Journal HtmGem v1.0.0, un client Gemini en Php

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
23
12
mar.
2021

Gemini c’est : un protocole, des serveurs, des clients et une syntaxe proche de Markdown. Il est cependant incompatible avec le web, et c’est voulu. Le web est devenu hostile, pas la peine d’approfondir je pense :
=> https://www.bortzmeyer.org/gemini.html
=> https://ploum.net/gemini-le-protocole-du-slow-web/

Mais je n’ai pas envie de renoncer pour autant au contact via le web. Ni pour moi, ni pour les autres. Je souhaite que les pages soient éditées via Gemini et accessibles par le web, chacun indépendamment.

J’ai conçu HtmGem pour un besoin que je pense que beaucoup éprouvent : partager du contenu essentiellement texte sans complexité malvenue. Sauf que du côté web, c’est soit un moteur de blog, dont on devient dépendant, soit du HTML plutôt basique ou soit Gemini quitte à se couper un peu du reste du monde, pour le moment…

Et bien, je crois bien que maintenant c’est possible de publier facilement sur Gemini et sur le web ✔️ On écrit des fichiers .gmi et le navigateur web le voit comme du HTML.

HtmGem est un programme en Php (AGPLv3) installable sur un hébergement mutualisé. L’installation consiste à copier les fichiers et recopier la réécriture d’URL dans la configuration du serveur web.

Mon site web est propulsé par HtmGem et la page du projet est auto-hébergée. Les sources sont hébergées à cette heure chez Framasoft.

Tester les styles :
=> https://gmi.sbgodin.fr/htmgem/css

Page du projet, accessible aussi via Gemini :
=> https://gmi.sbgodin.fr/htmgem

Code source :
=> https://framagit.org/Sbgodin/htmgem

Contribuer ?

Ce projet est destiné à rester de petite taille car Gemini n’est pas appelé à (beaucoup) évoluer. Cependant, des avis, expertises, patches, voire des retours d’utilisation font toujours plaisir.

  • # Puisqu'on parle de gemini

    Posté par  . Évalué à 1 (+1/-0).

    C'est quand même pas mal ce truc, gemini, ça pourrait même rendre obsolète certains réseaux sociaux par sa simplicité. En permettant au gens de se réapproprier l'espace virtuel du webinternet. Ça sent la liberté cette techno!

    Je me demande bien a quoi ressemblerai linuxfr en gemini…
    Il serait plus rapide encore?

    • [^] # Re: Puisqu'on parle de gemini

      Posté par  (site Web personnel) . Évalué à 7 (+6/-0).

      LinuxFr utilise des fonctions inexistante côté Gemini. Par exemple, pas de formulaire pour publier, pas de cookie pour gérer la session. Il y a les certificats clients, mais c’est plus rigide. Pas d’image non plus côté Gemini : seulement la page est chargée. Pas de requête supplémentaire automatique. Il faut donc demander l’affichage des images explicitement.

      Bref, Gemini ne remplacera jamais les réseaux sociaux. Par contre, on peut fort bien tenir un blog et orienter les commentaires vers Mastodon.

      • [^] # Re: Puisqu'on parle de gemini

        Posté par  . Évalué à 2 (+1/-1).

        pas de formulaire pour publier

        Effectivement. Enfin, oui et non… il reste possible d'envoyer des données au serveur, techniquement, mais ça reste bien plus primitif.

        Par contre, les cookies, perso, ça va pas me manquer. Pour ce qui est du système de certificats, ma foi, un client pourrait très bien trouver un moyen de rendre ça ergonomique. Je ne sais pas comment, il faudrait y réfléchir, évidemment, mais au moins ça sera pas juste un workaround parce que le protocole n'incluais pas la possibilité dès le départ, contrairement au web. Pour lequel il s'agit même d'un workaround sur-exploité.

        Par contre, on peut fort bien tenir un blog

        Exactement, et je pense que c'est la l'intérêt principal: une page gemini, c'est pas de prise de tête pour la présentation, pas de prise de tête pour le certificat TLS, contrairement au web, pour lequel ces deux aspects nécessitent quand même un peu plus que de simples notions.

        • [^] # Re: Puisqu'on parle de gemini

          Posté par  . Évalué à 3 (+1/-0).

          Par contre, les cookies, perso, ça va pas me manquer. Pour ce qui est du système de certificats, ma foi, un client pourrait très bien trouver un moyen de rendre ça ergonomique. Je ne sais pas comment, il faudrait y réfléchir, évidemment, mais au moins ça sera pas juste un workaround parce que le protocole n'incluais pas la possibilité dès le départ, contrairement au web. Pour lequel il s'agit même d'un workaround sur-exploité.

          À ce sujet, j'ai récemment été "râler" sur IRC que kristall ne permettait pas de faire de saisie sur gopher://gopher.floodgap.com:70/7/v2/vs et ça a été corrigé rapidement. Ce qui en fait le 3ème bug que je rapporte qui est corrigé en moins de deux semaines, je crois.
          L'idée d'intégrer les certificats clients pour des forums pourrais probablement faire son chemin aussi, reste à construire et défendre l'idée suffisamment pour qu'elle séduise les devs, et éventuellement à l'implémenter soi-même s'ils ne sont assez convaincu que par l'idée, mais ont la flemme de l'implémenter (ils ne sont pas payés, après tout).

      • [^] # Re: Puisqu'on parle de gemini

        Posté par  . Évalué à 3 (+1/-0).

        Par contre, on peut fort bien tenir un blog

        Un blog, mais sans aucune image, ni photo ni schéma.

        • [^] # Re: Puisqu'on parle de gemini

          Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

          Un blog, mais sans aucune image, ni photo ni schéma.

          Sans aucune image, ni photo ni schéma intégrés dans la page. Puisque cela génère des connexions non voulues par l’utilisateur ; il n’a demandé que la page. Par contre, rien n’interdit aux clients Gemini de récupérer les images distantes. Soit :
          - en demandant explicitement quand l’utilisateur le souhaite,
          - pour toutes les images d’une page donnée,
          - pour toutes les images d’un site/capsule donné (liste blanche).

          Un publicitaire pourrait donc y glisser une image une fois. Puis elle serait filtrée par l’anti-pub intégré.

          Pour mon client Gemini, HtmHem dont il est question dans le journal, ce sera implémenté plus tard pour la v2. Par contre, pour ce qui est des vrais clients Gemini, je n’ai rien vu de concluant. Mais je n’en ai essayé que quelques uns.

        • [^] # Re: Puisqu'on parle de gemini

          Posté par  . Évalué à 3 (+2/-1).

          Autrement dit, une bénédiction pour ceux dont la connexion est foireuse ou payante au volume: ils peuvent ainsi lire le texte et jauger de l'intérêt de télécharger la grosse vidéo de chat qui se casse la gueule, avant de dépenser du temps, de l'argent, de l'électricité pour un truc qui ne leur sert à rien ou pire, sert à les espionner.

          • [^] # Re: Puisqu'on parle de gemini

            Posté par  . Évalué à 3 (+1/-0). Dernière modification le 24/03/21 à 14:22.

            Je m'insurge, cette grosse vidéo m'aide quotidiennement à garder le moral. Les gif sont le gras du web.

            Chat qui saute

            Et "le gras c'est la vie." (Attention, ce lien pointe vers une page remplie d'espions, il est sûrement préférable de le coller dans VLC (CTRL-N), ou de l'ignorer)

  • # Héberger une page "statique" en Gemini

    Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

    À titre d'expérience, je tenterai bien d'héberger une sous-section de mon site en Gemini.

    Cela contiendrait juste : des liens, des images fixes (JPG, PNG), des binaires (ZIP, EXE, RUN).

    C'est jouable ou bien ?

    • [^] # Re: Héberger une page "statique" en Gemini

      Posté par  (site Web personnel) . Évalué à 2 (+1/-0).

      Tout à fait, c’est l’intérêt. Du texte statique est déjà du GemText valide. Comme indiqué sur mon tutoriel ajouter des liens se fait en commençant une ligne par « => ». Par contre, c’est un lien par ligne :

      => https:/​/gmi.sbgodin.fr/htmgem/tutogemtext.gmi tutoriel

      Pour les images, les vidéos et les binaires : on peut très bien les héberger sur une capsule (un site). Par contre, ni les images, ni les vidéos et ni les binaires ne se chargeront d’office. Ça paraît logique pour les binaires. Compréhensible pour les vidéos, afin qu’elles ne se lancent pas toutes seules. Mais même les images ne se chargeront pas automatiquement. C’est une des règles : pas d’action automatique sans l’accord de l’utilisateur.

      Par contre, j’ai vu au moins un client Gemini mettant une option pour afficher les images. Je pense que la pratique sera de charger les images (présentes sous forme de liens) à la demande ou bien pour toutes celles de la page. Pourquoi pas, un réglage conservé par le navigateur indiquant que pour telle capsule toutes les images seront affichées. Un genre d’adblock intégré.
      En tout cas, il ne faut jamais partir du principe que les médias seront automatiquement visibles par l’utilisateur.

      Pour les vidéos, je suppose que soit le navigateur Gemini le prend en charge, soit ce sera sous-traité à un programme externe (à la xdg-open).

  • # Ergol

    Posté par  . Évalué à 3 (+2/-0).

    Signalons un autre serveur Gemini en PHP : http://adele.work/code/ergol/ergol.gmi

    Il propose aussi un intéressant proxi http (qui sert les pages Gemini en http) : http://adele.work/code/gemiprox/gemiprox.gmi

  • # Commentaire supprimé

    Posté par  . Évalué à 2 (+0/-0). Dernière modification le 15/03/21 à 08:10.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # oups

      Posté par  . Évalué à 2 (+0/-0).

      Heu… non, rien en fait :)

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # M'ouaif

    Posté par  (site Web personnel) . Évalué à 5 (+3/-0). Dernière modification le 16/03/21 à 19:07.

    J'ai du mal avec ce besoin de définir un nouveau protocole.

    Le HTTP+HTML peut être utilisé de façon abusive. Mais c'est un choix.

    • On peut très bien faire du contenu "à l'ancienne" avec HTML simple (voir en utilisant la sémantique HTML5), sans CSS.
    • On n'est pas obligé de mettre des images visibles dans la page (on peut mettre des liens).
    • On peut encore servir en HTTP au lieu de HTTPS¹.

    Et si on veut faire "moderne" mais pourtant léger, voir https://www.lowtechmagazine.com/ .

    Au moins on permet à de nombreuses personnes d'accéder au contenu (ou sinon, faut utiliser l'outil présenté ici pour publier sur les 2 protocoles avec la rédaction au moins disant).

    À moins que ça ne soit un truc de geek pour les geeks qui veulent rester entre eux…

    ¹ Même si ça sera moins bon pour l'indexation.

    Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

    • [^] # Re: M'ouaif

      Posté par  (site Web personnel) . Évalué à 3 (+1/-0). Dernière modification le 16/03/21 à 21:07.

      Le HTTP+HTML peut être utilisé de façon abusive.

      Justement : Gemini ne peut pas.
      Les "peut" de tes exemples s'appliquent aux webmasters. Il peuvent faire bien mais aussi super mal, aucun moyen de le savoir avant de visiter la page (à moins d'y aller progressivement avec des préservatifs, mais tout le monde n'a pas pas le réflexe ni le temps…).
      Avec Gemini, tu as la superbe garantie que quoi qu'il arrive, ta page ressemblera à un copier-coller de Links ;).

      À moins que ça ne soit un truc de geek pour les geeks qui veulent rester entre eux…

      Y a de ça aussi.
      Comme Mastodon ;).

      • [^] # Re: M'ouaif

        Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

        Justement : Gemini ne peut pas.

        À ce que je sache, Gemini n’est qu’un protocole de transfert de fichier, comme HTTP, rien ne t’empêche d’envoyer du HTML et du JavaScript.

        • [^] # Re: M'ouaif

          Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

          En effet, il est possible de placer un fichier exécutable sur un serveur Gemini et de le télécharger. Mais ce n’est pas ton client Gemini qui l’exécutera, car il ne devrait interpréter que le gemtext et ne jamais lancer de téléchargement à l’insu de l’utilisateur.

          En fait, Gemini c’est quatre choses :
          - des serveurs,
          - des clients,
          - un protocole,
          - une syntaxe, le gemtext.

          L’écosystème Gemini ne peut donc pas abuser l’utilisateur comme le monde HTML.

          • [^] # Re: M'ouaif

            Posté par  (site Web personnel) . Évalué à 8 (+6/-0).

            Tout comme Markdown qui a rendu accessible la rédaction de texte simple, je pense que Gemini aussi devrait proposer plusieurs « saveurs » différentes. Gemini est un beau projet qui mérite d’évoluer, aussi voici mes propositions pour Gemini++ :

            • Pour rendre le Gemini plus sympa et dynamique, il faudrait un langage gemscript et pour des questions de performance asmgem ;
            • Pour le rendre plus joli, il faut au minimum ajouter gemGL et gemCanvas;
            • Pour servir les pages dynamiques un serveur node.gem qui utilise les mêmes langages avec ses propres extensions serait un chouette complément ;
            • Évidemment il faudra ajouter GemRTC, si on définit un protocole de transfert de données, c’est par pour faire des pages qui l’utilisent ;
            • Une implémentation de référence sera fournie par Google, dont une version sera opensource et pourra être utilisée sans faire appel à leur services en y appliquant seulement un centaine de patches de plusieurs milliers de lignes ;
            • Et pour ceux qui auraient du mal à suivre pour implémenter ces nouveaux standards, on pourrait fournir un outil d‘extraction des données depuis le gemtext++, qu’on appellerait goob (ex gemoob).

            À partir de là, l‘écosystème devrait être assez complet. On pourra alors y porter Electron pour que Gemini++ supplante enfin le Web quand l’appli Whatsapp sera réécrite en Gemlectron.

            Je suis impatient de voir fleurir les premiers frameworks gemscripts, ça me redonne foi en l’avenir !

    • [^] # Re: M'ouaif

      Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

      J'ai du mal avec ce besoin de définir un nouveau protocole.
      Le HTTP+HTML peut être utilisé de façon abusive. Mais c'est un choix.

      Je suis entièrement d’accord. À la limite même, je me serai aussi contenté d’un sous-ensemble de HTML5. C’est d’ailleurs ce que j’ai toujours fait. Et la grande majorité des gens que je suis sur le net se comportent de cette manière. Donc, oui, on peut.

      Le cœur du problème est de savoir, quand on veut publier simple et durable, quel procédé utiliser ? Le texte brut montre ses limites. Gopher, mmh… non. Un blog : oui, j’ai tenté. Mais cela reste encore trop compliqué. Soit on prend un gros (Wordpress, par ex.) mais cela représente un boulot conséquent pour en assurer la sécurité. Un petit ? Oui, mais si l’auteur abandonne ou s’il est difficile à maintenir, que fait-on ? Et ce, en sachant que le HTML évolue.

      Résultat : impossible de publier quelque chose en HTML qui soit vraiment pérenne.

      Quant aux navigateurs, ils pourvoient trop de données personnelles. Tous doivent être longuement configurés pour le respect de la vie privée.

      Regarde, j’ai fait ceci hier :
      => Alice au pays des merveilles

      Le format est pérenne et facile à prendre en main. Voilà le premier chapitre. Tu peux télécharger le source : c’est récupérable à n’importe quel moment.

      C’est possible aussi avec un navigateur Gemini.

      En résumé, dans le cadre de cette conversation il y a deux idées principales. C’est tout d’abord la facilité d’écriture des pages. Ensuite, c’est de décourager toute exploitation malsaine.

      • [^] # Re: M'ouaif

        Posté par  . Évalué à 1 (+1/-2).

        Tu as oublié un point important:

        Avec Gemini, n'importe quel dev à peine sorti (ou pas) de l'école peut coder son client, la ou, pour le web, les seuls que l'ont peut considérer comme les auteurs initiaux du moteur de rendu qu'ils utilisent, c'est Mozilla, et ils galèrent.

        Aussi, du point de vue de la personne qui veut juste publier:

        • TLS oui, mais TOFU, nul besoin de se prendre la tête avec le Web of Untrust (qui a une chiée de maillons pouvant péter à tout moment, et dont la solution préconisée pour avoir rapidement son certificat, c'est d'installer une application python qui s'exécutera en root, tout en accédant au système de fichiers. Ah oui, il faut aussi un serveur web supportant CGI. Sympa, la «sécurité facile»… je ne parle pas de ce qui arrive quand une «autorité» à une fuite)

        • Voici un exemple de code HTML honteusement pris sur wikipedia:

        <html lang="fr">
            <head>
            </head>
            <body>
                <header>
                    <nav>
                        <ul>
                            <li><a href="#contenu-principal">contenu principal</a></li>
                        </ul>
                    </nav>
                </header>
                <main id="contenu-principal">
                    <!-- Contenu principal de la page -->   
                </main>
            </body>
        </html>

        Son équivalent gemini? Probablement un truc dans ce goût la:

        * => #contenu-principal contenu principal
        
        contenu principal de la page
        

        En terme de lisibilité, je dirais qu'il n'y a pas photo. Ah, et autre chose dont j'apprécie l'idée: pas besoin de se faire chier avec cette horreur qu'est CSS.

        Alors, oui, forcément, gemini c'est pas adapté pour un site bancaire, mais bon, le web ne l'est pas vraiment non plus, pour rappel, les cookies, c'est juste un hack, et c'est aussi le problème: le web, c'est une pile de hacks plus ou moins grossiers, dont parfois je me demande s'ils sont pas faits pour faire chier (JS peut créer des onglets, c'est super, hein? Et les images animées, on en reparle? Ou les vidéo en auto-play?).

        • [^] # Re: M'ouaif

          Posté par  (site Web personnel) . Évalué à 2 (+1/-0).

          * => #contenu-principal contenu principal

          Désolé, mais l’affichage sera juste exactement comme suit. Une puce avec le signe => puis le texte. :

          • => #contenu-principal contenu principal

          Les liens dans Gemini sont dans une seule ligne consacrée à ça. Elle doit commencer par => exactement. C’est comme ça que je récupère les liens dans GemText/lib-htmgem.php#L36.

          Les fragments (#) ne sont pas supportés, ce que j’aimerais bien avoir. Et la décoration du texte (gras, italique, etc.) aussi.

          • [^] # Re: M'ouaif

            Posté par  . Évalué à 3 (+1/-0).

            Désolé, mais l’affichage sera juste exactement comme suit. Une puce avec le signe => puis le texte.

            Mea culpa, je n'ai pas encore tout bien appris, juste zieuté de loin et cherché un ou deux clients qui m'intéressent. En recherche d'un serveur, aussi, il y en a plein, mais je suis (trop) chiant :)

            • [^] # Re: M'ouaif

              Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

              Chez moi j’ai posé Agate (cargo install agate) que je lance avec :

              agate --content /(…)/gmi.sbgodin.fr --cert /(…)/cert.pem --key /(…)/privkey.pem --lang fr --hostname gmi.sbgodin.fr
              

              Sinon, si tu as un hébergement qui fait du Php, tu peux utiliser ceci en attendant ;-)

        • [^] # Re: M'ouaif

          Posté par  (site Web personnel) . Évalué à 2 (+1/-1).

          TLS oui, mais TOFU, nul besoin de se prendre la tête avec le Web of Untrust

          Ouais, c’est un gros point noir de Gemini, merci de le souligner, l’absence de sécurité.

          En terme de lisibilité, je dirais qu'il n'y a pas photo.

          Si tu mets de côté le fait qu’il n’y ai pas d’hyperlien, pas d’images intégrés, etc. c’est effectivement génial d’un point de vu lisibilité.

          D’ailleurs, tu piques un exemple de Wikipédia, mais je serai curieux de voir à quel point Wikipédia serait illisible/innavigable sur Gemini.

          • [^] # Re: M'ouaif

            Posté par  (site Web personnel) . Évalué à 0 (+0/-1).

            Ce ne serait pas de luxe de lire la documentation de Gemini et les commentaires de cette présente page sur LinuxFr. Il y a des liens. Précisément un par ligne. Et cette ligne n’est utilisable qu’en tant que lien.

            Voir mon tutoriel via HtmGem :
            => https://gmi.sbgodin.fr/htmgem/tutogemtext.gmi ;-)

            Voir mon tutoriel via une passerelle :
            => https://proxy.vulpes.one/gemini/gmi.sbgodin.fr/htmgem/tutogemtext.gmi

            • [^] # Re: M'ouaif

              Posté par  . Évalué à 5 (+2/-0).

              Oui, mais ce qu'il dit, c'est que ce n'est pas au milieu d'un paragraphe. Dans un article Wikipédia, il y a plusieurs lien par paragraphe. Ce serait bien moins lisible avec Gemini.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: M'ouaif

                Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

                Je suis bien d’accord. Il faudrait faire des renvois[1] sans arrêt pour afficher une page Wikipedia en Gemini. Cela fait partie des choses qui ne rendraient pas bien vu la norme actuelle.

                [1] burp !

          • [^] # Re: M'ouaif

            Posté par  . Évalué à 2 (+0/-0).

            Ouais, c’est un gros point noir de Gemini, merci de le souligner, l’absence de sécurité.

            On reparle de la chaîne de vulnérabilitéW confiance du web, et de ce qu'il se passe quand un maillon pète?

            • [^] # Re: M'ouaif

              Posté par  . Évalué à 4 (+1/-0).

              Et du coup, la solution, c'est d'avoir d'office un maillon pété, comme ça on est sûr que c'est déjà la merde avant de commencer ?

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: M'ouaif

                Posté par  . Évalué à 2 (+0/-0). Dernière modification le 28/03/21 à 16:00.

                En quoi c'est pété d'office, en fait?

                Personnellement, je penseque la chaîne de confiance c'est bien: pour les applications web qui impliquent un login et qui manipulent des données sensibles, comme ma banque.

                Mais pour aller lire un blog? Je n'en vois clairement pas l'intérêt. Tu dis que le maillon est pété d'office, mais le truc c'est qu'il n'y a pas de maillon, justement.

                Tiens d'ailleurs, tu considères que le modèle de sécurité d'OpenSSH est pété par défaut? Parce que c'est le même par défaut.

                • [^] # Re: M'ouaif

                  Posté par  . Évalué à 3 (+0/-0).

                  Mais pour aller lire un blog? Je n'en vois clairement pas l'intérêt. Tu dis que le maillon est pété d'office, mais le truc c'est qu'il n'y a pas de maillon, justement.

                  Alors pourquoi chiffrer si le but n'est pas d'avoir une communication dont on est sûr qu'elle est confidentielle ? Autant transmettre en clair.

                  Tiens d'ailleurs, tu considères que le modèle de sécurité d'OpenSSH est pété par défaut? Parce que c'est le même par défaut.

                  Pour du public, oui. En cas de changement de clef, je n'ai aucun moyen de savoir si un changement de clef est légitime ou pas. Ça ne marche que quand tu maîtrise l'infra. D'ailleurs, il y d'autres moyens pour authentifier le serveurs qui sont prévus. Justement pour s'adapter à ton domaine.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: M'ouaif

                    Posté par  . Évalué à 3 (+1/-0).

                    Alors pourquoi chiffrer si le but n'est pas d'avoir une communication dont on est sûr qu'elle est confidentielle ? Autant transmettre en clair.

                    Tout à fait. Personnellement, une simple signature type GPG serait à mes yeux largement suffisante pour de très nombreux cas d'usages du web.
                    Le chiffrement est parfois utile, je ne le nie pas (pas envie que les empreintes de mon code bancaire passent sur un réseau en clair…).
                    Si la signature change, je suis prévenu, et je peux me méfier. Si c'est un site sur lequel je vais souvent, il est possible que j'aie été prévenu à l'avance du changement. Il est aussi envisageable de signer la nouvelle clé avec l'ancienne.

                    Tout ça fonctionne. D'ailleurs, contrairement au modèle usité par le web, le TOFU permets de donner à quelqu'un une URI et une empreinte, de sorte à s'assurer qu'on parle de la même chose.
                    Dans le cas du web, c'est probablement faisable, mais clairement pas la philosophie retenue.
                    J'allais dire:

                    À la place, on à préféré fustiger les gens qui osent ne pas mettre en place l'usine à gaz nécessaire à la chaîne de confiance en disant "attention! danger! Vite, sauvez-vous!".

                    Mais après vérification, ce n'est pas le cas sur mes 2 navigateurs. J'étais pourtant persuadé d'avoir eu à contourner des écrans à la con pour ce type d'accès par le passé, du coup j'imagine que je me suis fait des films. Ou alors, ça a changé pour revenir à un comportement plus sain. Les deux sont possibles…

                    En cas de changement de clef, je n'ai aucun moyen de savoir si un changement de clef est légitime ou pas.

                    Et je n'ai aucun moyen de savoir avec le web qu'il n'y a pas de typo-squatting, ni aucun moyen d'être sûr que le domaine n'a pas été racheté au bon moment et un site à la même tronche mis en place.
                    Je n'ai donc aucune garantie dans les deux cas, à la première visite. Lors de la seconde, en revanche, avec un TOFU… si pas encore lu, voir le début de ce message (évitons une boucle infinie).

            • [^] # Re: M'ouaif

              Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

              Oui, on peut, je t’attends avec des exemples récent et qui ont réellement causé des vrais problèmes de sécurité et qui n’ont pas été traité rapidement.

              • [^] # Re: M'ouaif

                Posté par  . Évalué à 2 (+0/-0).

                Par problèmes de sécurité, tu entends juste pénétration de système, ou tu inclues la possibilité de se faire passer pour un site tiers? Qu'appelles-tu récent?

                Pour moi, 10 ans et moins, c'est acceptable sous l'étiquette de "récent", donc ce qui est mentionné ici est valide. Ce n'est pas une liste exhaustive, mais j'ai la flemme de chercher.

                Sinon, plus récent, pas lié en soit au modèle en chaîne, mais lié à let's encrypt: https://mailarchive.ietf.org/arch/msg/acme/F71iz6qq1o_QPVhJCV4dqWf-4Yc/

                Alors, bien sûr, ça date de 2015 (je n'ai pas cherché trop longtemps) ça a été corrigé depuis, etc, etc.
                Mais il n'empêche que la méthode simple pour certbot, celle que quelqu'un qui veut héberger un blog sans trop se prendre la tête appliquera, c'est: un serveur http qui supporte CGI, et certbot qui tourne en tant que root.
                On peut faire autrement, je sais, en n'utilisant pas le challenge http, mais les autres nécessitent clairement plus de compétences.
                Tout ça pour un blog ou un site perso?
                Je trouve clairement que c'est overkill, que ça augmente drastiquement la surface d'attaque de la machine, et j'ai également cité des liens montrant des problèmes de sécurité avérés, et liés au web au trust.

    • [^] # Re: M'ouaif

      Posté par  . Évalué à 3 (+1/-0).

      Au moins on permet à de nombreuses personnes d'accéder au contenu

      L'avantage de gemini, c'est que chaque personne à son propre client :)

      Bon, et sinon, on parle d'accessibilité? Je ne compte plus le nombre de sites web qu'il me faut zoomer malgré mon écran de merde pour arriver à lire… ou les couleurs avec un contraste trop faible… "on permet à de nombreuses personnes d'accéder au contenu" j'en suis pas si sûr, du coup.

      Je sais, il y a le mode lecture maintenant… qui n'apporte à gemini que les images embarquées, j'ai l'impression (qui peuvent donc être utilisées pour traquer tout).

      À côté de ça, gemini, vu que c'est du texte brut, c'est utilisable facilement par les liseuses, et il semblerait qu'il y ait eu des échanges avec les premiers concernées (des aveugles, donc) pour encore améliorer ce point.
      Du coup, il n'est pas impossible que justement, gemini soit utilisable par plus de personnes que le web.

      • [^] # Re: M'ouaif

        Posté par  (site Web personnel) . Évalué à 2 (+1/-0). Dernière modification le 19/03/21 à 12:48.

        À côté de ça, gemini, vu que c'est du texte brut, c'est utilisable facilement par les liseuses (…)

        Une liseuse qui lit le Gemini via Internet ? En local ? Qui sait recopier tout un site pour une lecture en local ?
        Je prends direct !

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.