Moi ce qui m'inquiete, c'est pas les contributions a linux ou quoi. Pas grand chose a cogner de leur contrib au kernel, Sun ne possedait pas le noyau et ya suffisament d'acteur importants autour pour prendre la releve s'il faut.
Nan, ce qui m'inquiete, c'est les produits que Sun possedait.
Java en tete, Glassfish dans une moindre mesure.
OpenOffice aussi, ainsi que Virtual Box (quoique virtual box est pas gigantesque dans le domaine de la virtualisation).
Pour le hard, je suis curieux de savoir ce qu'Oracle compte faire.
Oracle c'est une boite qui vit grace a un seul produit, sa DB.
Ya effectivement un enooooorme boulot derriere, mais ca reste un enorme monstre, tres ferme...
Disons qu'il faut faire avec quand les clients exigent Oracle, mais la plupart des techniciens s'y connaissant un peu proposeront un PgSQL/MySQL (laissez les trolls a la porte, svp) avant de proposer un oracle.
Et maintenant, il ne reste donc plus que 2 fournisseurs de db, Oracle et PgSQL (ok, oracle possedait une partie de mysql indirectement, mais la c'est carrement tout).
IBM aurait certainement ete preferable, de part leur orientation OpenSource quand ca arrange leur business.
Dans le cas de Java, ca les arrange clairement, et ca leur donne une arme pour faire la nique a MS.
Glassfish serait surement passe a la trappe pour pas faire d'ombre a leur websphere, mais au moins le bebe Java aurait ete entre de bonnes mains (ptetre meme qu'ils auraient enfin eu les coucougnettes de faire un peu le menage dans le langage pour lui apporter qq nouveautes technique qui commencent a lui faire defaut).
Et au moins, IBM a prouve qu'ils etaient capable de faire autre chose qu'un seul produit.
en somme, t'utilises PGP, mais ca t'authentifies pas du tout, mais c'est pas grave en fait, tu veux pas vraiment etre authentifie, tu veux juste te tripoter la quequette avec 3 potes geeks (ou plutot qui pretendent l'etre, vu le niveau de tes reponses)...
T'en as meme pas besoin en fait, mais c'est juste que ca fait bien dans la communaute des kekes d'avoir une signature pgp dans ses mails.
Merci de m'avoir fait rire de si bon coeur en tout cas...
La clef publique est aussi sur mon PC, et restera sur le PC de tout ceux qui l'avaient téléchargé. Donc, ça change quoi ?
Ah oui, j'avais oublie que personne n'a jamais perdu de donnees, ca n'est jamais arrive et n'arrivera jamais.
Les crash disques, les manip hasardeuses, ca n'existe pas chez toi...
Pour commencer, je doute que quelqu'un soit près à se payer un nom de domaine juste pour ça.
Bopf, tu sais, 10 euros, c'est pas grand chose, hein...
Ensuite, les gens ayant déjà récupéré le vrai certificat, ils verront bien que le mail n'a pas été signé avec.
Et les autres?
Et pour finir, même si quelqu'un est assez à la masse pour ne pas réaliser qu'il a déjà mon certificat, et que l'adresse est bidon, ça ne prendra pas longtemps de lui prouver que le mail n'est pas de moi.
Ben ouais, ca va etre rapide de lui prouver qu'un mail que t'as pas envoye et que donc t'es pas au courant qu'il l'a recu est faux.
Tu vas magiquement savoir qu'il a ete envoye et donc appeler ton pote pour lui dire que c'est pas toi qui l'a envoye.
LOL
T'as compris que PGP est un gain de secu uniquement quand tu fournis ton certif SEPAREMENT du message chiffre?
T'as compris le concept de tiers de confiance qui est au coeur de ce genre d'algos?
Faut pas etre sorti de la cuisine a jupiler pour comprendre qu'envoyer une signature avec la cle qui a servi a la generer, c'est completement idiot?
'fin pas completement idiot, ca garanti que le message n'a pas ete altere pendant le transport, super la garantie!!
Ca authentifie autant que le champ from des emails.
C'est dire.
Pour que ca authentifie REELLEMENT il faut envoyer le certif public par un autre canal que le mail, canal qui t'authentifie lui aussi (bah vi, sinon ca sert a rien...).
Dans l'ideal, il faut aussi que ton certif soit signe par une autorite racine, sinon ca tue grandement l'interet (je peux generer un certif a ton nom et le distribuer, chose que je ne pourrais pas faire si c'est une autorite trustable qui genere le certif).
Derriere, tes contacts doivent importer ton certif dans leur client mail.
Oui, c'est tres chiant a deployer.
Et si t'as compris ce qui precede, tu viens de comprendre pourquoi personne n'utilise PGP, c'est tres chiant a deployer si on veut le faire correctement, et si on le fait pas correctement, ca apporte une illusion de securite, ce qui est pire que pas de secu.
'fin ce que j'en dit, je m'en cogne, c'est pas mon pb, mais ca me fait bien rigoler de voir que t'y crois dur comme fer.
Sinon, tu feras comment le jour ou l'ens ne t'octroiera plus d'espace?
Ca va etre coton pour verifier les mails deja envoyes... Ou juste les lire, des fois que tu les chiffres...
Un exemple de mail, je suis a peu pres sur que 75% de tes contacts se feront avoir.
Remplace le texte par qq chose de moins gros, et dans le cul lulu.
From: Jean Rene Dugland <jeanjeandudu@pinpin.com>
Sujet: Aidez moi svp
Bonjour, je suis un prince nigerien blablabla, 15 millions de dollars, blablabla, numero de secu, bla, carte bleu, bla.
Prout.
Relit moi, j'ai tente d'etre neutre et mon point n'est pas sur le gun control.
En fait non, j'ai meme prit position pour le gun control, je trouve ca personnellement ahurissant de penser qu'une arme a feu est necessaire pour se proteger dans une societe dite civilisee, mais bon, ils sont comme ca, tu les changeras pas.
Le but de mon message c'etait de repondre a un commentaire qui sous entendait "il aime les flingues, c'est donc necessairement un trou du cul'.
Dans la culture europeene, cette phrase est tres souvent vraie.
Dans la culture americaine, elle est clairement fausse. J'ai des collegues qui pourraient etre consideres quaisment comme coco par de nombreux ricains, cultives, tres ouverts, intelligents etc, bref tres loin d'etre des trou du cul et qui sont pourtant farouchement attache a leur liberte d'avoir un flingue.
C'est peut etre le cas d'ESR, ou pas d'ailleurs, j'en sais rien, je le connais pas.
Meme si les 2 cultures sont tres proches, elles divergent grandement sur certains point et je voulais juste relever.
Le parallele avec la laicite etait la pour illustrer que avec un exemple parlant pour les nombreux francais qui arpentent ces colonnes, c'est bien evidemment pas comparable.
On peut mettre sur la table le sujet du foie gras, interdit en californie a partir de 2011 pour cruaute envers les animaux (je stocke en prevision de jour sombre), qui emeut un certain nombre de personne en dehors de france (et meme au niveau europeen), et pourtant chez nous, RAB du pitit canard ou de la pitite oie, c'est bon, c'est tout.
c'est pas une condition necessaire (et j'ai pas pretendu que ca l'etait), mais ca illustre bien le cote farouchement laic qui caracterise notre republique.
D'aucuns argueront que ca illustre aussi le cote hypocrite de notre republique qui pretend etre 100% laique mais dont les ecoles publiques servent tres majoritairement du poisson a la cantine le vendredi pour ne pas froisser les parents catho, sans pour autant tolerer le port du voile, mais ca c'est un autre debat et j'ai pas envie de rentrer dedans.
C'est un ricain.
Leur position sur les armes est heuuu.... differente? de celle du reste du monde.
Si on vous avait repete depuis que vous etes bebe qu'avoir un flingue est normal et inscrit dans la constitution, vous penseriez differement.
C'est culturel, et effectivement dur a comprendre pour un non ricain.
Perso ca me depasse et je suis content d'etre dans un etat ou la loi est assez stricte/limitante et leur interdit en pratique de se balader avec une arme chargee.
Mais bon, faut pas leur en vouloir, ca en fait pas des trou du cul pour autant, j'ai des connaissance parfaitement respectables, eduquees, ouvertes sur le monde et tout le tralala (bref, pas des bourrins de sudiste pour le retour de l'esclavagisme), qui pourtant sont persuade qu'ils ont besoin de leur gun a la maison. Pour leur protection.
Et la discussion est assez difficile sur le sujet, c'est dans leur foutue constitution, donc argumenter contre le port d'arme c'est un peu du meme niveau qu'argumenter contre la liberte d'expression, ca va froisser.
Ca veut pas dire que je suis pour le port d'arme pour tout le monde, mais voire cette position chez un ricain ne permet pas d'en deduire que c'est un trou du cul.
Beaucoup (mais pas tous evidemment) sont responsables, font du tir en stand et respectent a la lettre les lois de leur etat sur le port d'arme.
On peut faire un paralelle avec la laicite en france.
Pour en avoir discuter avec des locaux, ils etaient choque d'apprendre que le port de signes religieux a l'ecole a toujours ete interdit. Et je me suis retrouve comme un con a essayer de leur expliquer pourquoi, tellement ca me paraissait naturel et irrefutable.
Pour eux c'est une liberte individuelle fondamentale de 1) pouvoir s'habiller comme on veut 2) exprimer son appartenance religieuse.
Et pourtant nous, ca nous parait acquis et c'est plutot difficile de refuter le bien fonde de laicite du pays.
Surement parce que, comme pour les ricains avec les armes, on nous a rabache a l'ecole qu'un pays laique caybien.
Donc, si je resume:
- Tu signes tes mails pour en garantir, mais ton certif public n'est pas public (super utile!!! Remarque, ca s'trouve, ta cle prive est prive non plus, donc bon, on est pas a ca pres, hein),
- Si tu le rend publique, tu vas mettre un lien dans le mail signe vers ledit certif, qui va juste etre dumpe sur un site web a la con.
Donc en clair:
- Tu signes, mais tu ne donnes aucun moyen a tes correspondants de verifier la signature (MOUARF!!!)
- Quand tu leur donneras, parce que c'est complique de gerer ca, tu vas envoyer la cle publique avec le message, on va pas s'emboucanner quand meme... (MOUARF!!!!)
En clair, t'utilises un mecanisme super fort d'authent dont la faiblesse est le tiers de confiance en squeezant le tiers de confiance.
En clair: "Mais si, je te dis que je suis jean jean ducon, puisque je te le dis, c'est que c'est vrai, je suis le tiers de confiance!!! J'ai mon certif dans ma signature, ca prouve bien que je suis jean jean."
Question tres bete, mais qui vient de qq1 qui n'a pas de compte gmail, donc excusez moi de demander pardon.
Google chrome a leur machin la, Gears, apparement une plateforme qui permet d'avoir les web app de google offline.
Ca marcherais pas avec gmail ca des fois?
Et ben, t'as raison, qu'est ce que tu veux que je te dise, continues a te branler la nouille avec ton certif tres probablement auto signe avec un OpenSSL certifie 100% passoire debian, ton certif public pose sur un serveur free.fr, ta cle prive en clair sur ton disque dur, tout en etant persuade que t'es un leet hacker qui est 100% secure parce qu'il utilise un algo asymetrique sans avoir aucune idee idee de ce qu'il se passe sous le capot.
Que ca soit signer ou chiffrer, ca revient strictement au meme, l'un etait juste la reciproque de l'autre (clef prive = authent, cle public = confidentialite).
C'est exactement la meme chose, ca repose exclusivement sur le secret de la cle prive (et aussi que l'algo est extrement dur a casser, mais ca on s'en doutait a la base).
L'avantage sur un chiffrement symetrique, c'est qu'elle n'a pas etre echangee, mais faut quand meme la garder dans un endroit securise et un tiers de confiance pour l'authent de la cle publique (PKI et tout le tralala).
Bien entendu, quelqu'un pourrais essayer prendre le contrôle de ma machine pour récupérer ma clef privée et envoyer des mails en se faisant passer pour moi. Mais c'est un peu extrême, quand même. Je doute que ça risque de m'arriver.
MOUARF!!!
Ben faut savoir mon grand, soit tu signes tes mails pour etre sur que personne ne t'usurpe et/ou en garantir la non alteration du contenu, soit personne n'a envie de t'usurper et ca sert a rien de signer.
Se gargariser du premier puis quand on pointe les problemes invoquer le deuxieme, c'est un peu du meme niveau que d'avoir une porte d'appart' blinde qui resiste a un tir de bazooka chez moi, mais de laisser la cle sous la paillasson parce que c'est plus pratique, et puis apres tout, personne ne cherche a rentre chez moi, alors...
Tu peux aussi faire ca pour te la peter avec ta cle PGP dans tes mails, mais bon, c'que j'en pense...
Si quelqu'un veut se faire passer pour toi, il mettra en oeuvre les moyens qu'il faut pour se faire passer pour toi.
Si t'as ton certif chez PinPinPKI.com et ta cle privee en clair sur ta cle usb qui va etre sniffee par le premier trojan qui passe, ca va pas t'apporter grand chose.
Suffit pas d'utiliser un algo asymetrique pour que les choses soient automagiquement inviolables, faut savoir l'utiliser aussi.
Encore une fois, je ne presuppose rien de ton infrastructure, ma remarque est d'ordre generale (mais vu ta reponse, mon petit doigt me donne une idee sur la reponse).
La technique ne changera rien a ce qu'il font, le fond du probleme, c'est tes correspondants, pas la technologie utilisee pour transfert leur communication.
Signer les mails en asymetrique, c'est bien beau, mais bon...
En securite (ou plutot confidentialite ici), une solution revient souvent a deplacer un probleme complexe vers un autre probleme, pas forcement moins complexe.
En l'occurence, ca deplace le pb du mail en clair lisible par n'importe qui vers le pb du stockage de son certif.
C'est un gain de securite parce que tu peux maitriser le stockage du certif alors que tu ne maitrises pas la chaine de transfert de ton email.
Mais ca n'empeche pas que si le stockage du certif est fait avec les pieds, ton gain de secu est nul. Voir il est negatif, car tu as une fausse impression de securite.
Je vais pas presupposer de ton architecture, donc ce qui suit n'est pas pour toi specifiquement, mais plutot une remarque generale.
Si c'est pour dumper ton certif sur ton disque dur et pis vala (ce qui arrivera tres certainement chez mr tout le monde), ou encore l'integrer a un client mail lourd qui va garder la cle prive en clair en memoire, je suis pas franchement convaincu du gain de securite.
Un key logger sur la machine qui choppe ta passphrase et envoie le tout avec le certif au mechant pirate, et paf pasteque ta securite.
Quand a la secu apportee face a l'envoi automatique, je sais pas si c'est du second degre ou quoi, mais la solution au pb, c'est plutot une boite de dialogue de confirmation de mail tout court, pas un chiffrement asymetrique...
Qu'est ce que c'est que ce delire de slackware doit pas etre utilise?
Texto, l'article dit: Some package managers don’t make any pretense of being secure in the first place (such as Slaktool on Slackware and Pacman on Arch Linux).
We strongly recommend against using package managers that don’t try to be secure
Ca me parait tres clair comme phrase, non?
Ou alors c'est que certains ici ne supportent pas qu'on dise que linux (ou leur distro preferee) a des points a ameliorer?
Window, preferences, java, editor, save actions, check perform the selected actions on save et check "organize imports".
C'est generalement une bonne idee de checker aussi le formattage du source ainsi que les ajout des annotations et autres actions foutrement pratique.
ben mets toi a leur place aussi...
Ils ont des cas a juger a plus savoir quoi en faire, et tu debarques direct de bisounours land en leur demandant de dire kikaraison, mais juste pour l'honneur.
T'es pas sur linuxfr et ils ont autre chose a faire que d'arbitrer un troll, si tu demandes rien en contrepartie, ben circulez ya rien a voir.
Si tu ne demandes rien, ya rien a te donner et rien a juger.
T'es pas le seul a bosser jusqu'a 2h00 du tinma tu sais, les juges sont aussi debordes.
En pratique, tu changes de proco, faut changer la mobo et la ram en meme temps.
Changer la carte graphique a la rigueur, si t'es un gamer.
Pour le reste, je vois pas trop ce que tu peux rajouter, ca se faisait beaucoup dans les annees 90, depuis, bof.
Pour les disques, un bon vieux disque externe en firewire ou usb, ca fait aussi bien l'affaire.
Tu peux upgrader ton disque interne si tu veux, au pire.
Pour la customisation, je veux pas dire, mais bon.
En proco, t'as le choix entre 2 constructeurs.
Pour les cartes graphiques, 2 et demi (le demi parce qu'il te contraint le choix du proco).
Pour le chipset son, 99% des gens se contentent de celui de la carte mere a merveille.
Ca limite quand meme grandement les possibilite de customisation.
a noter que certains etats (peut etre meme au niveau federal d'ailleurs?) interdisent aux avocats de faire de la pub a ce niveau pour justement eviter les proces al a con juste pour gagner des sous.
Genre la pub: super promo, si vous gagnez je prend 10% sinon c'est gratos.
Le fond du probleme, c'est surtout la tour designee avec les pieds par un ingenieur depressif de l'URSS au debut des annees 80, planquee sous le bureau avec ces prises a la con placee a l'endroit le moins accessible possible avec une chance sur deux de chopper un autre cable au passage...
Deja qu'en facade, c'est pas forcement fabuleux...
Corollaire: t'es a 4 pattes sous ton bureau, tu cherches a tirer la tour pour mieux voir, et la t'as les cables qui bloquent, l'alim se debranche et tu perds 2h00 de boulot, du coup tu t'enerves d'un coup, tu te releves et paf tu te cognes la tete, ca fait bouger le bureau et ca renverse ton cafe brulant sur ton clavier, tu proferes d'ignobles jurons, tes collegues (ou ta femme ou ton homme) se foutent de ta gueule, t'es malheureux et tu te dit que ton penis ne sera jamais aussi gros que celui de rocco.
Et du coup tu maudit ton voisin de bureau qui a un laptop docke ou un imac avec tout dans l'ecran qui reste le cul confortablement visse sur son fauteuil de ministre et t'es jaloux et du coup tu vas lui crever les pneus de sa bagnole et lui rayer la portiere, bien fait pour sa gueule, 'foire va.
Et tout ces malheurs ne sont pas du au consortium usb, mais a ce con de commercial de chez dell qui a fourgue un salete de tour au responsable achat de ta boite.
La solution (ou palliatif plutot, ca resoud pas tout) est simple prolongateur usb sur l'ecran ou le clavier.
La vraie solution est encore plus simple: arretez de vous emboucanner avec ces tours a la con et prenez vous un laptop que vous mettrez sur une docking station si vous voulez du confort. Ou un desktop tout integre a l'ecran, je sais pas si d'autres constructeurs qu'apple en font.
heu non non, java c'est pas des version incompatibles, bien au contraire, la compatibilite est tres forte. C'est meme le gros truc qui bloque le langages et qui fait qu'on se farcit une API Date des plus pourries, qu'on des generics qui ne sont qu'un hack foireux et ce genre de choses.
Juste parce que Sun a les chocottes graves de casser la moindre appli qui tourne sur un serveur qui a ete mure par erreur ya 10 ans dans un data center.
L'upward est garanti (ie 1.2 -> 1.3 -> 1.4 -> 5 -> 6 -> 7etc), la backward pas toujours mais souvent (au niveau du bytecode en tout cas, les API sont relativement stable), ie 7->6->5 ok bytecode, 4 -> 3 -> 2 ok aussi (bytecode, les API ont quelques peu evolue entre 2 et 4 mais pas trop entre 3 et 4).
et pour le 1.1 et 1.0 personne ne l'utilise de toutes facons.
L'API applet est clairement boiteuse et j'aimerais la voire disparaitre du paysage, mais c'est une autre pb ca.
Visiblement ils veulent que je demande des indemnitées. quand y'en a les patrons rales, et quand y'en a pas , leurs avocats ralent...
Non, pas du tout.
On te demande de dire ce que tu veux.
Si tu ne veux pas d'indemnites, tu dit que tu veux 0 euro (ou 1 euro symbolique si ca te chante) d'indemnite.
On te demande juste d'arriver a la conciliation avec des revendications.
La conciliation est la pour concilier, pas pour juger.
Tu expose tes griefs, tu dit ce que tu veux en contrepartie et a partir de la on discute.
Si tu ne dit pas ce que tu veux, comment veux tu concilier quoi que ce soit?
Si les 2 parties se mettent d'accord a l'amiable, tout le monde est content et on rentre a la maison.
Si elles sont d'accord pour etre en desaccord, tu pousses l'affaire plus loin.
C'est procedurier et chiant, peut etre, mais si tu veux une justice aveugle, ca aide d'avoir une procedure stricte.
Et merde, j'avais ecrit un poste, j'ai tout perdu.
Bref, je le refait un peu plus court.
C'est normal que le perdant paye pour les frais d'avocat du gagnant.
Sinon, ca veut dire que la justice n'est rendue qu'a ceux qui peuvent se la payer.
En clair:
On t'attaque, tu gagnes, ya pas de raison que tu doives payer pour te defendre, vu que tu etais dans ton bon droit.
Tu attaques, tu gagnes, ya pas de raison non plus vu que t'etais dans ton bon droit et que faire respecter tes droits devrait etre gratuit.
l'employeur fait passer ça en frais pro et n'a même pas à sortir les sous de sa poche
Comment ca?
Il faut bien qu'il paye son avocat, que ca soit la boite qui paye ou ton boss de sa poche perso (si c'est une petite boite, c'est probablement la meme chose au final et si c'est une grande, il va se faire dechirer par sa hierarchie), les sous sont payes...
[^] # Re: Le quatrième plus gros contributeur au noyau Linux?
Posté par thedude . En réponse à la dépêche Oracle achète Sun. Évalué à 4.
Nan, ce qui m'inquiete, c'est les produits que Sun possedait.
Java en tete, Glassfish dans une moindre mesure.
OpenOffice aussi, ainsi que Virtual Box (quoique virtual box est pas gigantesque dans le domaine de la virtualisation).
Pour le hard, je suis curieux de savoir ce qu'Oracle compte faire.
Oracle c'est une boite qui vit grace a un seul produit, sa DB.
Ya effectivement un enooooorme boulot derriere, mais ca reste un enorme monstre, tres ferme...
Disons qu'il faut faire avec quand les clients exigent Oracle, mais la plupart des techniciens s'y connaissant un peu proposeront un PgSQL/MySQL (laissez les trolls a la porte, svp) avant de proposer un oracle.
Et maintenant, il ne reste donc plus que 2 fournisseurs de db, Oracle et PgSQL (ok, oracle possedait une partie de mysql indirectement, mais la c'est carrement tout).
IBM aurait certainement ete preferable, de part leur orientation OpenSource quand ca arrange leur business.
Dans le cas de Java, ca les arrange clairement, et ca leur donne une arme pour faire la nique a MS.
Glassfish serait surement passe a la trappe pour pas faire d'ombre a leur websphere, mais au moins le bebe Java aurait ete entre de bonnes mains (ptetre meme qu'ils auraient enfin eu les coucougnettes de faire un peu le menage dans le langage pour lui apporter qq nouveautes technique qui commencent a lui faire defaut).
Et au moins, IBM a prouve qu'ils etaient capable de faire autre chose qu'un seul produit.
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 0.
en somme, t'utilises PGP, mais ca t'authentifies pas du tout, mais c'est pas grave en fait, tu veux pas vraiment etre authentifie, tu veux juste te tripoter la quequette avec 3 potes geeks (ou plutot qui pretendent l'etre, vu le niveau de tes reponses)...
T'en as meme pas besoin en fait, mais c'est juste que ca fait bien dans la communaute des kekes d'avoir une signature pgp dans ses mails.
Merci de m'avoir fait rire de si bon coeur en tout cas...
La clef publique est aussi sur mon PC, et restera sur le PC de tout ceux qui l'avaient téléchargé. Donc, ça change quoi ?
Ah oui, j'avais oublie que personne n'a jamais perdu de donnees, ca n'est jamais arrive et n'arrivera jamais.
Les crash disques, les manip hasardeuses, ca n'existe pas chez toi...
Pour commencer, je doute que quelqu'un soit près à se payer un nom de domaine juste pour ça.
Bopf, tu sais, 10 euros, c'est pas grand chose, hein...
Ensuite, les gens ayant déjà récupéré le vrai certificat, ils verront bien que le mail n'a pas été signé avec.
Et les autres?
Et pour finir, même si quelqu'un est assez à la masse pour ne pas réaliser qu'il a déjà mon certificat, et que l'adresse est bidon, ça ne prendra pas longtemps de lui prouver que le mail n'est pas de moi.
Ben ouais, ca va etre rapide de lui prouver qu'un mail que t'as pas envoye et que donc t'es pas au courant qu'il l'a recu est faux.
Tu vas magiquement savoir qu'il a ete envoye et donc appeler ton pote pour lui dire que c'est pas toi qui l'a envoye.
LOL
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 1.
T'as compris le concept de tiers de confiance qui est au coeur de ce genre d'algos?
Faut pas etre sorti de la cuisine a jupiler pour comprendre qu'envoyer une signature avec la cle qui a servi a la generer, c'est completement idiot?
'fin pas completement idiot, ca garanti que le message n'a pas ete altere pendant le transport, super la garantie!!
Ca authentifie autant que le champ from des emails.
C'est dire.
Pour que ca authentifie REELLEMENT il faut envoyer le certif public par un autre canal que le mail, canal qui t'authentifie lui aussi (bah vi, sinon ca sert a rien...).
Dans l'ideal, il faut aussi que ton certif soit signe par une autorite racine, sinon ca tue grandement l'interet (je peux generer un certif a ton nom et le distribuer, chose que je ne pourrais pas faire si c'est une autorite trustable qui genere le certif).
Derriere, tes contacts doivent importer ton certif dans leur client mail.
Oui, c'est tres chiant a deployer.
Et si t'as compris ce qui precede, tu viens de comprendre pourquoi personne n'utilise PGP, c'est tres chiant a deployer si on veut le faire correctement, et si on le fait pas correctement, ca apporte une illusion de securite, ce qui est pire que pas de secu.
'fin ce que j'en dit, je m'en cogne, c'est pas mon pb, mais ca me fait bien rigoler de voir que t'y crois dur comme fer.
Sinon, tu feras comment le jour ou l'ens ne t'octroiera plus d'espace?
Ca va etre coton pour verifier les mails deja envoyes... Ou juste les lire, des fois que tu les chiffres...
Un exemple de mail, je suis a peu pres sur que 75% de tes contacts se feront avoir.
Remplace le texte par qq chose de moins gros, et dans le cul lulu.
From: Jean Rene Dugland <jeanjeandudu@pinpin.com>
Sujet: Aidez moi svp
Bonjour, je suis un prince nigerien blablabla, 15 millions de dollars, blablabla, numero de secu, bla, carte bleu, bla.
Prout.
Cordialement, Jean jean.
cle:
<a href="http://youporn.com" > http://perso.ens-lyon.fr/jeanalexandre.angles_dauriac/Jean-A(...)ès%20d'Auriac.asc </a>
Ou encore:
cle:
http://perso.ens-lion.ru/jeanjeandugland/moncertifalakon.asc
Vu la gueule de ton url, ca a une bonne probabilite de passer...
Signature:
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3a
Charset: noconv
iQCVAwUBMXVGMFIa2NdXHZJZAQFe4AQAz0FZrHdH8o+zkIvcI/4ABg4gfE7cG0xE
Z2J9GVWD2zi4tG+s1+IWEY6Ae17kx925JKrzF4Ti2upAwTN2Pnb/x0G8WJQVKQzP
mZcD+XNnAaYCqFz8iIuAFVLchYeWj1Pqxxq0weGCtjQIrpzrmGxV7xXzK0jus+6V
rML3TxQSwdA=
=T9Mc
-----END PGP SIGNATURE-----
PS: Non, j'ai pas envie de me faire passer pour toi, je tiens a ma reputation, tres peu pour moi, merci.
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 1.
C'est assez explicite, meme si ca ne fait pas directement reference a la bombe thermo nucleaire...
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 0.
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 0.
Que le port d'arme mene facilement a une societe dangereuse car des cingles se balladent avec un arsenal dans le coffre?
Oui, certes, mais c'est pas trop le point que je soulevais dans mon message...
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 4.
En fait non, j'ai meme prit position pour le gun control, je trouve ca personnellement ahurissant de penser qu'une arme a feu est necessaire pour se proteger dans une societe dite civilisee, mais bon, ils sont comme ca, tu les changeras pas.
Le but de mon message c'etait de repondre a un commentaire qui sous entendait "il aime les flingues, c'est donc necessairement un trou du cul'.
Dans la culture europeene, cette phrase est tres souvent vraie.
Dans la culture americaine, elle est clairement fausse. J'ai des collegues qui pourraient etre consideres quaisment comme coco par de nombreux ricains, cultives, tres ouverts, intelligents etc, bref tres loin d'etre des trou du cul et qui sont pourtant farouchement attache a leur liberte d'avoir un flingue.
C'est peut etre le cas d'ESR, ou pas d'ailleurs, j'en sais rien, je le connais pas.
Meme si les 2 cultures sont tres proches, elles divergent grandement sur certains point et je voulais juste relever.
Le parallele avec la laicite etait la pour illustrer que avec un exemple parlant pour les nombreux francais qui arpentent ces colonnes, c'est bien evidemment pas comparable.
On peut mettre sur la table le sujet du foie gras, interdit en californie a partir de 2011 pour cruaute envers les animaux (je stocke en prevision de jour sombre), qui emeut un certain nombre de personne en dehors de france (et meme au niveau europeen), et pourtant chez nous, RAB du pitit canard ou de la pitite oie, c'est bon, c'est tout.
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 0.
D'aucuns argueront que ca illustre aussi le cote hypocrite de notre republique qui pretend etre 100% laique mais dont les ecoles publiques servent tres majoritairement du poisson a la cantine le vendredi pour ne pas froisser les parents catho, sans pour autant tolerer le port du voile, mais ca c'est un autre debat et j'ai pas envie de rentrer dedans.
[^] # Re: revenons aux sources...
Posté par thedude . En réponse au journal Faisceaux de questions à Eric Raymond ?. Évalué à 4.
Leur position sur les armes est heuuu.... differente? de celle du reste du monde.
Si on vous avait repete depuis que vous etes bebe qu'avoir un flingue est normal et inscrit dans la constitution, vous penseriez differement.
C'est culturel, et effectivement dur a comprendre pour un non ricain.
Perso ca me depasse et je suis content d'etre dans un etat ou la loi est assez stricte/limitante et leur interdit en pratique de se balader avec une arme chargee.
Mais bon, faut pas leur en vouloir, ca en fait pas des trou du cul pour autant, j'ai des connaissance parfaitement respectables, eduquees, ouvertes sur le monde et tout le tralala (bref, pas des bourrins de sudiste pour le retour de l'esclavagisme), qui pourtant sont persuade qu'ils ont besoin de leur gun a la maison. Pour leur protection.
Et la discussion est assez difficile sur le sujet, c'est dans leur foutue constitution, donc argumenter contre le port d'arme c'est un peu du meme niveau qu'argumenter contre la liberte d'expression, ca va froisser.
Ca veut pas dire que je suis pour le port d'arme pour tout le monde, mais voire cette position chez un ricain ne permet pas d'en deduire que c'est un trou du cul.
Beaucoup (mais pas tous evidemment) sont responsables, font du tir en stand et respectent a la lettre les lois de leur etat sur le port d'arme.
On peut faire un paralelle avec la laicite en france.
Pour en avoir discuter avec des locaux, ils etaient choque d'apprendre que le port de signes religieux a l'ecole a toujours ete interdit. Et je me suis retrouve comme un con a essayer de leur expliquer pourquoi, tellement ca me paraissait naturel et irrefutable.
Pour eux c'est une liberte individuelle fondamentale de 1) pouvoir s'habiller comme on veut 2) exprimer son appartenance religieuse.
Et pourtant nous, ca nous parait acquis et c'est plutot difficile de refuter le bien fonde de laicite du pays.
Surement parce que, comme pour les ricains avec les armes, on nous a rabache a l'ecole qu'un pays laique caybien.
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 0.
Donc, si je resume:
- Tu signes tes mails pour en garantir, mais ton certif public n'est pas public (super utile!!! Remarque, ca s'trouve, ta cle prive est prive non plus, donc bon, on est pas a ca pres, hein),
- Si tu le rend publique, tu vas mettre un lien dans le mail signe vers ledit certif, qui va juste etre dumpe sur un site web a la con.
Donc en clair:
- Tu signes, mais tu ne donnes aucun moyen a tes correspondants de verifier la signature (MOUARF!!!)
- Quand tu leur donneras, parce que c'est complique de gerer ca, tu vas envoyer la cle publique avec le message, on va pas s'emboucanner quand meme... (MOUARF!!!!)
En clair, t'utilises un mecanisme super fort d'authent dont la faiblesse est le tiers de confiance en squeezant le tiers de confiance.
En clair: "Mais si, je te dis que je suis jean jean ducon, puisque je te le dis, c'est que c'est vrai, je suis le tiers de confiance!!! J'ai mon certif dans ma signature, ca prouve bien que je suis jean jean."
[^] # Re: Dinosaure...
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 2.
Google chrome a leur machin la, Gears, apparement une plateforme qui permet d'avoir les web app de google offline.
Ca marcherais pas avec gmail ca des fois?
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à -2.
Et ben, t'as raison, qu'est ce que tu veux que je te dise, continues a te branler la nouille avec ton certif tres probablement auto signe avec un OpenSSL certifie 100% passoire debian, ton certif public pose sur un serveur free.fr, ta cle prive en clair sur ton disque dur, tout en etant persuade que t'es un leet hacker qui est 100% secure parce qu'il utilise un algo asymetrique sans avoir aucune idee idee de ce qu'il se passe sous le capot.
Fuckin' clueless.
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à -1.
Que ca soit signer ou chiffrer, ca revient strictement au meme, l'un etait juste la reciproque de l'autre (clef prive = authent, cle public = confidentialite).
C'est exactement la meme chose, ca repose exclusivement sur le secret de la cle prive (et aussi que l'algo est extrement dur a casser, mais ca on s'en doutait a la base).
L'avantage sur un chiffrement symetrique, c'est qu'elle n'a pas etre echangee, mais faut quand meme la garder dans un endroit securise et un tiers de confiance pour l'authent de la cle publique (PKI et tout le tralala).
Bien entendu, quelqu'un pourrais essayer prendre le contrôle de ma machine pour récupérer ma clef privée et envoyer des mails en se faisant passer pour moi. Mais c'est un peu extrême, quand même. Je doute que ça risque de m'arriver.
MOUARF!!!
Ben faut savoir mon grand, soit tu signes tes mails pour etre sur que personne ne t'usurpe et/ou en garantir la non alteration du contenu, soit personne n'a envie de t'usurper et ca sert a rien de signer.
Se gargariser du premier puis quand on pointe les problemes invoquer le deuxieme, c'est un peu du meme niveau que d'avoir une porte d'appart' blinde qui resiste a un tir de bazooka chez moi, mais de laisser la cle sous la paillasson parce que c'est plus pratique, et puis apres tout, personne ne cherche a rentre chez moi, alors...
Tu peux aussi faire ca pour te la peter avec ta cle PGP dans tes mails, mais bon, c'que j'en pense...
Si quelqu'un veut se faire passer pour toi, il mettra en oeuvre les moyens qu'il faut pour se faire passer pour toi.
Si t'as ton certif chez PinPinPKI.com et ta cle privee en clair sur ta cle usb qui va etre sniffee par le premier trojan qui passe, ca va pas t'apporter grand chose.
Suffit pas d'utiliser un algo asymetrique pour que les choses soient automagiquement inviolables, faut savoir l'utiliser aussi.
Encore une fois, je ne presuppose rien de ton infrastructure, ma remarque est d'ordre generale (mais vu ta reponse, mon petit doigt me donne une idee sur la reponse).
[^] # Re: mort le mail??
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 1.
La technique ne changera rien a ce qu'il font, le fond du probleme, c'est tes correspondants, pas la technologie utilisee pour transfert leur communication.
[^] # Re: Dinosaure...45
Posté par thedude . En réponse à la dépêche Comment peut-on sauver Thunderbird alors que le courrier électronique se meurt ?. Évalué à 1.
En securite (ou plutot confidentialite ici), une solution revient souvent a deplacer un probleme complexe vers un autre probleme, pas forcement moins complexe.
En l'occurence, ca deplace le pb du mail en clair lisible par n'importe qui vers le pb du stockage de son certif.
C'est un gain de securite parce que tu peux maitriser le stockage du certif alors que tu ne maitrises pas la chaine de transfert de ton email.
Mais ca n'empeche pas que si le stockage du certif est fait avec les pieds, ton gain de secu est nul. Voir il est negatif, car tu as une fausse impression de securite.
Je vais pas presupposer de ton architecture, donc ce qui suit n'est pas pour toi specifiquement, mais plutot une remarque generale.
Si c'est pour dumper ton certif sur ton disque dur et pis vala (ce qui arrivera tres certainement chez mr tout le monde), ou encore l'integrer a un client mail lourd qui va garder la cle prive en clair en memoire, je suis pas franchement convaincu du gain de securite.
Un key logger sur la machine qui choppe ta passphrase et envoie le tout avec le certif au mechant pirate, et paf pasteque ta securite.
Quand a la secu apportee face a l'envoi automatique, je sais pas si c'est du second degre ou quoi, mais la solution au pb, c'est plutot une boite de dialogue de confirmation de mail tout court, pas un chiffrement asymetrique...
[^] # Re: La vrai différence entre le libriste de gauche et le libriste de dr
Posté par thedude . En réponse au journal Le libriste de droite. Évalué à 8.
La difference, elle est tres simple, j'en parlais pas plus tard qu'hier avec mon cousin du bouchonnois.
Le libriste de gauche, il voit un truc.
Bon.
Il le code.
Tu peux en etre sur.
Ma main a couper.
Le libriste de droit, il voit un truc.
Boon..
Il le code.
Mais c'est pas pareil, c'est un libriste de droite.
[^] # Re: slaktool ???
Posté par thedude . En réponse au journal La sécurité des gestionnaires de paquets. Évalué à 0.
Texto, l'article dit:
Ca me parait tres clair comme phrase, non?
Ou alors c'est que certains ici ne supportent pas qu'on dise que linux (ou leur distro preferee) a des points a ameliorer?
[^] # Re: Eclipse...
Posté par thedude . En réponse au journal La touche ctrl de droite. Évalué à 1.
Window, preferences, java, editor, save actions, check perform the selected actions on save et check "organize imports".
C'est generalement une bonne idee de checker aussi le formattage du source ainsi que les ajout des annotations et autres actions foutrement pratique.
[^] # Re: Précision
Posté par thedude . En réponse au journal Prudh'ommes => conciliation. Évalué à 2.
Ils ont des cas a juger a plus savoir quoi en faire, et tu debarques direct de bisounours land en leur demandant de dire kikaraison, mais juste pour l'honneur.
T'es pas sur linuxfr et ils ont autre chose a faire que d'arbitrer un troll, si tu demandes rien en contrepartie, ben circulez ya rien a voir.
Si tu ne demandes rien, ya rien a te donner et rien a juger.
T'es pas le seul a bosser jusqu'a 2h00 du tinma tu sais, les juges sont aussi debordes.
[^] # Re: La vrai question
Posté par thedude . En réponse au journal pas de détrompeur USB.... Évalué à 1.
En pratique, tu changes de proco, faut changer la mobo et la ram en meme temps.
Changer la carte graphique a la rigueur, si t'es un gamer.
Pour le reste, je vois pas trop ce que tu peux rajouter, ca se faisait beaucoup dans les annees 90, depuis, bof.
Pour les disques, un bon vieux disque externe en firewire ou usb, ca fait aussi bien l'affaire.
Tu peux upgrader ton disque interne si tu veux, au pire.
Pour la customisation, je veux pas dire, mais bon.
En proco, t'as le choix entre 2 constructeurs.
Pour les cartes graphiques, 2 et demi (le demi parce qu'il te contraint le choix du proco).
Pour le chipset son, 99% des gens se contentent de celui de la carte mere a merveille.
Ca limite quand meme grandement les possibilite de customisation.
[^] # Re: La justice est comme ça
Posté par thedude . En réponse au journal Prudh'ommes => conciliation. Évalué à 2.
Genre la pub: super promo, si vous gagnez je prend 10% sinon c'est gratos.
[^] # Re: La vrai question
Posté par thedude . En réponse au journal pas de détrompeur USB.... Évalué à 6.
Deja qu'en facade, c'est pas forcement fabuleux...
Corollaire: t'es a 4 pattes sous ton bureau, tu cherches a tirer la tour pour mieux voir, et la t'as les cables qui bloquent, l'alim se debranche et tu perds 2h00 de boulot, du coup tu t'enerves d'un coup, tu te releves et paf tu te cognes la tete, ca fait bouger le bureau et ca renverse ton cafe brulant sur ton clavier, tu proferes d'ignobles jurons, tes collegues (ou ta femme ou ton homme) se foutent de ta gueule, t'es malheureux et tu te dit que ton penis ne sera jamais aussi gros que celui de rocco.
Et du coup tu maudit ton voisin de bureau qui a un laptop docke ou un imac avec tout dans l'ecran qui reste le cul confortablement visse sur son fauteuil de ministre et t'es jaloux et du coup tu vas lui crever les pneus de sa bagnole et lui rayer la portiere, bien fait pour sa gueule, 'foire va.
Et tout ces malheurs ne sont pas du au consortium usb, mais a ce con de commercial de chez dell qui a fourgue un salete de tour au responsable achat de ta boite.
La solution (ou palliatif plutot, ca resoud pas tout) est simple prolongateur usb sur l'ecran ou le clavier.
La vraie solution est encore plus simple: arretez de vous emboucanner avec ces tours a la con et prenez vous un laptop que vous mettrez sur une docking station si vous voulez du confort. Ou un desktop tout integre a l'ecran, je sais pas si d'autres constructeurs qu'apple en font.
Les tours, c'est mal, mmmmvoyeeez?
[^] # Re: Impot et Hadopi
Posté par thedude . En réponse au journal Evolution de la declaration d'impots en ligne. Évalué à 2.
Juste parce que Sun a les chocottes graves de casser la moindre appli qui tourne sur un serveur qui a ete mure par erreur ya 10 ans dans un data center.
L'upward est garanti (ie 1.2 -> 1.3 -> 1.4 -> 5 -> 6 -> 7etc), la backward pas toujours mais souvent (au niveau du bytecode en tout cas, les API sont relativement stable), ie 7->6->5 ok bytecode, 4 -> 3 -> 2 ok aussi (bytecode, les API ont quelques peu evolue entre 2 et 4 mais pas trop entre 3 et 4).
et pour le 1.1 et 1.0 personne ne l'utilise de toutes facons.
L'API applet est clairement boiteuse et j'aimerais la voire disparaitre du paysage, mais c'est une autre pb ca.
[^] # Re: Précision
Posté par thedude . En réponse au journal Prudh'ommes => conciliation. Évalué à 1.
Non, pas du tout.
On te demande de dire ce que tu veux.
Si tu ne veux pas d'indemnites, tu dit que tu veux 0 euro (ou 1 euro symbolique si ca te chante) d'indemnite.
On te demande juste d'arriver a la conciliation avec des revendications.
La conciliation est la pour concilier, pas pour juger.
Tu expose tes griefs, tu dit ce que tu veux en contrepartie et a partir de la on discute.
Si tu ne dit pas ce que tu veux, comment veux tu concilier quoi que ce soit?
Si les 2 parties se mettent d'accord a l'amiable, tout le monde est content et on rentre a la maison.
Si elles sont d'accord pour etre en desaccord, tu pousses l'affaire plus loin.
C'est procedurier et chiant, peut etre, mais si tu veux une justice aveugle, ca aide d'avoir une procedure stricte.
[^] # Re: La justice est comme ça
Posté par thedude . En réponse au journal Prudh'ommes => conciliation. Évalué à 3.
Bref, je le refait un peu plus court.
C'est normal que le perdant paye pour les frais d'avocat du gagnant.
Sinon, ca veut dire que la justice n'est rendue qu'a ceux qui peuvent se la payer.
En clair:
On t'attaque, tu gagnes, ya pas de raison que tu doives payer pour te defendre, vu que tu etais dans ton bon droit.
Tu attaques, tu gagnes, ya pas de raison non plus vu que t'etais dans ton bon droit et que faire respecter tes droits devrait etre gratuit.
l'employeur fait passer ça en frais pro et n'a même pas à sortir les sous de sa poche
Comment ca?
Il faut bien qu'il paye son avocat, que ca soit la boite qui paye ou ton boss de sa poche perso (si c'est une petite boite, c'est probablement la meme chose au final et si c'est une grande, il va se faire dechirer par sa hierarchie), les sous sont payes...