Benoît Sibaud a écrit 9301 commentaires

Page que j'ai rédigée après ma première réponse (en réutilisant les discussions précédentes) et qui n'a pas encore été diffusée en fait :). La diffusion était prévue avec la mise en ligne du prochain certificat (ce soir ?), qui va déclencher l'ire des navigateurs à nouveau.

Ajustement fait pour table_cache, tmp_table_size, max_heap_table_size, query_cache_size, à revérifier par la suite.

Souci sur le innodb_buffer_pool_size (perte du moteur InnoDB) http://blog.bottomlessinc.com/2010/03/innodb-engine-disabled-when-specifying-a-buffer-pool-size-too-high/ http://def-end.com/post/2955666520/mysql-error-unknown-table-engine-innodb . À revoir

TODO
- relire la page https://linuxfr.org/wiki/Certificat-SSLTLS-du-site
- la convertir en page statique du site
- commiter l'image images/https_firefox_3_5_sans_root_cert.png
- changer le certificat sur prod (fait ailleurs)

pourquoi linuxfr ne se paye-t-il pas un certif ssl qui marche ?

Parce que nous préférons utiliser cacert.org par choix ? Toujours cette même question qui laisse penser que tout est question d'argent (tiens « pourquoi la personne ne se paie pas un billet d'avion pour quitter la Thaïlande ? Pour se payer un VPN ? etc. »)

Les certificats d'autorité de confiance de Cacert sont disponibles sur leur site et dans les distrib (par exemple /etc/ssl/certs/cacert.org.pem ).

Par ailleurs les « entreprises de confiance » me laissent perplexes ces derniers temps, entre les divers scandales SSL autour des « révolutions arabes », autour de l'Observatory SSL de l'EFF, etc.

ça dépend... En l'occurrence, j'ai un fit-PC 1, avec deux RJ45, parce que c'est ma passerelle internet, mon proxy irc, mon tunnel ssh, mon... Le critère pour moi, c'était les deux RJ45. Le disque de 40 Go avait peu d'importance. Bon, ici les Linutop n'ont qu'un RJ 45.

Jusque là, les séries d'interviews étaient finies avant que les toutes premières ne soient publiées : donc personne n'a vu les réponses des autres a priori. On a commencé la publication alors que j'avais déjà 24 réponses en stock. Et ensuite elles ne sont pas simplement publiées dans un ordre chronologique d'arrivée : j'essaie de varier les années de création de compte pour avoir des profils/des expériences différentes dans chaque série de 5 réponses publiée.

Les premières réponses « sous influence » (en ayant potentiellement lu les réponses d'autres) ont commencé à arriver depuis bien sûr.

Oui c'est un diminutif de Miodrag.

Déjà ici on teste un mot de passe ou on bruteforce. Y a d'autres méthodes plus subtiles genre cryptanalyse XOR (soyons clair, c'est très faible du XOR avec un mot de passe de quelques caractères sur du texte répétitif, d'ailleurs c'est ce que dit le document cité en référence de É. Filiol http://www.esiea-recherche.eu/data/filiol_pacsec.pdf ). Mais bon pour trouver des mots de passe à 4 chiffres, autant faire simple, là aussi c'est instantané...

J'ai cru voir que certains des logiciels propriétaires vendus vont juste envoyer à un serveur le hash et récupérer des mots de passe possibles précalculés.

Enfin le plus important à mon avis c'est que ça existe en libre et que ça ait été fun... D'une part je me fiche un peu du concours de la plus longue avec un logiciel proprio qui ne tourne pas sur ma machine, et d'autre part j'aurais pu arrêter immédiatement après avoir trouver les mots de passe sans chercher à mettre plus au propre le bout de code.

En cherchant "00 2f 00" (au pire "00 2f"...) tu devrais trouver la zone FilePass. Si elle n'est pas suivi par "06 00 00" ("00 06 00 00") ce n'est pas du XOR. Tu n'as plus qu'à lire la spéc sur FilePass :).

Je dirais deux possibilités :

• ce n'est pas l'algo XOR qui est utilisé (fichier non XLS, fichier non verrouillé par mot de passe, autre algo comme RC4 ou AES)

ou

• la zone en question est coupée sur deux lignes

Il y a plusieurs algo de toute façon (du XOR, du RC4, de l'AES, etc.), plusieurs façons de les utiliser, etc.

NoNo en a déjà fait une version améliorée. Cf https://github.com/nono/xor_me (notamment des optimisations et le brute-force jusqu'à 5 caractères).

Parce que tu rentres dans ces critères ?

• parmi les visiteurs venus il y a moins de trois mois, histoire qu'ils suivent encore le site et qu'ils soient plus susceptibles de répondre (ie ceux qui sont actifs)
• parmi ceux qui ont soumis « beaucoup » de contenus (ie ceux qui contribuent, notamment en dépêches et journaux, et qui ont des choses à dire)
• en quantité suffisante en tenant compte du taux de non-réponse et d'erreur sur les adresses de courriel
• répartir un peu sur les 13 ans au niveau année de création des comptes, pour varier les expériences, souvenirs et profils

À la question 7 il a répondu « Idem que la question 4. » et à la question 9 « Non ». J'ai fait le choix de ne pas le mettre dans le contenu. Mais puisque tu demandes, voilà.

Forcés d'utiliser un jeu vidéo (propriétaire) 12h d'affilée, à utiliser du temps de cerveau disponible à la TF1 ou de l'énergie humaine à la Matrix, le tout sous la contrainte physique et les menaces de coups. Évidemment pas d'efforts côté resocialisation, éducation ou réinsertion.

J'imagine dans un grand élan d'optimisme que la prochaine fois, ça sera de la vente de pièces détachées humaines, de la production de Soleil Vert, de la fabrication de kamikazes, de la prostitution ou des combats de détenus avec paris...

Une excellente sélection des meilleurs documents sur les sujets du numérique et du droit d'auteur, très pédagogiques, rassemblés, montés. Super boulot, bravo, et merci.

J'ai fait connaissance avec COAGUL en 2005 pour les Rencontres Mondiales du Logiciel Libre à Dijon, en tant que membre de l'organisation. Et ça fait vraiment plaisir de voir des années après que ce groupe d'utilisateurs est toujours aussi actif et capable de produire de belles choses.

Ce n'est pas nouveau. La plupart des opérateurs ont des offres dites "illimitées" qui sont limitées en volume, en protocoles, en durée, en débit, ...

Conditions Générales d’Abonnement Clé 3G+ chez Orange
http://r.orange.fr/r?ref=ael_faq75_auto4&url=http%3A//boutique.orange.fr/doc/contrat2662.pdf
« Le Client prend acte et accepte que le Service Clé 3G+ ne peut être utilisé aux fins de newsgroup (forums de discussions), de voix sur IP ou aux fins de pratiquer le Peer to peer (qu’il s’agisse d’échange de données, fichiers, logiciels ou de mise à disposition de ressources informatiques...), et par quelque moyen que ce soit. 12h maximum par session. »

Conditions d’abonnement et utilisation des offres SFR (sachant que La Poste est MVNO via SFR) :
http://www.sfr.fr/media/pdf/att00025441/55295_Conditions_Generales_d_abonnement.pdf
« Le peer to peer, les newsgroups, la Voix sur IP et les usages Modem sont interdits, ce que l’abonné reconnaît et accepte, SFR se réservant le droit de résilier la ligne en cas de manquement. »

Clé 3G sans engagement chez Bouygues
http://www.laboutique.bouyguestelecom.fr/538-pdf-FIS_cle_3G_sans_engagement.html
« Navigation en France métropolitaine sous couverture 3G+/EDGE hors usages VoIP, peer to peer et newsgroup. »
...

J'ai tracé la demande (disons mon interprétation) dans le suivi en tout cas. Cf http://linuxfr.org/suivi/web-xmppcourriel-pour-la-messagerie-interne

• GPG permet de gérer l'authentification, l'intégrité et le chiffrement des courriels et des fichiers. Mais en fait il est peu utilisé, il est compliqué à utiliser (faut avoir compris le principe d'un réseau de confiance, générer sa clé, etc.), peu de clients de courriel lourds utilisés par le grand public le supportent et aucun ou quasi aucun des clients web utilisés par le grand public. Les clés publiques/privées GPG sont propres à GPG... (« approche décentralisée + utilisation plutôt pour experts »)

• SSL/TLS : très utilisé par les serveurs web notamment (et les navigateurs). Problème : centralisation, autorités de confiance qui ne sont pas de confiance, autorité communautaire comme cacert.org qui ne perce pas vraiment, les navigateurs braillent de plus en plus forts sur les certificats auto-signés, etc. Les certificats ne sont facilement utilisables qu'avec votre apache/nginx en gros.

• OTR : sympa pour la messagerie instantanée et l'IRC (encore que mon proxy IRC bip me pose problème de ce côté), via la libotr (marche notamment pour pidgin et xchat pour parler de ceux que j'ai testés). Les clés sont créées automatiquement, l'utilisateur n'a même pas à comprendre ce qu'il fait, c'est simple et efficace, au minimum ça chiffre ; après si les utilisateurs ne vérifient rien dans la chaîne de confiance, ça n'augmente pas leur sécurité, juste celles des autres (en augmentant la quantité de trafic chiffré). Les clés publiques/privées OTR sont propres à OTR...

• SSH : les clés publiques/privées SSH sont propres à SSH

A priori MonkeySphere essaie de permettre d'utiliser de façon plus indifférenciée les clés SSH et SSL.

Je pense que le vrai souci est à ce niveau : déjà c'est compliqué d'expliquer le chiffrement, son intérêt, le principe d'une autorité de certif ou d'un réseau de confiance, etc. à des utilisateurs. Si en plus chaque usage, chaque protocole, chaque outil définit son format, ses clés, etc., ça ne perce pas. C'est la fragmentation des outils/usages qui est un vrai frein.

Vous voyez vos parents utiliser une ou plusieurs paires de clés GPG, une ou plusieurs paires de clés OTR, des clés SSH clientes ou serveurs, des clés SSL, jongler avec, en utilisant plein de logiciels différents, en particulier les logiciels de leur choix (ceux que vous détestez donc :) ? La réponse est clairement non.

Concernant LinuxFr.org et ses visiteurs :

« Sur 4357 comptes utilisateur valides et utilisés au cours des 3 derniers mois :
(...)
* 606 ont saisi un identifiant Jabber/XMPP (14%). »

Les domaines de courriel les plus utilisés :

| gmail.com | 1373 | (ont potentiellement un identifiant XMPP via gtalk)
| free.fr | 640 |
| yahoo.fr | 223 |
| laposte.net | 154 |
| hotmail.com | 151 |
| wanadoo.fr | 81 |
| hotmail.fr | 65 |
| orange.fr | 40 |
| no-log.org | 29 |
| altern.org | 27 |

Les domaines XMPP les plus utilisés :

| jabber.fr | 134 |
| gmail.com | 109 |
| jabber.org | 55 |
| im.apinc.org | 52 |
| fritalk.com | 7 |
| swissjabber.ch | 5 |
| jabber-fr.net | 5 |
| jappix.com | 4 |

LinuxFr.org est présent sur Status.net via Identi.ca ( http://identi.ca/linuxfrorg ), et utilise le courriel pour les créations de compte, des listes de diffusion, etc.

Les statistiques sur les contenus et commentaires associés sont recodées.

du FTPS ou seule la partie authentification transite en clair si on recherche du débit, ou tout chiffré avec SSL sinon.

Plutôt l'inverse j'espère.

Le seul autographe qui soit un peu plus intéressant, c'est une petite signature en bas d'une clé GPG.

Parmi les hypothétiques meilleures incarnations du Mal présentes au salon (ça limite), Oracle aurait pu être un bon choix aussi, pour sa gestion des projets et des communautés du libre (et pour changer parce que Microsoft y a droit souvent)...

• LibreOffice fork d'OpenOffice
• OpenIndiana fork d'OpenSolaris
• Jenkins fork de Hudson
• SkySQL fork de MySQL
• OpenAM fork de OpenSSO
• la fondation Apache qui sort du JCP
• conflit Google/Oracle sur Java sur Android ... et j'en oublie sûrement

D'ailleurs c'était un certain patrick_g qui en parlait dans Le rachat de Sun par Oracle : 18 mois plus tard la méfiance s'installe