Benoît Sibaud a écrit 9301 commentaires

Il est aussi possible de cliquer sur le titre pour arriver sur la page du sondage pour voir les résultats.

S'il devait avoir une tombe, autant que Linus ait son nom Torvalds écrit correctement dessus.

Ces deux commentaires ont été écrits tel que bed415 et non modifiés par l'équipe du site.

Ajoutés dans l'aide : https://linuxfr.org/aide#aide-karma et https://linuxfr.org/aide#aide-role

L'idéal serait même une page dédiée avec le détail du calcul menant à ce karma avec ce qui nous est en conséquence interdit ou autorisé et la présentation des différents seuils qui changent les autorisations.

Cf le page de wiki https://linuxfr.org/wiki/Karma

Pareil, ce sont quoi ces rôles ? Quels sont les intervalles et qu'est ce que ça change d'être tel ou tel rôle à part avoir ce titre ?

• admin : les admins
• inactive : les comptes fermés
• moderator : les modérateurs
• reviewer : les relecteurs
• visitor : les visiteurs, tous ceux qui ne sont pas dans une catégorie précédente

Il n'y a pas eu de changement concernant les commentaires.

Et depuis le commit qui vient d'atteindre la production en parallèle, tu ne peux plus écrire sur la tribune.

Actuellement, vu ton karma, tu peux écrire des dépêches, des sondages, des entrées de forums, des commentaires et écrire sur la tribune. Tu ne peux pas écrire des journaux et éditer le wiki.

Jusqu'à maintenant les commentaires supprimés sur ce journal l'ont été parce qu'ils comportent des insultes.

Doublon du #339
https://linuxfr.org/suivi/fonction-d%C3%A9dition-des-textes-commentaires-journaux-etc

Comme Trésor du monde, par le club par les clubs UNESCO.

Cf http://linuxfr.org/news/lunesco-reconna%c3%aet-gnu et http://www.fwtunesco.org/?FWT_ATM_Treasure_List:News:Free_Software_as_a_World_Treasure

Il est déjà possible de laisser des dépêches en rédaction, pour rédiger à plusieurs ou seuls. Et il suffit de mettre une mention Ne pas soumettre dans l'immédiat par éviter qu'elle soit transmise.

J'avais déjà regardé les fonctions du Sandy Bridge en terme d'aspects éthiques (donc notamment les dangers DRM et informatique déloyale, qui contrôle votre processeur) et bidouillabilité. Voir https://listes.april.org/wws/arc/informatique-deloyale/2011-01/msg00000.html et https://listes.april.org/wws/arc/informatique-deloyale/2011-01/msg00002.html

Quelle « prise en charge logicielle » pour :
- l'Intel Insider, une restriction matérielle pour faciliter le DRM sur le streaming ?
- le VPro qui permet de désactiver un ordi à distance ou d'effacer ses disques (par 3G, ethernet ou via internet) ?

(Source http://en.wikipedia.org/wiki/Sandy_Bridge_%28microarchitecture%29 )

La suppression à la demande de l'auteur (moi). En l'occurrence la suppression par l'auteur lui-même, qui a répondu au commentaire en pensant qu'il s'agissait de la dépêche Hadopi et PDF, donc à côté de la plaque.

Une adresse IP + un horodatage est parfois considéré comme une donnée personnelle car cela permet (via à un opérateur éventuellement) d'avoir le nom d'une personne physique/morale détentrice de l'abonnement utilisé pour la connexion. Évidemment cette personne peut être différente de la ou les personnes ayant utilisés la connexion, et l'adresse IP peut parfois être usurpée, utilisée à l'insu du détenteur, etc.

Wikipédia : « (...) l'adresse IP de connexion d'un internaute n'est pas considérée comme une donnée personnelle selon deux arrêts de la Cour d'Appel de Paris. Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée à caractère personnel (...) »

L'Hadopi dit que ce n'est pas une donnée personnelle : « La présidente de la Commission de protection des droits de l'Hadopi, Mireille Imbert-Quaretta, nous confirme que la Haute Autorité estime que l'adresse IP n'est pas une donnée personnelle (...) » (source Numérama)

Je (comme beaucoup d'autres) ne crois pas à la sécurité par l'obscurité. Et je suis pour diffuser/partager ce genre d'infos. On notera que dans certains cas (cf l'exemple avec les soldats), ce genre d'erreurs met des gens en danger. Ce n'est pas en mettant les problèmes sous le tapis qu'on les résout.

Et par ailleurs, le fait que cette IP soit diffusée ou non ne rend pas le principe de l'Hadopi meilleur ou pire...). Il montre juste une incohérence dans le fonctionnement de l'Hadopi. Ce qui devrait choquer, c'est le principe de l'Hadopi, pas une boulette dans un PDF. Comme ce qui devrait choquer, c'est le principe du vote électronique sans garantie et contrôle sur le scrutin, pas la n-ème faille de sécurité sur le sujet. Comme ce qui devrait choquer, c'est de donner toute sa vie privée à un acteur commercial qui la revend, pas la dernière joyeuseté de Facebook.

Une citation revue récemment qui me semble appropriée : « Chaque fois que nous assistons à un acte que nous estimons être injuste et que nous n’agissons pas, nous nous faisons les partisans de l’injustice. Ceux qui restent de façon répétée passifs face à l’injustice voient bientôt leur caractère se corrompre dans la servilité. La plupart des actes d’injustice dont nous sommes témoins sont liés à la mauvaise gouvernance, car lorsque la gouvernance est bonne, l’injustice sans réponse est rare. Par l’affaiblissement progressif du caractère d’un peuple, l’impact de l’injustice signalée mais restée sans réponse est de très loin supérieur à ce qu’il semble de prime abord. Les États de communication modernes, de par leur échelle, leur homogénéité et leurs excès, fournissent à leur population un déluge sans précédent d’injustices avérées, mais sans réplique apparente. » (Julian Assange)

Non c'est lié au karma du compte qui est fortement négatif.

Ton honnêteté t'honore. Rectifié.

Pour le premier point, en même temps ça me semble un peu normal (si on doit plonker des AMR, on a d'autres soucis que juste ne pas pouvoir poster sur la tribune d'admin. Et si on ne l'applique pas à la tribune de rédaction, rien n'empêche d'y venir donc...

Note : je t'ai déplonké suite à ton test.

Je n'oublie pas, mais ça n'est valable que si tu as un jour été hors de l'environnement hostile... Si tu as un jour déjà utilisé LinuxFr.org en HTTPS dans une zone de confiance, tu as déjà validé le certificat par exemple et donc tout va bien. Si tu utilises LinuxFr.org depuis toujours depuis une zone louche, genre DictatureLand, beh... Quelques pistes : tâcher de se faire confirmer l'info par plusieurs personnes en espérant que..., vérifier sur archive.org et le cache google que le site avait bien la même tête et donnait bien la même signature du certificat il y a quelques mois en espérant que..., utiliser un autre moyen de communication pour avoir l'info (SMS, téléphone, courriel, etc.) en espérant...

Le lien a été corrigé depuis.

Certes, les root cités ont eu des problèmes, mais c'est aussi parce qu'ils... étaient intéressants pour les crackers.

Dans certains cas, juste parce qu'on pouvait faire pression sur eux pour avoir des certificats génériques de complaisance ou pour avoir la main sur les certificats racine...

je ne vois aucun moyen d'arriver sur linuxfr en milieu hostile sans me faire cracker dans le cas où quelqu'un veut)

Je résume :

• ce qui est affiché sur LinuxFr.org en clair, la somme de contrôle sur le certificat et l'autorité de confiance utilisée, on ne peut pas y faire confiance car il peut y avoir un MitM contre le site
• le fait qu'un admin signe la somme de contrôle, on ne peut pas y faire confiance car il peut y avoir un MitM, l'admin n'en est peut-être pas un, et en plus il faut avoir un chemin de confiance GPG jusqu'à lui
• en plus même en acceptant que CaCert est bien l'autorité de confiance de Linuxfr.org, sur leur site, ils ont un certificat autosigné ces fourbes (forcément), donc pas de raison d'avoir confiance.
• et de toute façon mon navigateur - qui embarque des autorités de confiance dont on sait qu'elles ne sont pas de confiance et qui utilise un système dont on sait qu'il ne marche pas (faire confiance à des entreprises...) - bref mon navigateur me dit de ne pas avoir confiance, et sur ça je lui fais confiance.

Bref on arrive à un des principes classiques en sécurité : à qui faire confiance ? Et si je ne fais confiance à personne, ben je n'ai pas grand chose... Sauf à réécrire tous mes logiciels de zéro et revalider toutes les RFC, les protocoles réseau et de chiffrement, etc.

Globalement en environnement hostile, pour accéder au site (hypersensible :) LinuxFr.org :

• soit je sais qu'il utilise CaCert (ça a été dit plein de fois), auquel cas je peux vérifier que tout est OK de zéro.
• soit je ne sais pas qu'il utilise CaCert ou je n'ai pas confiance dans cette affirmation, et... ben à part essayer depuis un environnement non hostile pour comparaison, demander des confirmations à des gens, etc., je ne vois pas de solution miracle. Je ne vois pas trop ce que LinuxFr.org pourrait faire de plus qu'une chaîne de certificats valides par rapport à l'autorité de confiance choisie, l'affichage de la somme de contrôle sur le site en permanence, et même parfois signée par un des admins. Quelles sont les autres idées pour faire mieux ?

Perso, plus ça va, plus j'aurais tendance à accorder ma confiance à un certificat autosigné par quelqu'un de sûr et connu, qu'à une hypothétique autorité de confiance dont je ne connais rien et qui a des consoeurs douteuses.

Bon, sécurité de 0 du fait que l'organisme root (CACert) n'est pas accepté par les navigateurs, dommage.

Ouais, chacun place sa confiance où il veut (cf https://linuxfr.org/aide#aide-autrecertificatssl )

https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fdiginotar.com (dernier scandale en terme de certificat SSL) obtient 100% sur son certificat (!) et une mauvaise note sur le reste (leur boulot donc...).

https://www.ssllabs.com/ssldb/analyze.html?d=comodo.com (scandale précédent) obtient 100% sur son certificat et une bonne note sur le reste (mais moins bonne que celle de LinuxFr.org).

https://www.ssllabs.com/ssldb/analyze.html?d=verisign.com (encore un scandale) obtient 100% sur son certificat et une note pas trop mal sur le reste (mais moins bonne que celle de LinuxFr.org).

(identification du protocole utilisé par Wireshark 1.6.1)
links 2.3 annonce du TLS v1.0.
iceweasel 6.0.2 annonce du TLS v1.0.
konqueror 4.6.5 annonce du TLS v1.0.
Le serveur nginx utilisé propose SSLv2, SSLv3 ou TLSv1 (et dépend d'OpenSSL).