchement la citation elle-même qui importe...
ah ouais quand même, c'est pas exactement le même personnage. D'ailleurs je suis content, ça me gonfle de voir des citations d'Einstein partout. Sous pretexte que c'est un génie scientifique et qu'il a révolutionné la physique, on le prend pour un philosophe merveilleux. C'est pas la même chose, surtout que d'après ce que j'ai compris c'était pas l'exemple du mec sympa et qui aime ses proches.
d ici 1 an vous trouverez sur le marcher des telephones incluant Skype, fonctionnant sans forfait telephonique, juste un forfait internet ( UTMS ou GPRS). Et ca va faire un sacre bruit chez les operateurs de telephonie mobile.
Il factureront les données au débit, plus au temps, les opérateurs de téléphonie mobile, pour pas se faire doubler. Et tchao skype.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
la différence est qu'on ne le fait pas avec kerberos... le module d'authentification de windows (la gina), qui gère l'authentification et le changement du mot de passe, lance le logiciel à l'ouverture de session en lui passant le mot de passe. La différence est que dans notre architecture, c'est le wallet qui décide si il donne ou pas les mots de passe, suivant l'appli. J'avais mal compris le principe de kwallet.
Je vois de quel howto tu parles, il est complètement obsolète effectivement.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
Ce qui veut dire que n'importe quel programme peut accéder au wallet sans utiliser de mot de passe (qu'il soit stocké de façon crypté ne change rien au problème).
Ah ben ouais je suis con...
J'avais complètement oublié que le wallet marche dans ce sens : l'appli lui demande le mot de passe.
Je pensais que c'était le wallet lui-même qui identifiait l'appli et ne lui donnait que son mot de passe à elle.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
J'ai l'impression que tu fais exprès de ne pas comprendre.Si t'es "parano", tu utiliseras un mot de passe pour le "wallet". Si tu ne l'ai pas, alors n'en utilises pas.
Détrompe-toi, j'ai parfaitement compris. Seulement je rêve d'un système où par défaut tout est chiffré (mode parano si tu préfères) et où aucune contrainte n'est ajoutée pour l'utilisateur. Et je pose des questions techniques sur la faisabilité de ce système. Désolé de t'avoir énervé...
Pour ce qui est du stockage d'informations sensibles, on peut appeler ça de la parano, après c'est une question de vocabulaire :) En tout cas je veux bien être parano en ce qui concerne les mots de passe des applications d'entreprise par exemple.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
Les développeurs ne voulaient pas implémenter le wallet sans mot de passe pour la simple et bonne raison que du coup, tout chiffrement est facile à casser, car au pire il n'y en a pas, et au mieux, il est basé sur des infos connues de tous (nom de user par exemple).
Très bien, dans ce cas, les développeurs, toi et moi sommes parfaitement d'accord sur ce point :)
Ou plus simplement, un nouveau module PAM exprès pour le wallet de KDE, auquel il suffit de passer les infos (en implémentant use_first_pass dans le module).
ça a l'air vachement bien, ça pourrait d'ailleurs être utiliser par le wallet de gnome aussi. Et dans ce cas c'est PAM qui lance le wallet ?
Et tu as tort de penser que la seule explication au problème que tu exposes est technique et pas théorique. Je pense que c'est le contraire.
Car la problématique est une problématique de sécurité et d'architecture. Si tu implémentes ton concept, il faut qu'il soit accessible et utilisé par tous les gestionnaires de session, et exprès pour le wallet de KDE, tout en étant raisonnablement sécurisé. Je ne vois que PAM pour faire cela, c'est même fait pour.
Il faut tout de même bien jouer son coup en plaçant le module partout où il faut, parce que sinon, dès que l'utilisateur change son mot de passe : boom, plus d'accès au wallet (mallette).
Du coup, il faut aussi prévoir un "rechiffrement" de la mallette au changement de mot de passe : pas simple tout ça, ça a tous les ingrédients pour échouer.
Alors là, j'ai beau te relire dix fois, je ne vois que des explications techniques. Evidemment, si c'est mal fait, ça marche pas. Evidemment c'est compliqué et il y a des risques que ce soit mal fait et donc que ça ne marche pas. Mais je ne vois pas d'obstacle insurmontable théoriquement ni d'erreur architecturale. Il y en a peut etre, mais tu ne me les donnes pas ici.
Pour terminer, si je fais toutes ces remarques et contre-remarques, c'est parce que ma boite développe ça sous windows, et que c'est parfaitement possible, puisque ça marche très bien (rechiffrements etc). Hélas, c'est proprio...
A part ça, GDM peut lancer des programmes à différents jalons de l'ouverture de session. KDM je sais pas, XDM je ne veux pas savoir ...
Idem pour XDM :)
Ici il manque donc juste une spec freedesktop.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
> En tout cas, ce qui me gène dans tout ça, c'est de se baser uniquement sur les protections offertes par l'OS
Car c'est ce qu'il faut faire !
Sinon tu ponds des merdes styles windows.
Ok, si C'Est Ce Qu'Il Faut Faire, alors je m'incline :)
Sinon le coup des merdes style Windows ça me parait déplacé ici : la gestion des droits d'accès sous Windows n'a pas à rougir de celle sous Linux à mon avis (aïe aïe je suis en train de pourrir moi même ma discussion)
> Si on ne peut pas utiliser le mot de passe de la session, on est obligé d'en avoir deux ou de taper le même deux fois
Si tu n'as pas à le taper deux fois alors il traine en claire quelque part. C'est un problème de sécurité évident.
> Enfin pour préciser les choses je n'ai bien sûr jamais voulu que toute application puisse accéder au mot de passe de la session :)
Mais comment tu garantis ça sans te baser sur l'OS ?
Si c'est le gestionnaire de session qui lance le wallet, alors pas besoin que les applications aient accès au mot de passe, et pas besoin de le laisser trainer en clair quelque part. Je ne dis pas que c'est la solution que je veux (je préfèrerais peut-être passer par l'intermédiaire de la session elle-même, ou toute autre solution du genre, je ne maitrise _pas du tout_ ces mécanismes), mais je pense qu'elle prouve le concept.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
Ceci dit, l'administrateur peut toujours contourner les "master" mot de passe. Par exemple il lui suffit d'installer un firefox "bidouillé".
Alors là je comprends pas trop... si il s'installe un firefox bidouillé, ça lui permettra pas de déchiffrer les mots de passe des autres :)
ou alors tu veux dire que le firefox installé dès le départ est bidouillé. Dans ce cas il est tordu ton admin, il ferait mieux d'installer un keylogger, ça lui éviterait de bidouiller du code.
Bref le problème est toujours le même : il faut taper plusieurs fois un mot de passe : session, wallet, firefox...
J'ose espérer qu'un jour firefox intégrera les wallet gnome et kde, mais il y aura toujours deux mots de passe à taper, ce qui ne peux s'expliquer que par des limitations techniques, et n'est donc pas satisfaisant.
Pour l'instant la seule solution serait kerberos, mais c'est pas envisageable pour un poste de particulier par exemple.
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
bon je dois vraiment être bête car je ne comprends pas le coup du wallet sans mot de passe, ou alors tu as voulu dire "avec mot de passe"
je résume une partie de la discussion :
pour moi c'est le seul moyen de chiffrer des données de l'utilisateurs
Ben non, ce n'est pas le seul moyen.
Et c'est quoi les autres ?
un wallet sans mot de passe
comment le wallet sans mot de passe chiffre-t-il les comptes de l'utilisateur ?
bon, sinon, c'est quoi la mémoire PAM ? ça m'intéresse. beaucoup ce truc
c'est un espace mémoire réservé à l'utilisateur ?
En tout cas, ce qui me gène dans tout ça, c'est de se baser uniquement sur les protections offertes par l'OS (à part le coup du chiffrement sans mot de passe du wallet où j'ai rien compris)
Pour stocker des informations sensibles comme des mots de passe, il me semble impératif de chiffrer le tout avec un mot de passe maitre. Si on ne peut pas utiliser le mot de passe de la session, on est obligé d'en avoir deux ou de taper le même deux fois, ce que l'utilisateur aura du mal à comprendre, et moi aussi finalement car la seule explication qu'il peut y avoir est une explication technique (limitations des interactions entre le gestionnaire de session et la session elle même) et non pas théorique.
En effet on pourrait parfaitement imaginer que le gesionnaire de session ouvre lui même la session du wallet avec le mot de passe de l'utilisateur. Or il ne peut techniquement qu'ouvrir la session.
Il faudrait un mécanisme indiquant à la session de lancer le wallet avec le mot de passe.
Enfin pour préciser les choses je n'ai bien sûr jamais voulu que toute application puisse accéder au mot de passe de la session :)
je voyais les choses dans l'autre sens : la session, possédant le mot de passe au moment de l'ouverture, ouvre le wallet avec celui-ci.
Autre idée : le gestionnaire de session peut-il lancer un programme dans la session une fois celle-ci ouverte ?
Posté par Nap .
En réponse à la dépêche KDE 3.4 RC1.
Évalué à 2.
Ben non, ce n'est pas le seul moyen.
Et c'est quoi les autres ? Justement j'aimerais bien savoir, histoire que la discussion avance au lieu de m'attaquer sur ma bétise (bétise que je ne nie pas complètement, hein)
Mais de toutes façons, le wallet ouvert sans mot de passe à l'ouverture de session revient quasiment au même pour un utilisateur : pas de mot de passe en plus à taper, wallet ouvert ...
bah oui, mais dans ce cas, par quoi sont protégés les comptes ? c'est quand même ça le problème... Je sais pas comment ça marche dans le détail, mais pour moi si on a pas techniquement besoin du mot de passe pour ouvrir le "wallet", je ne vois pas comment les comptes sont réellement protégés.
tu rigoles, mais on m'a raconté que l'autre jour sur le périf parisien, un type faisait de gros écarts régulièrement. Mon collègue motard arrive à sa hauteur : le mec lisait son journal au volant.
[^] # Re: LDAP, etc.
Posté par Nap . En réponse au journal Solution TSE, annuaire et autres (Trademarks inside). Évalué à 2.
Mea Culpa
lynchez-moi :)
je savais que SUNOne et Netscape Directory Server avait la même base, mais je pensais que Netscape Directory Server était mort.
Apparemment l'API cliente de Mozilla fait partie du même projet. D'ailleurs sa doc ressemble énormément à celle de SUNOne.
Je me demande ce que vaut vraiment la version Netscape, et ce que vaudra la version RedHat...
En tout cas c'est très intéressant
[^] # Re: LDAP, etc.
Posté par Nap . En réponse au journal Solution TSE, annuaire et autres (Trademarks inside). Évalué à -1.
mouarf :)
s/RedHat/SUN/
[^] # Re: moche
Posté par Nap . En réponse au journal GNOME splash screen. Évalué à 3.
http://jimmac.musichall.cz/weblog.php/Artwork/GNOMESplash210(...)
(un des graphistes de Gnome)
[^] # Re: Je suis le seul a trouver ca pas mal ?
Posté par Nap . En réponse au journal GNOME splash screen. Évalué à 4.
c'est encore pire que de voir un mec qui tangue sur son bateau dans son télévisiophone
ce splash screen je le baptiserais bien "bol de graisse de mouton tiède"
[^] # Re: WhiteBoxLinux
Posté par Nap . En réponse au journal Distros basées sur RHEL. Évalué à 2.
[^] # Re: je me suis emporté....
Posté par Nap . En réponse au journal Mon linux attrape des virus windows?. Évalué à 3.
Forcément, il était très intelligent, et ça déborde de la physique et donc il cause mieux que la moyenne, mais ça en fait pas forcément le penseur du siècle, c'est tout ce que je voulais dire
[^] # Re: Je croyais que c'était fini ??!
Posté par Nap . En réponse au journal GTA San Andreas m'a TUER. Évalué à 4.
Aucun problème avec ça, c'est ton droit et justement, je pense que c'est à chacun de faire la part des choses, et aux adultes de surveiller eux-mêmes leurs enfants.
Sinon, pour "l'intérêt ludique", je pense que le jeu vidéo à le droit justement d'aller au delà du jeu, de ne pas être uniquement ludique façon Mario Bros. Une scène dure peut servir l'immersion dans un univers, une ambiance. Il y en a dans des films, et ce n'est pas toujours répréhensible. Ici encore chacun à son opinion sur le sujet, le tout étant de respecter celle des autres, dans une certaine mesure.
[^] # Re: Je croyais que c'était fini ??!
Posté par Nap . En réponse au journal GTA San Andreas m'a TUER. Évalué à 3.
Parce que ça fait peur à ceux qui n'y comprennent rien, donc ça fait vendre, et France Soir en a bieeeen besoin :)
Il faut pas chercher plus loin, eux aussi ils ont un loyer à payer (bon, ok, ils auraient pas du oublier qu'ils sont journalistes, mais bon tant pis)
[^] # Re: je me suis emporté....
Posté par Nap . En réponse au journal Mon linux attrape des virus windows?. Évalué à 2.
[^] # Re: Oui mais
Posté par Nap . En réponse au journal Une attaque des USA contre l'europe ?. Évalué à 10.
[^] # Re: je me suis emporté....
Posté par Nap . En réponse au journal Mon linux attrape des virus windows?. Évalué à 2.
[^] # Re: Attention, logiciel propriétaire
Posté par Nap . En réponse au journal Skype sous Linux sans l exclusivite OSS.. Évalué à 3.
Il factureront les données au débit, plus au temps, les opérateurs de téléphonie mobile, pour pas se faire doubler. Et tchao skype.
[^] # Re: Attention, logiciel propriétaire
Posté par Nap . En réponse au journal Skype sous Linux sans l exclusivite OSS.. Évalué à 3.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Je vois de quel howto tu parles, il est complètement obsolète effectivement.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Ah ben ouais je suis con...
J'avais complètement oublié que le wallet marche dans ce sens : l'appli lui demande le mot de passe.
Je pensais que c'était le wallet lui-même qui identifiait l'appli et ne lui donnait que son mot de passe à elle.
Désolé :(
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Détrompe-toi, j'ai parfaitement compris. Seulement je rêve d'un système où par défaut tout est chiffré (mode parano si tu préfères) et où aucune contrainte n'est ajoutée pour l'utilisateur. Et je pose des questions techniques sur la faisabilité de ce système. Désolé de t'avoir énervé...
Pour ce qui est du stockage d'informations sensibles, on peut appeler ça de la parano, après c'est une question de vocabulaire :) En tout cas je veux bien être parano en ce qui concerne les mots de passe des applications d'entreprise par exemple.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Très bien, dans ce cas, les développeurs, toi et moi sommes parfaitement d'accord sur ce point :)
ça a l'air vachement bien, ça pourrait d'ailleurs être utiliser par le wallet de gnome aussi. Et dans ce cas c'est PAM qui lance le wallet ?
Alors là, j'ai beau te relire dix fois, je ne vois que des explications techniques. Evidemment, si c'est mal fait, ça marche pas. Evidemment c'est compliqué et il y a des risques que ce soit mal fait et donc que ça ne marche pas. Mais je ne vois pas d'obstacle insurmontable théoriquement ni d'erreur architecturale. Il y en a peut etre, mais tu ne me les donnes pas ici.
Pour terminer, si je fais toutes ces remarques et contre-remarques, c'est parce que ma boite développe ça sous windows, et que c'est parfaitement possible, puisque ça marche très bien (rechiffrements etc). Hélas, c'est proprio...
Idem pour XDM :)
Ici il manque donc juste une spec freedesktop.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Ok, si C'Est Ce Qu'Il Faut Faire, alors je m'incline :)
Sinon le coup des merdes style Windows ça me parait déplacé ici : la gestion des droits d'accès sous Windows n'a pas à rougir de celle sous Linux à mon avis (aïe aïe je suis en train de pourrir moi même ma discussion)
Si c'est le gestionnaire de session qui lance le wallet, alors pas besoin que les applications aient accès au mot de passe, et pas besoin de le laisser trainer en clair quelque part. Je ne dis pas que c'est la solution que je veux (je préfèrerais peut-être passer par l'intermédiaire de la session elle-même, ou toute autre solution du genre, je ne maitrise _pas du tout_ ces mécanismes), mais je pense qu'elle prouve le concept.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
Alors là je comprends pas trop... si il s'installe un firefox bidouillé, ça lui permettra pas de déchiffrer les mots de passe des autres :)
ou alors tu veux dire que le firefox installé dès le départ est bidouillé. Dans ce cas il est tordu ton admin, il ferait mieux d'installer un keylogger, ça lui éviterait de bidouiller du code.
Bref le problème est toujours le même : il faut taper plusieurs fois un mot de passe : session, wallet, firefox...
J'ose espérer qu'un jour firefox intégrera les wallet gnome et kde, mais il y aura toujours deux mots de passe à taper, ce qui ne peux s'expliquer que par des limitations techniques, et n'est donc pas satisfaisant.
Pour l'instant la seule solution serait kerberos, mais c'est pas envisageable pour un poste de particulier par exemple.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
je résume une partie de la discussion :
comment le wallet sans mot de passe chiffre-t-il les comptes de l'utilisateur ?
bon, sinon, c'est quoi la mémoire PAM ? ça m'intéresse. beaucoup ce truc
c'est un espace mémoire réservé à l'utilisateur ?
En tout cas, ce qui me gène dans tout ça, c'est de se baser uniquement sur les protections offertes par l'OS (à part le coup du chiffrement sans mot de passe du wallet où j'ai rien compris)
Pour stocker des informations sensibles comme des mots de passe, il me semble impératif de chiffrer le tout avec un mot de passe maitre. Si on ne peut pas utiliser le mot de passe de la session, on est obligé d'en avoir deux ou de taper le même deux fois, ce que l'utilisateur aura du mal à comprendre, et moi aussi finalement car la seule explication qu'il peut y avoir est une explication technique (limitations des interactions entre le gestionnaire de session et la session elle même) et non pas théorique.
En effet on pourrait parfaitement imaginer que le gesionnaire de session ouvre lui même la session du wallet avec le mot de passe de l'utilisateur. Or il ne peut techniquement qu'ouvrir la session.
Il faudrait un mécanisme indiquant à la session de lancer le wallet avec le mot de passe.
Enfin pour préciser les choses je n'ai bien sûr jamais voulu que toute application puisse accéder au mot de passe de la session :)
je voyais les choses dans l'autre sens : la session, possédant le mot de passe au moment de l'ouverture, ouvre le wallet avec celui-ci.
Autre idée : le gestionnaire de session peut-il lancer un programme dans la session une fois celle-ci ouverte ?
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 2.
[^] # Re: Comparaison n'est pas raison
Posté par Nap . En réponse au journal démocratie et dictature, suite.... Évalué à 3.
[^] # Re: KDE 3.4
Posté par Nap . En réponse à la dépêche KDE 3.4 RC1. Évalué à 1.
contre ta volonté, je suis offensé... je pense qu'il y a des choses plus bêtes que mon raisonnement
[^] # Re: oui mais
Posté par Nap . En réponse au journal démocratie et dictature, suite.... Évalué à 4.