Surtout que sur la plupart des téléviseurs de ce type, enfin au moins sur le mien, il existe un mode « zoom ». Ça élargit au maximum en conservant les proportions et donc, oui, ça tronque le haut et le bas de l'image ... soit justement ces fameuses bandes noires quand un film est diffusé en 4:3.
C'est-à-dire que, dit comme çà, j'ai l'impression que pour Aldoo, coder est une activité rebutante, voire dégradante (d'une part) et - surtout - que les gens qui le font n'arrivent qu'en bout de ligne pour traduire dans un langage donné un pseudo-code qui a déjà été prémaché par leurs supérieurs. Je pense que depuis 1960, ce modèle n'existe plus.
D'une part, il y a bien longtemps que l'on ne distingue plus les analystes des programmeurs, d'autre part, ce sont ceux qui sont confrontés de près à l'utilisation de leur machine au quotidien qui développent le meilleur esprit d'analyse et qui pondent au final les algos les plus efficaces. Alors constater qu'il y a des gens qui pensent qu'au contraire, quand on est devant un écran, on n'est qu'exécutif, ça me scie.
Aldoo a carrément écrit que le travail d'un programmeur ne réside que dans sa forme !
En outre, il y a bien longtemps, également, que les ordinateurs ont dépassé le simple stade des outils d'aide aux mathématiques. Avec ce genre de raisonnement, on n'aurait jamais connu les jeux vidéos, par exemple.
M'enfin bon. Tout cela est assez révélateur de la mentalité d'une certaine partie des scientifiques, que je pensais pourtant en nette régression. Les gens qui sont doués pour les mathématiques traditionnelles avaient l'habitude d'être les rois du monde, parce que ça s'applique à peu près tout les domaines de la vie courante : physique sous toutes ses formes, finances, astronomie, aérospatiale, etc. Or, il se trouve que les ordinateurs utilisent et poussent à l'extrême une branche très particulière de ces mathématiques dans laquelle ces gens-là ne sont pas plus avantagés que le commun des mortels. Malgré cela, les ordinateurs sont omniprésents. Et beaucoup de gens ne comprennent pas que l'on remette en cause l'universalité de leur connaissances.
Et puis puisque l'on parle d'ingénierie, il est de fait que beaucoup de gens estiment désormais que l'activité principale d'un ingénieur n'est plus la conception, mais le management. Ça, déjà, ça pourrait faire jazzer pendant des heures, mais bon. Pour moi, l'emblématique de l'ingéniérie est la conception des ponts et des avions. Beaucoup de maths et de théorie initiale, certes, mais pour produire quand même au final des ouvrages d'art (dans tous les sens du terme). Spécialement, en aéronautique, d'ailleurs (« pour qu'un avion vole bien, il faut qu'il soit beau », selon Marcel Dassault).
Avec ce genre d'approche, on arriverait à des trucs du style : « pour faire un avion, on part de l'existant - un autobus - on lui colle deux ailes et on motorise suffisamment, jusqu'à ce que ça vole ». Et quand je vois comment sont conduits certains projets, particulièrement en informatique, je me dis que c'est pas loin de la réalité.
que ce soit au niveau recherche, ingénierie ou pissage de code.
Je crois qu'il n'y a rien à faire. La programmation est l'essence-même de l'informatique. C'est probablement l'activité la plus créative de toute la discipline, mais aujourd'hui, un programmeur, c'est un pisseur de code. Un ingé évolue forcément vers quelque chose d'autre, sinon ce n'est plus un ingé. C'est désolant.
OpenSSL utilise un fichier de configuration pour connaître les valeurs par défaut de tout ce qu'il y a à mettre dans un certificat. Tu peux passer une bonne partie de ces valeurs sur la ligne de commande, mais elle devient alors kilométrique ... Donc : regarde dans /etc/pki/tls/openssl.cnf. C'est le fichier de configuration d'OpenSSL par défaut. Copie-le dans le répertoire config de la CA que tu as dû créer si tu as suivi le tutoriel en entier.
Édite cette copie et mets-y tes valeurs par défaut. Lis bien chaque option, y compris celle qui sont commentées. Fais ensuite des copies de ce fichier pour chaque type d'opération que tu as l'intention d'effectuer : requête, signature, création du certificat racine ... (en principe, ces deux ou trois-là devraient être suffisants).
Le détail qui change tout : n'oublie pas d'ajouter utf8 = yes dans la section [ req ]. Ou alors passer -utf8 sur la ligne de commande. Autrement, il te génère bien un certif' compatible UTF-8, mais il parse quand même le contenu de ton fichier de conf' en ASCII.
Il faudra donc au minimum préciser le pays (Country - C), l'organisation (O), l'unité organisationelle (OU), et le Common Name (CN), soit le p'tit nom de ton certif' ou de ce qu'il représente. Si tu crées ce certificat pour un serveur, le CN doit obligatoirement contenir le nom de serveur pleinement qualifié (avec le domaine).
De là, première étape (à n'effectuer qu'une seule fois), la création du certificat racine, que tu conserveras précieusement :
1) Génère suffisamment de données aléatoires dans un fichier (ainsi, tu pourras recommencer facilement en cas de pépin). Ça peut être long si tu utilises le générateur de vrais nombres aléatoires. N'oublie pas de provoquer de l'activité disque, réseau, souris et autres pour accélérer cette production. dd if=/dev/random of=private/.rand bs=1 count=16384
2) Tu vas créer la clé privée du certificat racine. À conserver en lieu sûr et à ne jamais divulguer ! D'ailleurs, tu vas même la protéger par une passphrase. Choisis-là suffisamment longue pour qu'elle ne soit pas triviale, mais pas trop compliquée non plus car tu la saisiras chaque fois que tu signeras un certificat. openssl genrsa -aes256 -out private/ca.key -rand private/.rand 4096
chmod 400 private/ca.key
3) Crée le certificat racine. On le fait en faisant une requête et en passant -x509 pour qu'il remplissent directement les champs qui en font un certificat à part entière ... en l'autosignant. « req » dit que l'on veut travailler sur des demandes de signature. « new » dit que l'on souhaite en créer une (et pas travailler sur un fichier existant). « root-ca-cert.cnf » est le nom de ton fichier de config. On va le signer avec la clé que tu viens de créer, il faudra donc saisir ta passphrase pour pouvoir utiliser cette clé. openssl req -new -x509 -days 3650 -config configs/root-ca-cert.cnf -key private/ca.key -out ca.crt
Et voila. Tu viens de créer le certificat racine, valable 10 ans, qui signera tous les autres. Il faudra également le communiquer aux différents clients si ce n'est pas automatique. C'est l'équivalent d'un CACert, Thawte ou Verisign. Note que ce certificat est à la racine de ton répertoire CA, et pas dans un de ses sous-répertoires. La clé privée, elle, reste en dessous de private. Sauve bien les deux et ne divulgue jamais la clé, encore une fois.
Deuxième étape, à répéter pour chaque certificat que tu vas créer et signer :
4) Regénère des données aléatoires (moins long cette fois) : dd if=/dev/random of=private/.rand bs=1 count=4096
5) Regénère une clé. Sans passphrase cette fois, parce qu'elle ne protège qu'un seul certificat, et qu'il faudrait resaisir cette passphrase à chaque fois que l'on relancerait le serveur qui utilise le certificat qu'elle protège. openssl genrsa -out private/ldap.key -rand private/.rand 1024
chmod 400 private/ldap.key
6) Refais une demande de signature en bonne et due forme, sans « -x509 », cette fois. Je te conseille de choisir comme nom de fichier la valeur que tu donneras à ton OU. De plus, on déposera cette demande dans le répertoire prévu à cet effet, « csr ». Le fichier « server-csr.cnf » est ton fichier de config dédié à la demande de certificats, si ce n'est pas le même. openssl req -new -out csr/ldap.csr -config server-csr.cnf -key private/ldap.key
7) Tu as maintenant un certificat, protégé par une clé secrète, mais pas encore authentifié. On va demander à la CA de signer ce certificat avec le sien. « sign.cnf » est le ficheir de config dédié à la signature. Si tu l'as bien configuré, il contient déjà les noms et emplacements du certificat racine et de sa clé, ce qui t'évite d'avoir à te les palucher à chaque fois sur la ligne de commande. openssl ca -out certs/ldap.crt -in csr/ldap.csr -config sign.cnf
Importe ensuite manuellement le fichier ca.crt dans la liste des autorités de certification de Firefox, par exemple. On ne doit pas te demander de passphrase à ce stade. Il faudra faire de même pour tous les clients sécurisés, style ldapsearch ou autre. Enfin, utilise un certificat signé (pas celui de la CA) par serveur à authentifier.
C'est fastidieux, mais c'est une méthode universelle. Avec çà, fini les certifs auto-signés.
Surtout qu'une machine, ça se dévalue vite. Si on veut en acheter deux pour le principe, il faut avoir la place et le budget. C'est idiot d'avoir une machine déjà périmée alors qu'elle n'a jamais été mise sous tension ...
J'vais p'têt dire une connerie, mais un bête fichier HTML à la place de tout le tralala, ce ne serait pas aussi efficace et largement plus « Open » et universel ?
Au pire, une deuxième interface réseau PCI bien rangée dans sa boîte est encore la solution qui reviendra le moins cher, puisqu'on peut pratiquement être sûrs, en plus, qu'elle sera immédiatement reconnue sous Linux.
Le jour où ta première interface réseau claque, ce qui n'est franchement pas courant, tu la branches, tu fais ifconfig et c'est fini.
[^] # Re: Pour faire vendre des télés
Posté par Obsidian . En réponse au journal 4/3 16/9 panscan letterbox .... Évalué à 2.
[^] # Re: Informaticien ?
Posté par Obsidian . En réponse au journal Le chercheur, l'ingénieur et l'informaticien. Évalué à 9.
D'une part, il y a bien longtemps que l'on ne distingue plus les analystes des programmeurs, d'autre part, ce sont ceux qui sont confrontés de près à l'utilisation de leur machine au quotidien qui développent le meilleur esprit d'analyse et qui pondent au final les algos les plus efficaces. Alors constater qu'il y a des gens qui pensent qu'au contraire, quand on est devant un écran, on n'est qu'exécutif, ça me scie.
Aldoo a carrément écrit que le travail d'un programmeur ne réside que dans sa forme !
En outre, il y a bien longtemps, également, que les ordinateurs ont dépassé le simple stade des outils d'aide aux mathématiques. Avec ce genre de raisonnement, on n'aurait jamais connu les jeux vidéos, par exemple.
M'enfin bon. Tout cela est assez révélateur de la mentalité d'une certaine partie des scientifiques, que je pensais pourtant en nette régression. Les gens qui sont doués pour les mathématiques traditionnelles avaient l'habitude d'être les rois du monde, parce que ça s'applique à peu près tout les domaines de la vie courante : physique sous toutes ses formes, finances, astronomie, aérospatiale, etc. Or, il se trouve que les ordinateurs utilisent et poussent à l'extrême une branche très particulière de ces mathématiques dans laquelle ces gens-là ne sont pas plus avantagés que le commun des mortels. Malgré cela, les ordinateurs sont omniprésents. Et beaucoup de gens ne comprennent pas que l'on remette en cause l'universalité de leur connaissances.
Et puis puisque l'on parle d'ingénierie, il est de fait que beaucoup de gens estiment désormais que l'activité principale d'un ingénieur n'est plus la conception, mais le management. Ça, déjà, ça pourrait faire jazzer pendant des heures, mais bon. Pour moi, l'emblématique de l'ingéniérie est la conception des ponts et des avions. Beaucoup de maths et de théorie initiale, certes, mais pour produire quand même au final des ouvrages d'art (dans tous les sens du terme). Spécialement, en aéronautique, d'ailleurs (« pour qu'un avion vole bien, il faut qu'il soit beau », selon Marcel Dassault).
Avec ce genre d'approche, on arriverait à des trucs du style : « pour faire un avion, on part de l'existant - un autobus - on lui colle deux ailes et on motorise suffisamment, jusqu'à ce que ça vole ». Et quand je vois comment sont conduits certains projets, particulièrement en informatique, je me dis que c'est pas loin de la réalité.
[^] # Re: Informaticien ?
Posté par Obsidian . En réponse au journal Le chercheur, l'ingénieur et l'informaticien. Évalué à 4.
[^] # Re: Informaticien ?
Posté par Obsidian . En réponse au journal Le chercheur, l'ingénieur et l'informaticien. Évalué à 7.
Je crois qu'il n'y a rien à faire. La programmation est l'essence-même de l'informatique. C'est probablement l'activité la plus créative de toute la discipline, mais aujourd'hui, un programmeur, c'est un pisseur de code. Un ingé évolue forcément vers quelque chose d'autre, sinon ce n'est plus un ingé. C'est désolant.
[^] # Re: beurre, argent du beurre et ... de la cremiere
Posté par Obsidian . En réponse au message Cherche opérateur satellite Afrique/Amérique latine. Évalué à 2.
[^] # Re: beurre, argent du beurre et ... de la cremiere
Posté par Obsidian . En réponse au message Cherche opérateur satellite Afrique/Amérique latine. Évalué à 3.
[^] # Re: Journal / Forum
Posté par Obsidian . En réponse au journal Going full VOIP ?. Évalué à 2.
parler !
C'était presque bien joué! :)
Même chose ! :-)
[^] # Re: cn=chezmoicamarche,dc=org
Posté par Obsidian . En réponse au message ldap + tls. Évalué à 2.
OpenSSL utilise un fichier de configuration pour connaître les valeurs par défaut de tout ce qu'il y a à mettre dans un certificat. Tu peux passer une bonne partie de ces valeurs sur la ligne de commande, mais elle devient alors kilométrique ... Donc : regarde dans /etc/pki/tls/openssl.cnf. C'est le fichier de configuration d'OpenSSL par défaut. Copie-le dans le répertoire config de la CA que tu as dû créer si tu as suivi le tutoriel en entier.
Édite cette copie et mets-y tes valeurs par défaut. Lis bien chaque option, y compris celle qui sont commentées. Fais ensuite des copies de ce fichier pour chaque type d'opération que tu as l'intention d'effectuer : requête, signature, création du certificat racine ... (en principe, ces deux ou trois-là devraient être suffisants).
Le détail qui change tout : n'oublie pas d'ajouter utf8 = yes dans la section [ req ]. Ou alors passer -utf8 sur la ligne de commande. Autrement, il te génère bien un certif' compatible UTF-8, mais il parse quand même le contenu de ton fichier de conf' en ASCII.
Il faudra donc au minimum préciser le pays (Country - C), l'organisation (O), l'unité organisationelle (OU), et le Common Name (CN), soit le p'tit nom de ton certif' ou de ce qu'il représente. Si tu crées ce certificat pour un serveur, le CN doit obligatoirement contenir le nom de serveur pleinement qualifié (avec le domaine).
De là, première étape (à n'effectuer qu'une seule fois), la création du certificat racine, que tu conserveras précieusement :
1) Génère suffisamment de données aléatoires dans un fichier (ainsi, tu pourras recommencer facilement en cas de pépin). Ça peut être long si tu utilises le générateur de vrais nombres aléatoires. N'oublie pas de provoquer de l'activité disque, réseau, souris et autres pour accélérer cette production.
dd if=/dev/random of=private/.rand bs=1 count=163842) Tu vas créer la clé privée du certificat racine. À conserver en lieu sûr et à ne jamais divulguer ! D'ailleurs, tu vas même la protéger par une passphrase. Choisis-là suffisamment longue pour qu'elle ne soit pas triviale, mais pas trop compliquée non plus car tu la saisiras chaque fois que tu signeras un certificat.
openssl genrsa -aes256 -out private/ca.key -rand private/.rand 4096chmod 400 private/ca.key
3) Crée le certificat racine. On le fait en faisant une requête et en passant -x509 pour qu'il remplissent directement les champs qui en font un certificat à part entière ... en l'autosignant. « req » dit que l'on veut travailler sur des demandes de signature. « new » dit que l'on souhaite en créer une (et pas travailler sur un fichier existant). « root-ca-cert.cnf » est le nom de ton fichier de config. On va le signer avec la clé que tu viens de créer, il faudra donc saisir ta passphrase pour pouvoir utiliser cette clé.
openssl req -new -x509 -days 3650 -config configs/root-ca-cert.cnf -key private/ca.key -out ca.crtEt voila. Tu viens de créer le certificat racine, valable 10 ans, qui signera tous les autres. Il faudra également le communiquer aux différents clients si ce n'est pas automatique. C'est l'équivalent d'un CACert, Thawte ou Verisign. Note que ce certificat est à la racine de ton répertoire CA, et pas dans un de ses sous-répertoires. La clé privée, elle, reste en dessous de private. Sauve bien les deux et ne divulgue jamais la clé, encore une fois.
Deuxième étape, à répéter pour chaque certificat que tu vas créer et signer :
4) Regénère des données aléatoires (moins long cette fois) :
dd if=/dev/random of=private/.rand bs=1 count=40965) Regénère une clé. Sans passphrase cette fois, parce qu'elle ne protège qu'un seul certificat, et qu'il faudrait resaisir cette passphrase à chaque fois que l'on relancerait le serveur qui utilise le certificat qu'elle protège.
openssl genrsa -out private/ldap.key -rand private/.rand 1024chmod 400 private/ldap.key
6) Refais une demande de signature en bonne et due forme, sans « -x509 », cette fois. Je te conseille de choisir comme nom de fichier la valeur que tu donneras à ton OU. De plus, on déposera cette demande dans le répertoire prévu à cet effet, « csr ». Le fichier « server-csr.cnf » est ton fichier de config dédié à la demande de certificats, si ce n'est pas le même.
openssl req -new -out csr/ldap.csr -config server-csr.cnf -key private/ldap.key7) Tu as maintenant un certificat, protégé par une clé secrète, mais pas encore authentifié. On va demander à la CA de signer ce certificat avec le sien. « sign.cnf » est le ficheir de config dédié à la signature. Si tu l'as bien configuré, il contient déjà les noms et emplacements du certificat racine et de sa clé, ce qui t'évite d'avoir à te les palucher à chaque fois sur la ligne de commande.
openssl ca -out certs/ldap.crt -in csr/ldap.csr -config sign.cnfImporte ensuite manuellement le fichier ca.crt dans la liste des autorités de certification de Firefox, par exemple. On ne doit pas te demander de passphrase à ce stade. Il faudra faire de même pour tous les clients sécurisés, style ldapsearch ou autre. Enfin, utilise un certificat signé (pas celui de la CA) par serveur à authentifier.
C'est fastidieux, mais c'est une méthode universelle. Avec çà, fini les certifs auto-signés.
[^] # Re: beurre, argent du beurre et ... de la cremiere
Posté par Obsidian . En réponse au message Cherche opérateur satellite Afrique/Amérique latine. Évalué à 3.
C'est le mauvais exemple, à mon avis. S'il y a un endroit où cela devrait être facile à déployer, c'est bien dans le métro ...
[^] # Re: pilote pour carte nividia
Posté par Obsidian . En réponse au message probleme avec fedora9 et Gforce 8500GT. Évalué à 2.
[^] # Re: Backup?
Posté par Obsidian . En réponse au message Channel bonding, nécessaire ?. Évalué à 2.
# Une page web ?
Posté par Obsidian . En réponse au journal Accès au contenu "OpenDisc" d'un CD audio. Évalué à 10.
[^] # Re: Hard Core Solution
Posté par Obsidian . En réponse au message Boîtes de conserve. Évalué à 7.
T-Shirt + vraie boîte de conserve => Presse hydraulique.
On ne fait pas plus réaliste !
[^] # Re: Backup?
Posté par Obsidian . En réponse au message Channel bonding, nécessaire ?. Évalué à 2.
[^] # Re: Backup?
Posté par Obsidian . En réponse au message Channel bonding, nécessaire ?. Évalué à 2.
Au pire, une deuxième interface réseau PCI bien rangée dans sa boîte est encore la solution qui reviendra le moins cher, puisqu'on peut pratiquement être sûrs, en plus, qu'elle sera immédiatement reconnue sous Linux.
Le jour où ta première interface réseau claque, ce qui n'est franchement pas courant, tu la branches, tu fais ifconfig et c'est fini.
[^] # C'est vendredi, c'est permis !
Posté par Obsidian . En réponse au journal La libération de L. Bettancourt , du gros pipo ?. Évalué à 2.
(je m'enfuis).
[^] # Re: Avec les cosmétiques Radioactiva ma peau est lumineuse.
Posté par Obsidian . En réponse au journal CPL et risques sanitaires. Évalué à 10.
Oh, bah, chez les geeks, de toutes façons ...
[^] # Re: sainte ingrid
Posté par Obsidian . En réponse au journal La libération de L. Bettancourt , du gros pipo ?. Évalué à 5.
[^] # Re: katsuNi
Posté par Obsidian . En réponse au journal La libération de L. Bettancourt , du gros pipo ?. Évalué à 4.
[^] # Re: Je confirme
Posté par Obsidian . En réponse au journal La libération de L. Bettancourt , du gros pipo ?. Évalué à 0.
[^] # Re: Je confirme
Posté par Obsidian . En réponse au journal La libération de L. Bettancourt , du gros pipo ?. Évalué à 4.
Énorme, ce journal. Qu'en pense Kastumi, au fait ?
[^] # Re: cn=chezmoicamarche,dc=org
Posté par Obsidian . En réponse au message ldap + tls. Évalué à 2.
Lire les deux pages (« avec l'usine »).
[^] # Re: Tcpdump et autres
Posté par Obsidian . En réponse au message firewall. Évalué à 5.
[^] # Re: Les inconnus, merveilleux
Posté par Obsidian . En réponse au journal Ingrid Bétancourt libérée. Évalué à 2.
[^] # Re: faut pas croire... on gagnera rien !
Posté par Obsidian . En réponse au journal Un progrès contre la vente liée. Évalué à 3.
Si on voit bien « PC : 600 €, dont Windows Vista OEM 120 € », au moins ça fera réfléchir les gens, et les informera sur la réalité des choses.