shbrol a écrit 502 commentaires

Suggestion de fritures:

• utilisation de certificats x509 pour le chiffrement
• prise en compte des token PKCS#11 pour le stockage du certificat
• chiffrement multi-utilisateur, ie plusieurs certificats peuvent déchiffrer
• recherche de certificats dans un annuaire LDAP
• authentification Kerberos sur le LDAP

Note : je n'ai pas lu la liste des fonctionnalités de ptar, mais je suis un utilisateurs de Zed. Les fonctionnalités ci-dessus existe dans Zed … sauf la dernière.

Bonus avec les versions récentes de OpenConnect (>= 9.x) pour les VPN Cisco, tu as la double authentification PKCS#11, ce qui permet d'utiliser d'abord un certificat machine dans la TPM, ensuite un certificat utilisateur dans un dongle PKI, et alors tu as un certain niveau d'identification du client.

Ici on utilise OpenConnect parce qu'il est capable de faire de l'authent PKCS#11 sous Linux, contrairement au client bloated qui ne sait le faire que sous Win et macOS (oui Cisco c'est toi que je regarde).

OpenConnect a son propre systeme de callbacks donc oui il est possible de faire des choses, mais il faut le scripter soit même.

Il y a un accès à une version limitée de apt, qui permet d'installer ce qu'il y a dans les dépôts préconfigurés (tu ne peux pas faire apt install ./untruc.deb).

Intéressant ! Cette version limitée de apt, est-elle obtenue juste par configuration (apt.conf.d ou preferences.d) ? Ou bien s'agit-il d'un wrapper par dessus la commande apt standard, on encore d'un apt modifié/recompilé ?

C'est triste ton avis sur les utilisateurs d'Emacs … quoi on est pas déja vendredi ?

Les gens n'achètent pas de la merde juste parce qu'il y a du rouge à lèvre dessus.

La semaine dernière tu disais : Teams je trouves que c'est de la merde.

Cet intérêt particulier pour le caca, je trouve ça inquiétant.

Dans le genre improbable et pas récent, avec une explication rationnelle à la fin, un classique : We can't send mail more than 500 miles …

Mmh … j'ai du mal à suivre. Plus haut tu disais (le gras est de moi) :

A mettre en perspective avec les millions d'autres utilisateurs […] choisissant ce produit et pas les offres libres

et maintenant :

Non, sa qualité première est de comprendre ce qu'un Departement informatique veut, et ils y répondent.

alors je suis tout perdu : qui choisit le produit finalement ?

Je suis utilisateur malgré moi du produit en question, je ne l'ai pas choisi, il m'a été imposé.

Merci de ne pas confondre le client et l'utilisateur.

j'ai refait tout le jeu au shotgun

Copain !

Et ton gamin a bien commis un vol…
Ou pas …

Merci pour grep.app, je ne connaissais pas, c'est joli.

Je rajoute Perl dans la première catégorie, et je relance de 10 …

Merci pour vidir !

The most striking difference to the classic APT solver is that solver3 always keeps manually installed packages around, it never offers to remove them.

Miam !

We will relax that in a future iteration so that it can replace packages with new ones, that is, if your package is no longer available in the repository (obsolete), but there is one that Conflicts+Replaces+Provides it, solver3 will be allowed to install that and remove the other.

Re-Miam !

Et c'est tres pratique, ça permet de gérer/diffuser ses propres paquets de conf depuis un dépot interne, tout en laissant l'admin local de la machine faire ses modifs dans /etc.

Il a été affirmé plus haut, je cite : Établir une connexion TCP/IP, même chiffrée, reste une transmission de DCP (l’adresse IP de l’utilisateur) et est donc en soit un traitement de données soumis au RGPD

Comme je suis incompétent sur le sujet, j'en déduis que curl, telnet, et bash aussi, sont soumis au RGPD.

Et donc maintenir ton propre fork, parce que le patch ne sera jamais accepté upstream.

Brillant.

Voila : un dépôt APT, je peux faire un mirroir sur mon propre réseau, il y a des outils pour ça, c'est prévu, c'est documenté. Avec Snap rien de tout cela, c'est une régression.

$ apt show xscreensaver-screensaver-bsod
Package: xscreensaver-screensaver-bsod
[...]
Description: BSOD screen saver module from XScreenSaver
 This package ships the mode BSOD that shows the popular Blue Screens of Death
 from several OSes including BSD, Windows, Linux, Solaris, Apple and much more.
 .
 WARNING: This screensaver could be confused with a real BSOD and could lead an
 user to reboot the machine with consequences like data loss.

Proposition acceptée… reste la question fondamentale, combien de point-virgules: 4, 8, autre ?

#include <stdio.h>
int main() {
;;;;char* s = "Hello, world";
;;;;printf("%s\n", s);
}


Bien entendu, je --> []

Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog

Il y a apt changelog qui fait le job :

$ apt changelog libwebp7
Réception de :1 https://changelogs.ubuntu.com libwebp 1.2.2-2ubuntu0.22.04.2 Changelog 

libwebp (1.2.2-2ubuntu0.22.04.2) jammy-security; urgency=medium

  * SECURITY UPDATE: Heap buffer overflow in BuildHuffmanTable
    - debian/patches/CVE-2023-4863.patch: fix OOB write in
      BuildHuffmanTable in src/dec/vp8l_dec.c, src/dec/vp8li_dec.h,
      src/utils/huffman_utils.c, src/utils/huffman_utils.h.
    - CVE-2023-4863

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Wed, 13 Sep 2023 13:57:14 -0400

[...]

Ecouter l'intro de X-Wing vs T-fighters en entier, jusqu'à la fin, avant de démarrer chaque partie … grosse nostalgie ;-)

Et une fois la connexion établie, SSSD va récupérer tout seul un ticket Kerberos, pas besoin de lancer explicitement kinit.

Avec PAM, etc. tu peux même avoir de l’authentification itinérante (où tu peux ouvrir ta session sur ton ordi portable alors que t’es déconnecté du réseau).

Quand tu ouvre une session en itinérance, je suppose que tu n'obtiens pas de ticket Kerberos puisque le serveur n'est pas joignable. Est-ce qu'il y a un moyen ensuite de récupérer automatiquement un ticket avec les informations fournies initialement à PAM, sans saisir à nouveau login/password, quand le serveur Kerberos redevient joignable, par exemple après connexion VPN ?