Il est également possible de créer un compte "anonyme" adept_activate -a si on ne veut pas partager son email avec Adobe. Voire, carrément d'avoir plusieurs comptes (option -O).
Le compte standard avec email est surtout utile s'il est lui même déjà lié à une liseuse. Dans ce cas, il n'est pas nécessaire d'enlever la couche DRM.
La solution la plus "simple" est la génération d'un code promotionnel (valable 1 an), mais il faudra quand même que le destinataire crée son propre compte.
J'ai un Raspberry Pi mais je suppose qu'il devrait être possible de configurer un émulateur arm tel que qemu-system-arm pour utiliser ta lib de façon transparente.
Pas forcément, selon ta version de Raspberry, la bibliothèque pourrait tourner en natif, à tester.
Ou solution B, on engage un groupe de mercenaires pour qu'ils s'emparent des bureaux d'Adobe et dérobent les sources librmsdk genre «Piège de cristal».
Le plus simple serait de faire de la rétro ingénierie sur le protocole directement, il n'a pas l'air trop compliqué et avec la possibilité de faire du débogage sur la bibliothèque ça devrait être largement faisable.
Le navigateur va donc vérifier l'intégrité de example-framework.js qui provient de example.com. Hors, dans le cas d'un gestionnaire de mot de passe, c'est le serveur principal qui génère la page HTML avec la balise script. Il peut donc forger à la volée la balise integrity.
Par contre, c'est une fonctionnalité intéressante dans le cas où on rapatrie des frameworks externes (jquery, Google…).
Dans la même veine, j'ai un petit script Python qui fait du DNS failover (je sais, c'est mal) entre deux serveurs auto hébergés (un maître et un esclave). Il se base sur l'API XML-RPC de Gandi.
C'est pratique quand une des deux connexions tombe (ce qui est le cas en ce moment).
Si tu fais de la crypto côté serveur, ça veut dire transmission de la clé (maître) et/ou mot de passe en clair sur le réseau, ce qui rend le système très fragile car ces données peuvent être interceptées de manière plus ou moins facile. Surtout que la masse de données à traiter est plutôt faible.
Remarque supplémentaire concernant la crypto : faire transiter les données en clair (même via un canal HTTPS) rend le logiciel inefficace d'une point de vue sécurité, et ce quelle que soit la force de la crypto côté serveur. Il est trop facile de détourner/abuser d'une connexion serveur.
Il serait également intéressant de développer des modules/applications pour les navigateurs ainsi que pour la ligne de commande.
Comme l'a écrit chimrod, il ne faut pas avoir une vision exclusive : tout papier ou tout numérique. Chacun a ses avantages et ses inconvénients.
Je suis un lecteur occasionnel et je relis rarement un livre. Donc, ma liseuse (une super Odyssey Frontlight) permet de ne pas encombrer inutilement ma bibliothèque de romans/articles/page web "à usage unique". Par contre, je préfère la version papier de certains livres qui ont une valeur importante/sentimentale ou certains types de livres : livres techniques, avec de belles illustrations, manga.
Idem, durant les transports, en voyage, selon la position de lecture (sauf s'il y a beaucoup de soleil), la liseuse a toute sa place. Mais, pour rechercher une information rapidement, prendre le temps de découvrir l'ouvrage, je privilégie une version papier.
Pwn2own est un mauvais indicateur. Avoir une faille sur un navigateur, c'est potentiellement pouvoir accéder à la fois au poste de bureau et aux téléphones. Hors, Firefox est minoritaire sur ces deux segments.
En contrepartie, une faille sur Chrome ou Safari représente des milliards de périphériques (et particulièrement ceux de dirigeants hauts placés). Donc ça se monnaye en centaine de milliers de dollars, ce qui est ridicule par rapport aux récompenses de Pwn2own.
Au Pwn2own, il y a les "amateurs" qui font ça pour le plaisir et la gloire, puis les sociétés qui sont là pour se faire de la pub en lâchant quelques failles plus ou moins connues/triviales, mais certainement pas pour faire avancer le domaine de la sécurité.
Un module pas forcément connu : le module gzip_static de nginx. Si tu combines nginx + pages (HTML, CSS, JS) DÉJÀ compressées, tu peux gagner énormément de temps.
Reste la taille des images, mais en affichage progressif c'est déjà pas mal. Étant donné que ton débit montant est faible, il faut aussi penser le site en fonction de cette limite (limiter au maximum les petites images, faire du HTML propre et léger), recours aux miniatures, quitte à être un peu moins joli.
Pour un blog, ça ne sert à rien d'utiliser du PHP pour générer le rendu, ce qui n'empêche pas de faire des requêtes AJAX sur une partie PHP du blog. C'est la technique que j'utilise pour mon générateur : génération HTML pré compressée, mais la recherche est dynamique. On voit bien que cette dernière a du mal (Python + Django sur un SheevaPlug…), alors que l'affichage reste assez fluide.
Si tu as des gros paquets (binaires, headers…) à fournir avec tes sources, tu peux donner un lien externe, voire même proposer un script pour les télécharger automatiquement.
Pour l'inscription, c'est le même problème pour chaque service que tu proposes (inscription, pas d'inscription -> SPAM, OAuth…).
Je suis globalement d'accord avec toi. Seulement il ne faut pas tout mélanger. Chaque administration a son périmètre fonctionnel : local, départemental, régional et national. Les budgets et les besoins sont différents à chaque échelon et les procédures sont adaptées en fonction de ces critères de taille.
Le plus simple étant d'imputer dans le budget "papeterie" pour l'achat d'une agrafeuse s'il n'y a pas un marché en cours. Ce qui est souvent le cas au niveau local.
Mais, on ne va pas demander à chaque poste de gendarmerie d'aller acheter ses talkies au darty du coin, les achats sont nationaux, ce qui permet (entre autre) d'obtenir de meilleurs prix. En théorie, tu as plus de pouvoir de négociation pour 100 000 unités que pour 30. D'ailleurs, certaines entreprises se retrouvent en difficulté lorsqu'il faut reconduire (ou non) un marché public.
Par contre, tu peux jouer sur les critères pour favoriser l'un ou l'autre des prestataires (besoin primordial d'une fonctionnalité X par exemple), ce qui peut paraître à première vue objectif.
ces boulots débiles de gratte-papier
On attend le "choc" de simplification de M. Hollande
Effectivement, il y a des exceptions. Ce marché a été passé grâce à une procédure "négociée sans publicité et sans mise en concurrence sur la base de l'article 35 - II - 8 du code des marchés publics", à savoir :
Les marchés et les accords-cadres qui ne peuvent être confiés qu'à un opérateur économique déterminé pour des raisons techniques, artistiques ou tenant à la protection de droits d'exclusivité ;
Accord-Cadre du maintien en condition opérationnelle des systèmes d'information exploitant des produits de la société Microsoft avec option d'achat
Je n'ai jamais dit que le système est parfait. Le grand jeu est, bien évidemment, de contourner la loi quand ça nous arrange…
Je ne suis pas juriste, mais le fait de mentionner "des produits de la société Microsoft avec option d'achat" écarte tous les fournisseurs hors Microsoft (sauf revendeur ?). Le choix technologique est, dans ce cas, un autre débat.
Par exemple, je n'ai jamais compris la raison pour laquelle il est si compliqué de passer une commande publique hors marché pour une prestation identique et moins chère—typiquement, un billet de train ou une chambre d'hôtel. Les marchés lient les services de l'État à des intermédiaires souvent plus chers que les prix grand public, et, à mes yeux, rendent la corruption rentable pour les entreprises. Aucune boîte ne s'amuserait à corrompre 40000 secrétaires qui achètent une agrafeuse par an. Par contre, corrompre le mec qui décide quelle boite fournira 40000 agrafeuses à l'État, ça, c'est possible.
Comme dit plus haut, c'est de l'argent public, donc à partir d'un certain montant il faudra faire un marché.
Les marchés sont basés sur un cahier des charges rédigé par l'administration et contenant des critères objectifsdont le prix fait partie.
Cette procédure vise justement à éviter les arrangements entre amis et à favoriser la concurrence, toutes les offres étant publiques. Les fournisseurs non retenus ont la possibilité de lancer des procédures au tribunal administratif si elles se sentent lésées.
Le défaut de ce système est que l'élaboration ainsi que le suivi du dossier (d'un côté comme de l'autre) est complexe, donc pas forcément à la portée de tous les prestataires/distributeurs.
# Compte anonyme
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Les DRM, ma liseuse et moi, le retour-bis. Évalué à 7 (+6/-0).
Il est également possible de créer un compte "anonyme"
adept_activate -asi on ne veut pas partager son email avec Adobe. Voire, carrément d'avoir plusieurs comptes (option -O).Le compte standard avec email est surtout utile s'il est lui même déjà lié à une liseuse. Dans ce cas, il n'est pas nécessaire d'enlever la couche DRM.
[^] # Re: cause de la réduction de la croissance ?
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche wallabag.it a 6 ans. Évalué à 2.
La solution la plus "simple" est la génération d'un code promotionnel (valable 1 an), mais il faudra quand même que le destinataire crée son propre compte.
[^] # Re: Intéressant!
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Convertir un fichier ACSM en EPUB sous GNU/Linux sans WINE/ADE (ARMv7 uniquement). Évalué à 0.
Pas forcément, selon ta version de Raspberry, la bibliothèque pourrait tourner en natif, à tester.
Le plus simple serait de faire de la rétro ingénierie sur le protocole directement, il n'a pas l'air trop compliqué et avec la possibilité de faire du débogage sur la bibliothèque ça devrait être largement faisable.
[^] # Re: NodeJS
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Hutch, gestionnaire de mots de passe. Évalué à 2.
Le concept est intéressant, mais il ne s'applique pas dans notre cas.
D'après la documentation que tu pointes, on obtient quelque chose comme ça :
Le navigateur va donc vérifier l'intégrité de example-framework.js qui provient de example.com. Hors, dans le cas d'un gestionnaire de mot de passe, c'est le serveur principal qui génère la page HTML avec la balise script. Il peut donc forger à la volée la balise integrity.
Par contre, c'est une fonctionnalité intéressante dans le cas où on rapatrie des frameworks externes (jquery, Google…).
[^] # Re: NodeJS
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Hutch, gestionnaire de mots de passe. Évalué à 1.
D'où l'utilité de maîtriser le code du serveur et même de monter sa propre instance.
[^] # Re: Cherche DynDNS maison
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Bouygues et IP fixe... qui change (où l'on parle aussi de fake MX). Évalué à 1.
Merci pour l'info. Le status est "upcoming". <mode fainéant>Un binding Python serait le bienvenu</mode fainéant>.
[^] # Re: Cherche DynDNS maison
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Bouygues et IP fixe... qui change (où l'on parle aussi de fake MX). Évalué à 6.
J'étais dans le même cas que toi. C'est possible de réaliser un DynDNS avec leur API et un petit script python.
# Auto hébergement
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Zyeute: un outil minimaliste de monitoring… ou pas. Évalué à 1.
Dans la même veine, j'ai un petit script Python qui fait du DNS failover (je sais, c'est mal) entre deux serveurs auto hébergés (un maître et un esclave). Il se base sur l'API XML-RPC de Gandi.
C'est pratique quand une des deux connexions tombe (ce qui est le cas en ce moment).
[^] # Re: Liste des autres outils
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 1.
As-tu testé gPass ? Je viens de rajouter récemment l'interface en ligne de commande.
[^] # Re: Crypto & Modules externes
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 3.
Si tu fais de la crypto côté serveur, ça veut dire transmission de la clé (maître) et/ou mot de passe en clair sur le réseau, ce qui rend le système très fragile car ces données peuvent être interceptées de manière plus ou moins facile. Surtout que la masse de données à traiter est plutôt faible.
# Crypto & Modules externes
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 4.
Remarque supplémentaire concernant la crypto : faire transiter les données en clair (même via un canal HTTPS) rend le logiciel inefficace d'une point de vue sécurité, et ce quelle que soit la force de la crypto côté serveur. Il est trop facile de détourner/abuser d'une connexion serveur.
Il serait également intéressant de développer des modules/applications pour les navigateurs ainsi que pour la ligne de commande.
[^] # Re: Liseuse et manuel scolaire…
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Appel de wallabag aux fabricants de liseuse. Évalué à 4.
C'est très peu probable. Le marché de l'édition/impression des manuels scolaires est verrouillé en France.
[^] # Re: Défaut majeur
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Appel de wallabag aux fabricants de liseuse. Évalué à 5.
Comme l'a écrit chimrod, il ne faut pas avoir une vision exclusive : tout papier ou tout numérique. Chacun a ses avantages et ses inconvénients.
Je suis un lecteur occasionnel et je relis rarement un livre. Donc, ma liseuse (une super Odyssey Frontlight) permet de ne pas encombrer inutilement ma bibliothèque de romans/articles/page web "à usage unique". Par contre, je préfère la version papier de certains livres qui ont une valeur importante/sentimentale ou certains types de livres : livres techniques, avec de belles illustrations, manga.
Idem, durant les transports, en voyage, selon la position de lecture (sauf s'il y a beaucoup de soleil), la liseuse a toute sa place. Mais, pour rechercher une information rapidement, prendre le temps de découvrir l'ouvrage, je privilégie une version papier.
[^] # Re: histoire de ne pas me faire troller à coup de terrorisme intellectuel...
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Passbolt, un nouveau gestionnaire de mots de passe pour les équipes. Évalué à 1.
Bug corrigé ! Il était en réalité dans la configuration d'Apache et non dans inDefero.
[^] # Re: Ceci n'est pas un troll !
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Iceweasel is dead!. Évalué à 3.
Pwn2own est un mauvais indicateur. Avoir une faille sur un navigateur, c'est potentiellement pouvoir accéder à la fois au poste de bureau et aux téléphones. Hors, Firefox est minoritaire sur ces deux segments.
En contrepartie, une faille sur Chrome ou Safari représente des milliards de périphériques (et particulièrement ceux de dirigeants hauts placés). Donc ça se monnaye en centaine de milliers de dollars, ce qui est ridicule par rapport aux récompenses de Pwn2own.
Au Pwn2own, il y a les "amateurs" qui font ça pour le plaisir et la gloire, puis les sociétés qui sont là pour se faire de la pub en lâchant quelques failles plus ou moins connues/triviales, mais certainement pas pour faire avancer le domaine de la sécurité.
[^] # Re: autres outils ou autres contournements?
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Du reverse engineering, et de la pomme. Évalué à 2.
Pour Linux et OS X (sa cible de base), il y existe le désassembleur et décompilateur Hopper qui est plutôt sympa .
Sinon, en natif sous Windows, le fameux WinDBG de Microsoft. L'interface est spartiate, mais au final on peut tout faire !
[^] # Re: Partie trop courte
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Moi aussi j'ai créé une entreprise !. Évalué à 2. Dernière modification le 10 avril 2015 à 09:02.
SAS avec un associé unique, c'est une SASU techniquement parlant (mais ça ne répond pas à la question).
# gzip_static
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Autohébergement : mon retour d'expérience acte 2. Évalué à 2.
Un module pas forcément connu : le module gzip_static de nginx. Si tu combines nginx + pages (HTML, CSS, JS) DÉJÀ compressées, tu peux gagner énormément de temps.
Reste la taille des images, mais en affichage progressif c'est déjà pas mal. Étant donné que ton débit montant est faible, il faut aussi penser le site en fonction de cette limite (limiter au maximum les petites images, faire du HTML propre et léger), recours aux miniatures, quitte à être un peu moins joli.
Pour un blog, ça ne sert à rien d'utiliser du PHP pour générer le rendu, ce qui n'empêche pas de faire des requêtes AJAX sur une partie PHP du blog. C'est la technique que j'utilise pour mon générateur : génération HTML pré compressée, mais la recherche est dynamique. On voit bien que cette dernière a du mal (Python + Django sur un SheevaPlug…), alors que l'affichage reste assez fluide.
[^] # Re: modèle d'inscription
Posté par Grégory Soutadé (site web personnel) . En réponse au journal Site à la Hacker News pour la communauté française : Journal Du Pirate. Évalué à 2.
Il y a toujours un flux RSS de disponible.
[^] # Re: Bande passante
Posté par Grégory Soutadé (site web personnel) . En réponse au journal GitLab, mais encore ?. Évalué à 2.
Personnellement, j'utilise le défunt inDefero qui est plutôt léger. C'est limité, mais ça fait le minimum requis !
# Bande passante
Posté par Grégory Soutadé (site web personnel) . En réponse au journal GitLab, mais encore ?. Évalué à 3.
Si tu as des gros paquets (binaires, headers…) à fournir avec tes sources, tu peux donner un lien externe, voire même proposer un script pour les télécharger automatiquement.
Pour l'inscription, c'est le même problème pour chaque service que tu proposes (inscription, pas d'inscription -> SPAM, OAuth…).
[^] # Re: Les stéréotypes ont la vie dure
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Le logiciel libre dans l'éducation, regard depuis un lycée français. Évalué à 3.
Je suis globalement d'accord avec toi. Seulement il ne faut pas tout mélanger. Chaque administration a son périmètre fonctionnel : local, départemental, régional et national. Les budgets et les besoins sont différents à chaque échelon et les procédures sont adaptées en fonction de ces critères de taille.
Le plus simple étant d'imputer dans le budget "papeterie" pour l'achat d'une agrafeuse s'il n'y a pas un marché en cours. Ce qui est souvent le cas au niveau local.
Mais, on ne va pas demander à chaque poste de gendarmerie d'aller acheter ses talkies au darty du coin, les achats sont nationaux, ce qui permet (entre autre) d'obtenir de meilleurs prix. En théorie, tu as plus de pouvoir de négociation pour 100 000 unités que pour 30. D'ailleurs, certaines entreprises se retrouvent en difficulté lorsqu'il faut reconduire (ou non) un marché public.
Par contre, tu peux jouer sur les critères pour favoriser l'un ou l'autre des prestataires (besoin primordial d'une fonctionnalité X par exemple), ce qui peut paraître à première vue objectif.
On attend le "choc" de simplification de M. Hollande
[^] # Re: Les stéréotypes ont la vie dure
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Le logiciel libre dans l'éducation, regard depuis un lycée français. Évalué à 3.
Effectivement, il y a des exceptions. Ce marché a été passé grâce à une procédure "négociée sans publicité et sans mise en concurrence sur la base de l'article 35 - II - 8 du code des marchés publics", à savoir :
L'objet du marché étant :
Je n'ai jamais dit que le système est parfait. Le grand jeu est, bien évidemment, de contourner la loi quand ça nous arrange…
Je ne suis pas juriste, mais le fait de mentionner "des produits de la société Microsoft avec option d'achat" écarte tous les fournisseurs hors Microsoft (sauf revendeur ?). Le choix technologique est, dans ce cas, un autre débat.
[^] # Re: Les stéréotypes ont la vie dure
Posté par Grégory Soutadé (site web personnel) . En réponse à la dépêche Le logiciel libre dans l'éducation, regard depuis un lycée français. Évalué à 2. Dernière modification le 29 septembre 2014 à 16:54.
Comme dit plus haut, c'est de l'argent public, donc à partir d'un certain montant il faudra faire un marché.
Les marchés sont basés sur un cahier des charges rédigé par l'administration et contenant des critères objectifs dont le prix fait partie.
Cette procédure vise justement à éviter les arrangements entre amis et à favoriser la concurrence, toutes les offres étant publiques. Les fournisseurs non retenus ont la possibilité de lancer des procédures au tribunal administratif si elles se sentent lésées.
Le défaut de ce système est que l'élaboration ainsi que le suivi du dossier (d'un côté comme de l'autre) est complexe, donc pas forcément à la portée de tous les prestataires/distributeurs.
[^] # Re: lastpass
Posté par Grégory Soutadé (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 4.
Une alternative à lastpass, libre, auto hébergée et qui supporte de multiples clés maîtres (mais compatible Firefox uniquement) => gPass