Merci encore une fois, mais comme je l'ai dit ce n'est pas ce que je cherche :)
"Well there are many scenarios where you do want to give access to someone but still have the protection on the app so they cannot easily open it.
Here are some scenarios:
Forgot to lock you PC, and yes i do have it lock automatically after 5-10min but that is still enough time Give someone remote access to fix an issue or help you with some work
Let someone use your computer for a quick browse"
Je cherche spécifiquement une surcouche logicielle pour verrouiller une application.
A titre purement perso, je fais beaucoup de récup en fin marché, après le nettoyage tout les restes partent dans des cagettes de terre mélangé superficiellement en surface.
Au soleil, à l'abri du vent, cela finit par faire pas mal de plants qui poussent sans effort. Cela marche très bien avec les tomates et courges/butternut, le reste un peu moins. Poivrons en saison plus chaude également. Tout ce qui est patates germées finissent coupées en deux et plantés également, ça marche super.
J'ai peut-être 30 de mes contacts qui utilisent Signal, ce qui représente peut-être 1/3, dont assez peu de personnes du métier, ce qui est assez fantastique.
Par contre je sais que pratiquement tous (et moi compris) utilisent Signal pour les messages chiffrés ET les SMS. Et on s'en sort tous (plus ou moins) bien.
Par contre la perte des SMS va être vraiment problématique. Je pense que la quasi-majorité vont abandonner… Et de facto je ne pourrais plus utiliser Signal qu'avec les 3 acharnés qu'il me restera…
C'est un peu ce que je fais actuellement. Je suis en "vacances" depuis juin, je garde un oeil passif sur l'asso, et ce n'est pas fameux… C'est difficile de regarder dépérir un projet qui tient autant à coeur.
Cela fait déjà 3 ans que je ne postule pas pour le poste de Président. Lors de l'AG (et en amont), on demande qui se porte volontaire. Grand silence pendant 5 minutes… Pour que finalement je me sente forcé de m'avancer à nouveau… Mais oui je pense aussi qu'une masse critique est nécessaire.
J'y ai pensé, mais j'ai zéro expérience avec les raspberryPi + disques durs, je me suis toujours contenté de cartes SD/systèmes RO/stockages remote, et vu qu'il est question de stockage de donnée, je préfère une carte-mère plus "classique".
Je pense que beaucoup pourront énoncer des retours d'expérience différents, mais j'ai pour ma part beaucoup joué avec le Chiffrement de Nextcloud et j'en suis tellement apeuré que je n'ai qu'une hâte c'est d'en sortir définitivement. Note que je ne parle pas ici de chiffrement "end-to-end", mais "server-side encryption".
Pour la petite histoire, je voulais monter une VM entièrement dédiée à une archi Nextcloud pour mon association, et utiliser du stockage s3, le tout chez Scaleway pour optimiser les coûts/performances. J'avais déjà pas mal d'expérience au vu du fait que j'utilisais la bête depuis les débuts d'Owncloud. Bref, après la période de test, le seul malus que je voyais était que l'activation du chiffrement donne un sacré coup aux performances, mais j'ai accepté la perte pour le gain de sécurité des données.
Je monte ça donc proprement, ça marche super, et mis en prod. Bon les retours de lenteur sont réguliers, je grince des dents mais je fais avec.
Vient décembre 2019, j'active un plugin "Versions", qui permet de garder plusieurs versions des fichiers après modification. Janvier 2020, quelques jours plus tard, je m’aperçois d'une catastrophe, je vois mes fichiers dans l'UI, mais impossible de les déchiffrer et donc de les ouvrir, les logs indiquent un problème avec la clef. Bon ça m'inquiète mais je ne panique pas encore, je sais où est stocké la clef, c'est sauvegardé de façon journalière. Première grande surprise, lorsqu'on active le s3 comme stockage principal, la clef n'est pas sauvegardé sur le stockage "système" mais bien avec le s3. Et la, mon sang se glace parce que même si tout le système est sauvegardé, je n'ai STUPIDEMENT pas imaginé un problème de ce genre, et qu'aucune sauvegarde du s3 n'était fait (au vu du format des données je n'avais pas vu l'intérêt).
Je passe les heures de recherches frénétiques sur les issues Github et les essais infructueux, mais le fond du problème est (je pense avec le recul), que le plugin "Version" avait versionné les fichiers correspondant à la clef privée du chiffrement et ça avait tout pété.
Je ne me souviens plus exactement comment, mais j'ai réussi à identifier le fichier côté s3 correspondant à ma clef qui avait été versionné, et à le restaurer avec son nom d'origine, et ça marche à nouveau.
J'ai immédiatement tout déchiffré et ne l'ai plus jamais réactivé.
Malheureusement l'histoire ne s'arrête pas la, plusieurs mois après j'ai identifié des fichiers reliquats qui n'avait pas été déchiffré (ou mal déchiffré?, chelou), une bonne cinquantaine, et malgré pas mal d'essais, je n'ai jamais réussi à les récupérer côté Nextcloud. HEUREUSEMENT j'avais presque tout synchronisé avec Nextcloud Desktop, et au final, seul une poignée d'images ont étés perdues…
Bref, même si tout tourne encore, je n'ai qu'une hâte, c'est de tout rapatrier chez moi, de tout remonter ça au propre et de gérer le chiffrement autrement, car vraiment le chiffrement de Nextcloud c'est PLUS JAMAIS.
P.S. : Il y a énormément d'issues liées au chiffrement sur le Github de Nextcloud (et d'autres liés), je recommande vivement de les lire si vous souhaitez vous y aventurer…
En effet mon message complété du grep était trompeur, mais le pid (ici 13024 dans l'exemple) est à chaque fois
usr/bin/python /bin/yum updateinfo list sec Le rm du /var/run/yum.pid n'a pas d'effet non plus
Je me permet de rajouter certains détails pas facilement accessibles à tout le monde :
La mise en place de Cloudflare sur ameli.fr à été mis en place progressivement en début d'année afin d'aider à absorber les (trop) importants pics de trafic, lorsque l'inquiétude était encore importante et les annonces gouvernementales allaient bon train, mais également à restreindre les dégâts suite aux attaques DDoS (occasionnels mais bien réels), tout ça pour avoir la meilleure haute dispo possible.
Pour les interrogations présentes dans les commentaires, (www.)ameli.fr (hébergé par une ESN française) fournit uniquement des ressources statiques et des "articles" liés à l'assurance maladie où la santé. Toute la partie assure.ameli.fr est quant-à-elle bien à part, n'est pas derrière Cloudflare, et est hébergée séparément.
Pour la partie Certificat, il ne s'agit pas d'un certificat Cloudflare, mais ce dernier dispose bien du certificat ainsi que de sa clef privée pour effectuer la terminaison TLS.
Tout ceci étant dit, les personnes derrière ameli.fr ont bien conscience des problématiques potentielles que pose Cloudflare vis-à-vis des réglementations, et trouver une alternative européenne est probablement encore dans les cartons.
Vous faites le build avec Github-CI non ? Pour avoir essayé de faire du multi-arch avec très récemment (compilation du module LDAP pqChecker), c'était mission impossible de faire quelque chose de propre (je suis preneur sur le sujet)…
Pour ma part j'ai eu besoin de faire du multi-arch car mon serveur "de prod" est un RaspberryPi… :)
Pour ceux que cela intéresse j'avais réalisé une image Docker pour les trois applications de LTB (white-pages/service-desk/self-service-password) avant qu'ils ne prennent l'initiative de réaliser leur propre image pour Self-Service-Password. Toujours pertinente au vu qu'il n'y a pas encore d'image officielle pour les autres app.
Par contre je ne savais même pas pour la fonctionnalité Multi tenants oO, merci de l'information.
Mais à vrai dire je comptais déjà migrer mon Pass vers autre chose. J'utilise également Bitwarden, et je veux essayer d'utiliser rofi-rbw pour le cli et bricoler quelque chose avec dmenu pour avoir l'équivalent de mon utilisation de Pass.
Pas tout-à-fait, SC ne signifie pas Sign Capability mais Sign, Certify, et indique que la clef est utilisable non seulement pour signer mais aussi pour certifier.
Ah oui en effet, merci de la rectification!
Générer une sous-clef de chiffrement est bien toujours le comportement par défaut de GnuPG. Sauf gros bug (toujours possible mais franchement peu probable parce qu’un bug pareil aurait peu de chance de passer inaperçu), le seul moyen d’obtenir une clef comme la tienne (clef principale SC + une sous-clef S) est de le demander explicitement.
En relisant mes notes, je me rends compte que c'est exactement cela, bien vu :
gpg --full-generate-key --expert
Select (11) ECC (set your own capabilities)
Possible actions for a ECDSA/EdDSA key: Sign Certify Authenticate
Current allowed actions: Sign Certify > (Q) Finished
[...]
[^] # Re: prendre le probleme dans l'autre sens
Posté par nox . En réponse au message Cherche app locker. Évalué à 0 (+0/-1).
Merci encore une fois, mais comme je l'ai dit ce n'est pas ce que je cherche :)
"Well there are many scenarios where you do want to give access to someone but still have the protection on the app so they cannot easily open it.
Here are some scenarios:
Forgot to lock you PC, and yes i do have it lock automatically after 5-10min but that is still enough time
Let someone use your computer for a quick browse"
Je cherche spécifiquement une surcouche logicielle pour verrouiller une application.
[^] # Re: prendre le probleme dans l'autre sens
Posté par nox . En réponse au message Cherche app locker. Évalué à 3 (+2/-0).
Merci d'avoir pris de ton temps pour écrire cela, quelqu'un allait forcément l'écrire. Ce n'est cependant pas la solution que je cherche.
# A l'arrache
Posté par nox . En réponse au journal Jardinage : tu as commencé tes semis ?. Évalué à 1.
A titre purement perso, je fais beaucoup de récup en fin marché, après le nettoyage tout les restes partent dans des cagettes de terre mélangé superficiellement en surface.
Au soleil, à l'abri du vent, cela finit par faire pas mal de plants qui poussent sans effort. Cela marche très bien avec les tomates et courges/butternut, le reste un peu moins. Poivrons en saison plus chaude également. Tout ce qui est patates germées finissent coupées en deux et plantés également, ça marche super.
# Une perte.
Posté par nox . En réponse au journal Suppression de la gestion des SMS par Signal. Évalué à 1.
J'ai peut-être 30 de mes contacts qui utilisent Signal, ce qui représente peut-être 1/3, dont assez peu de personnes du métier, ce qui est assez fantastique.
Par contre je sais que pratiquement tous (et moi compris) utilisent Signal pour les messages chiffrés ET les SMS. Et on s'en sort tous (plus ou moins) bien.
Par contre la perte des SMS va être vraiment problématique. Je pense que la quasi-majorité vont abandonner… Et de facto je ne pourrais plus utiliser Signal qu'avec les 3 acharnés qu'il me restera…
[^] # Re: Asso de parent d'élèves
Posté par nox . En réponse au journal De la difficulté de faire vivre une association. Évalué à 1.
C'est interessant comme exemple, j'imagine qu'il faut une masse critique également pour en arriver à ce stade.
[^] # Re: Contre exemple
Posté par nox . En réponse au journal De la difficulté de faire vivre une association. Évalué à 2.
Et heureusement qu'il y en a des contre-exemples !
[^] # Re: Tout pareil
Posté par nox . En réponse au journal De la difficulté de faire vivre une association. Évalué à 2.
C'est un peu ce que je fais actuellement. Je suis en "vacances" depuis juin, je garde un oeil passif sur l'asso, et ce n'est pas fameux… C'est difficile de regarder dépérir un projet qui tient autant à coeur.
[^] # Re: Idem ici
Posté par nox . En réponse au journal De la difficulté de faire vivre une association. Évalué à 2.
Cela fait déjà 3 ans que je ne postule pas pour le poste de Président. Lors de l'AG (et en amont), on demande qui se porte volontaire. Grand silence pendant 5 minutes… Pour que finalement je me sente forcé de m'avancer à nouveau… Mais oui je pense aussi qu'une masse critique est nécessaire.
# Jekyll
Posté par nox . En réponse au journal Static Site Generator. Évalué à 3.
J'ai eu le même besoin il y a quelques temps déjà, je voulais le truc le plus bête et méchant possible, et je me suis arrêté sur Jekyll.
J'ai vraiment pris le projet de base, foutu sur GitHub et j'écris mes pages en markdown.
Il m'a fallu un peu creuser pour rajouter une pagination et une page de catégories, mais c'est tout : https://github.com/NoxInmortus/noxinmortus.github.io
J'ai prévu de le migrer sur Gitlab, donc va falloir ressortir la pelle mais ça devrait pas être si laborieux.
[^] # Re: Quelques idées
Posté par nox . En réponse au message Donne routeurs WRT54GL mais pas que. Évalué à 1.
bonne idée merci :)
[^] # Re: Logiciels Libres et économie sociale
Posté par nox . En réponse au journal Le mouvement du logiciel libre est un mouvement politique et social. Évalué à 3.
Intéressante lecture, merci pour le partage. Et toujours d'actualité!
# Correction
Posté par nox . En réponse au journal Le mouvement du logiciel libre est un mouvement politique et social. Évalué à 2. Dernière modification le 18 février 2022 à 17:52.
que ce serait-il passé pour les habitants de ce pays lors des cinq années suivantes ?
# nice!
Posté par nox . En réponse à la dépêche Le wiki d'Herminien, un wiki destiné aux novices pour un numérique respectueux et émancipateur. Évalué à 3.
Salut, bien foutu, beau travail, je garde dans un coin également :)
[^] # Re: comme avec cygwin ;)
Posté par nox . En réponse au message Pass menu without GUI/Display. Évalué à 1.
Hello, en effet je suis arrivé à afficher dmenu avec vcxsrv. Mais très galère pour pouvoir l'utiliser !
J'ai réussi à bidouiller en lançant un terminal comme une app graphique, et ainsi je peux utiliser dmenu (https://medium.com/javarevisited/using-wsl-2-with-x-server-linux-on-windows-a372263533c3)
mais c'est littéralement du bidouillage
[^] # Re: mini atx standard ?
Posté par nox . En réponse au message Carte-mère/Proc pour rack 1U. Évalué à 1.
Intéressant en effet, j'ai un serveur au taff dans ce style la.
Après justement, je cherche des cartes mini atx/itx qui ont fait leurs preuves et sont connues.
[^] # Re: RaspBerry Pi 4 ?
Posté par nox . En réponse au message Carte-mère/Proc pour rack 1U. Évalué à 1.
J'y ai pensé, mais j'ai zéro expérience avec les raspberryPi + disques durs, je me suis toujours contenté de cartes SD/systèmes RO/stockages remote, et vu qu'il est question de stockage de donnée, je préfère une carte-mère plus "classique".
# Nextcloud + Chiffrement, attention...
Posté par nox . En réponse au message Coffre fort numérique, entreposer ses documents en toute sécurité. Évalué à 7. Dernière modification le 17 octobre 2021 à 10:18.
Je pense que beaucoup pourront énoncer des retours d'expérience différents, mais j'ai pour ma part beaucoup joué avec le Chiffrement de Nextcloud et j'en suis tellement apeuré que je n'ai qu'une hâte c'est d'en sortir définitivement. Note que je ne parle pas ici de chiffrement "end-to-end", mais "server-side encryption".
Pour la petite histoire, je voulais monter une VM entièrement dédiée à une archi Nextcloud pour mon association, et utiliser du stockage s3, le tout chez Scaleway pour optimiser les coûts/performances. J'avais déjà pas mal d'expérience au vu du fait que j'utilisais la bête depuis les débuts d'Owncloud. Bref, après la période de test, le seul malus que je voyais était que l'activation du chiffrement donne un sacré coup aux performances, mais j'ai accepté la perte pour le gain de sécurité des données.
Je monte ça donc proprement, ça marche super, et mis en prod. Bon les retours de lenteur sont réguliers, je grince des dents mais je fais avec.
Vient décembre 2019, j'active un plugin "Versions", qui permet de garder plusieurs versions des fichiers après modification. Janvier 2020, quelques jours plus tard, je m’aperçois d'une catastrophe, je vois mes fichiers dans l'UI, mais impossible de les déchiffrer et donc de les ouvrir, les logs indiquent un problème avec la clef. Bon ça m'inquiète mais je ne panique pas encore, je sais où est stocké la clef, c'est sauvegardé de façon journalière. Première grande surprise, lorsqu'on active le s3 comme stockage principal, la clef n'est pas sauvegardé sur le stockage "système" mais bien avec le s3. Et la, mon sang se glace parce que même si tout le système est sauvegardé, je n'ai STUPIDEMENT pas imaginé un problème de ce genre, et qu'aucune sauvegarde du s3 n'était fait (au vu du format des données je n'avais pas vu l'intérêt).
Je passe les heures de recherches frénétiques sur les issues Github et les essais infructueux, mais le fond du problème est (je pense avec le recul), que le plugin "Version" avait versionné les fichiers correspondant à la clef privée du chiffrement et ça avait tout pété.
Je ne me souviens plus exactement comment, mais j'ai réussi à identifier le fichier côté s3 correspondant à ma clef qui avait été versionné, et à le restaurer avec son nom d'origine, et ça marche à nouveau.
J'ai immédiatement tout déchiffré et ne l'ai plus jamais réactivé.
Malheureusement l'histoire ne s'arrête pas la, plusieurs mois après j'ai identifié des fichiers reliquats qui n'avait pas été déchiffré (ou mal déchiffré?, chelou), une bonne cinquantaine, et malgré pas mal d'essais, je n'ai jamais réussi à les récupérer côté Nextcloud. HEUREUSEMENT j'avais presque tout synchronisé avec Nextcloud Desktop, et au final, seul une poignée d'images ont étés perdues…
Bref, même si tout tourne encore, je n'ai qu'une hâte, c'est de tout rapatrier chez moi, de tout remonter ça au propre et de gérer le chiffrement autrement, car vraiment le chiffrement de Nextcloud c'est PLUS JAMAIS.
P.S. : Il y a énormément d'issues liées au chiffrement sur le Github de Nextcloud (et d'autres liés), je recommande vivement de les lire si vous souhaitez vous y aventurer…
[^] # Re: cherche le process 13024
Posté par nox . En réponse au message yum list-sec running continuously. Évalué à 1.
En effet mon message complété du grep était trompeur, mais le pid (ici 13024 dans l'exemple) est à chaque fois
usr/bin/python /bin/yum updateinfo list sec
[^] # Re: Windows10Debloater & Chocolatey
Posté par nox . En réponse au message Windows 10 as a workstation ?. Évalué à 1.
Ah, du croustillant ! Je vais m'empresser de lire tout ceci, merci!
[^] # Re: My 2 cents
Posté par nox . En réponse au message Windows 10 as a workstation ?. Évalué à 1.
Merci pour le retour, du coup surtout pas de compte Microsoft!
# Plus d'infos
Posté par nox . En réponse au journal Améli et la Souveraineté Numérique. Évalué à 10.
Hello,
Je me permet de rajouter certains détails pas facilement accessibles à tout le monde :
La mise en place de Cloudflare sur ameli.fr à été mis en place progressivement en début d'année afin d'aider à absorber les (trop) importants pics de trafic, lorsque l'inquiétude était encore importante et les annonces gouvernementales allaient bon train, mais également à restreindre les dégâts suite aux attaques DDoS (occasionnels mais bien réels), tout ça pour avoir la meilleure haute dispo possible.
Pour les interrogations présentes dans les commentaires, (www.)ameli.fr (hébergé par une ESN française) fournit uniquement des ressources statiques et des "articles" liés à l'assurance maladie où la santé. Toute la partie assure.ameli.fr est quant-à-elle bien à part, n'est pas derrière Cloudflare, et est hébergée séparément.
Pour la partie Certificat, il ne s'agit pas d'un certificat Cloudflare, mais ce dernier dispose bien du certificat ainsi que de sa clef privée pour effectuer la terminaison TLS.
Tout ceci étant dit, les personnes derrière ameli.fr ont bien conscience des problématiques potentielles que pose Cloudflare vis-à-vis des réglementations, et trouver une alternative européenne est probablement encore dans les cartons.
[^] # Re: image docker non-officielle
Posté par nox . En réponse à la dépêche Sortie de LDAP Tool Box Self Service Password 1.4. Évalué à 1.
Super!
Vous faites le build avec Github-CI non ? Pour avoir essayé de faire du multi-arch avec très récemment (compilation du module LDAP pqChecker), c'était mission impossible de faire quelque chose de propre (je suis preneur sur le sujet)…
Pour ma part j'ai eu besoin de faire du multi-arch car mon serveur "de prod" est un RaspberryPi… :)
# image docker non-officielle
Posté par nox . En réponse à la dépêche Sortie de LDAP Tool Box Self Service Password 1.4. Évalué à 2.
Pour ceux que cela intéresse j'avais réalisé une image Docker pour les trois applications de LTB (white-pages/service-desk/self-service-password) avant qu'ils ne prennent l'initiative de réaliser leur propre image pour Self-Service-Password. Toujours pertinente au vu qu'il n'y a pas encore d'image officielle pour les autres app.
Par contre je ne savais même pas pour la fonctionnalité Multi tenants oO, merci de l'information.
[^] # Re: gopass
Posté par nox . En réponse au journal Ma redécouverte de GPG. Évalué à 1.
Intéressant!
Mais à vrai dire je comptais déjà migrer mon Pass vers autre chose. J'utilise également Bitwarden, et je veux essayer d'utiliser rofi-rbw pour le cli et bricoler quelque chose avec dmenu pour avoir l'équivalent de mon utilisation de Pass.
[^] # Re: Sous-clef de chiffrement
Posté par nox . En réponse au journal Ma redécouverte de GPG. Évalué à 5.
Ah oui en effet, merci de la rectification!
En relisant mes notes, je me rends compte que c'est exactement cela, bien vu :
gpg --full-generate-key --expert
Select (11) ECC (set your own capabilities)
Possible actions for a ECDSA/EdDSA key: Sign Certify Authenticate
Current allowed actions: Sign Certify > (Q) Finished
[...]