L'Europe est multilingue. Afin de ne pas tomber dans l'anglais systématique, on nous a imposé TROIS langues. A vrai dire, ce n'est pas con MAIS il faudrait nous donner les moyens de l'appliquer. Dans l'absolu, français, anglais, allemand et espagnol donnerait l'accès à nos site web a une grande partie des européens…
Pour le supérieur, on aurait du garder le univ.fr mais il est désormais pris. La politique sur le .fr a été pendant longetmps très stricte ce qui n'a pas empêché les gros raté!
Qu'ils se soient limités a une traduction Anglaise
Surtout que si je me souviens bien, il est interdit d'avoir un site bilingue dans l'administration. Soit c'est qu'en français, soit trois langues… Même si de notre coté, nous n'avons jamais respecté cela (il faut avoir des personnes en interne capable de maintenir trois langues), c'est très différents d'une consultation nationale !
L'industrie derrière les codecs en Hxxx est puissante et il faut avouer que ce ne sont pas des manchots. Les codecs viennent pour la plupart de la visioconférence qui a une problématique temps réel.
Sinon, le VP9 est normalisé avec une vrai documentation car je me souviens que la référence a une époque était le code source… Sans réelle spécification 'papier', il y a peu de chance à mon sens que le codec ait un grand avenir car il ne va pas être évident de le faire évoluer et d'avoir plusieurs implémentations.
En règle générale, les règles de filtrage sur les chambres d'étudiant CROUS sont très sévères. Cloisonnement, peu de port ouvert tant en entrée qu'en sortie… Il faut savoir que la majorité des problèmes (alerte CERT Renater) proviennent de ces postes et remontent dans les statistiques globales de l'université (ou équivalent). RENATER et l'état n'étant pas un prestataire comme les autres, une des solutions a été de super verrouiller ce type de réseau.
On va même plus loin. Si en juillet, tu n'as pas dépensé tant de % de ta somme attribuée, on te fait une réduction de crédit sur l'année en cours.
Pour les projets ANR sur 3 ans, le futur projet est de découper cette somme par année et de ne PAS faire de report entre les années… Donc chaque année, tu perds encore une partie des tes crédits (en plus de ce que l'université prends initialement).
Bref, on a un fonctionnement pire de ce que faisait les militaires, dont on se moquait bien !
Tu peux le faire via lsyncd, tu met une tempo à 5min par exemple donc il traite en léger décaler, puis tu lances ton programme via ionice et nice. Ainsi, la charge est quasi-invisible.
A l'époque du logiciel de comptabilité Nabuco pour les universités, La Rochelle avait développé son propre système et acceptait de le partager à d'autres universités en échange de temps hommes (si mes souvenirs sont bons car tout cela remonte un peu). Bilan, à ma connaissance, quasiment toutes les universités sont passés sur Sifac, une grosse daube basé sur SAP qui nous coûte chaque année une fortune.
Coté utilisateur, Sifac est encore pire que Nabuco. Son interface en java est une horreur. Pas mal de personne regrette le bon vieux mode ncurses sous telnet ;-)
Bref, la bonne volonté ne suffit. C'est comme le défi écologique, il faut un moment que cela bouge tout en haut si on souhaite que cela change vraiment.
En 3 ou 5 ans, vous avez n'importe qu'elle logiciel que vous voulez avec un tel budget.
C'est le soucis, le serpent qui se mange la queue. On n'achète pas pour dans 3 ou 5 ans mais tout de suite. Il faut donc un investissement double et parallèle pendant 3 à 5 ans.
Bref, c'est l’amorçage de la pompe qui est très compliqué.
Enfin, mais tout le monde l'a bien compris, dans la fonction publique, les dépenses sont hyper contrôlées (en tout cas dans l'enseignement supérieur). L'autonomie des universités est une vaste fumisterie… C'est bien plus complexe de financer du libre via de la sous traitance et de l'embauche de temps homme que d'acheter des licences.
Exact, ainsi que l'eau potable dans de nombreux endroits… et les services de bus aussi, d'ordures et ainsi de suite.
Le système peut être très bien mais -1- il doit rester sous un contrôle démocratique, -2- les concessions d'entretiens ne doivent pas être trop longue et -3- les zones géographiques pas trop grande afin d'avoir régulièrement des remises en concurrence de zone. Bref, je ne suis pas un spécialiste du domaine mais je pense qu'il y a moyen de bien faire et d'avoir des règles compréhensibles.
Pour les autoroutes, ce n'est pas l'entretien qui a été mis en concession mais l'intégralité, sans partage des sous-réseaux et l'opérateur décide de tout dont le prix… C'est je pense un des pires exemples. Mais qui a fait cette dauble ? D'ailleurs, pour les autoroutes, on parle plus de privatisation que de concession d'entretien de tronçon de réseau ! Bref, cela me semble un cas très éloigné des appels d'offre public.
Tout cela prouve qu'avoir 4 opérateurs est une belle connerie. Un réseau appartient à tous et doit forcément être public. Ainsi la concurrence a lieu sur un autre terrain, comme pour les télévisions, mais seul TDF diffuse.
Un seul réseau public ne signifie pas des fonctionnaires et ainsi de suite… Il est tout à fait possible via des marchés public de faire des lots de gestion par zone géographique pour une durée limitée (mais pas trop courte).
En pratique, je ne suis pas si éloigné. Je garde ton lien dans un coin. Je spécifie les protocoles alors que Mozilla les accepte tous sauf et pour les ciphers, je fais l'inverse ;-) Ceci dis, la liste des ciphers à la Prévert, je trouve cela difficilement maintenable.
Si ton client est non SNI, il ne peut pas accéder aux différents certificats. Donc si on veut avoir plusieurs certificats et que cela marche, il faut bien limiter aux seuls clients SNI ?
Afin de limiter le protocole SSL/TLS, supprimer les trucs moyens et avoir une bonne note au test Qualys, voila un début de configuration pour Apache. Si vous avez des recettes de meilleures qualités et facilement maintenables, c'est le moment de les partager.
SSLEngine On
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.1 +TLSv1
SSLCipherSuite HIGH:MEDIUM:!DH:!aNULL:!RC4
Pendant longtemps, cela n'a pas marché d'avoir plusieurs certificats mais j'ai fait un essai il y a un mois de cela et cela fonctionne très bien (sauf avec les vieux navigateurs mais on s'en fiche).
Pour avoir un certificat par virtual host par exemple, il suffit de mettre en global la directive
# Multiple certificate / Only SNI https client
SSLStrictSNIVHostCheck on Et c'est tout ! Dans chaque virtual host, on peut ensuite mettre des certificats différents avec les directives classiques SSLCertificateFile, SSLCertificateKeyFile et SSLCertificateChainFile…
Entre les Windows, il y a un outil pratique pour faire cela : psexec, mais malheureusement, il n'a jamais été porté sous Linux ;-( D'ailleurs, Microsoft devrait libéré le code source de psexec, je suis sur que cela ne pourrait que faire du bien à sa plateforme…
Je faisais un truc comme cela dans le temps via le module owner et cmd-owner afin d'interdire au programme acroread d'aller sur le net. Mais malheureusement, cela a été retiré du noyau. C'est pas fiable à 100% car on renommait son processus et il passait la barrière mais c'était simple et parfois, les choses simples marchent dans pas mal de cas…
J'ai trouvé un autre piste via http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service mais je n'ai pas testé. Tu crée un groupe grp-firefox et tu rend firefox sgid sur ce groupe. Puis tu appliques une règle via
iptables -A OUTPUT -dport 80 -m owner --gid-owner grp-firefox -j ACCEPT
iptables -A OUTPUT -dport 80 -j REJECT C'est pas bien clean clean car on touche au bit sgid… mais cela pourrait marcher !
[^] # Re: Version Anglaise et ???
Posté par Sytoka Modon (site web personnel) . En réponse au journal Consultation « République Numérique » ouverte. Évalué à 6.
L'Europe est multilingue. Afin de ne pas tomber dans l'anglais systématique, on nous a imposé TROIS langues. A vrai dire, ce n'est pas con MAIS il faudrait nous donner les moyens de l'appliquer. Dans l'absolu, français, anglais, allemand et espagnol donnerait l'accès à nos site web a une grande partie des européens…
[^] # Re: Domaine & action gouvernementale
Posté par Sytoka Modon (site web personnel) . En réponse au journal Consultation « République Numérique » ouverte. Évalué à 3.
Pour le supérieur, on aurait du garder le univ.fr mais il est désormais pris. La politique sur le .fr a été pendant longetmps très stricte ce qui n'a pas empêché les gros raté!
[^] # Re: Version Anglaise et ???
Posté par Sytoka Modon (site web personnel) . En réponse au journal Consultation « République Numérique » ouverte. Évalué à 4.
Surtout que si je me souviens bien, il est interdit d'avoir un site bilingue dans l'administration. Soit c'est qu'en français, soit trois langues… Même si de notre coté, nous n'avons jamais respecté cela (il faut avoir des personnes en interne capable de maintenir trois langues), c'est très différents d'une consultation nationale !
# GNU/Linux et non Linux
Posté par Sytoka Modon (site web personnel) . En réponse au journal Consultation « République Numérique » ouverte. Évalué à 3.
La proposition est : "Utiliser les logiciels libres & GNU/Linux dans les écoles et les universités".
# A voir
Posté par Sytoka Modon (site web personnel) . En réponse au journal Codec War S42E84. Évalué à 6.
L'industrie derrière les codecs en Hxxx est puissante et il faut avouer que ce ne sont pas des manchots. Les codecs viennent pour la plupart de la visioconférence qui a une problématique temps réel.
Sinon, le VP9 est normalisé avec une vrai documentation car je me souviens que la référence a une époque était le code source… Sans réelle spécification 'papier', il y a peu de chance à mon sens que le codec ait un grand avenir car il ne va pas être évident de le faire évoluer et d'avoir plusieurs implémentations.
[^] # Re: Changement de port
Posté par Sytoka Modon (site web personnel) . En réponse au message Alternative a SSH?. Évalué à 2.
Ouah la la, ça a l'air catastrophique ton site ;-)
[^] # Re: Changement de port
Posté par Sytoka Modon (site web personnel) . En réponse au message Alternative a SSH?. Évalué à 3. Dernière modification le 27 septembre 2015 à 17:31.
En règle générale, les règles de filtrage sur les chambres d'étudiant CROUS sont très sévères. Cloisonnement, peu de port ouvert tant en entrée qu'en sortie… Il faut savoir que la majorité des problèmes (alerte CERT Renater) proviennent de ces postes et remontent dans les statistiques globales de l'université (ou équivalent). RENATER et l'état n'étant pas un prestataire comme les autres, une des solutions a été de super verrouiller ce type de réseau.
[^] # Re: ERP complet
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de l'ERP Noalyss 6.9. Évalué à 5.
Ah bon, il y a des ERP qui gèrent des clusters de calcul ?
[^] # Re: Avis d'un fonctionnaire décisionnaire.
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche 2048 courriers de sensibilisation des acteurs locaux aux enjeux du logiciel libre (un par jour). Évalué à 3.
On va même plus loin. Si en juillet, tu n'as pas dépensé tant de % de ta somme attribuée, on te fait une réduction de crédit sur l'année en cours.
Pour les projets ANR sur 3 ans, le futur projet est de découper cette somme par année et de ne PAS faire de report entre les années… Donc chaque année, tu perds encore une partie des tes crédits (en plus de ce que l'université prends initialement).
Bref, on a un fonctionnement pire de ce que faisait les militaires, dont on se moquait bien !
[^] # Re: Possible lien avec Inotify
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Fim 1.0.2, qui vérifie l'intégrité de vos fichiers. Évalué à 2.
Justement, lsyncd fait cela ;-)
[^] # Re: Possible lien avec Inotify
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de Fim 1.0.2, qui vérifie l'intégrité de vos fichiers. Évalué à 2.
Tu peux le faire via lsyncd, tu met une tempo à 5min par exemple donc il traite en léger décaler, puis tu lances ton programme via ionice et nice. Ainsi, la charge est quasi-invisible.
[^] # Re: HS
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche 2048 courriers de sensibilisation des acteurs locaux aux enjeux du logiciel libre (un par jour). Évalué à 5.
A l'époque du logiciel de comptabilité Nabuco pour les universités, La Rochelle avait développé son propre système et acceptait de le partager à d'autres universités en échange de temps hommes (si mes souvenirs sont bons car tout cela remonte un peu). Bilan, à ma connaissance, quasiment toutes les universités sont passés sur Sifac, une grosse daube basé sur SAP qui nous coûte chaque année une fortune.
Coté utilisateur, Sifac est encore pire que Nabuco. Son interface en java est une horreur. Pas mal de personne regrette le bon vieux mode ncurses sous telnet ;-)
Bref, la bonne volonté ne suffit. C'est comme le défi écologique, il faut un moment que cela bouge tout en haut si on souhaite que cela change vraiment.
[^] # Re: Avis d'un fonctionnaire décisionnaire.
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche 2048 courriers de sensibilisation des acteurs locaux aux enjeux du logiciel libre (un par jour). Évalué à 5.
C'est le soucis, le serpent qui se mange la queue. On n'achète pas pour dans 3 ou 5 ans mais tout de suite. Il faut donc un investissement double et parallèle pendant 3 à 5 ans.
Bref, c'est l’amorçage de la pompe qui est très compliqué.
Enfin, mais tout le monde l'a bien compris, dans la fonction publique, les dépenses sont hyper contrôlées (en tout cas dans l'enseignement supérieur). L'autonomie des universités est une vaste fumisterie… C'est bien plus complexe de financer du libre via de la sous traitance et de l'embauche de temps homme que d'acheter des licences.
[^] # Re: Ancien premier ministre
Posté par Sytoka Modon (site web personnel) . En réponse au journal Réponse du conseil constitutionnel par rapport au projet de loi relatif au renseignement.. Évalué à 4.
http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/le-conseil-constitutionnel/les-membres-du-conseil/liste-des-membres/lionel-jospin.142939.html
[^] # Re: Bilan
Posté par Sytoka Modon (site web personnel) . En réponse au journal Free Mobile: C'est quoi leur projet?. Évalué à 10.
Exact, ainsi que l'eau potable dans de nombreux endroits… et les services de bus aussi, d'ordures et ainsi de suite.
Le système peut être très bien mais -1- il doit rester sous un contrôle démocratique, -2- les concessions d'entretiens ne doivent pas être trop longue et -3- les zones géographiques pas trop grande afin d'avoir régulièrement des remises en concurrence de zone. Bref, je ne suis pas un spécialiste du domaine mais je pense qu'il y a moyen de bien faire et d'avoir des règles compréhensibles.
Pour les autoroutes, ce n'est pas l'entretien qui a été mis en concession mais l'intégralité, sans partage des sous-réseaux et l'opérateur décide de tout dont le prix… C'est je pense un des pires exemples. Mais qui a fait cette dauble ? D'ailleurs, pour les autoroutes, on parle plus de privatisation que de concession d'entretien de tronçon de réseau ! Bref, cela me semble un cas très éloigné des appels d'offre public.
# Bilan
Posté par Sytoka Modon (site web personnel) . En réponse au journal Free Mobile: C'est quoi leur projet?. Évalué à 3.
Tout cela prouve qu'avoir 4 opérateurs est une belle connerie. Un réseau appartient à tous et doit forcément être public. Ainsi la concurrence a lieu sur un autre terrain, comme pour les télévisions, mais seul TDF diffuse.
Un seul réseau public ne signifie pas des fonctionnaires et ainsi de suite… Il est tout à fait possible via des marchés public de faire des lots de gestion par zone géographique pour une durée limitée (mais pas trop courte).
[^] # Re: Avoir une meilleure note
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debug SSL/TLS avec OpenSSL - partie 1. Évalué à 3.
En pratique, je ne suis pas si éloigné. Je garde ton lien dans un coin. Je spécifie les protocoles alors que Mozilla les accepte tous sauf et pour les ciphers, je fais l'inverse ;-) Ceci dis, la liste des ciphers à la Prévert, je trouve cela difficilement maintenable.
[^] # Re: SNI / Multiple certificat
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debug SSL/TLS avec OpenSSL - partie 1. Évalué à 2.
Si ton client est non SNI, il ne peut pas accéder aux différents certificats. Donc si on veut avoir plusieurs certificats et que cela marche, il faut bien limiter aux seuls clients SNI ?
# Avoir une meilleure note
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debug SSL/TLS avec OpenSSL - partie 1. Évalué à 2.
Afin de limiter le protocole SSL/TLS, supprimer les trucs moyens et avoir une bonne note au test Qualys, voila un début de configuration pour Apache. Si vous avez des recettes de meilleures qualités et facilement maintenables, c'est le moment de les partager.
SSLEngine On
SSLHonorCipherOrder On
SSLProtocol -all +TLSv1.2 +TLSv1.1 +TLSv1
SSLCipherSuite HIGH:MEDIUM:!DH:!aNULL:!RC4
# SNI / Multiple certificat
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debug SSL/TLS avec OpenSSL - partie 1. Évalué à 1.
Pendant longtemps, cela n'a pas marché d'avoir plusieurs certificats mais j'ai fait un essai il y a un mois de cela et cela fonctionne très bien (sauf avec les vieux navigateurs mais on s'en fiche).
Pour avoir un certificat par virtual host par exemple, il suffit de mettre en global la directive
# Multiple certificate / Only SNI https client
SSLStrictSNIVHostCheck on
[^] # Re: Précisions
Posté par Sytoka Modon (site web personnel) . En réponse au message Exécuter un script windows sous un serveur linux distant. Évalué à 3.
Entre les Windows, il y a un outil pratique pour faire cela : psexec, mais malheureusement, il n'a jamais été porté sous Linux ;-( D'ailleurs, Microsoft devrait libéré le code source de psexec, je suis sur que cela ne pourrait que faire du bien à sa plateforme…
# owner
Posté par Sytoka Modon (site web personnel) . En réponse au message Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S). Évalué à 3.
Je faisais un truc comme cela dans le temps via le module owner et cmd-owner afin d'interdire au programme acroread d'aller sur le net. Mais malheureusement, cela a été retiré du noyau. C'est pas fiable à 100% car on renommait son processus et il passait la barrière mais c'était simple et parfois, les choses simples marchent dans pas mal de cas…
J'ai trouvé un autre piste via http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service mais je n'ai pas testé. Tu crée un groupe grp-firefox et tu rend firefox sgid sur ce groupe. Puis tu appliques une règle via
iptables -A OUTPUT -dport 80 -m owner --gid-owner grp-firefox -j ACCEPT
iptables -A OUTPUT -dport 80 -j REJECT
[^] # Re: Bonnes nouvelles
Posté par Sytoka Modon (site web personnel) . En réponse au journal la Cour Suprême déboute Google sur l'utilisation des API Java. Évalué à 5.
Ou finir de construire l'Europe ;-)
# Bonnes nouvelles
Posté par Sytoka Modon (site web personnel) . En réponse au journal la Cour Suprême déboute Google sur l'utilisation des API Java. Évalué à 1.
Google et Oracle s’entre-tuent. Au final, ils en ont enfin marres et les américains décident de réformer leur droit ;-)
# eval
Posté par Sytoka Modon (site web personnel) . En réponse au message Utiliser une concaténation de variable dans FOR. Évalué à 2.
Il faut faire un eval si tu veux paramétrer le nom de tes variables comme tu le fait.