jve a écrit 73 commentaires

Cipherscan contient également un script d’analyse des configuration pour aider a atteindre les trois niveaux proposes sur le wiki:

$ ./analyze.py -l intermediate -t google.com
google.com:443 has bad ssl/tls
and DOES NOT comply with the 'intermediate' level

Things that are really FUBAR:
* remove cipher ECDHE-RSA-RC4-SHA
* remove cipher RC4-SHA
* remove cipher RC4-MD5

Changes needed to match the intermediate level:
* remove cipher ECDHE-RSA-CHACHA20-POLY1305
* remove cipher ECDHE-RSA-RC4-SHA
* remove cipher RC4-SHA
* remove cipher RC4-MD5
* remove cipher ECDHE-RSA-DES-CBC3-SHA
* disable SSLv3
* consider using a SHA-256 certificate
* consider enabling OCSP Stapling

A noter que Google.com maintient la compatibilité avec les vieux clients, comme windows XP pre-SP3 et java6, ce qui explique la présence de SSLv3, RC4 et un certificat a signature SHA-1.

Je suis l'auteur du wiki de Mozilla. Merci pour la référence :)
A voir aussi, l'outil cipherscan écrit pour rapidement lister les paramètres d'une connexion TLS. Moins poussé que SSL Labs, mais en console et plus rapide.
```
$ git clone https://github.com/jvehent/cipherscan.git && cd cipherscan && ./cipherscan google.com
……………….
Target: google.com:443

prio ciphersuite protocols pfs_keysize
1 ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH,P-256,256bits
2 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH,P-256,256bits
3 ECDHE-RSA-AES128-SHA TLSv1.1,TLSv1.2 ECDH,P-256,256bits
4 ECDHE-RSA-RC4-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2 ECDH,P-256,256bits
5 AES128-GCM-SHA256 TLSv1.2
6 AES128-SHA256 TLSv1.2
7 AES128-SHA TLSv1.1,TLSv1.2
8 RC4-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
9 RC4-MD5 SSLv3,TLSv1,TLSv1.1,TLSv1.2
10 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH,P-256,256bits
11 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH,P-256,256bits
12 ECDHE-RSA-AES256-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2 ECDH,P-256,256bits
13 AES256-GCM-SHA384 TLSv1.2
14 AES256-SHA256 TLSv1.2
15 AES256-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
16 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH,P-256,256bits
17 ECDHE-RSA-DES-CBC3-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2 ECDH,P-256,256bits
18 DES-CBC3-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2

Certificate: trusted, 2048 bit, sha1WithRSAEncryption signature
TLS ticket lifetime hint: 100800
OCSP stapling: not supported
Server side cipher ordering
```

"[...]. Elle se tiendra à l'amphi Buffon[...]"

De là à dire que la personne en charge de l'attribution des amphis est sponsorisée par Oracle et Microsoft, il n'y a qu'un pas.

J'aurais bien essayé, mais il ne semble pas y avoir de support d'iptables. C'est prévu ?

pigistes ?

Faut arrêter d'halluciner. GLMF est écris par des contributeurs indépendants qui passent des dizaines d'heures sur leurs articles. C'est pas le huffington post !!!

Roundcube a un plugin "calendar" qui permet de connecter un calendrier interne ou caldav. Personnellement, j'ai installe davical avec un backend postgresql et le plugin calendar sur roundcube fournit une bonne interface. Il y a egalement un client android qui s'appel "aCal".

En fait, la seule chose qui manque c'est la synchronisation des contacts entre le webmail et le telephone. Mais dans la mesure ou j'ai 200+ contacts sur le webmail, et meme pas 30 sur le telephone, ca me parait pas etre une mauvaise chose de les garder a part :)

Le GLMF #138 de mai 2011 vient de sortir... hier :)
http://www.gnulinuxmag.com/index.php/2011/04/22/gnulinux-magazine-n%C2%B0138-mai-2011-chez-votre-marchand-de-journaux

De mémoire (pas d'éléphant), Gabriel fait tourner DDG sur FreeBSD. Le code est écrit en Perl et n'est pas publié.
Si il n'a pas changé son architecture récemment, c'est hébergé dans son sous-sol sur une connection FiOS Verizon (20mbps symetrique pour $100 par mois) avec un secours sur Amazon EC2/S3.

Pour un one-man-project, c'est plutot bien foutu. Mais ne vous leurrez pas, DDG n'est pas plus open source que Google.

curieux, ayant bossé sur alfresco, je clique sur "online trial", et là, le piège à spam habituel:

"donnez nous votre biographie complète et tout vos emails pour qu'on puisse vous pourrir de messages commerciaux pendant les 40 prochaines années, et en échange vous aurez le droit de passer les 15 prochaines secondes à cliquer sur notre interface de demo"

désolé, je passe. je veux juste tester, ca veux pas dire que je suis interessé

Ha OK, donc en fait c'est des developpeurs web (PHP/JS) que vous recherchez. J'ai bon ?

Bein en fait, ce qui serait sympa, ce serait de donner des exemples concrets de contributions souhaitees.

Le filtrage de mail n'est pas, ne sera pas et ne doit pas etre fait cote client.
Tous les serveurs imap integrent maintenant le protocole Sieve, qui permet de realiser le filtrage cote serveur, quand le mail arrive.

Roundcube a un plugin 'managesieve' qui permet d'ecrire des filtres qui seront executes par le serveur. Donc, au final, pour l'utilisateur, c'est comme s'il avait du filtrage dans roundcube, mais en mieux.

(pour l'anecdocte, j'ai encore un vieux webmail imap dans un coin qui met 2h a s'ouvrir car il doit executer ses filtres.... c'est pas beau a voir)

YES ! JABBER DANS ROUNDCUBE ! mon reve !
je cherche un client web a integre depuis longtemps, j'ai teste ijab mais le code me rebute sacrement... alors si tu as une solution, ca m'interesse ! (requete de connexion jabber envoyee)

PGP est en cours d'integration par la dev team sous, il me semble, la forme d'un plugin... mais c'est pas encore fait et les questions que tu pose concernant la gestion des cles sont au coeur du debat.

Perso, je defend DKIM devant PGP. Charge au serveur d'authentifier ses utilisateurs proprement, et ensuite de propager ce niveau de confiance dans la signature DKIM. Ca me semble suffisant pour un envoi de mail et plus besoin de gestion des cles (si ca marchait, ca se saurait depuis le temps...)

Je n'ai pas de folder avec 60000 mails, mais celui qui recoit les mails de netdev doit en avoir au moins 20000, et il s'ouvre en quelques secondes.

Les performances de roundcube sont parametrables, tout comme celles de php, de mysql et des serveurs imap. Avec un peu de tuning et un serveur raisonnablement puissant, n'importe quelle boite mail s'ouvre en un rien de temps avec roundcube.

Les deux majeures ameliorations de la 0.4, du point de vue des utilisateurs, c'est quand meme la gestion des threads de discussions et la gestion des groups de contacts (oublie dans la depeche ?).

Mais ce qu'il faut voir avec roundcube, c'est que depuis l'ajout des plugins dans la 0.3, 95% des ameliorations pour l'utilisateur sont dans les plugins. Et ceux la ne suivent pas du tout le schema de release de roundcube... il faut browser regulierement http://trac.roundcube.net/wiki/Plugin_Repository

Une video, c'est un contenu statique. La video est pas recalculée à chaque requête de l'utilisateur.

oui oh bon apt-get ou aptitude, le résultat est le même, ya juste quelques algos qui changent...

mais je viens d'ailleur de m'apercevoir qu'il manque une info dans l'article, il y a un truc supplémentaire à rajouter dans le fichier master.cf de postfix pour que ça marche:

http://jve.linuxwall.info/blog/index.php?post/2010/03/12/Oop(...)

DKIM, et l'article de ce mois-ci dans linux mag :)

(autopub, c'est légal ça ? :p )

Je suis un peu, de loin, le travail d'Harald Welte sur OpenBSC, mais la limitation majeure de ce projet pour le quidam est que les équipements 'grand public' n'existent pas.
De plus, monter une BTS est impossible car il faut les autorisations de l'ART, etc etc...

Il n'existe pas, aujourd'hui, d'Internet des réseaux radio (hors wifi). Pas possible de s'y brancher et de monter son infra perso. De fait, OpenBSC risque de rester un projet de niche pour des spécialistes par des spécialistes. Et à la lecture de l'interview, il semblerait qu'Harald Welte en soit tout à fait conscient.

C'est vraiment dommage, car le potentiel des terminaux mobile est énorme.

Mais justement, c'est bien la l'interet de ne pas TOUT rendre ultra accessible.
Dans le cas present, DNSSEC n'est pas vraiment utile pour un domaine perso. Il ajoute en lourdeur et en complexite, et pour proteger quoi ? une adresse de blog ?

Personnellement, je trouve ca pas plus mal que ces outils soient complexes. Ca oblige a reflechir a ce que l'on fait. Apres, libre a chacun de se plonger dedans.

Les outils simple, on les implement en deux minutes et on se retrouve avec une configuration pourrie, mais c'est pas grave puisque ca marche.
Hors, dans le cas present, ca peut conduire a isoler toute la zone DNS, pas vraiment une bonne idee quand on aime bien recevoir ses emails a l'heure :)

Mieux vaut ne pas faire et assumer le *risque* de ne pas securiser son DNS (bon la c'est peanuts hein) que de mal faire et de ne pas s'en rendre compte.

c'est pas la taille qui compte

http://xkcd.com/664/

et debian ne meurt pas, ils bossent toujours autant

http://planet.debian.org/

ne souhaitent pas pour autant dépendre d'une solution SaaS propriétaire ou perdre la maîtrise de leurs données.

faudra penser a m'expliquer, petit scarabe que je suis, comment cette solution permet de faire du cloud computing (libre ou pas, osef) sans pour autant perdre l'acces a ses donnees...

Chaque pointeur affiche une seule photo. C'est possible d'avoir un ensemble de photos par pointeur ?

Parce que, quand je visite un coin et que je met mes photos en ligne, je vais pas mettre 90 pointeurs sur la ville. C'est anti-ergonomique.

Les protocoles existent et sont RFCisés : SIPS et SRTP sont deux versions SSLisées de SIP et RTP.
Pas fait le check depuis 2007, mais à l'époque on en trouvais des implémentations timides dans quelques softs seulement.

Sinon, tu as aussi ZRTP qui se plug de chaque coté de ta com VoIP. Je sais pas si ça marche avec pigdin par contre.