Il y est question de « fabrication de dispositifs techniques ». Je ne suis pas sûr qu'un simple logiciel rentre dans le cadre (contrairement à un matériel ou une combinaison matériel+logiciel), et que l'on puisse considérer cet article comme une restriction sur le droit moral de publication d'un logiciel.
Pour ce qui concerne l'inclusion CAcert dans les navigateurs et les systèmes, au lieu de blablater, le mieux serait de récupérer l'info à la source http://wiki.cacert.org/InclusionStatus (et si vous n'avez pas confiance, vérifie toi même si l'inclusion est bien réelle ou non dans Debian, CentOS, Mandriva, Gentoo, OpenBSD, etc.
Page que j'ai rédigée après ma première réponse (en réutilisant les discussions précédentes) et qui n'a pas encore été diffusée en fait :). La diffusion était prévue avec la mise en ligne du prochain certificat (ce soir ?), qui va déclencher l'ire des navigateurs à nouveau.
TODO
- relire la page https://linuxfr.org/wiki/Certificat-SSLTLS-du-site
- la convertir en page statique du site
- commiter l'image images/https_firefox_3_5_sans_root_cert.png
- changer le certificat sur prod (fait ailleurs)
pourquoi linuxfr ne se paye-t-il pas un certif ssl qui marche ?
Parce que nous préférons utiliser cacert.org par choix ? Toujours cette même question qui laisse penser que tout est question d'argent (tiens « pourquoi la personne ne se paie pas un billet d'avion pour quitter la Thaïlande ? Pour se payer un VPN ? etc. »)
Les certificats d'autorité de confiance de Cacert sont disponibles sur leur site et dans les distrib (par exemple /etc/ssl/certs/cacert.org.pem ).
Par ailleurs les « entreprises de confiance » me laissent perplexes ces derniers temps, entre les divers scandales SSL autour des « révolutions arabes », autour de l'Observatory SSL de l'EFF, etc.
ça dépend... En l'occurrence, j'ai un fit-PC 1, avec deux RJ45, parce que c'est ma passerelle internet, mon proxy irc, mon tunnel ssh, mon... Le critère pour moi, c'était les deux RJ45. Le disque de 40 Go avait peu d'importance. Bon, ici les Linutop n'ont qu'un RJ 45.
Jusque là, les séries d'interviews étaient finies avant que les toutes premières ne soient publiées : donc personne n'a vu les réponses des autres a priori. On a commencé la publication alors que j'avais déjà 24 réponses en stock. Et ensuite elles ne sont pas simplement publiées dans un ordre chronologique d'arrivée : j'essaie de varier les années de création de compte pour avoir des profils/des expériences différentes dans chaque série de 5 réponses publiée.
Les premières réponses « sous influence » (en ayant potentiellement lu les réponses d'autres) ont commencé à arriver depuis bien sûr.
Déjà ici on teste un mot de passe ou on bruteforce. Y a d'autres méthodes plus subtiles genre cryptanalyse XOR (soyons clair, c'est très faible du XOR avec un mot de passe de quelques caractères sur du texte répétitif, d'ailleurs c'est ce que dit le document cité en référence de É. Filiol http://www.esiea-recherche.eu/data/filiol_pacsec.pdf ). Mais bon pour trouver des mots de passe à 4 chiffres, autant faire simple, là aussi c'est instantané...
J'ai cru voir que certains des logiciels propriétaires vendus vont juste envoyer à un serveur le hash et récupérer des mots de passe possibles précalculés.
Enfin le plus important à mon avis c'est que ça existe en libre et que ça ait été fun... D'une part je me fiche un peu du concours de la plus longue avec un logiciel proprio qui ne tourne pas sur ma machine, et d'autre part j'aurais pu arrêter immédiatement après avoir trouver les mots de passe sans chercher à mettre plus au propre le bout de code.
En cherchant "00 2f 00" (au pire "00 2f"...) tu devrais trouver la zone FilePass. Si elle n'est pas suivi par "06 00 00" ("00 06 00 00") ce n'est pas du XOR. Tu n'as plus qu'à lire la spéc sur FilePass :).
parmi les visiteurs venus il y a moins de trois mois, histoire qu'ils suivent encore le site et qu'ils soient plus susceptibles de répondre (ie ceux qui sont actifs)
parmi ceux qui ont soumis « beaucoup » de contenus (ie ceux qui contribuent, notamment en dépêches et journaux, et qui ont des choses à dire)
en quantité suffisante en tenant compte du taux de non-réponse et d'erreur sur les adresses de courriel
répartir un peu sur les 13 ans au niveau année de création des comptes, pour varier les expériences, souvenirs et profils
À la question 7 il a répondu « Idem que la question 4. » et à la question 9 « Non ». J'ai fait le choix de ne pas le mettre dans le contenu. Mais puisque tu demandes, voilà.
Forcés d'utiliser un jeu vidéo (propriétaire) 12h d'affilée, à utiliser du temps de cerveau disponible à la TF1 ou de l'énergie humaine à la Matrix, le tout sous la contrainte physique et les menaces de coups. Évidemment pas d'efforts côté resocialisation, éducation ou réinsertion.
J'imagine dans un grand élan d'optimisme que la prochaine fois, ça sera de la vente de pièces détachées humaines, de la production de Soleil Vert, de la fabrication de kamikazes, de la prostitution ou des combats de détenus avec paris...
Une excellente sélection des meilleurs documents sur les sujets du numérique et du droit d'auteur, très pédagogiques, rassemblés, montés. Super boulot, bravo, et merci.
J'ai fait connaissance avec COAGUL en 2005 pour les Rencontres Mondiales du Logiciel Libre à Dijon, en tant que membre de l'organisation. Et ça fait vraiment plaisir de voir des années après que ce groupe d'utilisateurs est toujours aussi actif et capable de produire de belles choses.
Ce n'est pas nouveau. La plupart des opérateurs ont des offres dites "illimitées" qui sont limitées en volume, en protocoles, en durée, en débit, ...
Conditions Générales d’Abonnement Clé 3G+ chez Orange http://r.orange.fr/r?ref=ael_faq75_auto4&url=http%3A//boutique.orange.fr/doc/contrat2662.pdf
« Le Client prend acte et accepte que le Service Clé 3G+ ne peut être utilisé aux fins de newsgroup (forums de discussions), de voix sur IP ou aux fins de pratiquer le Peer to peer (qu’il s’agisse d’échange de données, fichiers, logiciels ou de mise à disposition de ressources informatiques...), et par quelque moyen que ce soit. 12h maximum par session. »
Conditions d’abonnement et utilisation des offres SFR (sachant que La Poste est MVNO via SFR) : http://www.sfr.fr/media/pdf/att00025441/55295_Conditions_Generales_d_abonnement.pdf
« Le peer to peer, les newsgroups, la Voix sur IP et les usages Modem sont interdits, ce que l’abonné reconnaît et accepte, SFR se réservant le droit de résilier la ligne en cas de manquement. »
[^] # Re: Pareil en France
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche De l’interdiction de publier certains logiciels (2). Évalué à 2.
Il y est question de « fabrication de dispositifs techniques ». Je ne suis pas sûr qu'un simple logiciel rentre dans le cadre (contrairement à un matériel ou une combinaison matériel+logiciel), et que l'on puisse considérer cet article comme une restriction sur le droit moral de publication d'un logiciel.
[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Que répondre à ça ?. Évalué à 2.
D'autant que j'ai donné l'empreinte de l'ancien (ça aurait dû déranger des gens)...
L'empreinte du nouveau est 65:66:48:8F:BE:91:B8:00:52:02:C8:CB:2E:CC:86:5A:37:58:1F:C8
[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Que répondre à ça ?. Évalué à 2.
Fais une recherche sur les failles de sécurité concernant TLS/SSL pour Firefox par exemple.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0082
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3173
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3170
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3984
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2061
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0008
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0009
...
Pour ce qui concerne l'inclusion CAcert dans les navigateurs et les systèmes, au lieu de blablater, le mieux serait de récupérer l'info à la source http://wiki.cacert.org/InclusionStatus (et si vous n'avez pas confiance, vérifie toi même si l'inclusion est bien réelle ou non dans Debian, CentOS, Mandriva, Gentoo, OpenBSD, etc.
Et encore un peu plus de confiance :
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1Empreinte numérique SHA1 LinuxFr.org : 67:83:8D:C3:E4:AE:28:6D:38:F2:9D:18:BB:0C:64:6C:44:33:E8:0E-----BEGIN PGP SIGNATURE-----Version: GnuPG v1.4.11 (GNU/Linux)iD8DBQFN9QyGBCKJs5f+PP0RAtEVAJ9sDkAtL3y24CNmxMqTYbcTn26XpACgv90gi3O064Qe9wgte0qa29WScy0==7We/-----END PGP SIGNATURE-----[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Que répondre à ça ?. Évalué à 5.
Si par « sur linuxfr » tu veux dire « à propos du certificat SSL/TLS du site LinuxFr.org », alors la question est différente : ce n'est pas certificat autosigné, il est signé par l'autorité CAcert en l'occurrence. Cf http://linuxfr.org/aide#aide-certificatssl et http://linuxfr.org/aide#aide-autrecertificatssl
Si par « sur linuxfr » tu veux dire « réponse probable que tu risques d'obtenir des visiteurs du site », c'est bien possible malheureusement...
# Corrigé
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Chaine de certificats manquante. Évalué à 2 (+0/-0).
Merci
[^] # Re: En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Remplacer le certificat SSL. Évalué à 2 (+0/-0).
TODO
[^] # Re: En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Remplacer le certificat SSL. Évalué à 2 (+0/-0).
[^] # Re: Money money money
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi certificat SSL. Évalué à 2 (+0/-0).
Page que j'ai rédigée après ma première réponse (en réutilisant les discussions précédentes) et qui n'a pas encore été diffusée en fait :). La diffusion était prévue avec la mise en ligne du prochain certificat (ce soir ?), qui va déclencher l'ire des navigateurs à nouveau.
# En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Optimisation MySql. Évalué à 2 (+0/-0).
Ajustement fait pour table_cache, tmp_table_size, max_heap_table_size, query_cache_size, à revérifier par la suite.
Souci sur le innodb_buffer_pool_size (perte du moteur InnoDB) http://blog.bottomlessinc.com/2010/03/innodb-engine-disabled-when-specifying-a-buffer-pool-size-too-high/ http://def-end.com/post/2955666520/mysql-error-unknown-table-engine-innodb . À revoir
# En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Remplacer le certificat SSL. Évalué à 2 (+0/-0).
TODO
- relire la page https://linuxfr.org/wiki/Certificat-SSLTLS-du-site
- la convertir en page statique du site
- commiter l'image images/https_firefox_3_5_sans_root_cert.png
- changer le certificat sur prod (fait ailleurs)
# Money money money
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi certificat SSL. Évalué à 3 (+0/-0).
Parce que nous préférons utiliser cacert.org par choix ? Toujours cette même question qui laisse penser que tout est question d'argent (tiens « pourquoi la personne ne se paie pas un billet d'avion pour quitter la Thaïlande ? Pour se payer un VPN ? etc. »)
Les certificats d'autorité de confiance de Cacert sont disponibles sur leur site et dans les distrib (par exemple /etc/ssl/certs/cacert.org.pem ).
Par ailleurs les « entreprises de confiance » me laissent perplexes ces derniers temps, entre les divers scandales SSL autour des « révolutions arabes », autour de l'Observatory SSL de l'EFF, etc.
[^] # Re: Dommage
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche le Linutop 4, nouveau PC sans ventilateur. Évalué à 2.
ça dépend... En l'occurrence, j'ai un fit-PC 1, avec deux RJ45, parce que c'est ma passerelle internet, mon proxy irc, mon tunnel ssh, mon... Le critère pour moi, c'était les deux RJ45. Le disque de 40 Go avait peu d'importance. Bon, ici les Linutop n'ont qu'un RJ 45.
[^] # Re: impression
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 13 ans de LinuxFr.org : entretiens avec les visiteurs (3). Évalué à 6.
Jusque là, les séries d'interviews étaient finies avant que les toutes premières ne soient publiées : donc personne n'a vu les réponses des autres a priori. On a commencé la publication alors que j'avais déjà 24 réponses en stock. Et ensuite elles ne sont pas simplement publiées dans un ordre chronologique d'arrivée : j'essaie de varier les années de création de compte pour avoir des profils/des expériences différentes dans chaque série de 5 réponses publiée.
Les premières réponses « sous influence » (en ayant potentiellement lu les réponses d'autres) ont commencé à arriver depuis bien sûr.
[^] # Re: @
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Entretien avec des développeurs francophones d'OpenBSD - Partie 1. Évalué à 6.
Oui c'est un diminutif de Miodrag.
[^] # Re: Méthode détournée
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR. Évalué à 3.
Déjà ici on teste un mot de passe ou on bruteforce. Y a d'autres méthodes plus subtiles genre cryptanalyse XOR (soyons clair, c'est très faible du XOR avec un mot de passe de quelques caractères sur du texte répétitif, d'ailleurs c'est ce que dit le document cité en référence de É. Filiol http://www.esiea-recherche.eu/data/filiol_pacsec.pdf ). Mais bon pour trouver des mots de passe à 4 chiffres, autant faire simple, là aussi c'est instantané...
J'ai cru voir que certains des logiciels propriétaires vendus vont juste envoyer à un serveur le hash et récupérer des mots de passe possibles précalculés.
Enfin le plus important à mon avis c'est que ça existe en libre et que ça ait été fun... D'une part je me fiche un peu du concours de la plus longue avec un logiciel proprio qui ne tourne pas sur ma machine, et d'autre part j'aurais pu arrêter immédiatement après avoir trouver les mots de passe sans chercher à mettre plus au propre le bout de code.
[^] # Re: Un bug
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR. Évalué à 4.
En cherchant "00 2f 00" (au pire "00 2f"...) tu devrais trouver la zone FilePass. Si elle n'est pas suivi par "06 00 00" ("00 06 00 00") ce n'est pas du XOR. Tu n'as plus qu'à lire la spéc sur FilePass :).
[^] # Re: Un bug
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR. Évalué à 3.
Je dirais deux possibilités :
ou
[^] # Re: Méthode détournée
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR. Évalué à 2.
Il y a plusieurs algo de toute façon (du XOR, du RC4, de l'AES, etc.), plusieurs façons de les utiliser, etc.
# C'est beau le libre
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR. Évalué à 5.
NoNo en a déjà fait une version améliorée. Cf https://github.com/nono/xor_me (notamment des optimisations et le brute-force jusqu'à 5 caractères).
[^] # Re: Petite question aux auteurs de la dépèche
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 13 ans de LinuxFr.org : entretiens avec les visiteurs (2). Évalué à 1.
Parce que tu rentres dans ces critères ?
[^] # Re: Petite question aux auteurs de la dépèche
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 13 ans de LinuxFr.org : entretiens avec les visiteurs (2). Évalué à 8.
[^] # Re: blo
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 13 ans de LinuxFr.org : entretiens avec les visiteurs (2). Évalué à 4.
À la question 7 il a répondu « Idem que la question 4. » et à la question 9 « Non ». J'ai fait le choix de ne pas le mettre dans le contenu. Mais puisque tu demandes, voilà.
[^] # Re: Synthèse de l'article
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Un article proprement hallucinant sur des pratiques de gold farming dans des camps de travaux forcés. Évalué à 6.
Forcés d'utiliser un jeu vidéo (propriétaire) 12h d'affilée, à utiliser du temps de cerveau disponible à la TF1 ou de l'énergie humaine à la Matrix, le tout sous la contrainte physique et les menaces de coups. Évidemment pas d'efforts côté resocialisation, éducation ou réinsertion.
J'imagine dans un grand élan d'optimisme que la prochaine fois, ça sera de la vente de pièces détachées humaines, de la production de Soleil Vert, de la fabrication de kamikazes, de la prostitution ou des combats de détenus avec paris...
[^] # Re: et le fond dans tout ça ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Le documentaire « Copier n’est pas voler » de COAGUL. Évalué à 4.
Une excellente sélection des meilleurs documents sur les sujets du numérique et du droit d'auteur, très pédagogiques, rassemblés, montés. Super boulot, bravo, et merci.
J'ai fait connaissance avec COAGUL en 2005 pour les Rencontres Mondiales du Logiciel Libre à Dijon, en tant que membre de l'organisation. Et ça fait vraiment plaisir de voir des années après que ce groupe d'utilisateurs est toujours aussi actif et capable de produire de belles choses.
# Les autres...
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Après l'"internet illimité" limité, le "tout internet" restreint. Évalué à 10.
Ce n'est pas nouveau. La plupart des opérateurs ont des offres dites "illimitées" qui sont limitées en volume, en protocoles, en durée, en débit, ...
Conditions Générales d’Abonnement Clé 3G+ chez Orange
http://r.orange.fr/r?ref=ael_faq75_auto4&url=http%3A//boutique.orange.fr/doc/contrat2662.pdf
« Le Client prend acte et accepte que le Service Clé 3G+ ne peut être utilisé aux fins de newsgroup (forums de discussions), de voix sur IP ou aux fins de pratiquer le Peer to peer (qu’il s’agisse d’échange de données, fichiers, logiciels ou de mise à disposition de ressources informatiques...), et par quelque moyen que ce soit. 12h maximum par session. »
Conditions d’abonnement et utilisation des offres SFR (sachant que La Poste est MVNO via SFR) :
http://www.sfr.fr/media/pdf/att00025441/55295_Conditions_Generales_d_abonnement.pdf
« Le peer to peer, les newsgroups, la Voix sur IP et les usages Modem sont interdits, ce que l’abonné reconnaît et accepte, SFR se réservant le droit de résilier la ligne en cas de manquement. »
Clé 3G sans engagement chez Bouygues
http://www.laboutique.bouyguestelecom.fr/538-pdf-FIS_cle_3G_sans_engagement.html
« Navigation en France métropolitaine sous couverture 3G+/EDGE hors usages VoIP, peer to peer et newsgroup. »
...