raphj a écrit 1789 commentaires

si c'est bien configuré

Mais c'est toi qui dit que c'est le bon comportement "si c'est bien configuré". Beaucoup de sites redirigent les requêtes http vers https. Au hasard, google.fr, linuxfr.org, wikipedia.org… et la grosse majorité des sites maintenant. Tu veux dire que tous ces sites sont mal configurés ?

En cas de panne https, la redirection http → https mise en place (que ça soit bien configuré ou non, de toute façon c'est comme ça que les choses sont mises en place dans la nature), ne va pas magiquement cesser de fonctionner aussi dans la plupart des cas.

Mais si, parce que lors de la requête http, un attaquant peut mettre en place une redirection vers une page qui ressemble au site site, et là les gens vont s'identifier sur le faux site.

Même sans parler de redirection, l'attaquant peut aussi savoir :

• Quelle page exacte est visitée
• la configuration du client
• le site d'où le visiteur vient
• certainement d'autres choses (probablement pas les cookies, qui devraient être spécifiques à la version https).

On a aussi le cas du comportement que linuxfr.org a eu pendant longtemps : ne pas rediriger vers la version https du site. C'était pénible, tu suis un lien http et tu restes en http, alors que tu voudrais que les visites se fassent en https. Heureusement ce n'est plus le cas.

Autre chose : en cas de panne https, si de toute façon la redirection http → https est faite, le lien sera quand même cassé même si tu pointes vers la version http, puisqu'elle va rediriger vers la version https cassée.

ne pas écrire le www, il ne sert à rien (http indique déjà que ce sont des pages web) et si le DNS est bien configuré, http://www.infolib.re doit par exemple être un alias de http://infolib.re et non l'inverse

C'est ton avis, et sur ce sujet tu trouveras de tout dans la nature. Je pense qu'on ne peut pas tirer de règle générale sur le sujet, alors je serais d'avis de respecter le choix du site cible et d'utiliser l'adresse que le site utilise. Si le site change et que les choses pour maintenir les liens sont bien faites, ce sont les anciennes adresses qui seront traitées, pas celles que tu auras devinées.

Si tu n'utilises pas l'adresse www. alors que c'est ça qui est utilisé, tu vas forcer tes visiteurs à se payer une redirection. C'est lent et inefficace. Pourquoi les faire attendre ?

Je ne pense pas qu'il faut utiliser "http://" plutôt que "https://" par défaut.

Je vois le problème que tu cherches à résoudre, mais dans le cas "http://", le navigateur va être amené à faire une requête claire en http, qui peut être interceptée, espionnée et détournée, puis une seconde requête en https si tout se passe bien, donc c'est plus lent, moins efficace et moins sûr que tu https direct.

Si le site ne fonctionne temporairement pas en https, c'est une panne. C'est normal que ça ne fonctionne plus. Aussi, un https qui ne fonctionne pas ça peut être une attaque en cours. C'est conçu comme ça. Utiliser un lien en http volontairement, c'est désactiver les mesures de sécurité du site cible, ça ne me semble pas très responsable.

Je ne suis pas sûr que les campagnes de sensibilisation ont un impact négatif sur ces gens là.

Sans les campagnes : ils font leur vie comme ils l'entendent.
Avec les campagnes : ils font leur vie, sans rien changer, en raillant les campagnes, les messagers.

C'est même à ça qu'on les reconnaît…

Mais le mot-clé est là : c'est de la défense / protection.

« First they ignore you, then they laugh at you, then they fight you, then you win. »

pinceaux à maquillage […] il faut bien que ça serve à quelque chose

Ah ah :-D
https://www.youtube.com/watch?v=9OBnvpzb560

Je n’y avais pas pensé, c’est une bonne idée !

(tu suggères quel dentifrice ?)

Ça existe déjà

Oui :-)

Mais il parait qu'on peut mettre des carte OpenStreetMap à la place

Oui. J'utilise OsmAnd. Parfois on tombe à un endroit où les numéros ne sont pas mentionnés, mais les cartes sont globalement très bonnes.
La recherche est perfectible.

Je vais préciser : je ne me sens plus concerné « individuellement ».

Ce matin sur France Inter, on pouvait entendre Sébastien Bohler conseiller aux gens de faire de la méditation et de ne pas manger devant la télé (parce qu'on mange plus en faisant ça) pour sauver la planète. Ben voyons. On va inviter les grosses entreprises qui polluent à pratiquer la pleine conscience, pour voir si ça aide, tiens.

À mon échelle, je fais ce que je peux pour limiter mon impact environnemental mais maintenant, c'est clair que ça ne suffira pas et qu'il faut un changement de fond.

Ça serait une erreur de prendre la phrase que tu cites hors du contexte de mon message (et je ne dis pas que c'est ce que tu fais) : je me sens bien concerné par le problème, mais je répondais maladroitement à « ça me tape le système » en donnant une autre perspective à la campagne que la perspective individuelle présentée dans le message auquel je répondais. Bien sûr que c'est pénible qu'on nous fasse la morale, mais il ne s'agit pas que de ça.

La vieille manie de la gauche à faire l'examen de conscience de son voisin va finir par faire fuir une part de son électorat. Je ne vais pas voter pour qu'on me harcèle davantage.

Il va falloir justifier et préciser ça. De quoi tu parles ? C'est beaucoup trop vague. « La gauche » ? Quelle gauche ? « vieille manie » : tu as des exemples ? Et puis, tu as conscience de la force du mot harceler ? Je connais des gens qui ont été harcelés. Le harcèlement, ce n'est pas ça. Tu fais partie des gens qui disent qu'ils sont pris en otage quand il y a une grève ? J'espère que tu voteras surtout avec tes convictions, et que tu n'excuseras pas ton vote avec des justifications bancales. Pas besoin normalement, tu devrais assumer ton vote et tes positions de toute façon (sinon il faut en changer !).

J'ai l'impression qu'on n'est pas sur le même principe. FaceApp est une application, EarthApp, une campagne. Pour EarthApp, le but est de sensibiliser, et ils utilisent la couverture médiatique de FaceApp (que je découvre par la même occasion) pour ça. Ça me paraît assez bien joué. Ils essayent de choquer / faire peur, effectivement.

Sur le fond, je pense que cette sensibilisation est encore nécessaire, même s'il y a eu des progrès énormes.

Ces campagnes, cela fait longtemps que je ne les prends plus personnellement. Il ne faut pas trop culpabiliser, surtout si tu es déjà sensible à la question. Mais je vois leur omniprésence sous un œil positif. À mon avis, les questions climatiques devraient être absolument prioritaires, et, pour cela, il faut à mon avis qu'elles soient dans l'esprit de plus de gens possible. Que les individus, à leur échelle, votent en fonction de ça, et que les politiques soient obligés de prendre des mesures concrètes là-dessus.

Il me paraît important qu'on fasse tous des efforts comme tu le dis à l'échelle individuelle, mais c'est très loin d'être suffisant. Ce n'est pas les individus qui produisent les gros déchets et qui consomment le gros de l'énergie. C'est du côté politique qu'il faut faire bouger les choses et que des décisions économiques et environnementales audacieuses soient prises et là, il y a beaucoup de travail.

Qu'est-ce que ça veut dire concrètement ? Bien sûr, en tant qu'individu, tu peux par exemple essayer de (fortement) limiter l'achat de produit emballés dans du plastique. Mais une grande partie des gens ne le fera peut-être pas si c'est (apparemment) moins pratique ou si c'est plus cher. Tu pourras également consciencieusement mettre les recyclables dans le recyclage. Mais finalement, le meilleurs déchet est celui qui n'existe pas, et avec une vraie mesure interdisant la plupart des emballages en plastique, les gens n'ont plus le choix : il y en aura beaucoup moins et ça aurait un gros impact. Beaucoup plus que 3 pékins qui font du zéro déchet (même si c'est très bien qu'ils fassent cet effort bien sûr !).

Idem pour les transports. Les individus fortement sensibilisés au problème et qui peuvent le faire vont plutôt prendre les transports en commun, le vélo ou marcher pour se déplacer, plutôt que rouler en véhicule polluant. Mais une vraie politique rendant le transport en commun possible et plus pratique que la voiture dans la majorité des cas aura beaucoup plus d'impact. Encore une fois, des gestes individuels ne sont pas suffisant.

Est-ce qu'une sensibilisation très large au problème suffira ? Probablement pas tant qu'on restera dans cette logique de croissance à l'échelle mondiale et tant qu'il y aura des avantages compétitifs à ne pas respecter l'environnement. Pour moi, respecter l'environnement devrait constituer un avantage compétitif tant qu'on est dans un système qui fonctionne comme ça. Mais ça, c'est encore une autre question.

J'avais compris son commentaire comme une blague, mais je n'avais pas ta référence. Merci :-)

J'ai déjà fait de l'USB pass-through avec qemu, ça marche plutôt bien. Virtualiser Windows sous qemu est possible avec les bonnes options il me semble. Tu as essayé ?

Ces constructeurs de d'appareils GPS, ils mériteraient que tous les téléphones embarquent un GPS dont les cartes facilement sont facilement mises à jour. Ça leur ferait les pieds.

J’ai pas le niveau 11. Comment on fait pour l’avoir ? J’aimerais bien avoir le niveau 11. C’est possible sur téléphone non désimlocké ?

Est-ce qu'un membre de l'équipe de modération pourrait mettre l'avertissement auquel je réponds juste après le paragraphe parlant de dureté s'il vous plait ?

J'ai un smartphone, et je n'ai pas osé décoller l'écran. Mais c'est bien un commentaire qui suggérait de démonter l'écran sur mon modèle qui m'a donné l'idée d'essayer avec une aiguille. Ça m'a pris 5-10 minutes et ça a apparemment marché (j'attends un vrai appel pour confirmer cependant). Si le démontage est facile, il vaut probablement mieux de faire comme tu dis en effet :-)

Les interfaces graphiques se sont grandement améliorées ces derniers temps.

P.S. : Contrairement au root de Lineage (addonsu), le root de Magisk permet d'afficher une pastille de notification à chaque accès root, ce qui est plutôt pratique.

J'utilise Magisk pour rooter mon téléphone sous Lineage. J'aime bien l'interface proposée pour gérer les permissions root mais je réessaierai le root officiel de Lineage à l'occasion. J'étais passé à Magisk parce que j'ai eu des problèmes avec le root officiel de Lineage par un temps mais là, je suis obligé de réinstaller Magisk à chaque mise à jour. À croire qu'avec Lineage for MicroG, le mécanisme de survi des extensions (addon.d) n'est pas pris en compte. Ça marchait bien sous
Lineage classique. Quelqu'un d'autre a ce problème ?

Je n'ai jamais essayé Magisk sur la ROM stock, mais effectivement ça me parait un peu invasif. J'éviterais. En effet, notamment ça remplace adbd pour je ne sais quelle raison.

Sur une ROM Lineage, pas de problème : si on n'en veut plus, il suffit de désinstaller l'application Magisk et de reflasher la ROM actuelle. Ça sera propre et ça ne doit pas prendre plus de 5 minutes.

Je n'ai jamais essayé Magisk Hide, je n'ai encore jamais eu à installer une application proprio sur le téléphone. Mais si Magisk te permettrait de passer à Lineage, je te conseille d'essayer. Mais tu n'es pas obligé de rooter ton téléphone, et les applications bancaires détectent le root et c'est ce que Magisk Hide évite. Apparemment certaines applications détectent aussi les ROM custom, là je ne sais pas comment elles font ni comment ça se passe, je ne me suis pas intéressé au sujet.

un des gros avantages est le fait qu'il soit multiplateforme sans devoir avoir le smartphone connecté et allumé à côté

C'est le cas de Signal aussi. Par contre, un avantage, je crois, c'est la non nécessité de fournir un numéro de téléphone (à vérifier), et la non dépendance à un smartphone (c'est un gros plus).

Dans ce cas, comment fait-on pour désigner un destinataire qui n'a pas de numéro de téléphone ?

Pardon, je crois que ma phrase n'était pas clair.

Pour Wire, dans mes souvenirs, on pouvait créer un compte avec une adresse email au lieu du numéro de téléphone. On peut totalement se passer de téléphone.

Signal peut-être utilisé sans téléphone connecté, mais il faut bien un numéro de téléphone et avoir associé l'application bureau de Signal au numéro si on veut l'utiliser sur un ordinateur classique. Normalement, il faut un smartphone pour ça, mais avec signal-cli, j'avais réussi à me passer de l'application Signal et donc un utilisateur avancé peut se passer de smartphone et quand-même utiliser (une version limité de) Signal. Ce n'est pas une utilisation normale de Signal bien sûr. Une fois que l'application de bureau est associée, le téléphone peut être déconnecté (contrairement à WhatsApp).

Est-ce que Signal permet de créer des identifiants autres ?
Si maintenant Signal peut s'utiliser sans avoir de numéro de téléphone je me demande comment ça fonctionne.

Malheureusement non.

Clémentine semble endormi

Comment ça ? Ils n'ont pas sorti de version stable depuis 2016 (ce qui est regrettable), mais le projet est actif, les distributions GNU/Linux actuelles fournissent une version récente et il y a des commits réguliers dans le dépôt git de Clementine.

Très bon lecteur audio, peut-être un peu gourmand.

Les problèmes vont plus loin pour Signal : un fork sans bibliothèque non libre, Libre-Signal, a été fait et avait été mis sur F-Droid. Le développeur principal ne souhaitait pas qu'un tel fork se connecte aux serveurs de Signal. Il veut pouvoir contrôler les clients qui s'y connectent.

De plus, il trouve que F-Droid pose des problèmes de sécurité et est hostile à la distribution de Signal sur F-Droid. Or, il me semble que c'est dans la politique de F-Droid de ne pas publier une application contre le gré de ses développeurs.

Je n'ai aucun espoir de voir une version libre et répandue de Signal dans le futur prévisible.

echo "https://linuxfr.org/news/debian-10-buster-une-distribution-qui-a-du-chien]" | perl -pe 's/\]//'

un des gros avantages est le fait qu'il soit multiplateforme sans devoir avoir le smartphone connecté et allumé à côté

C'est le cas de Signal aussi. Par contre, un avantage, je crois, c'est la non nécessité de fournir un numéro de téléphone (à vérifier), et la non dépendance à un smartphone (c'est un gros plus).

Il n'est pas dans F-Droid pour les mêmes raisons que Signal n'y est pas : utilisation de bibliothèques Google propriétaires (Location API, GCM). Cf https://github.com/wireapp/wire-android/issues/5

La situation ne semble pas aussi désespérée que Signal, cependant, les développeurs de Wire ne semble pas fondamentalement opposés à une inclusion dans F-Droid. Juste que corriger les choses pour que ça soit possible n'est pas considéré comme prioritaire.