Le problème est que ce genre de phrase est pérojative envers les autres grands singes. L'Homme a un problème depuis longtemps : partager avec son voisin.
Aujourd'hui, on sais que les autres grands singes sont loin d'être des idiots et que, si on se donnait la peine, il y en a pas mal qui pourraient atteindre le QI du pompiste moyen de l'amérique profonde (moi aussi, je sors ici une phrase toue faite). Bref, on se retrouve face a un dilemme que nous avons déjà eu il y a quelques sciècles avec les noirs ; il faut leur faire de la place et partager les richesses de la planête.
Nos gouvernements (et pas mal de citoyens) ne sont pas prêt à cela.
Pour finir, on n'est pas cousins des grands singes, on est des grands singes ! On est donc cousins des AUTRES grands singes.
Une boite de dialogue compréhensible par les utilisateurs ! Les 3/4 des mes utilisateurs n'ont pas vu cette fonctionalité car elle est planquée en tout petit au bas de la boite.
> En conclusion, SSL sert a 2 choses:
> - Authentification d'une ou des deux parties (handshake)
> - Confidentialite et non alteration en chemin des donnees
> echangees (chiffrement de la communication)
Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.
Dans tes exemples, tu montres bien que tu vas toujours sur les mêmes sites et que ce nombre est finalement en quantité réduite. Ton navigateur pourrait donc stocker ce certificat d'une session à l'autre (il le fait déjà) et gérer le changement de ce certificat à la date de prescription (a ma connaissance, non géré aujourd'hui).
Pour ce qui est des mots de passe, je suis d'accord avec toi mais cela n'a rien à voir avec le problème évoqué plus haut. Qu'un site utilise un certificat signé par verisign ou non, aujourd'hui, ces sites publiques ne font pas d'authentification de l'utilisateur par certificat,
Je ne connais que deux entités qui font cela, les impôts et le CNRS et ils ont tous les deux leur propre autorités de certification à ma connaissance (pour le CNRS, c'est sur) !
Donc, ne nous trompons pas de débat, je ne suis pas fanatique des certificat payant, pas du reste.
Sinon, pour ce qui est de vérifier les clients par certificat, le système du CNRS est un semi-échec. Il est peu utilisé sauf certain milieu. Je vois dans mon laboratoire, sur 150 personnes, nous ne sommes que 3 a avoir un certificat et je n'ai pas du tout envie de déloyer la technologie à l'échelle du laboratoire. C'est trop de boulot pour une sécurité dont je ne suis pas sur qu'elle serait meilleure à la fin, les personnes ayant leur certificat 'en clair' sur leur disque ou dans leur clef USB qui traine dans le sac de l'odinateur portable.
Je parle en règle général et tu me parles de banque. Il est clair qu'une banque doit se protéger contre les attaques DNS mais dans la grande majorité des cas, je doute que nous subissions tant que cela d'attaque DNS.
Mais encore une fois, c'est du feeling et je n'ai pas les chiffres. Je vois seulement que ma boite mail est innondé de pourriel ayant des faux noms DNS.
> Ces éléments de sécurité ... ont vu leur propagation empêchée par
> les brevets.
Il ne faut pas non plus exagérer. Pour moi, aucun des éléments que tu cites sont vraiment fondamental.
Par ailleurs, le brevet n'a pas pour but le monopole car tu peux acheter une licence d'exploitation. Si les autres constructeur dans tes exemples n'ont pas voulu payé une licence, c'est que pour eux ces éléments n'était pas fondamentaux !
Pour parler voiture, sais-tu que l'ABS n'est pas un élément de sécurité ! En effet, en Allemagne, au début de l'ABS, les voitures équipés de l'ABS avait droit à une réduction d'assurance. Au bout de quelques années, un bilan a été fait en comparant les voitures avec et les voitures sans en terme de quantité, de gravité... d'accident. La conclusion est que l'ABS ne sers à rien ! La réduction d'assurance a été alors supprimée en allemagne...
Pourquoi ? Parce qu'un élément qui semble de sécurité peut ne pas l'être dans un environnement social ou des milliers de personnes se croisent.
Alors, parler d'éléments de sécurité en évoquant le levier de comande de l'auto-radio, etc. je ne suis pas sur que cela ne soit pas du superflu ! Ce genre de chose mérite une étude globale que je suis incapable de faire.
> 5 ans ne seraient-ils pas largement suffisants ?
Tu as une vision informatique des choses. En informatique, les choses évoluent TRES TRES vite et par ailleurs, les volumes sont énormes. Pour tous ce qui est logiciels (donc normalement sans brevet), le coùt de reproduction est quasi-nul.
Mais cette vision est fausse dans la majorité des cas. Concevoir et fabriquer des pièces coùtent chère. Les constructeurs automobile prennent des risques financier énorme à chaque modèle (c'est pour cela qu'ils recopient tous la 205 !)...
Etant dans un laboratoire de recherche publique, je peux te dire qu'entre un dépot de brevet et le début de la rentrée d'argent, il se passe souvent plus de 5 ans. Donc pendant les cinq premières années, ton brevet te coute et tu dois investir au risque de ne rien avoir à la fin. D'ailleurs, mon laboratoire a queques brevets et ce ne sont pas eux qui me paye mon salaire ;-)
Comme il a été dis, le brevet protège les PME et les inventions. 20 ans, ce n'est pas si long que cela. Il faut aussi savoir reprendre le temps de vivre. On n'est pas là sur terre pour l'épuiser de notre existence. J'ai des gamins et je ne souhaite pas que le monde soit totalement différent d'aujourd'hui lorsqu'il seront grand. Ne nous calons pas sur l'informatique et prenons le temps de voir celui-ci passer.
Pour finir, un noeud du problème à mon avis ne sont pas les brevets mais que les dirigeants des grosses entreprises gagnent plus d'argent que ce qu'ils transpirent réellement et plus que leur responsabilité réelle. On se retrouve donc aujourd'hui avec une castre de seigneur féodaux qui vont se transmettre de père en fils et qui prélève leur dîme indépendament de leur mérite.
Un autre noeud est que les autorités laissent la mise en place de monopole privé malgré les règles antitrusts. Les monopoles essayent alors de garder leur monopole (et ceux de leur dirigeants) en partie via les brevets mais surtout en modifiant si possible les lois dans les pays pour les mettre a leur sauce.
Exemple : Dans le temps, Alstom (et la SNCF) en France et Siemens en Allemagne avaient chacun un monopole sur la construction des trains dans leur pays respectf du fait que les réglements francais et allemand étaient très différents et adpatés aux savoirs des deux entreprises.
C'était pareil pour les pèses personnes...
Bref, le brevet t'oblige à expliquer au monde entier ton invention, te protège pour une durée limité (loin des 50 ans du droit d'auteur qui démarre après la mort de celui-ci). Il me semble qu'on devrait obliger la vente de licence d'exploitation d'un brevet à un prix 'raisonable' et plus réguler la taille des entreprises (antitrust) et surtout agir sur les hauts salaires (SMAX : Salaire Maximum, par exemple un SMAX a 100 SMIC me parait raisonable).
Il y a une différence, c'est que le brevet, tu dois payer tous les ans et pour chaque pays... Il faut donc le rentabiliser ! Bref, cela sers à se protéger mais aussi à vendre des licences d'exploitation.
A pars quelques cas, le brevet me semble taillé pour les entreprises qui fabrique des choses matérielles et il me semble normal que le brevet puisse donc appartenir à l'entreprise. D'autant plus que contrairement au droit d'auteur, la protection est limité dans le temps (20 ans si mes souvenirs sont bons) alors que le droit d'auteur dure beaucoup trop longtemps après la mort de l'auteur.
En fait, la limite actuelle de Linux est à 1024 coeurs par machine. Y-a bien SGI qui a un patch qui lui permet de dépasser cette limite, mais je ne suis pas sur que celui-ci intéresse madame Michu ;-)
> On dirait que les scientifiques d'aujourd'hui ont changés.
Oui, pas mal de chose ont changés...
Il suffit de lire le journal du CNRS, on te parle brevet à toutes les pages (j'exagère à pein).
Il suffit de voir l'évaluation des chercheurs : de plus en plus de bibliométrie (et de publications creuses), de plus en plus d'importance pour les brevets...
Il suffit de voir le budget des laboratoires. Sans argent privé, une grande partie des laboratoires publiques qui ont des recherches dans le domaine des sciences pour l'ingénieur pourraient mettre la clef sous la porte dès demain.
Contrat privé, innovation... Tu es obligé de brevetter pour assurer une partie de ton gagne pain.
Bref, on est souvent loin de l'idéal qui se cache sous le terme d'université !
PS : les ressources du CNRS provenant de la vente des brevets est loin d'être négligeable dans le budget global même si comme cela, de brut en blanc, je ne me souviens plus de la valeur.
PPS : si un jour le CNRS devient rentable, l'état ponctionnera dedans pour financer les budgets illimités de l'Elysée, de la chambre des députés, du sénat ainsi que des anciens combattants de ces institutions ;-)
> C'est bien d'avoir confiance, mais si je me met entre toi et LinuxFr, tu
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
Enfin, ton exemple a besoin d'une attaque DNS pour marcher... Même si ton exemple est valable, j'aimerais avoir les statistiques de ce genre d'attaque ?
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
> Normalement c'est le boulot de l'autorité de certification de
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
Rien qu'avec clusterssh, j'ouvre plus de 50 fenêtres d'un coup pour mettre à jour mon parc... Mais là, je prends un bureau virtuel rien que pour cela.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !
> Utiliser HTTPS pour cela est une mauvaise utilisation d'une
> technologie. Si pas de données sensibles, pas besoin d'HTTPS...
Pas de données sensible sauf l'authentification, donc le mot de passe ! Je fais du HTTPS pour ne pas avoir le mot de passe en clair dans la plupart des cas.
> Ben, le but du certificat étant d'être sûr avant d'accéder à un site
> frauduleux, ce que tu demandes c'est tout simplement de virer la
> sécurité!
Mais c'est faux. Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.
Un petit coup de faux site web avec un faux noms DNS qui ressemble et tu es marrons.
C'est le problème du certificat signé par les autorités officielles. Cela me laisse un faux goùt de sécurité. On me fait croire que c'est bon mais personnellement, je n'ai aucune confiance dedans.
> Avec SSH, les gens savent ce qu'est un réseau "securisé".
En gros, les utilisateurs SSH sont plus intelligent ? Je crois surtout qu'on prends les gens pour des cons et qu'on veut les former dans la mauvaise direction. L'objectif des 36 boites de FIrefox3 et d'IE8 est le suivant : faites confiance en nous et dans les certificats signés et payés au grand groupe et tout ira bien. Mais qui ici a encore confiance dans les grands groupes ? Vous croyez vraiment qu'ils ne veullent que le bien de l'humanité ?
> Avec un navigateur web, les gens vont sur le site de leur banque à
> partir de n'importe quel réseau, même si c'est un réseau WiFi non
> crypté,
Et alors, aucun problème avec mon système. Si tu as déjà accepté une fois le certificat et que tu n'as pas eu de problème, tu peux alors retourner sur le site de ta banque avec du wifi non sécurisé, il n'y a plus de soucis puisque tout est chiffré par SSL et que tu es sur d'être sur ta banque.
En pratique, comme avec SSH, tu ne vas pas sur 10000 sites en SSL et très rapidement, tu tournes toujours sur les mêmes sites sensibles d'achat ou de banque.
Mon système ne diminue pas la sécurité car tu peux toujours faire signé par une autorité situé au dessus. Il rajoute juste une couche simple à la SSH plutôt que de faire croire des choses qui à mon avis me semble fausse via 36 boites de dialogue.
J'aimerais bien aller sur le même site mais avec deux identités différentes. C'est très pratique lors de la mise au point ou sur certain 'workflow'. Aujourd'hui, je suis obligé de lancer galeon en // de firefox pour faire cela.
Sinon, avec wmii, j'ai facilement 50 fenêtres d'ouverte sur mes deux écrans et j'y vois très bien. Je ne suis pas intéressé par les environnement 'à la Windows' qui cherche à que tu n'ai pas plus de trois à quatre applications qui fonctionnent en même temps.
Je suis bien d'accord avec toi. Les messages affirment quasiment que tu as sur un site pirate.
En interne dans une boite (ici laboratoire rattaché u CNRS), on utilise des certificats signé par la PKI de la boite (ici CNRS). Mais Firefox ne reconnais pas cette PKI. Certes, il faudrait le déployer... Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons. En quoi c'est plus sur d'avoir un certificat signé par Verisign sur un domaine bidon ?
Je n'ai jamais compris pourquoi les navigateurs ne faisait pas comme ssh. C'est simple, la première fois, on valide le certificat dans sa base de données et ensuite, s'il change, alors là seulement gros danger !
Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur. En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?
Bref, ce que je verrais bien comme comportement histoire de ne pas être que dans la critique négative mais d'en profiter pour faire des propositions.
Pourquoi ne pas faire comme ssh et se baser aussi sur la notion de réseau de confiance. Je verrais bien que tout certificat aille directement dans un trousseau et soit vérifier à chaque navigation, que celui-ci soit signé par une autorité publique ou pas. Si le certificat n'a jamais été enregistré, pourquoi ne pas faire comme ssh, afficher un fingerprint (eventuellement controler dans le DNS), annoncer si le certificat est signé ou non par une autorité et en plus, j'afficherait la page web sous forme réduite (de la racine DNS du site) et sans aucun lien cliquable ni de contenu dynamique. En gros, avoir la page en lecture seule. Une simple acceptation de la page comme avec ssh et on aurait le certificat dans son trousseau.
Enfin, en cas de modification du certificat, prendre les mesures qui s'imposent et prévenir l'utilisateur pour qu'il valide ou non le certificat. Le message dépendrait bien sur du type de certificat et du fait que l'ancien certificat était ou n'était plus valide.
Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.
Pour finir, pourquoi avoir autorisé les noms DNS autre qu'en ASCII ! Une partie du problème vient de là. Pourquoi aussi multiplier les noms de domaines racines. Ceux qui gouverne l'internet font des choix qui me semble parfois relever de l'inconscience et n'avoir qu'un intérêt pécunié pour le microscome qui gravite autour de la gestion du réseau. Encore une fois, ils feraient mieux de bosser sur des vrais problèmes technique comme IPv6 pour nous refaire un internet point-à-point, ce qui résoudrait pleins de détails génant pour l'utilisateur.
Ensuite, wmii est conçu pour les logiciels en ce jour... Il est clair que si les onglets était géré par les gestionaires de fenêtre, wmii aurait une autre politique combinant empilage et mise en onglet des fenêtres comme dwm (et ion3).
Il faut que le clavier soit dirigé vers la dernière fenêtre (widget) qui accepte le clavier comme entrée. C'est plus souple et cela marche bien mieux humainement.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 2.
Aujourd'hui, on sais que les autres grands singes sont loin d'être des idiots et que, si on se donnait la peine, il y en a pas mal qui pourraient atteindre le QI du pompiste moyen de l'amérique profonde (moi aussi, je sors ici une phrase toue faite). Bref, on se retrouve face a un dilemme que nous avons déjà eu il y a quelques sciècles avec les noirs ; il faut leur faire de la place et partager les richesses de la planête.
Nos gouvernements (et pas mal de citoyens) ne sont pas prêt à cela.
Pour finir, on n'est pas cousins des grands singes, on est des grands singes ! On est donc cousins des AUTRES grands singes.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
Une boite de dialogue compréhensible par les utilisateurs ! Les 3/4 des mes utilisateurs n'ont pas vu cette fonctionalité car elle est planquée en tout petit au bas de la boite.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 2.
L'homme ne descend pas du singe, il fait partie de la famille des grands singes !
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 4.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 3.
Surtout que sur les bits des APN, il y a de tout et de n'importe quoi ;-)
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> - Authentification d'une ou des deux parties (handshake)
> - Confidentialite et non alteration en chemin des donnees
> echangees (chiffrement de la communication)
Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.
Dans tes exemples, tu montres bien que tu vas toujours sur les mêmes sites et que ce nombre est finalement en quantité réduite. Ton navigateur pourrait donc stocker ce certificat d'une session à l'autre (il le fait déjà) et gérer le changement de ce certificat à la date de prescription (a ma connaissance, non géré aujourd'hui).
Pour ce qui est des mots de passe, je suis d'accord avec toi mais cela n'a rien à voir avec le problème évoqué plus haut. Qu'un site utilise un certificat signé par verisign ou non, aujourd'hui, ces sites publiques ne font pas d'authentification de l'utilisateur par certificat,
Je ne connais que deux entités qui font cela, les impôts et le CNRS et ils ont tous les deux leur propre autorités de certification à ma connaissance (pour le CNRS, c'est sur) !
Donc, ne nous trompons pas de débat, je ne suis pas fanatique des certificat payant, pas du reste.
Sinon, pour ce qui est de vérifier les clients par certificat, le système du CNRS est un semi-échec. Il est peu utilisé sauf certain milieu. Je vois dans mon laboratoire, sur 150 personnes, nous ne sommes que 3 a avoir un certificat et je n'ai pas du tout envie de déloyer la technologie à l'échelle du laboratoire. C'est trop de boulot pour une sécurité dont je ne suis pas sur qu'elle serait meilleure à la fin, les personnes ayant leur certificat 'en clair' sur leur disque ou dans leur clef USB qui traine dans le sac de l'odinateur portable.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
Mais encore une fois, c'est du feeling et je n'ai pas les chiffres. Je vois seulement que ma boite mail est innondé de pourriel ayant des faux noms DNS.
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 5.
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 2.
> les brevets.
Il ne faut pas non plus exagérer. Pour moi, aucun des éléments que tu cites sont vraiment fondamental.
Par ailleurs, le brevet n'a pas pour but le monopole car tu peux acheter une licence d'exploitation. Si les autres constructeur dans tes exemples n'ont pas voulu payé une licence, c'est que pour eux ces éléments n'était pas fondamentaux !
Pour parler voiture, sais-tu que l'ABS n'est pas un élément de sécurité ! En effet, en Allemagne, au début de l'ABS, les voitures équipés de l'ABS avait droit à une réduction d'assurance. Au bout de quelques années, un bilan a été fait en comparant les voitures avec et les voitures sans en terme de quantité, de gravité... d'accident. La conclusion est que l'ABS ne sers à rien ! La réduction d'assurance a été alors supprimée en allemagne...
Pourquoi ? Parce qu'un élément qui semble de sécurité peut ne pas l'être dans un environnement social ou des milliers de personnes se croisent.
Alors, parler d'éléments de sécurité en évoquant le levier de comande de l'auto-radio, etc. je ne suis pas sur que cela ne soit pas du superflu ! Ce genre de chose mérite une étude globale que je suis incapable de faire.
> 5 ans ne seraient-ils pas largement suffisants ?
Tu as une vision informatique des choses. En informatique, les choses évoluent TRES TRES vite et par ailleurs, les volumes sont énormes. Pour tous ce qui est logiciels (donc normalement sans brevet), le coùt de reproduction est quasi-nul.
Mais cette vision est fausse dans la majorité des cas. Concevoir et fabriquer des pièces coùtent chère. Les constructeurs automobile prennent des risques financier énorme à chaque modèle (c'est pour cela qu'ils recopient tous la 205 !)...
Etant dans un laboratoire de recherche publique, je peux te dire qu'entre un dépot de brevet et le début de la rentrée d'argent, il se passe souvent plus de 5 ans. Donc pendant les cinq premières années, ton brevet te coute et tu dois investir au risque de ne rien avoir à la fin. D'ailleurs, mon laboratoire a queques brevets et ce ne sont pas eux qui me paye mon salaire ;-)
Comme il a été dis, le brevet protège les PME et les inventions. 20 ans, ce n'est pas si long que cela. Il faut aussi savoir reprendre le temps de vivre. On n'est pas là sur terre pour l'épuiser de notre existence. J'ai des gamins et je ne souhaite pas que le monde soit totalement différent d'aujourd'hui lorsqu'il seront grand. Ne nous calons pas sur l'informatique et prenons le temps de voir celui-ci passer.
Pour finir, un noeud du problème à mon avis ne sont pas les brevets mais que les dirigeants des grosses entreprises gagnent plus d'argent que ce qu'ils transpirent réellement et plus que leur responsabilité réelle. On se retrouve donc aujourd'hui avec une castre de seigneur féodaux qui vont se transmettre de père en fils et qui prélève leur dîme indépendament de leur mérite.
Un autre noeud est que les autorités laissent la mise en place de monopole privé malgré les règles antitrusts. Les monopoles essayent alors de garder leur monopole (et ceux de leur dirigeants) en partie via les brevets mais surtout en modifiant si possible les lois dans les pays pour les mettre a leur sauce.
Exemple : Dans le temps, Alstom (et la SNCF) en France et Siemens en Allemagne avaient chacun un monopole sur la construction des trains dans leur pays respectf du fait que les réglements francais et allemand étaient très différents et adpatés aux savoirs des deux entreprises.
C'était pareil pour les pèses personnes...
Bref, le brevet t'oblige à expliquer au monde entier ton invention, te protège pour une durée limité (loin des 50 ans du droit d'auteur qui démarre après la mort de celui-ci). Il me semble qu'on devrait obliger la vente de licence d'exploitation d'un brevet à un prix 'raisonable' et plus réguler la taille des entreprises (antitrust) et surtout agir sur les hauts salaires (SMAX : Salaire Maximum, par exemple un SMAX a 100 SMIC me parait raisonable).
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 4.
A pars quelques cas, le brevet me semble taillé pour les entreprises qui fabrique des choses matérielles et il me semble normal que le brevet puisse donc appartenir à l'entreprise. D'autant plus que contrairement au droit d'auteur, la protection est limité dans le temps (20 ans si mes souvenirs sont bons) alors que le droit d'auteur dure beaucoup trop longtemps après la mort de l'auteur.
[^] # Re: « Yann : Oui, en tant que responsable d'un parc d'environ 350 Linux
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Dix ans de DLFP : Entretien avec l'équipe LinuxFR 2/3. Évalué à 4.
[^] # Re: Bandelettes
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie du codeur vidéo Dirac en version 1.0.0. Évalué à 4.
Oui, pas mal de chose ont changés...
Il suffit de lire le journal du CNRS, on te parle brevet à toutes les pages (j'exagère à pein).
Il suffit de voir l'évaluation des chercheurs : de plus en plus de bibliométrie (et de publications creuses), de plus en plus d'importance pour les brevets...
Il suffit de voir le budget des laboratoires. Sans argent privé, une grande partie des laboratoires publiques qui ont des recherches dans le domaine des sciences pour l'ingénieur pourraient mettre la clef sous la porte dès demain.
Contrat privé, innovation... Tu es obligé de brevetter pour assurer une partie de ton gagne pain.
Bref, on est souvent loin de l'idéal qui se cache sous le terme d'université !
PS : les ressources du CNRS provenant de la vente des brevets est loin d'être négligeable dans le budget global même si comme cela, de brut en blanc, je ne me souviens plus de la valeur.
PPS : si un jour le CNRS devient rentable, l'état ponctionnera dedans pour financer les budgets illimités de l'Elysée, de la chambre des députés, du sénat ainsi que des anciens combattants de ces institutions ;-)
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 1.
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
[^] # Re: La limite des 100m dans une installation Fullduplex ,çà a encore u
Posté par Sytoka Modon (site web personnel) . En réponse au journal Gigabit, processeurs, câbles et parasites. Évalué à 2.
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !
[^] # Re: Mozilla et Linux
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 4.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 7.
> technologie. Si pas de données sensibles, pas besoin d'HTTPS...
Pas de données sensible sauf l'authentification, donc le mot de passe ! Je fais du HTTPS pour ne pas avoir le mot de passe en clair dans la plupart des cas.
> Ben, le but du certificat étant d'être sûr avant d'accéder à un site
> frauduleux, ce que tu demandes c'est tout simplement de virer la
> sécurité!
Mais c'est faux. Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.
Un petit coup de faux site web avec un faux noms DNS qui ressemble et tu es marrons.
C'est le problème du certificat signé par les autorités officielles. Cela me laisse un faux goùt de sécurité. On me fait croire que c'est bon mais personnellement, je n'ai aucune confiance dedans.
> Avec SSH, les gens savent ce qu'est un réseau "securisé".
En gros, les utilisateurs SSH sont plus intelligent ? Je crois surtout qu'on prends les gens pour des cons et qu'on veut les former dans la mauvaise direction. L'objectif des 36 boites de FIrefox3 et d'IE8 est le suivant : faites confiance en nous et dans les certificats signés et payés au grand groupe et tout ira bien. Mais qui ici a encore confiance dans les grands groupes ? Vous croyez vraiment qu'ils ne veullent que le bien de l'humanité ?
> Avec un navigateur web, les gens vont sur le site de leur banque à
> partir de n'importe quel réseau, même si c'est un réseau WiFi non
> crypté,
Et alors, aucun problème avec mon système. Si tu as déjà accepté une fois le certificat et que tu n'as pas eu de problème, tu peux alors retourner sur le site de ta banque avec du wifi non sécurisé, il n'y a plus de soucis puisque tout est chiffré par SSL et que tu es sur d'être sur ta banque.
En pratique, comme avec SSH, tu ne vas pas sur 10000 sites en SSL et très rapidement, tu tournes toujours sur les mêmes sites sensibles d'achat ou de banque.
Mon système ne diminue pas la sécurité car tu peux toujours faire signé par une autorité situé au dessus. Il rajoute juste une couche simple à la SSH plutôt que de faire croire des choses qui à mon avis me semble fausse via 36 boites de dialogue.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 3.
Sinon, avec wmii, j'ai facilement 50 fenêtres d'ouverte sur mes deux écrans et j'y vois très bien. Je ne suis pas intéressé par les environnement 'à la Windows' qui cherche à que tu n'ai pas plus de trois à quatre applications qui fonctionnent en même temps.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 5.
En interne dans une boite (ici laboratoire rattaché u CNRS), on utilise des certificats signé par la PKI de la boite (ici CNRS). Mais Firefox ne reconnais pas cette PKI. Certes, il faudrait le déployer... Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons. En quoi c'est plus sur d'avoir un certificat signé par Verisign sur un domaine bidon ?
Je n'ai jamais compris pourquoi les navigateurs ne faisait pas comme ssh. C'est simple, la première fois, on valide le certificat dans sa base de données et ensuite, s'il change, alors là seulement gros danger !
Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur. En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?
Bref, ce que je verrais bien comme comportement histoire de ne pas être que dans la critique négative mais d'en profiter pour faire des propositions.
Pourquoi ne pas faire comme ssh et se baser aussi sur la notion de réseau de confiance. Je verrais bien que tout certificat aille directement dans un trousseau et soit vérifier à chaque navigation, que celui-ci soit signé par une autorité publique ou pas. Si le certificat n'a jamais été enregistré, pourquoi ne pas faire comme ssh, afficher un fingerprint (eventuellement controler dans le DNS), annoncer si le certificat est signé ou non par une autorité et en plus, j'afficherait la page web sous forme réduite (de la racine DNS du site) et sans aucun lien cliquable ni de contenu dynamique. En gros, avoir la page en lecture seule. Une simple acceptation de la page comme avec ssh et on aurait le certificat dans son trousseau.
Enfin, en cas de modification du certificat, prendre les mesures qui s'imposent et prévenir l'utilisateur pour qu'il valide ou non le certificat. Le message dépendrait bien sur du type de certificat et du fait que l'ancien certificat était ou n'était plus valide.
Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.
Pour finir, pourquoi avoir autorisé les noms DNS autre qu'en ASCII ! Une partie du problème vient de là. Pourquoi aussi multiplier les noms de domaines racines. Ceux qui gouverne l'internet font des choix qui me semble parfois relever de l'inconscience et n'avoir qu'un intérêt pécunié pour le microscome qui gravite autour de la gestion du réseau. Encore une fois, ils feraient mieux de bosser sur des vrais problèmes technique comme IPv6 pour nous refaire un internet point-à-point, ce qui résoudrait pleins de détails génant pour l'utilisateur.
[^] # Re: Longévité
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 10.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Ensuite, wmii est conçu pour les logiciels en ce jour... Il est clair que si les onglets était géré par les gestionaires de fenêtre, wmii aurait une autre politique combinant empilage et mise en onglet des fenêtres comme dwm (et ion3).
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 0.
Tiens, moi aussi ;-)
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 3.
Il faut que le clavier soit dirigé vers la dernière fenêtre (widget) qui accepte le clavier comme entrée. C'est plus souple et cela marche bien mieux humainement.