utilisation de certificats x509 pour le chiffrement
prise en compte des token PKCS#11 pour le stockage du certificat
chiffrement multi-utilisateur, ie plusieurs certificats peuvent déchiffrer
recherche de certificats dans un annuaire LDAP
authentification Kerberos sur le LDAP
Note : je n'ai pas lu la liste des fonctionnalités de ptar, mais je suis un utilisateurs de Zed. Les fonctionnalités ci-dessus existe dans Zed … sauf la dernière.
Bonus avec les versions récentes de OpenConnect (>= 9.x) pour les VPN Cisco, tu as la double authentification PKCS#11, ce qui permet d'utiliser d'abord un certificat machine dans la TPM, ensuite un certificat utilisateur dans un dongle PKI, et alors tu as un certain niveau d'identification du client.
Ici on utilise OpenConnect parce qu'il est capable de faire de l'authent PKCS#11 sous Linux, contrairement au client bloated qui ne sait le faire que sous Win et macOS (oui Cisco c'est toi que je regarde).
OpenConnect a son propre systeme de callbacks donc oui il est possible de faire des choses, mais il faut le scripter soit même.
Il y a un accès à une version limitée de apt, qui permet d'installer ce qu'il y a dans les dépôts préconfigurés (tu ne peux pas faire apt install ./untruc.deb).
Intéressant ! Cette version limitée de apt, est-elle obtenue juste par configuration (apt.conf.d ou preferences.d) ? Ou bien s'agit-il d'un wrapper par dessus la commande apt standard, on encore d'un apt modifié/recompilé ?
The most striking difference to the classic APT solver is that solver3 always keeps manually installed packages around, it never offers to remove them.
Miam !
We will relax that in a future iteration so that it can replace packages with new ones, that is, if your package is no longer available in the repository (obsolete), but there is one that Conflicts+Replaces+Provides it, solver3 will be allowed to install that and remove the other.
Et c'est tres pratique, ça permet de gérer/diffuser ses propres paquets de conf depuis un dépot interne, tout en laissant l'admin local de la machine faire ses modifs dans /etc.
Il a été affirmé plus haut, je cite : Établir une connexion TCP/IP, même chiffrée, reste une transmission de DCP (l’adresse IP de l’utilisateur) et est donc en soit un traitement de données soumis au RGPD
Comme je suis incompétent sur le sujet, j'en déduis que curl, telnet, et bash aussi, sont soumis au RGPD.
Voila : un dépôt APT, je peux faire un mirroir sur mon propre réseau, il y a des outils pour ça, c'est prévu, c'est documenté. Avec Snap rien de tout cela, c'est une régression.
$ apt show xscreensaver-screensaver-bsod
Package: xscreensaver-screensaver-bsod
[...]
Description: BSOD screen saver module from XScreenSaver
This package ships the mode BSOD that shows the popular Blue Screens of Death
from several OSes including BSD, Windows, Linux, Solaris, Apple and much more.
.
WARNING: This screensaver could be confused with a real BSOD and could lead an
user to reboot the machine with consequences like data loss.
Avec PAM, etc. tu peux même avoir de l’authentification itinérante (où tu peux ouvrir ta session sur ton ordi portable alors que t’es déconnecté du réseau).
Quand tu ouvre une session en itinérance, je suppose que tu n'obtiens pas de ticket Kerberos puisque le serveur n'est pas joignable. Est-ce qu'il y a un moyen ensuite de récupérer automatiquement un ticket avec les informations fournies initialement à PAM, sans saisir à nouveau login/password, quand le serveur Kerberos redevient joignable, par exemple après connexion VPN ?
[^] # Re: Super
Posté par shbrol . En réponse au lien .ptar: archive format for a single self-contained, portable, immutable, deduplicated, encrypted file. Évalué à 4 (+3/-0).
Suggestion de fritures:
Note : je n'ai pas lu la liste des fonctionnalités de ptar, mais je suis un utilisateurs de Zed. Les fonctionnalités ci-dessus existe dans Zed … sauf la dernière.
[^] # Re: Quality
Posté par shbrol . En réponse au journal Présentation d'un laptop certifié PCI-DSS. Évalué à 2 (+1/-0).
Bonus avec les versions récentes de OpenConnect (>= 9.x) pour les VPN Cisco, tu as la double authentification PKCS#11, ce qui permet d'utiliser d'abord un certificat machine dans la TPM, ensuite un certificat utilisateur dans un dongle PKI, et alors tu as un certain niveau d'identification du client.
[^] # Re: Quality
Posté par shbrol . En réponse au journal Présentation d'un laptop certifié PCI-DSS. Évalué à 2 (+1/-0).
Ici on utilise OpenConnect parce qu'il est capable de faire de l'authent PKCS#11 sous Linux, contrairement au client bloated qui ne sait le faire que sous Win et macOS (oui Cisco c'est toi que je regarde).
OpenConnect a son propre systeme de callbacks donc oui il est possible de faire des choses, mais il faut le scripter soit même.
[^] # Re: root ?
Posté par shbrol . En réponse au journal Présentation d'un laptop certifié PCI-DSS. Évalué à 4 (+3/-0).
Il y a un accès à une version limitée de apt, qui permet d'installer ce qu'il y a dans les dépôts préconfigurés (tu ne peux pas faire apt install ./untruc.deb).
Intéressant ! Cette version limitée de
apt
, est-elle obtenue juste par configuration (apt.conf.d
oupreferences.d
) ? Ou bien s'agit-il d'un wrapper par dessus la commandeapt
standard, on encore d'unapt
modifié/recompilé ?[^] # Re: D'où l'intérêt...
Posté par shbrol . En réponse au journal changer de genre est un droit garanti par le RGPD. Évalué à 1. Dernière modification le 20 mars 2025 à 14:44.
C'est triste ton avis sur les utilisateurs d'Emacs … quoi on est pas déja vendredi ?
[^] # Re: Un jour Windows sera (peut-être) un vrai gestionnaire de bureaux
Posté par shbrol . En réponse au journal La sexualité des libristes, tout ce que vous n’avez jamais osé demander. Évalué à 2.
Les gens n'achètent pas de la merde juste parce qu'il y a du rouge à lèvre dessus.
La semaine dernière tu disais : Teams je trouves que c'est de la merde.
Cet intérêt particulier pour le caca, je trouve ça inquiétant.
[^] # Re: Résumé
Posté par shbrol . En réponse au lien Resolving an unusual wifi issue. Évalué à 3.
Dans le genre improbable et pas récent, avec une explication rationnelle à la fin, un classique : We can't send mail more than 500 miles …
[^] # Re: "no functionally equivalent alternatives"
Posté par shbrol . En réponse au journal GDPR et Microsoft 365: la Commission Européenne poursuit l'EDPS. Évalué à 2.
Mmh … j'ai du mal à suivre. Plus haut tu disais (le gras est de moi) :
et maintenant :
alors je suis tout perdu : qui choisit le produit finalement ?
[^] # Re: "no functionally equivalent alternatives"
Posté par shbrol . En réponse au journal GDPR et Microsoft 365: la Commission Européenne poursuit l'EDPS. Évalué à 7.
Je suis utilisateur malgré moi du produit en question, je ne l'ai pas choisi, il m'a été imposé.
Merci de ne pas confondre le client et l'utilisateur.
[^] # Re: pas mal
Posté par shbrol . En réponse au lien Protect Your Site With A DOOM Captcha. Évalué à 2.
j'ai refait tout le jeu au shotgun
Copain !
[^] # Re: Il y a un truc qui me gène dans cet article ( définition d'une cyber-attaque)
Posté par shbrol . En réponse au lien Ces petits éléments accréditent que la fuite de Free vient d'une complicité interne, depuis le début. Évalué à 3.
Et ton gamin a bien commis un vol…
Ou pas …
# Merci pour grep.app
Posté par shbrol . En réponse au lien Hyrum's Law (ou ne pas changer une API même cassée). Évalué à 2.
Merci pour grep.app, je ne connaissais pas, c'est joli.
[^] # Re: infecte notation ?
Posté par shbrol . En réponse à la dépêche Y a le Frido 2024 qu'est là. Évalué à 3.
Je rajoute Perl dans la première catégorie, et je relance de 10 …
[^] # Re: vidir - Renommage/suppression rapide de fichiers au travers d’un éditeur de texte
Posté par shbrol . En réponse au journal Quelques gemmes en CLI. Évalué à 1.
Merci pour vidir !
# Miam Miam
Posté par shbrol . En réponse au lien Le nouveau solveur de dépendances de APT 3.0. Évalué à 5.
The most striking difference to the classic APT solver is that solver3 always keeps manually installed packages around, it never offers to remove them.
Miam !
We will relax that in a future iteration so that it can replace packages with new ones, that is, if your package is no longer available in the repository (obsolete), but there is one that Conflicts+Replaces+Provides it, solver3 will be allowed to install that and remove the other.
Re-Miam !
[^] # Re: différents répertoires
Posté par shbrol . En réponse au journal [ HS ] ... enfin, pas tant que ça.. Évalué à 1.
Et c'est tres pratique, ça permet de gérer/diffuser ses propres paquets de conf depuis un dépot interne, tout en laissant l'admin local de la machine faire ses modifs dans /etc.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par shbrol . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1.
Il a été affirmé plus haut, je cite : Établir une connexion TCP/IP, même chiffrée, reste une transmission de DCP (l’adresse IP de l’utilisateur) et est donc en soit un traitement de données soumis au RGPD
Comme je suis incompétent sur le sujet, j'en déduis que curl, telnet, et bash aussi, sont soumis au RGPD.
[^] # Re: Pas tous libre
Posté par shbrol . En réponse au journal snap : de pire en pire.. Évalué à 0.
Et donc maintenir ton propre fork, parce que le patch ne sera jamais accepté upstream.
Brillant.
[^] # Re: Pas tous libre
Posté par shbrol . En réponse au journal snap : de pire en pire.. Évalué à 4.
Voila : un dépôt APT, je peux faire un mirroir sur mon propre réseau, il y a des outils pour ça, c'est prévu, c'est documenté. Avec Snap rien de tout cela, c'est une régression.
# Il était déja présent depuis bien longtemps
Posté par shbrol . En réponse au lien Le BSOD devait apparaître sous GNU/Linux. Évalué à 8.
[^] # Re: Nothing is objectively better than spaces and tabs
Posté par shbrol . En réponse au lien Tabs are objectively better than spaces. Évalué à 5.
Proposition acceptée… reste la question fondamentale, combien de point-virgules: 4, 8, autre ?
#include <stdio.h>
int main() {
;;;;char* s = "Hello, world";
;;;;printf("%s\n", s);
}
Bien entendu, je --> []
[^] # Re: les navigateurs moins populaires
Posté par shbrol . En réponse au lien the WebP 0day. Évalué à 4.
Il y a
apt changelog
qui fait le job :[^] # Re: Flatseal
Posté par shbrol . En réponse au journal "dérives sécuritaires" : inconvénients des flatpacks, snap ou environnements sandbox.. Évalué à 4.
Ecouter l'intro de X-Wing vs T-fighters en entier, jusqu'à la fin, avant de démarrer chaque partie … grosse nostalgie ;-)
[^] # Re: Peu d'obstacle?
Posté par shbrol . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 7.
Et une fois la connexion établie, SSSD va récupérer tout seul un ticket Kerberos, pas besoin de lancer explicitement
kinit
.[^] # Re: Samba au détriment de...
Posté par shbrol . En réponse à la dépêche Sortie de Samba 4.16.x. Évalué à 1.
Quand tu ouvre une session en itinérance, je suppose que tu n'obtiens pas de ticket Kerberos puisque le serveur n'est pas joignable. Est-ce qu'il y a un moyen ensuite de récupérer automatiquement un ticket avec les informations fournies initialement à PAM, sans saisir à nouveau login/password, quand le serveur Kerberos redevient joignable, par exemple après connexion VPN ?