Je n'ai pas beaucoup d'expériences de ROMs Android, parce que j'ai presque toujours utilisé CyanogenMod et comme Lineage OS est son successeur communautaire je ne serai pas impartial: pour moi, Lineage fait bien le job et je n'ai pas eu de problèmes avec. Maintenant, j'utilise un device assez ancien qui a été beaucoup hacké le Samsung Galaxy S3 et je pense que ça aide bien qu'il ait été bien connu.
L'idée des 2 téléphones est je pense une bonne idée, mais je pense qu'elle coûte un peu cher, alors qu'il existe une solution totalement logicielle (faut-il encore faire confiance à Android OSP / Lineage OS): utiliser 2 profils utilisateur.
Je teste cette solution depuis quelques mois avec Whatsapp et ça marche plutôt bien: chaque utilisateur a ses applications (par contre s'ils ont un même logiciel, il est dans la même version des 2 côtés), les fichiers sont séparés, les configurations sont séparées, les comptes sont invisibles d'un côté et de l'autre, …
Ce qui est assez chouette, c'est que grâce à Yalp, nous n'avons même pas besoin des services Google Play (au moins pour Whatsapp, je n'ai pas essayé le reste). Par contre, je sais que certaines applications comme Pokémon GO dépendent de services spécifique à Google, comme la géolocalisation (l'année dernière j'avais essayé de feinter l'application avec la localisation Mozilla et une application qui faisait proxy d'API, mais je n'ai pas réussi à le faire correctement).
Pour moi, une bonne stratégie serait d'acheter un téléphone, de tenter l'expérience des 2 utilisateurs avec les applications qui t'intéressent et si ça ne joue pas bien, acheter un second téléphone.
PS: Par contre, avec la solution des 2 profiles, lors du redémarrage du téléphone, il faut penser à se connecter au second profil pour initialiser le démarrage des applications en fond. J'ai remarqué que si non, Whatsapp ne démarrait pas (on le voit bien avec leur application web: dès que je démarre le second profil, la web app est capable de se connecter).
Si je me souviens bien, le projet gitolite laisse l'outil git-daemon gérer les accès anonyme. Il fallait coordonner les droits de lecture des répertoires entre les deux outils.
Si je me souviens bien, l'astuce est que $() ouvre un nouveau shell avec ses propres variables. Du coup, pour lui la valeur de la variable est vide.
Si tu veux pouvoir passer des paramètres à un shell exécuté ainsi, je tenterai de passer par les variables d'environnement grâce à la commande export depuis le script de base, puis d'employer la variable d'environnement dans le shell créé.
C'est amusant, ils suivent le même cheminement que Mozilla mais un an après. Abandon de Firefox OS pour se focaliser sur l'IoT, cela ne rappelle rien ? Qu'ils ont abandonné quelques mois après.
Je trouve que le cheminement est également très proche, j'ai l'impression suivante:
On annonce que l'on stoppe les nouveaux matériels au point X
une dizaine de mois après le point X, on annonce que l'on réduit les effectifs lié au logiciel, car l'offre matérielle n'a pas fonctionné (en même temps, on l'a stoppé quelques mois avant Oo)
Encore 1-2 mois et on annonce la fin du projet pour se recentrer sur d'autres parties
Enfin, on jette l'eau du bain et le bébé : hey ça fait plus d'un an que le marché du matériel n'est plus intéressé par nous (en même temps, on leur a dit que l'on stoppait la production de nouveau matériels)
Je trouve ça très dommage, car j'ai reçu ma tablette BQ Aquaris M10 au début de l'année et ça fonctionne plutôt bien: ce qui m'a le plus intéressé est d'avoir un réel Ubuntu qui me permette d'utiliser des outils de développement sans me prendre la tête avec un simple "apt-get install".
Leur montage logiciel était assez intéressant:
Une Ubuntu 15.04 de base avec très peu de logiciels (il faut tenir dans moins de 10 Go à cause du partitionnement Oo)
Les logiciels disponibles dans le magasin Ubuntu au format "click" (snap n'était pas encore sorti et allait être intégré à la place)
Pour les autres logiciels plus standards, utilisation de leur solution "Libertine" comme environnement: ça ressemblait à un système d'isolation à la chroot/docker (je ne sais pas exactement) maison qui permettait d'accéder aux périphériques (genre clavier virtuelle/matérielle) et avait des droits restreints.
Le Unity que l'on trouvait sur cette tablette était très proche du Unity 8 disponible sur desktop depuis la version 16.10 en beta.
J'ai trouvé que sur la tablette, la première utilisation était un peu chaude, alors que l'on avait les explications (genre, utiliser les bords gauche/droite pour faire apparaître les applications en cours ou la barre des tâches). Sur desktop, sans explications, autant dire que l'on regarde et que l'on se déconnecte, surtout que le magasin d'application n'est pas disponible Oo Mais quand on connaît un peu le fonctionnement, ça avait l'aire de bien marchait aussi sur desktop.
D'abord, des problèmes physiques : il faut d'abord faire un design électronique qui tienne la route en terme d'électronique et qui passe dans le boîtier final. Ensuite il faut qu'il soit réalisable par un fondeur (chaque lot produit coûte très cher, car les appareils des fondeurs sont cher et que ca prend beaucoup de temps pour les paramétrer).
Typiquement, le design de la carte GTA04A5 semble bon, mais la soudure du CPU et de la RAM échoue dans 60% de cas.
Enfin, même s'il est réalisable, on peut découvrir des bugs matériels uniquement à l'usage. L'OpenMoko avait des problèmes de grésillements dans le micro dans ses premieres versions, il me semble qu'il y avait aussi des interférences entre les ondes produites par les différents modules et le lecteur SD.
Ensuite, il y a des soucis logiciels dus au monde ARM: comme il n'existe pas de procédure de démarrage standard et de découverte de matériel, comme dans x86, chaque firmware et noyau est extrêmement lié au matériel auquel il est destiné. Heureusement pour le démarreur il existe des projets libres comme U-Boot et, depuis quelques temps, le noyau Linux est capable de démarrer sur plusieurs matériels différents grâce aux DeviceTree qui simplifient la definition du matériel présent dans une configuration.
Pour le noyau, Golden Delicious a décidé de pousser upstream un max de patch, mais apparemment ils n'arrivent pas à tout faire intégrer. Grâce à ce travail, ils sont ensuite capable de faire un rootfs Debian et de l'exécuter sur la machine.
Onlyoffice se comporte exactement pareil avec les uns et les autres.
Il semble que OnlyOffice ne soit pas capable d'éditer des fichiers OpenDocument (d'après cette dépêche), donc je ne comprend pas bien, comment il peut se comporter exactement pareil avec un format ou l'autre.
Ensuite, LibreOffice aussi sait très bien se comporter avec les deux standards tant que MS Office ne modifie pas les fichiers.
Ce qui serait plus intéressant, ce serait de savoir comment OnlyOffice gère les documents au format OOXML quand ceux-ci ont été modifiés par MS Office ? Et dans la même idée, est-ce que MS Office est capable de bien traiter les documents créés par OnlyOffice ?
L'interopérabilité sans problèmes serait une réelle plus value, mais, personnellement, je pense que c'est une chimère car les développeurs logiciels sont souvent tentés d'ajouter des comportements non standard que ce soit par stratégie marketing ou par le souhait de fournir des solutions aux utilisateurs rapidement.
Merci pour la nouvelle, il y a juste une coquille : OpenDocument n'est pas « de la Document Foundation », mais du consortium OASIS (d'ailleurs la Document Foundation est bien plus récente que le format OpenDocument ;) ).
D'ailleurs, pour ces formats de fichier, il existe une autre solution intégrée à ownCloud et NextCloud: Collabora Online. Cette solution si je me souviens bien utilise le backend de LibreOffice (ce projet est bien celui de la Document Foundation).
Justement, Conversation (un client XMPP pour Android) supporte OMEMO pour le chiffrement de bout en bout depuis quelques versions, mais il fallait l'activer manuellement, puis autoriser les signatures des périphériques un à un.
Comme cette démarche est difficile en pratique, et ils viennent de sortir une version (1.15) qui apporte une amélioration intéressante dans ce sens: ils proposent d'activer un chiffrement par défaut pour tous les périphériques tant qu'aucune authentification n'a été réalisée.
Quand le processus d'authentification est réalisé (par le scan d'un QR Code [obtenu par un autre canal sécurisé] au lieu du contrôle manuel et fastidieux des signatures [obtenu par le même canal XMPP]), ils considèrent que l'utilisateur est capable d'authentifier les périphériques des contacts authentifiés et ne chiffrent plus que pour ces périphériques.
Je trouve la démarche intéressante, car il permet de ne pas tomber dans un modèle où tout est chiffré sans authentification réelle des utilisateurs, mais il permet quand même aux utilisateurs sans capacités à réalisé l'authentificaiton (soit de sa part, soit de la part du contact) d'avoir le minimum du chiffrement.
Désolé si ce n'est pas très claire, j'ai lu leur explication du principe ce matin plus ou moins en vitesse et je ne suis pas sûr d'avoir tout compris. Je vous conseille donc de lire leur post original qui détaille plus la situation actuelle et la solution intermédiaire qu'ils ont mis en place.
Merci je vais aller voir les différents clients ptete que l'un ou l'autre permet de passer par d'autres port.
Ne cherche pas, ça n'existe pas, car le protocole ACME ne pourra pas vérifier que tu es l'administrateur système (voir ma réponse plus bas).
J'ai déjà un reverse proxy mais pour plusieurs raisons je l'ai remplacé, pour certains services, par un accès direct via un des autres ports web.
Le reverse proxy n'est qu'un bonus, il n'est pas nécessaire. Tu peux garder tes sites accessibles sur d'autres ports, ça ne pose aucun problème.
Il faut savoir qu'un certificat Let's Encrypt n'est utilisable que sur les ports 80, 443, 8080, 8443. Si on utilise des autres ports pour raison X ou Y, firefox bloque et je suppose que ses bêtes compères pareil.
Non, ce n'est pas vrai: les certificats ne définissent pas les ports sur lesquels ils peuvent être utilisés. Par exemple, pour mon serveur, j'utilise les certificats Let's Encrypt sur les ports : 25, 587, 5222, 5269, 5280, 443, 486, … Un certificat n'est qu'un document signé par une autorité de certification. Ce document contient principalement la clé publique utilisée par ton domaine et une date de validité, c'est quasiment tout.
C'est leur choix de bloquer la possibilité de choisir les ports, c'est leur choix de foutre une limite de trois mois, c'est un projet de mozzila dont comme par hasard firefox force a utiliser des certificats trusté.
De un, ce n'est pas Mozilla qui gère ce projet d'après le site letsencrypt.org : "Linux Foundation Collaborative Projects".
De deux, Mozilla ne t'empêche pas d'utiliser des certificats auto-signés: il faut juste ne pas activer HSTS, car dans ce cas, il est nécessaire d'avoir une configuration TLS correcte (sinon, ce n'est pas une configuration de type Strict-Transport-Security), ce qui requiert un certificat signé par une autorité de confiance reconnue par les navigateurs.
Le but de la vérification par HTTP est de vérifier automatiquement que tu maîtrises la configuration du serveur web qui pointe sur le domaine demandé (et donc que ce domaine t'appartienne bien).
Si tu es incapable de maîtriser cette configuration sur le service web standard (ports 80 et 443), alors le protocole ACME considère que tu n'es pas le maître de ce serveur et il n'a pas d'autre moyen de le faire automatiquement.
Si ACME autorise la vérification avec un autre port, alors n'importe quel employé qui a un accès non-root sur un serveur peut créer des certificats frauduleux: en effet, tous les ports plus grand que 1000 (comme les ports 8080 et 80443), si je me souviens bien, peuvent être utilisés par n'importe quel utilisateur de la machine. Dans ce cas, ACME ne peut pas certifier que c'est bien l'administrateur système qui demande la certification.
L'automatisation de la certification demande en effet une préparation non-évidente pour l'auto-hébergement, mais ce n'est pas non plus insurmontable (voire les solutions que j'ai donné plus haut).
Ah et bien sûr, il ne faut pas que ton client ACME touche à la configuration de ton service web.
Il parraît qu'il y a des options pour ça avec le client certbot (que je n'utilise pas), il faut lire son manuel.
Il y a plein de clients ACME alternatifs qui permettent de récupérer les certificats sans toucher au serveur web. Je pense qu'acme-tiny devrait faire l'affaire dans ce cas (en plus il n'a besoin que d'accéder à ta clé Let's Encrypt et aux CSR).
PS: Surtout n'utlise pas chmod 777 pour la protection de tes fichiers, ils seront tous accessibles si quelqu'un arrive à s'introduire sur tes serveurs.
PS2: Tu peux faire un dossier partagé par serveur, rien ne t'oblige de mettre tous les certificats dans le même dossier partagé…
Désolé, je n'avais pas vu que c'était bien le NAT ton problème.
Dans ce cas, il faut:
Pointer tous tes domaines et sous-domaines sur l'adresse IP publique
Configurer le NAT pour envoyer toutes les connexions entrantes sur les ports 80 et 443 vers ton serveur 1
Configurer le service web du serveur 1 pour écouter chaque domaine et sous-domaines sur les ports 80 et 443
Utiliser le serveur 1 pour demander des certificats à Let's Encrypt pour chacun des domaines et sous domaines
Quand les certificats sont reçu, tu peux soit:
demander au serveur 1 de pousser les bons certificats sur chacun de tes autres serveurs (l'avantage est que le serveur 1 sait quand il crée les certificats, par contre le désavantage est qu'il doit avoir un accès sur chacun des serveurs)
dire à chacun de tes autres serveurs d'aller chercher les nouveaux certificats sur le serveur1 (le désavantage est que les autres serveurs doivent récupérer assez souvent les certificats pour être sûr d'avoir le dernier, l'avantage est que chaque serveur aura ses propres droits sur le serveur 1 et le serveur 1 ne peut pas toucher aux autres serveurs)
En bonus, si tu maitrises suffisamment ton service web sur le serveur 1, tu peux l'utiliser comme reverse proxy : si une requête est faite sur les URLs utilisées par Let's Encrypt, il répond lui-même à la requête, dans les autres cas, il renvoie les requêtes vers les bons servuers. Comme ça, tu peux utiliser tout tes domaines avec les ports standards web.
Si tu maitrises ton serveur DNS et que tu peux le configurer pour autoriser des modifications automatiques des zones (avec des clés TSIG par exemple), tu peux tout faire sur ce serveur en utilisation la vérification par entrées DNS fournie par Let's Encrypt.
Est-ce que tu as ces problèmes à cause d'un NAT qui gère les 3 serveurs ? Dans ce cas, une solution serait aussi d'utiliser un réseau IPv6 que Let's Encrypt sait utiliser.
Si Let's Encrypt t'ennuie autant, personne ne te force à utiliser leurs services et ça ne sert strictement à rien de leur cracher dessus: le problème des NAT existe depuis bien avant et il complexifie beaucoup d'autres services également (XMPP, P2P,…) sans que ce soit de leur faute.
QtMoko était un projet complet d'OS pour smartphone utilisant Qt Embedded pour faire tout l'affichage sur le framebuffer de l'OpenMoko (et autres périphériques). Ily a peut être encore de la dic qui pourrait etre intéressante : http://qtmoko.sf.net
PS: j'ai mis officiel entre guillemet car il peut y avoir des tas d'images possibles de Debian: du desktop avec GNOME, KDE, … aux images de serveurs, selon plusieurs architectures processeurs… C'est pas pour rien qu'ils se disent universel :)
Désolé, je voulais écrire NFS effectivement. Quel est l'intérêt d'itiliser l'image «officielle» de Debian sur Docker Hub ?
Debootstrap est aussi un outil officiel de Debian et il construit directement tout le nécessaire pour en faire une image docker par simple import. Vous aurez en plus l'avantage de ne charger Debian qu'une fois depuis Internet et vous pouvez préparez directement les fichiers systèmes spécifiques à vos besoins.
Comme ça, vous pouver directement créer la ligne NTFS dans fstab sans avoir d'erreur. Si jamais, il faut utiliser des entrées bind dans fstab (ou mount avec le type bind) au lieu de faire des liens symboliques entre deux montages différents.
Non, je n'ai rien oublié, je t'ai décrit ce que le protocole ACME te demande de faire pour avoir une certification sans utiliser HTTP.
HPKP et DANE n'entrent pas dans ce processus et c'est normal: pour créer un certificat tu dois juste avoir une paire de clés, un nom de domaine et une autorité reconnue.
C'est toi qui choisit de lier ces 3 concepts, c'est ton problème.
Pour dnnsec, c'est la même remarque: tu as choisit de rendre manuel le changement de ressources DNS, donc c'est ton problème.
ACME fait une chose et le fait très bien: il permet de vérifier que tu possèdes un nom de domaine et te retourne un certificat si c'est le cas.
Certes, le client le plus connu fait déjà un peu plus en gérant lui-même les clés privées, mais ça n'a rien à voire avec un problème sur le protocole ACME.
Et comme signalé plus haut, beaucoup d’auto-hébergés n’utilisent pas LE pour cause de trop grande complexité…
Je suis d'accord que ton infrastructure a une "trop grande complexité".
J'aimerai bien comprendre en quoi ce processus est compliqué:
A la main, sur une machine à l'abris, 1 fois (sauf si tes clés sont corrompues):
Créer 2 paires de clés privées / publiques
Créer 1 CSR pour 1 la première paire de clés
De manière automatisable (et régulièrement au moins tous les 89 jours):
S'inscrire sur un serveur ACME avec la seconde paire de clé crée (pas celle du CSR!)
Demander des challenges DNS pour son CSR au serveur ACME
Recevoir les challenges et ajouter 1 ressource TXT par domaine avec un identifiant qui peut être calculé par toi et par le serveur ACME
Optionnel: attendre que les mises à jour DNS soient effectives
Demander au serveur ACME de vérifier les challenges sur tes serveurs DNS
Récupérer ton certificat quand les challenges sont tous validés
Récupérer le certificat intermédiaire qui a généré ton certificat
De nouveau à la main sur les serveurs qui ont besoin et de temps en temps (pas de synchronisation nécessaire avec l'étape précédente):
Aller récupérer les nouveaux certificats
Installer les certificats là où les services les chercheront
Redémarrer les services utilisant TLS
Tout en sachant que:
les étapes principales peuvent être faites avec de grand décalages de temps.
le renouvellement des certificats, seul l'étape 2 et 3 doivent être faites.
si un épinglage est nécessaire, il suffit de créer une paire de clé publique/privée en plus et d'épingler les clés. Dans ce cas, le renouvellement des certificats ne pose aucun problème pour HKPK et DNSSEC et en plus tu utilisent ces 2 systèmes en plus de la hiérarchie des CAs.
si pour la partie 2 tu ne veux/peux pas utiliser de serveur DNS, d'autres types de challenges existent avec d'autres pré-requis (comme un challenge qui nécessite HTTP)
Le cas d’usage standard de LE est trop restrictif pour être utilisable en pratique (mono-serveur, mono-domaine).
Mono-serveur et mono-domaine correspond à toutes les personnes qui utilisent un raspberry pi pour s'auto-héberger, à beaucoup de personnes qui utilisent un petit hébergement mutualisé,…
Dès que tu dépasses de ce niveau (ce qui est en pratique le cas dès que tu touches un peu à l’auto-hébergement)
Non, voire ci-dessus. Pourquoi j'aurai 2 serveurs dans mon appartement s'ils sont distants de 2 mètres et qu'ils partagent la même adresse IPv4 publique ? Combien d'appartements différents as-tu ? Quelle est ta définition d'auto-hébergé ?
"ÉNORMÉMENT == 10 posts ", franchement ? Je comprends mieux pourquoi "mon cas personnelle == tous les auto-hébergés" :D Et oui, la gestion des certificats requiert beaucoup de connaissances, surtout si tu souhaites te mettre des bâtons dans les roues avec HPKP/DANE et une infrastructure réseau trop complexe.
Et ceux qui s’y mettent réellement tombent rapidement sur les os mentionnés un peu partout ici et au fur et à mesure qu’ils vont s’amuser avec leur infra et se semi-professionalisé (reverse proxy, virtualisation, puis HPKP, puis TLSA).
Mais ils seront bridés car pas les ressources humaines et temporelles pour développer toutes les verrues nécessaires un peu partout (httpd, dns…) à une automatisation à 60 jours.
Je m'y suis mis réellement et je n'ai pas eu tout ces problèmes. C'est HPKP/DANE qui te demandent d'être presque professionnalisé, pas ACME. D'ailleurs, devine pourquoi ces 2 concepts sont peu répandus et pourquoi ACME est très utilisé ?
Les grands gagnants dans l’affaire ont été les fournisseurs d’offres mutualisées et les vrais professionnels qui ont pu enfin délivrer du certificat en masse et qui ont les infras humaines, matérielles, temporelles et financières pour gérer l’automatisation (en se foutant au passage de HPKP et de TLSA) via le développement d’outillage ad-hoc pour leur infrastructure.
Non, les grands gagnants sont tous les gens qui peuvent enfin utiliser un formulaire de contact sur de petits sites web sans avoir peur de diffuser plein d'informations en claire sur Internet.
X.509 existait n'a rien à voir avec HPKP et DANE… Ce sont juste des systèmes de certificats, c'est bien toi qui décide de lrs épinglés à la place de tes clés.
ACME ne t'oblige pas d'utiliser HTTP/HTTPS pour t'authentifier, tu peux utiliser DNS et d'autres moyens sont proposés également.
Le protocole ACME n'oblige pas de tout automatiser: tu peux demander un nouveau certificat aujourd'hui, l'installer dans plusieurs jours. Le délais de 60 jours dont tu parles plus haut n'existe pas: il faudrait le faire avant le dernier jour de validité, mais rien ne t'interdit de le faire le 85eme jour.
Il faut que tu acceptes qu'ACME est capable de répondre aux besoins de beaucoup de mondes, mais pas à tes besoins très spécifiques (ton infrastructure ne correspond pas aux plus générales visées par LE).
Ce que tu peux faire bien plus tard. Le challenge te permet de récupérer un certificat, il ne t'impose pas de l'installer dans la seconde par le même processus. Il suffit de mettre à disposition le certificat à un autre service qui sera capable de mettre à jour ton DANE…
Ca n'a rien à voir: la procédure d'authentification est valide, c'est toi qui te met des batons dans les roues. Ce n'est pas la faute à LE si tu es incapable d'ajouter 1 ressource DNS dans ta zone facilement.
Désolé, le message ci-dessus était hors sujet avec le commentaire parent.
Ok, alors DNS-01 peut facilement fonctionner avec un Bind9 master qui gère DNSSEC.
Il est plus difficile de le mettre en place sur un serveur DNS master qui ne gère pas DNSSEC.
Ça me paraît évident, puisque l'architecture est de base plus compliquée.
Par contre, ça n'invalide pas la procédure de vérification DNS-01 pour autant, puisqu'elle est utilisable pour identifier si un propriétaire possède bien une zone DNS.
Je crois vraiment que ton problème est que ton architecture réseau est bien trop compliquée pour pouvoir facilement automatiser la génération de certificats. Ce n'est pas à Let's Encrypt de prendre en charge ton infrastructure dans ses services. Ils proposent un moyen simple et standard pour la plus part des gens auto-hébergés et même pour ceux hébergés sur des environnements mutualisés chez certains fournisseurs.
Si tu veux profiter de l'automatisation proposée par ACME, ce sera à toi d'adapter tes configurations ou ton infrastructure. Malheureusement, j'ai l'impression que l'on ne peut pas tout avoir simplement (surtout que DANE et HPKP ne peuvent pas être mis en place, ni mis à jours, sur un coup de tête).
Bind9 est capable de mettre à jour dynamiquement les fichiers de zones pour avoir une configuration DNSSEC dynamique justement (voir le guide ARM de bind9 pour les détails).
Quand tu utilises cette fonctionnalité, tes fichiers de zone sont constament mis à jour par bind9.
Si tu as bessoin d'un contrôle manuel, tu peux lui demander de geler les modifications (rndc freeze) le temps de faire tes modifications manuelles puis de le dégeler (rndc thaw) pour lui rendre la main.
Comme bind9 gère déjà tes fichiers de zone dynamiquement, il est assez aisé d'ajouter la mise à jour dynamique des ressources par authentification TSIG.
Comme ça la boucle est bouclée et tout peut fonctionner de manière automatique pour ce qui concerne DNSSEC.
Après, je ne me suis pas encore penché sur DANE/TLSA, car ce sont des concepts complexes et dangereux à mettre en place. Personnellement, je préfère avoir des certificats Let's Encrypt complètement automatiquement mise à jour pour l'instant.
# Lineage OS
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message LineageOS, retours d'expériences (dégoogleisation). Évalué à 3.
Hello,
Je n'ai pas beaucoup d'expériences de ROMs Android, parce que j'ai presque toujours utilisé CyanogenMod et comme Lineage OS est son successeur communautaire je ne serai pas impartial: pour moi, Lineage fait bien le job et je n'ai pas eu de problèmes avec. Maintenant, j'utilise un device assez ancien qui a été beaucoup hacké le Samsung Galaxy S3 et je pense que ça aide bien qu'il ait été bien connu.
L'idée des 2 téléphones est je pense une bonne idée, mais je pense qu'elle coûte un peu cher, alors qu'il existe une solution totalement logicielle (faut-il encore faire confiance à Android OSP / Lineage OS): utiliser 2 profils utilisateur.
Je teste cette solution depuis quelques mois avec Whatsapp et ça marche plutôt bien: chaque utilisateur a ses applications (par contre s'ils ont un même logiciel, il est dans la même version des 2 côtés), les fichiers sont séparés, les configurations sont séparées, les comptes sont invisibles d'un côté et de l'autre, …
Ce qui est assez chouette, c'est que grâce à Yalp, nous n'avons même pas besoin des services Google Play (au moins pour Whatsapp, je n'ai pas essayé le reste). Par contre, je sais que certaines applications comme Pokémon GO dépendent de services spécifique à Google, comme la géolocalisation (l'année dernière j'avais essayé de feinter l'application avec la localisation Mozilla et une application qui faisait proxy d'API, mais je n'ai pas réussi à le faire correctement).
Pour moi, une bonne stratégie serait d'acheter un téléphone, de tenter l'expérience des 2 utilisateurs avec les applications qui t'intéressent et si ça ne joue pas bien, acheter un second téléphone.
PS: Par contre, avec la solution des 2 profiles, lors du redémarrage du téléphone, il faut penser à se connecter au second profil pour initialiser le démarrage des applications en fond. J'ai remarqué que si non, Whatsapp ne démarrait pas (on le voit bien avec leur application web: dès que je démarre le second profil, la web app est capable de se connecter).
[^] # Re: Patch
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Serveur Git avec Gitolite. Évalué à 2.
Si je me souviens bien, le projet gitolite laisse l'outil git-daemon gérer les accès anonyme. Il fallait coordonner les droits de lecture des répertoires entre les deux outils.
[^] # Re: Salut
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message [RÉSOLU] Bash utiliser variable dans une commande du style result=$(commande | grep $variable). Évalué à 2.
Hello,
Si je me souviens bien, l'astuce est que
$()ouvre un nouveau shell avec ses propres variables. Du coup, pour lui la valeur de la variable est vide.Si tu veux pouvoir passer des paramètres à un shell exécuté ainsi, je tenterai de passer par les variables d'environnement grâce à la commande
exportdepuis le script de base, puis d'employer la variable d'environnement dans le shell créé.[^] # Re: Google postmasters tools
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Merci pour ce moment, gmail. Évalué à 5.
Ça aurait pu être sympa de mieux comprendre sa réputation, mais il faut un compte Google…
[^] # Re: Un an après Mozilla
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à 8.
Je trouve que le cheminement est également très proche, j'ai l'impression suivante:
Je trouve ça très dommage, car j'ai reçu ma tablette BQ Aquaris M10 au début de l'année et ça fonctionne plutôt bien: ce qui m'a le plus intéressé est d'avoir un réel Ubuntu qui me permette d'utiliser des outils de développement sans me prendre la tête avec un simple "apt-get install".
Leur montage logiciel était assez intéressant:
Le Unity que l'on trouvait sur cette tablette était très proche du Unity 8 disponible sur desktop depuis la version 16.10 en beta.
J'ai trouvé que sur la tablette, la première utilisation était un peu chaude, alors que l'on avait les explications (genre, utiliser les bords gauche/droite pour faire apparaître les applications en cours ou la barre des tâches). Sur desktop, sans explications, autant dire que l'on regarde et que l'on se déconnecte, surtout que le magasin d'application n'est pas disponible Oo Mais quand on connaît un peu le fonctionnement, ça avait l'aire de bien marchait aussi sur desktop.
Enfin, pour ceux intéressés par les "visions" du fondateur d'Ubuntu, Numerama avait fait une très bonne interview au dernier MWC: http://www.numerama.com/tech/238172-mark-shuttleworth-voir-des-gens-brillants-faire-des-choses-brillantes-grace-a-ubuntu-cest-ma-fierte.html L'interview m'avait laissé une impression assez étrange, j'en avais gardé une idée du style: d'une part il a des visions de création de nouvelles technologies qui diffèrent avec les décisions prises par la communauté et ensuite il est chagriné de voir que la communauté ne l'a pas suivi ?
[^] # Re: smartphone et OS
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Les mobiles libres ont du plomb dans l’aile et les systèmes d’exploitation ne vont pas mieux. Évalué à 4.
En fait, il existe pas mal de problèmes.
D'abord, des problèmes physiques : il faut d'abord faire un design électronique qui tienne la route en terme d'électronique et qui passe dans le boîtier final. Ensuite il faut qu'il soit réalisable par un fondeur (chaque lot produit coûte très cher, car les appareils des fondeurs sont cher et que ca prend beaucoup de temps pour les paramétrer).
Typiquement, le design de la carte GTA04A5 semble bon, mais la soudure du CPU et de la RAM échoue dans 60% de cas.
Enfin, même s'il est réalisable, on peut découvrir des bugs matériels uniquement à l'usage. L'OpenMoko avait des problèmes de grésillements dans le micro dans ses premieres versions, il me semble qu'il y avait aussi des interférences entre les ondes produites par les différents modules et le lecteur SD.
Ensuite, il y a des soucis logiciels dus au monde ARM: comme il n'existe pas de procédure de démarrage standard et de découverte de matériel, comme dans x86, chaque firmware et noyau est extrêmement lié au matériel auquel il est destiné. Heureusement pour le démarreur il existe des projets libres comme U-Boot et, depuis quelques temps, le noyau Linux est capable de démarrer sur plusieurs matériels différents grâce aux DeviceTree qui simplifient la definition du matériel présent dans une configuration.
Pour le noyau, Golden Delicious a décidé de pousser upstream un max de patch, mais apparemment ils n'arrivent pas à tout faire intégrer. Grâce à ce travail, ils sont ensuite capable de faire un rootfs Debian et de l'exécuter sur la machine.
Je dois vous laisser, je reviendrai plus tard.
[^] # Re: positionnement
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Intégration de ownCloud avec OnlyOffice. Évalué à 2.
Il semble que OnlyOffice ne soit pas capable d'éditer des fichiers OpenDocument (d'après cette dépêche), donc je ne comprend pas bien, comment il peut se comporter exactement pareil avec un format ou l'autre.
Ensuite, LibreOffice aussi sait très bien se comporter avec les deux standards tant que MS Office ne modifie pas les fichiers.
Ce qui serait plus intéressant, ce serait de savoir comment OnlyOffice gère les documents au format OOXML quand ceux-ci ont été modifiés par MS Office ? Et dans la même idée, est-ce que MS Office est capable de bien traiter les documents créés par OnlyOffice ?
L'interopérabilité sans problèmes serait une réelle plus value, mais, personnellement, je pense que c'est une chimère car les développeurs logiciels sont souvent tentés d'ajouter des comportements non standard que ce soit par stratégie marketing ou par le souhait de fournir des solutions aux utilisateurs rapidement.
# OpenDocument
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Intégration de ownCloud avec OnlyOffice. Évalué à 9.
Merci pour la nouvelle, il y a juste une coquille : OpenDocument n'est pas « de la Document Foundation », mais du consortium OASIS (d'ailleurs la Document Foundation est bien plus récente que le format OpenDocument ;) ).
D'ailleurs, pour ces formats de fichier, il existe une autre solution intégrée à ownCloud et NextCloud: Collabora Online. Cette solution si je me souviens bien utilise le backend de LibreOffice (ce projet est bien celui de la Document Foundation).
[^] # Re: Wire
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Silence : XMPP, chiffrement et méta‐données. Évalué à 2.
Justement, Conversation (un client XMPP pour Android) supporte OMEMO pour le chiffrement de bout en bout depuis quelques versions, mais il fallait l'activer manuellement, puis autoriser les signatures des périphériques un à un.
Comme cette démarche est difficile en pratique, et ils viennent de sortir une version (1.15) qui apporte une amélioration intéressante dans ce sens: ils proposent d'activer un chiffrement par défaut pour tous les périphériques tant qu'aucune authentification n'a été réalisée.
Quand le processus d'authentification est réalisé (par le scan d'un QR Code [obtenu par un autre canal sécurisé] au lieu du contrôle manuel et fastidieux des signatures [obtenu par le même canal XMPP]), ils considèrent que l'utilisateur est capable d'authentifier les périphériques des contacts authentifiés et ne chiffrent plus que pour ces périphériques.
Je trouve la démarche intéressante, car il permet de ne pas tomber dans un modèle où tout est chiffré sans authentification réelle des utilisateurs, mais il permet quand même aux utilisateurs sans capacités à réalisé l'authentificaiton (soit de sa part, soit de la part du contact) d'avoir le minimum du chiffrement.
Désolé si ce n'est pas très claire, j'ai lu leur explication du principe ce matin plus ou moins en vitesse et je ne suis pas sûr d'avoir tout compris. Je vous conseille donc de lire leur post original qui détaille plus la situation actuelle et la solution intermédiaire qu'ils ont mis en place.
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 5.
Ne cherche pas, ça n'existe pas, car le protocole ACME ne pourra pas vérifier que tu es l'administrateur système (voir ma réponse plus bas).
Le reverse proxy n'est qu'un bonus, il n'est pas nécessaire. Tu peux garder tes sites accessibles sur d'autres ports, ça ne pose aucun problème.
Non, ce n'est pas vrai: les certificats ne définissent pas les ports sur lesquels ils peuvent être utilisés. Par exemple, pour mon serveur, j'utilise les certificats Let's Encrypt sur les ports : 25, 587, 5222, 5269, 5280, 443, 486, … Un certificat n'est qu'un document signé par une autorité de certification. Ce document contient principalement la clé publique utilisée par ton domaine et une date de validité, c'est quasiment tout.
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 6.
De un, ce n'est pas Mozilla qui gère ce projet d'après le site letsencrypt.org : "Linux Foundation Collaborative Projects".
De deux, Mozilla ne t'empêche pas d'utiliser des certificats auto-signés: il faut juste ne pas activer
HSTS, car dans ce cas, il est nécessaire d'avoir une configuration TLS correcte (sinon, ce n'est pas une configuration de typeStrict-Transport-Security), ce qui requiert un certificat signé par une autorité de confiance reconnue par les navigateurs.Le but de la vérification par HTTP est de vérifier automatiquement que tu maîtrises la configuration du serveur web qui pointe sur le domaine demandé (et donc que ce domaine t'appartienne bien).
Si tu es incapable de maîtriser cette configuration sur le service web standard (ports 80 et 443), alors le protocole ACME considère que tu n'es pas le maître de ce serveur et il n'a pas d'autre moyen de le faire automatiquement.
Si ACME autorise la vérification avec un autre port, alors n'importe quel employé qui a un accès non-root sur un serveur peut créer des certificats frauduleux: en effet, tous les ports plus grand que 1000 (comme les ports 8080 et 80443), si je me souviens bien, peuvent être utilisés par n'importe quel utilisateur de la machine. Dans ce cas, ACME ne peut pas certifier que c'est bien l'administrateur système qui demande la certification.
L'automatisation de la certification demande en effet une préparation non-évidente pour l'auto-hébergement, mais ce n'est pas non plus insurmontable (voire les solutions que j'ai donné plus haut).
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 4. Dernière modification le 06 novembre 2016 à 20:46.
Ah et bien sûr, il ne faut pas que ton client ACME touche à la configuration de ton service web.
Il parraît qu'il y a des options pour ça avec le client certbot (que je n'utilise pas), il faut lire son manuel.
Il y a plein de clients ACME alternatifs qui permettent de récupérer les certificats sans toucher au serveur web. Je pense qu'acme-tiny devrait faire l'affaire dans ce cas (en plus il n'a besoin que d'accéder à ta clé Let's Encrypt et aux CSR).
PS: Surtout n'utlise pas chmod 777 pour la protection de tes fichiers, ils seront tous accessibles si quelqu'un arrive à s'introduire sur tes serveurs.
PS2: Tu peux faire un dossier partagé par serveur, rien ne t'oblige de mettre tous les certificats dans le même dossier partagé…
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 4. Dernière modification le 06 novembre 2016 à 20:35.
Désolé, je n'avais pas vu que c'était bien le NAT ton problème.
Dans ce cas, il faut:
En bonus, si tu maitrises suffisamment ton service web sur le serveur 1, tu peux l'utiliser comme reverse proxy : si une requête est faite sur les URLs utilisées par Let's Encrypt, il répond lui-même à la requête, dans les autres cas, il renvoie les requêtes vers les bons servuers. Comme ça, tu peux utiliser tout tes domaines avec les ports standards web.
Pour t'aider pour le reverse proxy, tu peux regarder ce lien : https://blog.bandinelli.net/index.php?post/2016/10/19/Pound-Let-s-Encrypt-%3A-un-service-pour-tout-r%C3%A9gler
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 5.
Si tu maitrises ton serveur DNS et que tu peux le configurer pour autoriser des modifications automatiques des zones (avec des clés TSIG par exemple), tu peux tout faire sur ce serveur en utilisation la vérification par entrées DNS fournie par Let's Encrypt.
Est-ce que tu as ces problèmes à cause d'un NAT qui gère les 3 serveurs ? Dans ce cas, une solution serait aussi d'utiliser un réseau IPv6 que Let's Encrypt sait utiliser.
Si Let's Encrypt t'ennuie autant, personne ne te force à utiliser leurs services et ça ne sert strictement à rien de leur cracher dessus: le problème des NAT existe depuis bien avant et il complexifie beaucoup d'autres services également (XMPP, P2P,…) sans que ce soit de leur faute.
[^] # Re: Pour de l'embarqué
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message rendu graphique sur le framebuffer. Évalué à 2.
QtMoko était un projet complet d'OS pour smartphone utilisant Qt Embedded pour faire tout l'affichage sur le framebuffer de l'OpenMoko (et autres périphériques). Ily a peut être encore de la dic qui pourrait etre intéressante : http://qtmoko.sf.net
[^] # Re: Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
PS: j'ai mis officiel entre guillemet car il peut y avoir des tas d'images possibles de Debian: du desktop avec GNOME, KDE, … aux images de serveurs, selon plusieurs architectures processeurs… C'est pas pour rien qu'ils se disent universel :)
[^] # Re: Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
Désolé, je voulais écrire NFS effectivement. Quel est l'intérêt d'itiliser l'image «officielle» de Debian sur Docker Hub ?
Debootstrap est aussi un outil officiel de Debian et il construit directement tout le nécessaire pour en faire une image docker par simple import. Vous aurez en plus l'avantage de ne charger Debian qu'une fois depuis Internet et vous pouvez préparez directement les fichiers systèmes spécifiques à vos besoins.
# Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
J'essaierai à votre place de créer directement vous même une image docker en utilisant debootstrap et docker import: https://docs.docker.com/engine/userguide/eng-image/baseimages/
Comme ça, vous pouver directement créer la ligne NTFS dans fstab sans avoir d'erreur. Si jamais, il faut utiliser des entrées bind dans fstab (ou mount avec le type bind) au lieu de faire des liens symboliques entre deux montages différents.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Non, je n'ai rien oublié, je t'ai décrit ce que le protocole ACME te demande de faire pour avoir une certification sans utiliser HTTP.
HPKP et DANE n'entrent pas dans ce processus et c'est normal: pour créer un certificat tu dois juste avoir une paire de clés, un nom de domaine et une autorité reconnue.
C'est toi qui choisit de lier ces 3 concepts, c'est ton problème.
Pour dnnsec, c'est la même remarque: tu as choisit de rendre manuel le changement de ressources DNS, donc c'est ton problème.
ACME fait une chose et le fait très bien: il permet de vérifier que tu possèdes un nom de domaine et te retourne un certificat si c'est le cas.
Certes, le client le plus connu fait déjà un peu plus en gérant lui-même les clés privées, mais ça n'a rien à voire avec un problème sur le protocole ACME.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4.
Je suis d'accord que ton infrastructure a une "trop grande complexité".
J'aimerai bien comprendre en quoi ce processus est compliqué:
Tout en sachant que:
Mono-serveur et mono-domaine correspond à toutes les personnes qui utilisent un raspberry pi pour s'auto-héberger, à beaucoup de personnes qui utilisent un petit hébergement mutualisé,…
Non, voire ci-dessus. Pourquoi j'aurai 2 serveurs dans mon appartement s'ils sont distants de 2 mètres et qu'ils partagent la même adresse IPv4 publique ? Combien d'appartements différents as-tu ? Quelle est ta définition d'auto-hébergé ?
"ÉNORMÉMENT == 10 posts ", franchement ? Je comprends mieux pourquoi "mon cas personnelle == tous les auto-hébergés" :D Et oui, la gestion des certificats requiert beaucoup de connaissances, surtout si tu souhaites te mettre des bâtons dans les roues avec HPKP/DANE et une infrastructure réseau trop complexe.
Je m'y suis mis réellement et je n'ai pas eu tout ces problèmes. C'est HPKP/DANE qui te demandent d'être presque professionnalisé, pas ACME. D'ailleurs, devine pourquoi ces 2 concepts sont peu répandus et pourquoi ACME est très utilisé ?
Non, les grands gagnants sont tous les gens qui peuvent enfin utiliser un formulaire de contact sur de petits sites web sans avoir peur de diffuser plein d'informations en claire sur Internet.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4.
X.509 existait n'a rien à voir avec HPKP et DANE… Ce sont juste des systèmes de certificats, c'est bien toi qui décide de lrs épinglés à la place de tes clés.
ACME ne t'oblige pas d'utiliser HTTP/HTTPS pour t'authentifier, tu peux utiliser DNS et d'autres moyens sont proposés également.
Le protocole ACME n'oblige pas de tout automatiser: tu peux demander un nouveau certificat aujourd'hui, l'installer dans plusieurs jours. Le délais de 60 jours dont tu parles plus haut n'existe pas: il faudrait le faire avant le dernier jour de validité, mais rien ne t'interdit de le faire le 85eme jour.
Il faut que tu acceptes qu'ACME est capable de répondre aux besoins de beaucoup de mondes, mais pas à tes besoins très spécifiques (ton infrastructure ne correspond pas aux plus générales visées par LE).
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 5.
Ce que tu peux faire bien plus tard. Le challenge te permet de récupérer un certificat, il ne t'impose pas de l'installer dans la seconde par le même processus. Il suffit de mettre à disposition le certificat à un autre service qui sera capable de mettre à jour ton DANE…
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Ca n'a rien à voir: la procédure d'authentification est valide, c'est toi qui te met des batons dans les roues. Ce n'est pas la faute à LE si tu es incapable d'ajouter 1 ressource DNS dans ta zone facilement.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3. Dernière modification le 22 septembre 2016 à 23:47.
Désolé, le message ci-dessus était hors sujet avec le commentaire parent.
Ok, alors DNS-01 peut facilement fonctionner avec un Bind9 master qui gère DNSSEC.
Il est plus difficile de le mettre en place sur un serveur DNS master qui ne gère pas DNSSEC.
Ça me paraît évident, puisque l'architecture est de base plus compliquée.
Par contre, ça n'invalide pas la procédure de vérification DNS-01 pour autant, puisqu'elle est utilisable pour identifier si un propriétaire possède bien une zone DNS.
Je crois vraiment que ton problème est que ton architecture réseau est bien trop compliquée pour pouvoir facilement automatiser la génération de certificats. Ce n'est pas à Let's Encrypt de prendre en charge ton infrastructure dans ses services. Ils proposent un moyen simple et standard pour la plus part des gens auto-hébergés et même pour ceux hébergés sur des environnements mutualisés chez certains fournisseurs.
Si tu veux profiter de l'automatisation proposée par ACME, ce sera à toi d'adapter tes configurations ou ton infrastructure. Malheureusement, j'ai l'impression que l'on ne peut pas tout avoir simplement (surtout que DANE et HPKP ne peuvent pas être mis en place, ni mis à jours, sur un coup de tête).
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Bind9 est capable de mettre à jour dynamiquement les fichiers de zones pour avoir une configuration DNSSEC dynamique justement (voir le guide ARM de bind9 pour les détails).
Quand tu utilises cette fonctionnalité, tes fichiers de zone sont constament mis à jour par bind9.
Si tu as bessoin d'un contrôle manuel, tu peux lui demander de geler les modifications (rndc freeze) le temps de faire tes modifications manuelles puis de le dégeler (rndc thaw) pour lui rendre la main.
Comme bind9 gère déjà tes fichiers de zone dynamiquement, il est assez aisé d'ajouter la mise à jour dynamique des ressources par authentification TSIG.
Comme ça la boucle est bouclée et tout peut fonctionner de manière automatique pour ce qui concerne DNSSEC.
Après, je ne me suis pas encore penché sur DANE/TLSA, car ce sont des concepts complexes et dangereux à mettre en place. Personnellement, je préfère avoir des certificats Let's Encrypt complètement automatiquement mise à jour pour l'instant.