Benoît Sibaud a écrit 10111 commentaires

Au début, l'hébergement était par Free (il y avait une baie entière pour les associations du libre, pour autant que je sache). Puis la fondation a été créée, et elle a repris ce rôle.

Corrigé. Merci.

Ok. Bien vu. ça fait un exemple de plus à ajouter à la liste alors.

Il y est question de « fabrication de dispositifs techniques ». Je ne suis pas sûr qu'un simple logiciel rentre dans le cadre (contrairement à un matériel ou une combinaison matériel+logiciel), et que l'on puisse considérer cet article comme une restriction sur le droit moral de publication d'un logiciel.

D'autant que j'ai donné l'empreinte de l'ancien (ça aurait dû déranger des gens)...

L'empreinte du nouveau est 65:66:48:8F:BE:91:B8:00:52:02:C8:CB:2E:CC:86:5A:37:58:1F:C8

Fais une recherche sur les failles de sécurité concernant TLS/SSL pour Firefox par exemple.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0082
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3173
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3170
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3984
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2061
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0008
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0009
...

Pour ce qui concerne l'inclusion CAcert dans les navigateurs et les systèmes, au lieu de blablater, le mieux serait de récupérer l'info à la source http://wiki.cacert.org/InclusionStatus (et si vous n'avez pas confiance, vérifie toi même si l'inclusion est bien réelle ou non dans Debian, CentOS, Mandriva, Gentoo, OpenBSD, etc.

Et encore un peu plus de confiance :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Empreinte numérique SHA1 LinuxFr.org : 67:83:8D:C3:E4:AE:28:6D:38:F2:9D:18:BB:0C:64:6C:44:33:E8:0E
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iD8DBQFN9QyGBCKJs5f+PP0RAtEVAJ9sDkAtL3y24CNmxMqTYbcTn26XpACgv90g
i3O064Qe9wgte0qa29WScy0=
=7We/
-----END PGP SIGNATURE-----

En plus on te fera la même si tu demandes la même chose sur linuxfr.

Si par « sur linuxfr » tu veux dire « à propos du certificat SSL/TLS du site LinuxFr.org », alors la question est différente : ce n'est pas certificat autosigné, il est signé par l'autorité CAcert en l'occurrence. Cf http://linuxfr.org/aide#aide-certificatssl et http://linuxfr.org/aide#aide-autrecertificatssl

Si par « sur linuxfr » tu veux dire « réponse probable que tu risques d'obtenir des visiteurs du site », c'est bien possible malheureusement...

Merci

TODO

• commiter l'image images/https_firefox_3_5_root_cert.png
• clore cette entrée

• la page d'aide a été complétée. Cf http://linuxfr.org/aide#aide-certificatssl et http://linuxfr.org/aide#aide-autrecertificatssl
• le nouveau certificat est en place

Page que j'ai rédigée après ma première réponse (en réutilisant les discussions précédentes) et qui n'a pas encore été diffusée en fait :). La diffusion était prévue avec la mise en ligne du prochain certificat (ce soir ?), qui va déclencher l'ire des navigateurs à nouveau.

Ajustement fait pour table_cache, tmp_table_size, max_heap_table_size, query_cache_size, à revérifier par la suite.

Souci sur le innodb_buffer_pool_size (perte du moteur InnoDB) http://blog.bottomlessinc.com/2010/03/innodb-engine-disabled-when-specifying-a-buffer-pool-size-too-high/ http://def-end.com/post/2955666520/mysql-error-unknown-table-engine-innodb . À revoir

TODO
- relire la page https://linuxfr.org/wiki/Certificat-SSLTLS-du-site
- la convertir en page statique du site
- commiter l'image images/https_firefox_3_5_sans_root_cert.png
- changer le certificat sur prod (fait ailleurs)

pourquoi linuxfr ne se paye-t-il pas un certif ssl qui marche ?

Parce que nous préférons utiliser cacert.org par choix ? Toujours cette même question qui laisse penser que tout est question d'argent (tiens « pourquoi la personne ne se paie pas un billet d'avion pour quitter la Thaïlande ? Pour se payer un VPN ? etc. »)

Les certificats d'autorité de confiance de Cacert sont disponibles sur leur site et dans les distrib (par exemple /etc/ssl/certs/cacert.org.pem ).

Par ailleurs les « entreprises de confiance » me laissent perplexes ces derniers temps, entre les divers scandales SSL autour des « révolutions arabes », autour de l'Observatory SSL de l'EFF, etc.

ça dépend... En l'occurrence, j'ai un fit-PC 1, avec deux RJ45, parce que c'est ma passerelle internet, mon proxy irc, mon tunnel ssh, mon... Le critère pour moi, c'était les deux RJ45. Le disque de 40 Go avait peu d'importance. Bon, ici les Linutop n'ont qu'un RJ 45.

Jusque là, les séries d'interviews étaient finies avant que les toutes premières ne soient publiées : donc personne n'a vu les réponses des autres a priori. On a commencé la publication alors que j'avais déjà 24 réponses en stock. Et ensuite elles ne sont pas simplement publiées dans un ordre chronologique d'arrivée : j'essaie de varier les années de création de compte pour avoir des profils/des expériences différentes dans chaque série de 5 réponses publiée.

Les premières réponses « sous influence » (en ayant potentiellement lu les réponses d'autres) ont commencé à arriver depuis bien sûr.

Oui c'est un diminutif de Miodrag.

Déjà ici on teste un mot de passe ou on bruteforce. Y a d'autres méthodes plus subtiles genre cryptanalyse XOR (soyons clair, c'est très faible du XOR avec un mot de passe de quelques caractères sur du texte répétitif, d'ailleurs c'est ce que dit le document cité en référence de É. Filiol http://www.esiea-recherche.eu/data/filiol_pacsec.pdf ). Mais bon pour trouver des mots de passe à 4 chiffres, autant faire simple, là aussi c'est instantané...

J'ai cru voir que certains des logiciels propriétaires vendus vont juste envoyer à un serveur le hash et récupérer des mots de passe possibles précalculés.

Enfin le plus important à mon avis c'est que ça existe en libre et que ça ait été fun... D'une part je me fiche un peu du concours de la plus longue avec un logiciel proprio qui ne tourne pas sur ma machine, et d'autre part j'aurais pu arrêter immédiatement après avoir trouver les mots de passe sans chercher à mettre plus au propre le bout de code.

En cherchant "00 2f 00" (au pire "00 2f"...) tu devrais trouver la zone FilePass. Si elle n'est pas suivi par "06 00 00" ("00 06 00 00") ce n'est pas du XOR. Tu n'as plus qu'à lire la spéc sur FilePass :).

Je dirais deux possibilités :

• ce n'est pas l'algo XOR qui est utilisé (fichier non XLS, fichier non verrouillé par mot de passe, autre algo comme RC4 ou AES)

ou

• la zone en question est coupée sur deux lignes

Il y a plusieurs algo de toute façon (du XOR, du RC4, de l'AES, etc.), plusieurs façons de les utiliser, etc.

NoNo en a déjà fait une version améliorée. Cf https://github.com/nono/xor_me (notamment des optimisations et le brute-force jusqu'à 5 caractères).

Parce que tu rentres dans ces critères ?

• parmi les visiteurs venus il y a moins de trois mois, histoire qu'ils suivent encore le site et qu'ils soient plus susceptibles de répondre (ie ceux qui sont actifs)
• parmi ceux qui ont soumis « beaucoup » de contenus (ie ceux qui contribuent, notamment en dépêches et journaux, et qui ont des choses à dire)
• en quantité suffisante en tenant compte du taux de non-réponse et d'erreur sur les adresses de courriel
• répartir un peu sur les 13 ans au niveau année de création des comptes, pour varier les expériences, souvenirs et profils

À la question 7 il a répondu « Idem que la question 4. » et à la question 9 « Non ». J'ai fait le choix de ne pas le mettre dans le contenu. Mais puisque tu demandes, voilà.