> C'est bien d'avoir confiance, mais si je me met entre toi et LinuxFr, tu
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
Enfin, ton exemple a besoin d'une attaque DNS pour marcher... Même si ton exemple est valable, j'aimerais avoir les statistiques de ce genre d'attaque ?
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
> Normalement c'est le boulot de l'autorité de certification de
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
Rien qu'avec clusterssh, j'ouvre plus de 50 fenêtres d'un coup pour mettre à jour mon parc... Mais là, je prends un bureau virtuel rien que pour cela.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !
> Utiliser HTTPS pour cela est une mauvaise utilisation d'une
> technologie. Si pas de données sensibles, pas besoin d'HTTPS...
Pas de données sensible sauf l'authentification, donc le mot de passe ! Je fais du HTTPS pour ne pas avoir le mot de passe en clair dans la plupart des cas.
> Ben, le but du certificat étant d'être sûr avant d'accéder à un site
> frauduleux, ce que tu demandes c'est tout simplement de virer la
> sécurité!
Mais c'est faux. Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.
Un petit coup de faux site web avec un faux noms DNS qui ressemble et tu es marrons.
C'est le problème du certificat signé par les autorités officielles. Cela me laisse un faux goùt de sécurité. On me fait croire que c'est bon mais personnellement, je n'ai aucune confiance dedans.
> Avec SSH, les gens savent ce qu'est un réseau "securisé".
En gros, les utilisateurs SSH sont plus intelligent ? Je crois surtout qu'on prends les gens pour des cons et qu'on veut les former dans la mauvaise direction. L'objectif des 36 boites de FIrefox3 et d'IE8 est le suivant : faites confiance en nous et dans les certificats signés et payés au grand groupe et tout ira bien. Mais qui ici a encore confiance dans les grands groupes ? Vous croyez vraiment qu'ils ne veullent que le bien de l'humanité ?
> Avec un navigateur web, les gens vont sur le site de leur banque à
> partir de n'importe quel réseau, même si c'est un réseau WiFi non
> crypté,
Et alors, aucun problème avec mon système. Si tu as déjà accepté une fois le certificat et que tu n'as pas eu de problème, tu peux alors retourner sur le site de ta banque avec du wifi non sécurisé, il n'y a plus de soucis puisque tout est chiffré par SSL et que tu es sur d'être sur ta banque.
En pratique, comme avec SSH, tu ne vas pas sur 10000 sites en SSL et très rapidement, tu tournes toujours sur les mêmes sites sensibles d'achat ou de banque.
Mon système ne diminue pas la sécurité car tu peux toujours faire signé par une autorité situé au dessus. Il rajoute juste une couche simple à la SSH plutôt que de faire croire des choses qui à mon avis me semble fausse via 36 boites de dialogue.
J'aimerais bien aller sur le même site mais avec deux identités différentes. C'est très pratique lors de la mise au point ou sur certain 'workflow'. Aujourd'hui, je suis obligé de lancer galeon en // de firefox pour faire cela.
Sinon, avec wmii, j'ai facilement 50 fenêtres d'ouverte sur mes deux écrans et j'y vois très bien. Je ne suis pas intéressé par les environnement 'à la Windows' qui cherche à que tu n'ai pas plus de trois à quatre applications qui fonctionnent en même temps.
Je suis bien d'accord avec toi. Les messages affirment quasiment que tu as sur un site pirate.
En interne dans une boite (ici laboratoire rattaché u CNRS), on utilise des certificats signé par la PKI de la boite (ici CNRS). Mais Firefox ne reconnais pas cette PKI. Certes, il faudrait le déployer... Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons. En quoi c'est plus sur d'avoir un certificat signé par Verisign sur un domaine bidon ?
Je n'ai jamais compris pourquoi les navigateurs ne faisait pas comme ssh. C'est simple, la première fois, on valide le certificat dans sa base de données et ensuite, s'il change, alors là seulement gros danger !
Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur. En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?
Bref, ce que je verrais bien comme comportement histoire de ne pas être que dans la critique négative mais d'en profiter pour faire des propositions.
Pourquoi ne pas faire comme ssh et se baser aussi sur la notion de réseau de confiance. Je verrais bien que tout certificat aille directement dans un trousseau et soit vérifier à chaque navigation, que celui-ci soit signé par une autorité publique ou pas. Si le certificat n'a jamais été enregistré, pourquoi ne pas faire comme ssh, afficher un fingerprint (eventuellement controler dans le DNS), annoncer si le certificat est signé ou non par une autorité et en plus, j'afficherait la page web sous forme réduite (de la racine DNS du site) et sans aucun lien cliquable ni de contenu dynamique. En gros, avoir la page en lecture seule. Une simple acceptation de la page comme avec ssh et on aurait le certificat dans son trousseau.
Enfin, en cas de modification du certificat, prendre les mesures qui s'imposent et prévenir l'utilisateur pour qu'il valide ou non le certificat. Le message dépendrait bien sur du type de certificat et du fait que l'ancien certificat était ou n'était plus valide.
Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.
Pour finir, pourquoi avoir autorisé les noms DNS autre qu'en ASCII ! Une partie du problème vient de là. Pourquoi aussi multiplier les noms de domaines racines. Ceux qui gouverne l'internet font des choix qui me semble parfois relever de l'inconscience et n'avoir qu'un intérêt pécunié pour le microscome qui gravite autour de la gestion du réseau. Encore une fois, ils feraient mieux de bosser sur des vrais problèmes technique comme IPv6 pour nous refaire un internet point-à-point, ce qui résoudrait pleins de détails génant pour l'utilisateur.
Ensuite, wmii est conçu pour les logiciels en ce jour... Il est clair que si les onglets était géré par les gestionaires de fenêtre, wmii aurait une autre politique combinant empilage et mise en onglet des fenêtres comme dwm (et ion3).
Il faut que le clavier soit dirigé vers la dernière fenêtre (widget) qui accepte le clavier comme entrée. C'est plus souple et cela marche bien mieux humainement.
> Alors ça, c'est une caractéristique du gestionnaire de fenêtres,
> autant que je sache, donc pas le problème des applications.
Oui, mais tu ne fait pas forcément le design de ton application de la même manière. Pour prendre l'exemple de la souris qui est plus facile, tu ne conçois pas ton interface graphique sous MacOSX comme sous UNIX. Ce serait idiot de ne pas profiter des trois boutons sous UNIX.
En parlant de cela, il y a plein de gens nouveaux sous UNIX qui n'utilise que l'interface graphique qui ne savent pas que le copier coller se fait entièrement à la souris sans toucher une seule touche du clavier. Non mais, pas de Pomme-C, Pomme-V, c'est incroyable ;-)
Idem pour le Follow mouse, je veux pouvoir tapper du texte dans une fenêtre sans avoir a cliquer dessus avant pour l'activé. Si tu regardes, Gimp et Dia sont conçus pour ce mode de fonctionnement sinon, c'est très chiant. C'est donc très difficile d'avoir une IHM à la Gimp sous Windows qui ne soit pas inssuportable.
D'un autre coté, on voit de plus en plus d'applications sous Linux avec pleins d'onglets, le tout intégré dans une fenêtre alors qu'on pourrait exploser tout cela en multi fenêtre et les placer ou l'on veut.
Cela me rappelle le développeur de nedit qui ne voulait pas entendre parler d'onglet dans son éditeur car il trouvait que c'était une fonctionnalité à la charge du gestionnaire de fenêtre (comme dwm sais le faire et tout ses descendants). Il n'avait pas tord à mon sens mais bon, on a surtout mis les efforts pour avoir un environnement proche de celui des autres OS.
Quand je vois le blabla sur le développement d'IE8 et de Google Chrome avec un thread par onglet, je me dis qu'on ai loin d'UNIX. Normalement, on ne devrait pas avoir à faire cette usine à gaz dans le code, on devrait lancer n fois mozilla (pardon firefox) et que que cela se mette tout seul en onglet. C'est au noyau de gérer le coopération entre les différents navigateurs. Je les vois venir avec une gestion des priorités inter-onglet dans l'application !
Mais bon, mozilla et ses frères n'aiment pas qu'on les lance deux fois (envore un truc mal conçu) et nous font chier avec une gestion multi-profile qui servait certes sous Windows 98 mais dont je n'ai jamais vu l'intérêt sous un OS multi-utilisateurs.
Pour finir, une question. Je pense m'acheter bientôt un netbook sous Linux. Pourquoi vende-t-il des netbook qui n'ont que deux boutons autour du touchpad ? Comment faites-vous ? J'avoue que cela m'enerve de ne pas avoir le bouton du milieu sous UNIX lorsque je suis sous X11. Je dois être manchot mais appuyer sur les deux boutons à la fois ne marche jamais avec mes gros doigts sur des copier coller de code un peu sensible.
Parfaitement d'accord. Un vrai logiciel sous UNIX utilise le mode FollowMouse et les trois souris de la souris. C'est pas portable tel quel sous Mac ou Windows...
Bilan : on a de plus en plus de logiciel sous UNIX qui nous oblige a utiliser des applications comme sous Windows et ou il faut cliquer pour activer la fenêtre?
L'UE, c'est bien mais faut pas s'arreter à l'UE. L'important, c'est souvent l'AELE dont la Suisse fait partie.
Si mes souvenirs sont bons, la Suisse a signé une grosse partie des accords de Shengen... Les suisses ont, à mon sens, un problème psychologique à dire qu'ils sont dans l'UE mais en pratique, ils y sont déjà.
La Suisse n'est pas le seul pays dans ce cas.
Bref, pour moi, l'UE est bien plus vaste que les 25 et à la fois, avec les textes qui donnent des clauses spéciales pour certains et pas pour d'autres, ou est la frontière ? Faut-il prendre la zone Euros ?
Tiens, va en Suisse avec des Euros, aucun problème. Est-ce pareil à Londres ?
Je me demande ce qu'attende nos hommes politiques pour proposer une europe fédérale avec un petit panel de pays qui sont près à le faire. Y-en a raz le bol de la supercherie de la 5 république et de son petit prince. Vivement une fédération avec l'allemagne et ceux qui le voudront bien.
En plus, avec Office 2000, tu as presque autant de version que de poste car celui-ci ne se met pas jour avec WindowsUpdate. Comme il est pas mal bogué, surtout dans sa version de base, tu peux déjà avec celui-la avoir un comportement différent entre deux postes si tu fait un texte avec quelques équations...
Je n'ai jamais compris pourquoi Microsoft n'a jamais intégré Office 2000 à WindowsUpdate ?
> chez Microsoft on a, allez, deux versions de la suite
Dans mon laboratoire de recherche, on a au moins 6 versions de la suite Microsoft... et encore, je suis sur que j'en oublie :
2000 Standard
2000 Pro
XP standard
XP pro
2003
2008
et au moins trois versions différentes sur Mac !
Compté ainsi, je suis même à neuf !
J'ai voulu un moment harmoniser tout cela mais en fait, c'est une erreur. Avec une telle variété, les échanges de fichiers se font tous avec le vieux format .doc d'il y a dix ans et qui marche relativement bien. Et puis, les utilisateurs de Linux, très nombreux, ne sont pas pénalisé car openoffice marche aussi très bien. Par contre , bizarrement, ils ne veulent pas, pour la très grande majorité, entrendre parler d'openoffice sur Windows ou sur MacOS.
> certains se plaignent que le XML, c'est chiant à éditer à la main : à
> ceux là, je leur dis qu'il y a pléthore d'éditeur XML
Je suis de ceux la mais dans un autre journal, j'avais posé la question de ces éditeurs, sans réponse vraiment claire et satisfaisante.
Donc, je la repose ici. Existe-t-il un éditeur XML libre correct ? Y-a-t-il un editeur XML correct qui fonctionne dans un terminal (sans X) ?
J'avoue que tant qu'il n'y aura pas cela de base dans ma distribution préférée, j'aurais un mal fou vraiment aimer le XML pour les fichiers de configuration.
> Maintenant la géologie entre en ligne de compte. Est ce que c' était
> possible....
Un diamêtre plus grand égal des millions de tonnes de gravats à évacuer et un peu plus de béton et de ferraillage. Bref, le coût n'est linéraire en fonction du diamêtre.
Le concepteur a donc tout intérêt à proposer le diamêtre le plus petit (qui réponde bien sur au cahier des charges).
En parlant de tunnel, ceux qui m'amusent sont à Londres dans le métro. Ils sont mini-mini. On a du mal à croire en les voyant qu'un métro bourrés de monde passe dedans ;-)
J'avais appris aussi que le diamêtre du tunnel était trop petit. Tout d'abord pour minimiser les couts au début et puis ensuite parce que plein d'élément de sécurité ont été rajouté par la suite or le diamêtre de celui-ci est une donnée fixe.
Ce faible diamêtre a-t-il donc une incidence sur la sécurité ?
Sinon, je suis d'accord avec toi. Il y a très peu de victimes dans les trains accidentés en général (c'est pas le cas voitures aux passage à niveau, des personnes sur les quais...).
Le point faible de la stratégie de foncer me semble la caténaire.
Pourquoi il n'y a pas un rail au sol qui fournit aussi le courant si la caténaire casse ? Eurstar est déjà capable de se brancher sur ce genre de rail. En plus, peu de risque que celui-ci casse ou fonde trop rapidement.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 1.
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
[^] # Re: La limite des 100m dans une installation Fullduplex ,çà a encore u
Posté par Sytoka Modon (site web personnel) . En réponse au journal Gigabit, processeurs, câbles et parasites. Évalué à 2.
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !
[^] # Re: Mozilla et Linux
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 4.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 7.
> technologie. Si pas de données sensibles, pas besoin d'HTTPS...
Pas de données sensible sauf l'authentification, donc le mot de passe ! Je fais du HTTPS pour ne pas avoir le mot de passe en clair dans la plupart des cas.
> Ben, le but du certificat étant d'être sûr avant d'accéder à un site
> frauduleux, ce que tu demandes c'est tout simplement de virer la
> sécurité!
Mais c'est faux. Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.
Un petit coup de faux site web avec un faux noms DNS qui ressemble et tu es marrons.
C'est le problème du certificat signé par les autorités officielles. Cela me laisse un faux goùt de sécurité. On me fait croire que c'est bon mais personnellement, je n'ai aucune confiance dedans.
> Avec SSH, les gens savent ce qu'est un réseau "securisé".
En gros, les utilisateurs SSH sont plus intelligent ? Je crois surtout qu'on prends les gens pour des cons et qu'on veut les former dans la mauvaise direction. L'objectif des 36 boites de FIrefox3 et d'IE8 est le suivant : faites confiance en nous et dans les certificats signés et payés au grand groupe et tout ira bien. Mais qui ici a encore confiance dans les grands groupes ? Vous croyez vraiment qu'ils ne veullent que le bien de l'humanité ?
> Avec un navigateur web, les gens vont sur le site de leur banque à
> partir de n'importe quel réseau, même si c'est un réseau WiFi non
> crypté,
Et alors, aucun problème avec mon système. Si tu as déjà accepté une fois le certificat et que tu n'as pas eu de problème, tu peux alors retourner sur le site de ta banque avec du wifi non sécurisé, il n'y a plus de soucis puisque tout est chiffré par SSL et que tu es sur d'être sur ta banque.
En pratique, comme avec SSH, tu ne vas pas sur 10000 sites en SSL et très rapidement, tu tournes toujours sur les mêmes sites sensibles d'achat ou de banque.
Mon système ne diminue pas la sécurité car tu peux toujours faire signé par une autorité situé au dessus. Il rajoute juste une couche simple à la SSH plutôt que de faire croire des choses qui à mon avis me semble fausse via 36 boites de dialogue.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 3.
Sinon, avec wmii, j'ai facilement 50 fenêtres d'ouverte sur mes deux écrans et j'y vois très bien. Je ne suis pas intéressé par les environnement 'à la Windows' qui cherche à que tu n'ai pas plus de trois à quatre applications qui fonctionnent en même temps.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 5.
En interne dans une boite (ici laboratoire rattaché u CNRS), on utilise des certificats signé par la PKI de la boite (ici CNRS). Mais Firefox ne reconnais pas cette PKI. Certes, il faudrait le déployer... Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons. En quoi c'est plus sur d'avoir un certificat signé par Verisign sur un domaine bidon ?
Je n'ai jamais compris pourquoi les navigateurs ne faisait pas comme ssh. C'est simple, la première fois, on valide le certificat dans sa base de données et ensuite, s'il change, alors là seulement gros danger !
Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur. En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?
Bref, ce que je verrais bien comme comportement histoire de ne pas être que dans la critique négative mais d'en profiter pour faire des propositions.
Pourquoi ne pas faire comme ssh et se baser aussi sur la notion de réseau de confiance. Je verrais bien que tout certificat aille directement dans un trousseau et soit vérifier à chaque navigation, que celui-ci soit signé par une autorité publique ou pas. Si le certificat n'a jamais été enregistré, pourquoi ne pas faire comme ssh, afficher un fingerprint (eventuellement controler dans le DNS), annoncer si le certificat est signé ou non par une autorité et en plus, j'afficherait la page web sous forme réduite (de la racine DNS du site) et sans aucun lien cliquable ni de contenu dynamique. En gros, avoir la page en lecture seule. Une simple acceptation de la page comme avec ssh et on aurait le certificat dans son trousseau.
Enfin, en cas de modification du certificat, prendre les mesures qui s'imposent et prévenir l'utilisateur pour qu'il valide ou non le certificat. Le message dépendrait bien sur du type de certificat et du fait que l'ancien certificat était ou n'était plus valide.
Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.
Pour finir, pourquoi avoir autorisé les noms DNS autre qu'en ASCII ! Une partie du problème vient de là. Pourquoi aussi multiplier les noms de domaines racines. Ceux qui gouverne l'internet font des choix qui me semble parfois relever de l'inconscience et n'avoir qu'un intérêt pécunié pour le microscome qui gravite autour de la gestion du réseau. Encore une fois, ils feraient mieux de bosser sur des vrais problèmes technique comme IPv6 pour nous refaire un internet point-à-point, ce qui résoudrait pleins de détails génant pour l'utilisateur.
[^] # Re: Longévité
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 10.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Ensuite, wmii est conçu pour les logiciels en ce jour... Il est clair que si les onglets était géré par les gestionaires de fenêtre, wmii aurait une autre politique combinant empilage et mise en onglet des fenêtres comme dwm (et ion3).
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 0.
Tiens, moi aussi ;-)
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 3.
Il faut que le clavier soit dirigé vers la dernière fenêtre (widget) qui accepte le clavier comme entrée. C'est plus souple et cela marche bien mieux humainement.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 8.
> autant que je sache, donc pas le problème des applications.
Oui, mais tu ne fait pas forcément le design de ton application de la même manière. Pour prendre l'exemple de la souris qui est plus facile, tu ne conçois pas ton interface graphique sous MacOSX comme sous UNIX. Ce serait idiot de ne pas profiter des trois boutons sous UNIX.
En parlant de cela, il y a plein de gens nouveaux sous UNIX qui n'utilise que l'interface graphique qui ne savent pas que le copier coller se fait entièrement à la souris sans toucher une seule touche du clavier. Non mais, pas de Pomme-C, Pomme-V, c'est incroyable ;-)
Idem pour le Follow mouse, je veux pouvoir tapper du texte dans une fenêtre sans avoir a cliquer dessus avant pour l'activé. Si tu regardes, Gimp et Dia sont conçus pour ce mode de fonctionnement sinon, c'est très chiant. C'est donc très difficile d'avoir une IHM à la Gimp sous Windows qui ne soit pas inssuportable.
D'un autre coté, on voit de plus en plus d'applications sous Linux avec pleins d'onglets, le tout intégré dans une fenêtre alors qu'on pourrait exploser tout cela en multi fenêtre et les placer ou l'on veut.
Cela me rappelle le développeur de nedit qui ne voulait pas entendre parler d'onglet dans son éditeur car il trouvait que c'était une fonctionnalité à la charge du gestionnaire de fenêtre (comme dwm sais le faire et tout ses descendants). Il n'avait pas tord à mon sens mais bon, on a surtout mis les efforts pour avoir un environnement proche de celui des autres OS.
Quand je vois le blabla sur le développement d'IE8 et de Google Chrome avec un thread par onglet, je me dis qu'on ai loin d'UNIX. Normalement, on ne devrait pas avoir à faire cette usine à gaz dans le code, on devrait lancer n fois mozilla (pardon firefox) et que que cela se mette tout seul en onglet. C'est au noyau de gérer le coopération entre les différents navigateurs. Je les vois venir avec une gestion des priorités inter-onglet dans l'application !
Mais bon, mozilla et ses frères n'aiment pas qu'on les lance deux fois (envore un truc mal conçu) et nous font chier avec une gestion multi-profile qui servait certes sous Windows 98 mais dont je n'ai jamais vu l'intérêt sous un OS multi-utilisateurs.
Pour finir, une question. Je pense m'acheter bientôt un netbook sous Linux. Pourquoi vende-t-il des netbook qui n'ont que deux boutons autour du touchpad ? Comment faites-vous ? J'avoue que cela m'enerve de ne pas avoir le bouton du milieu sous UNIX lorsque je suis sous X11. Je dois être manchot mais appuyer sur les deux boutons à la fois ne marche jamais avec mes gros doigts sur des copier coller de code un peu sensible.
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Bilan : on a de plus en plus de logiciel sous UNIX qui nous oblige a utiliser des applications comme sous Windows et ou il faut cliquer pour activer la fenêtre?
[^] # Re: un peu sur ma faim
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Go-oo et OOo : fr.OpenOffice.org répond à vos questions. Évalué à 2.
Sinon, je me suis planté, il n'y a pas de version 2008 sur PC (c'est sur MAC), la version PC est marqué 2007.
[^] # Re: Cherche hébergement
Posté par Sytoka Modon (site web personnel) . En réponse au journal comportement bizarre de mon web. Évalué à 4.
Si mes souvenirs sont bons, la Suisse a signé une grosse partie des accords de Shengen... Les suisses ont, à mon sens, un problème psychologique à dire qu'ils sont dans l'UE mais en pratique, ils y sont déjà.
La Suisse n'est pas le seul pays dans ce cas.
Bref, pour moi, l'UE est bien plus vaste que les 25 et à la fois, avec les textes qui donnent des clauses spéciales pour certains et pas pour d'autres, ou est la frontière ? Faut-il prendre la zone Euros ?
Tiens, va en Suisse avec des Euros, aucun problème. Est-ce pareil à Londres ?
Je me demande ce qu'attende nos hommes politiques pour proposer une europe fédérale avec un petit panel de pays qui sont près à le faire. Y-en a raz le bol de la supercherie de la 5 république et de son petit prince. Vivement une fédération avec l'allemagne et ceux qui le voudront bien.
[^] # Re: un peu sur ma faim
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Go-oo et OOo : fr.OpenOffice.org répond à vos questions. Évalué à 3.
En plus, avec Office 2000, tu as presque autant de version que de poste car celui-ci ne se met pas jour avec WindowsUpdate. Comme il est pas mal bogué, surtout dans sa version de base, tu peux déjà avec celui-la avoir un comportement différent entre deux postes si tu fait un texte avec quelques équations...
Je n'ai jamais compris pourquoi Microsoft n'a jamais intégré Office 2000 à WindowsUpdate ?
[^] # Re: un peu sur ma faim
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Go-oo et OOo : fr.OpenOffice.org répond à vos questions. Évalué à 3.
Dans mon laboratoire de recherche, on a au moins 6 versions de la suite Microsoft... et encore, je suis sur que j'en oublie :
2000 Standard
2000 Pro
XP standard
XP pro
2003
2008
et au moins trois versions différentes sur Mac !
Compté ainsi, je suis même à neuf !
J'ai voulu un moment harmoniser tout cela mais en fait, c'est une erreur. Avec une telle variété, les échanges de fichiers se font tous avec le vieux format .doc d'il y a dix ans et qui marche relativement bien. Et puis, les utilisateurs de Linux, très nombreux, ne sont pas pénalisé car openoffice marche aussi très bien. Par contre , bizarrement, ils ne veulent pas, pour la très grande majorité, entrendre parler d'openoffice sur Windows ou sur MacOS.
Bref, vive la diversité chez Microsoft ;-)
[^] # Re: Yapf ...
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sloth, un nouveau framework MVC pour PHP. Évalué à 5.
> ceux là, je leur dis qu'il y a pléthore d'éditeur XML
Je suis de ceux la mais dans un autre journal, j'avais posé la question de ces éditeurs, sans réponse vraiment claire et satisfaisante.
Donc, je la repose ici. Existe-t-il un éditeur XML libre correct ? Y-a-t-il un editeur XML correct qui fonctionne dans un terminal (sans X) ?
J'avoue que tant qu'il n'y aura pas cela de base dans ma distribution préférée, j'aurais un mal fou vraiment aimer le XML pour les fichiers de configuration.
[^] # Re: commentaire d' un utilisateur (et aussi d' un connaisseur)
Posté par Sytoka Modon (site web personnel) . En réponse au journal [HS] incendie qui n'en fini pas dans le tunnel sous la manche. Évalué à 3.
> possible....
Un diamêtre plus grand égal des millions de tonnes de gravats à évacuer et un peu plus de béton et de ferraillage. Bref, le coût n'est linéraire en fonction du diamêtre.
Le concepteur a donc tout intérêt à proposer le diamêtre le plus petit (qui réponde bien sur au cahier des charges).
En parlant de tunnel, ceux qui m'amusent sont à Londres dans le métro. Ils sont mini-mini. On a du mal à croire en les voyant qu'un métro bourrés de monde passe dedans ;-)
[^] # Re: recherche
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse - septembre 2008. Évalué à 2.
[^] # Re: commentaire d' un utilisateur (et aussi d' un connaisseur)
Posté par Sytoka Modon (site web personnel) . En réponse au journal [HS] incendie qui n'en fini pas dans le tunnel sous la manche. Évalué à 2.
Ce faible diamêtre a-t-il donc une incidence sur la sécurité ?
Sinon, je suis d'accord avec toi. Il y a très peu de victimes dans les trains accidentés en général (c'est pas le cas voitures aux passage à niveau, des personnes sur les quais...).
[^] # Re: commentaire d' un utilisateur (et aussi d' un connaisseur)
Posté par Sytoka Modon (site web personnel) . En réponse au journal [HS] incendie qui n'en fini pas dans le tunnel sous la manche. Évalué à 2.
Pourquoi il n'y a pas un rail au sol qui fournit aussi le courant si la caténaire casse ? Eurstar est déjà capable de se brancher sur ce genre de rail. En plus, peu de risque que celui-ci casse ou fonde trop rapidement.
[^] # Re: La raison de l'incendie
Posté par Sytoka Modon (site web personnel) . En réponse au journal [HS] incendie qui n'en fini pas dans le tunnel sous la manche. Évalué à 5.
- un peu d'autodérision ne fait pas de mal,
- sortir d'un script difficile quelques minutes permet de pendre un peu de recul et d'éviter de foncer droit dans le vide sans rien voir.