De devoir filer les clefs de mon shadow master DNSSec à un truc qui va gérer les certificats. Donc de casser la sécurité apportée par DANE/TLSA qui impose d’avoir 2 chaînes bien distinctes (DANE/TLSA d’un côté, le certificat de l’autre).
Mélanger les 2 fait qu’un attaquant qui prendrait possession de la clef privée ou du certificat aurait tout le loisir de changer au passage l’empreinte TLSA… Et donc rendrait inutile DANE/TLSA…
Donc le problème ne vient pas de DNSSec, ça me rassure :)
Mélanger les 2 fait qu’un attaquant qui prendrait possession de la clef privée ou du certificat aurait tout le loisir de changer au passage l’empreinte TLSA… Et donc rendrait inutile DANE/TLSA…
Et non, car si tu configures ton serveur DNS correctement, le script acme-dns-tiny ne pourra mettre à jour que les entrées TXT des sous-domaines préfixés par _acme-challenge.. Tout ceci grâce à une bonne configuration de la mise à jour DNS par des clés TSIG qui ne pourront toucher qu'un nombre restreint d'enregistrements.
En plus, les clients ACME n'ont absolument pas besoin d'avoir la clé privée à disposition: seul le CSR est nécessaire et la clé ACME de ton compte enregistré chez LE (ou un autre CA d'ailleurs…).
Donc pour tes problèmes, ce challenge est valide: le client ne connaît pas la clé privée TLS et il ne peut pas modifier les entrées DANE/TLSA, seulement les TXT sur certains sous-domaines.
Les CGUs ne doivent pas être codées en dur dans les clients ACME: le dictionnary permet de connaître les CGUs en cours, il y a un Link aussi dans les réponses HTTP qui peut être renseigné par le serveur. Si l'utilisateur renseigne son e-mail lors de la création de son compte ACME, il pourrait aussi être averti en avance.
Le passage de X1 vers X3 s'est passé durant la phase bêta si je ne me trompe pas.
Le challenge DNS permet de ne pas toucher à son serveur HTTP/HTTPS et permet une grande flexibilité dans son infrastructure. Par contre, il faut maîtriser un minimum son serveur DNS.
IPv6… Comment dire… Je suis très enthousiaste face à cette technologie, mais elle n'est pas évidente à utiliser pour des services d'authentification à mon avis. En plus, si ça a été activé récemment comme je l'ai lu dans les autres commentaires, ça veut dire qu'ils ont pu mettre en place cette infrastructure en moins d'une année après la sortie officielle de leur service (la version non beta donc). Moi je leur dit plutôt chapeau !
Ah et si leurs services ne te plaisent pas les spécifications sont ouvertes et leurs logiciels serveurs aussi il me semble…
C'est une bonne remarque.
Sur mon mobile les titres sont souvent sur 2 lignes sur les 3/4 de la partie gauche de l'écran. Sur le dernier quart à droite et sur la hauteur d'une ligne je vois la note du journal.
Je pense qu'en mobile on pourrait profiter d'utiliser le blanc qui se trouve aux 3/4 à droite sur la deuxième ligne pour afficher un signet (comme celui de la notation) avec un résumé du style "nombre de non lus / nombres de commentaires".
Je pense à un signet plus discret que celui de la notation et avec une taille de police plus petite pour que 999/999 passe sur 1 ligne.
J'essaierai ce soir de faire un mockup pour mieux m'expliquer :)
Paypal peut être utilisé sans carte de crédit. Pour ça, il faut ouvrir un compte sur leur site et faire un versement depuis ta banque sur le compte paypal avec les références reçues. Le désavantage est que tu perds plusieurs jours pour que le virement soie pris en compte.
Par contre, tu peux faire des payements sur Internet sans cartes de crédit et sans donner les clés de ses comptes bancaires à PayPal.
Je vois plusieurs services qui pourraient être intéressant et qui pourraient nécessiter pas mal de ressources:
serveur de tuiles pour OpenStreetMap
noeud de recherche/cache pour les moteurs de recherches P2P (p.ex. Yacy, archive.org)
intégration dans des infrastructures nécessitant beaucoup de ressources (j'imagine par exemple Wikipédia, Archive.org, …)
services de build automatisés pour les projets d'envergures (Debian, Fedora, …)
service de stockage vidéo / multimédias (gobelin, gitlab, torrent, …)
Après, pour tout ceci, avoir les machines c'est bien, mais la gestion des mises à jour et de chacun des services sera certainement très chronophage.
Je pense qu'il serait intéressant de discuter avec ce genres de projets pour voir s'ils souhaitent investir leur temps dans le maintient de service sur ces machines.
Malheureusement, comme dit plus haut, ce sera juste un moyen d'absorber un peu plus ces déchets sans être une solution pour en diminuer la quantité.
Et sache qu’on attribue généralement à un mot des qualificatifs différents selon son genre grammatical, preuve que le genre des mots nous influence, qu’on le veuille ou non.
Alors j'aimerai bien connaître ces qualificatifs pour le français et l'allemand.
Je suis fracophone d'enfance, mais j'ai dû apprendre l'allemand, comme une bonne partie de la population suisse.
Comme j'ai de gros problèmes pour retenir les choses par cœur, ce genre de qualificatifs pourraient m'aider à me créer des règles pour savoir le genre des noms en allemand.
Pourrais-tu me donner ces qualificatifs pour le français ? Si tu y arrives, j'essaierai de trouver une correspondance avec l'allemand.
Par exemple, si en français, je dis "la soleil" à la place de "le soleil" quels sont ces qualificatifs cachés (quels changements dois-je comprendre) ? Ca pourrait m'aider à mettre en exergue les qualificatifs cachés germanophones qui déterminent que soleil est "die Sonne" et non pas "der Sonne".
Comme tu peux le voir dans les captures d'écran, l'exe contient un "VirtualBox Portable".
L'idée des applications portables est de pouvoir exécuter un logiciel sans avoir besoin de l'installer (juste copier le dossier du logiciel dans un répertoire).
Peut-être que Windows requiert des droits pour écrire dans le dossier Public de la capture d'écran (quoique, vu le nom, ça devrait jouer), mais c'est le seul moment où ce serait nécessaire.
Donc, à essayer avant de dire que ce post est menssongé…
Edit:
En plus, c'est bien indiqué dans l'aricle:
Nota: Si vous êtes dans une session avec des droits limités, le mot de passe administrateur vous sera demandé.
Du point de vue administrateur de forge, je préfère largement limiter au maximum les applications tierces qui viennent ajouter une couche par dessus la forge. Car à la moindre mise à jour de l'application ou de la forge, je risque de perdre l'interopérabilité des 2 outils (ce genre de conflits m'est arrivé fréquemment entre le trio Debian, Redmine et un plugin Redmine qui permettait de gérer git).
Alors que si c'est intégré directement dans le code source de l'application principale, la mise à jour de la forge engendrera moins de bugs. S'il y a un bug, il n'y a qu'une équipe à avertir et qui maitrisera tout le code.
Mon argument était pour opposer la liseuse aux smartphones et tablettes qui ont un écran rétro-éclairé.
Les avantages par rapport au papier, il en existe en effet des dizaines. Celui qui me convainc le plus est d’éviter de continuer la déforestation de la planète pour des livres qui finiront par prendre la poussière dans des bibliothèques.
En même temps, je ne vois pas trop comment systemd pourrait déterminer le moment opportun pour afficher le log ?
Imaginons, que ce soit dès que le processus est lancé: tu verras dans le log des lignes du genres "Starting service…." et tu ne verras pas qu'un peu plus tard le service n'arrive pas à atteindre certains fichiers. Là tu auras l'impression que systemd a menti car il a indiqué le status "OK", alors qu'en réalité le service a échoué.
En fait, le seul cas que je vois pour que systemd puisse t'afficher un retour est le cas où le processus ne peut pas être exécuté (lanceur introuvable par systemd par exemple) ou la configuration du service ne suit pas les attentes de systemd. Il me semble que dans ce cas, systemd renvoie bien des erreurs.
Le livre n'a pas besoin de rétro éclairage à ce que je sache…
Et justement, les liseuses électroniques non plus, grâce à l'encre électronique.
C'est d'ailleurs le "seul" intérêt d'acheter ces machines à la place d'une tablette ou d'un smartphone (l'écran est lisible sans rétro-éclairage et nécessite beaucoup moins d'énergie).
Tiens, la lecture rapide m'a fait lire « travailleuse ». D'ailleurs j'ai dû relire 2 fois ton commentaire pour le comprendre et je m'était dit qu'un féminin tout seul dans ces propos était étrange.
La méthode avec les points centrés bloque la lecture fluide et cette méthode échoue fasse à la lecture rapide… ce n'est pas très efficace.
C'est un téléphone de bidouilleur (tinkerphones, le nouveau nom de la communauté OpenPhoenux autour de cet engin et de quelques autres). Son bootloader est libre, compilable, remplaçable et peut gérer plusieurs OS sur une même carte uSD. Il est encore en cours de production (une dernière production est en cours ou va bientôt commencer, le temps que les composants soient en stock chez le fabricant).
Le constructeur fournit les moyens de modifier tous les logiciels. Il fournit lui-même une version en test de Replicant avec le blob binaire wifi. La communauté Replicant a elle-même une version sans blob binaire (excepté celui du GSM, comme d'habitude).
PS: dans ces téléphones bidouillables, il y a également le Neo900, mais je n'ai pas trop suivit où en était le projet et si Android sera utilisable avec.
En effet, je n'ai pas pensé à mettre l'information sur les ressources DNS vérifiées, je vais l'ajouter car c'est très important pour correctement configurer son serveur DNS.
Pour l'update-ploicy, je vais aussi le mettre à jour dans l'exemple d'utilisation avec bind9. J'ai cherché un moyen pour créer une règle du style wildcard _acme-challenge.*.example.com, mais ce n'est pas possible.
Du coup, comme j'avais le nez dans ce problème, je n'ai pas pensé à chercher des solutions plus simples. Le problème de self est qu'il oblige à utiliser des CSR avec un seul domaine (et donc de faire un CSR et une configuration acme-dns-tiny par domaine à vérifier).
Je pense que je vais plutôt montrer un exemple de ce style:
key "_acme-challenge" {
…
};
zone "example.com" {
type master;
file "example.com.zone";
update-policy {
grant _acme-challenge name _acme-challenge.example.com TXT;
grant _acme-challenge name _acme-challenge.www.example.com TXT;
};
};
C'est un peu moins rapide à mettre en place que zonesub s'il y a beaucoup de sous-domaines à vérifier, mais c'est beaucoup plus sécurisé car les autorisations sont restreintes au minimum.
rigolo de voir que quand Apple fait c'est mal mais quand Mozilla fait c'est bien.
Tu ne peux pas dire que Mozilla fait la même chose qu'Apple.
Le premier laisse clairement utiliser son logiciel sans DRM, à la condition de le reconstruire ou d'utiliser une version instable. Le second ne laisse aucun choix.
Et je ne porte pas de jugement sur "mal" ou "bien", c'est surtout 2 cas différents.
Aux dernières nouvelles, Apple empêche d'installer une version alternative de magasin d'application et empêche la recompilation d'iOS pour enlever ces limites.
Ou même sortir ton iPhone, ton windows phone, ton Samsung, ton Sony, ton Tizen, ton OpenMoko, ton N900, ton Open-C, ton n-ième phone à 100€ … et commencer à coder des clients « natifs » pour chacune de ces plateformes (et racheter les nouvelles versions à chaque fois, n'oublie pas d'acheter les licences de développement [pour ton portable et le serveur d'intégration] et d'utilisation des Store).
Franchement, un client natif pour Movim ne peut apporter beaucoup plus que le site Web, si ce n'est une intégration au système de notification et de cache de l'environnement. Mais même pour ces 2 points les navigateurs web modernes sont déjà capable de bien s'intégrer.
Ce qu'il faut surtout comprendre, c'est que Movim est une interface à XMPP, tout le travail de serveur est fait par XMPP (Pubsub, Carbon, MAM, …). En plus, la structure de Movim est telle que le navigateur web a un minimum de travail à faire, car c'est le daemon de Movim qui se charge de communiquer avec les serveurs XMPP (si j'ai bien compris, les parties clientes nécessaires à XMPP sont aussi gérées par le daemon).
Du coup, je vois mal ce que peut apporter un client "natif" en plus sur un téléphone ou une tablette. Mozilla a déjà prouvé que les technologies web pouvaient être utilisées pour faire un système d'exploitation complet pour smartphone (bien que Firefox OS n'a pas eu le succès escompté, des téléphones fonctionnent avec leur système).
PS: J'ai oublié de dire qu'il semble possible pour le EEEPC 900 de changer le disque (voir ifixit). Il faudrait voir si le EEEPC 700 a aussi le disque sur une carte externe où s'il est soudé directement sur la carte mère…
Mais ça ne règlera pas le problème du CPU et du GPU.
Si je me souviens bien, le EEEPC 700 a aussi un lecteur de carte SD. Vu que ça se fait pour les Raspbery Pi, j'essaierai de faire une installation sur une carte SD (attention à choisir un modèle compatible, donc du SD normal, pas HC ni XC je pense, il faut vérifier la spécification des différents modèles). Pour faire l'installation, ça devrait jouer de démarrer l'installateur sur une clé usb et de sélectionner la carte SD comme disque de destination.
J'utilise encore un EEEPC 900 (le modèle suivant) qui avait un disque SSD de 20 Go et 1 Go de RAM. J'avais demandé à Asus et ils m'ont dit que l'on pouvait au maximum mettre 2 Go de RAM pour ce modèle, j'espère que tu pourras mettre aussi 2Go de RAM avec les spécificités du modèle 700.
J'ai donc pu installer Debian sid/unstable avec la version minimale netinstall et y ajouter le bureau LXQt (le renouveau de LXDE) avec OpenBox et Firefox.
J'utilise ce pc principalement en nomade dans le train avec une connexion Edge/3G/HSPA et j'ai en général un terminal avec SSH d'ouvert et 1-2 onglets dans Firefox. Ça va pour lire un peu de doc sur le web, lire des blogs et administrer mon serveur, mais je n'essaierai pas de lire des vidéos sur le Web, car les transitions entre Firefox et le terminal sont déjà lentes.
Je viens de vérifier et glxinfo me dit que mon eeepc sait faire uniquement de l'OpenGL 2, malgré ma Debian très à jour et qui devrait permettre de faire de l'OpenGL 3. En même temps, c'était les premières générations de GPU Intel, donc on ne peut pas trop en demander.
Comme j'ai 2Go de RAM et un SSD de 20 Go, je pense que ce qui ralentit le plus la machine est le processeur 32 bits à 900MHz et sa faible capacité graphique.
Du coup, 700MHz devient vraiment très peu à mon avis.
Pendant 2 ans, j'avais utilisé cette machine comme serveur mail/web et là, ça fonctionnait plutôt bien, j'en étais assez content. Je pense que ça pourrait aussi être une piste d'exploration comme recyclage de la machine.
Ubuntu avait décidé de ne plus suivre les changements de Gnome sur Nautilus lorsque Gnome a complètement revu le code.
Ce qui est dommage, car récemment (je ne sais plus si c'est sur la 3.18 ou 3.20), Gnome a modifié justement la manière de renommer les fichiers pour utiliser des Popover avec une validation du nouveau nom à la volée (et éviter un message de dialogue en cas d'erreur).
Pour pouvoir aider, il faudrait savoir comment se passe la modification du nom du fichier. Est-ce qu'un popover est affiché ou est-ce simplement le nom qui est édité directement dans la sélection ?
Edit: ah, finalement, c'est pour une autre raison qu'Ubuntu n'a pas suivi les versions actuelles (d'après le même changelog):
Revert to the previous serie, the new one is going to need more work
which is not going to be done this cycle (some issues/regressions are
being handled upstream in 3.20 but we can do that update with our GTK
version, also the new copy dialog is a bit much of a change and upstream
confirms it's creating problems that they try to address with more UI
changes) (lp: #1541954)
Peut-on coupler une IPv6 fixe sur le réseau local avec une IPv6 temporaire/dynamique pour les communications internet?
Tiens, je ne sais pas si l'auto-configuration IPv6 exclue la configuration statique de certaines adresses, mais je pense que les deux peuvent être utilisés sur une même machine (en tout cas, la configuration automatique et DHCPv6 sont clairement indiqués comme complémentaires dans l'introduction de la RFC 4862).
Par contre, il faut bien comprendre avec IPv6 qu'il n'y a plus de nécessité d'avoir un réseau local entre les machines d'un même réseau. Comme elles ont toutes leurs propres adresses publiques, autant utiliser celles-ci directement.
Il existe bien le réseau local avec le préfixe fe80:: pour pouvoir débuter les communications entre le routeur et les membres du réseau et il peut être utilisé pour communiquer entre membres du réseau, mais je ne pense pas qu'il apporte plus d'avantages que le réseau publique.
Pour protéger les machines du réseau, c'est un firewall qu'il faudra configurer correctement afin de ne pas exposer directement toutes les machines directement sur Internet.
Par exemple j'ai un service web accessible depuis internet à travers un reverse proxy apache2 (qui a besoin d'une ip fixe*1) et directement via Tor Hidden Service (pour qui une IPv6 dynamique serait un meilleur gage de sécu*2)
Dans ce cas, les RFCs de cette dépêche gardent le concept d'adresses IP stables pour les fonctionnalités de type serveur.
Typiquement, apache2 n'écoutera pas les adresses IP temporaires, mais uniquement les adresses stables.
La première RFC indique bein que c'est pour les communications sortantes qu'il faut utiliser de préférence les adresses temporaires
L'idée de la seconde RFC de la dépêche est de dissimuler un peu plus les adresses stables: au lieu de restreindre les suffixes à l'utilisation de la plage d'adresses MAC, la RFC propose d'utiliser toute la plage disponible (tout en gardant cette adresse stable sur le réseau). Ainsi, un attaquant qui voudrait trouver les fonctionnalités serveurs d'un réseau devra scanner une plus grande plage d'adresse IP (ou passer par un autre moyen).
Pour Tor, je ne connais ce réseau que de nom, mais il faudrait pouvoir avertir dynamiquement le service Tor quand les adresses IPs actuelles vont devenir obsolètes et transmettre les nouvelles adresses IPs lors de leur création.
PS: merci pour la dépêche intéressante :)
Merci aussi à la communauté LinuxFR de m'avoir relancé 2-3 fois pour la terminer :) Ça faisait 6 mois qu'elle traînait dans l'espace de rédaction ^^
C'est ce qu'utilise random.org. Je me suis toujours demandé si au fin fond d'un datacenter c'était une source fiable et abondante ?
Mmmh, c'est une bonne question. Pour mon besoin, ça va très bien car ce serait pour une machine dans mon appartement et comme il y a pas mal de réseaux sans fil dans l'immeuble et les immeubles voisins, ça devrait bien marcher.
Cependant, OneRNG permet de configurer quelles sources utiliser (soit une, soit l'autre, soit les deux).
Donc, si on ne fait pas confiance à l'environnement radio du data center, on peut utiliser uniquement l'« avalanche diode ».
Le NAT44 permet aussi de faire de la correspondance m à n, mais l'usage est d'avoir m=1 (car le problème résolu avec NAT est le nombre d'adresses disponibles).
Le NAT64 permet de réduire la taille du n de manière plus raisonnable, puisque tu souhaites cacher ton réseau interne et surtout que le principal avantage de l'IPv6 n'est pas maintenu (le end to end).
La RFC propose en effet que la durée d'utilisation de l'adresse temporaire par la machine soit de 1 jour, mais c'est configurable.
Je pense que l'on se bat contre une chimère : vouloir des connexions end to end avec de la confidentialité de la structure réseau à chaque point. De plus, une écoute active du réseau permettra toujours de pouvoir tirer des informations avec les statistiques avec plus ou moins d'incertitudes.
Ce qui me plaît avec ces RFCs, c'est que ça garde possible l'utilisation du end to end tout en améliorant la confidentialité des activités de la machine à postériori. La RFC propose de créer des plages d'adresse temporaire, donc les logs du serveur X générés par le client A à l'instant T peuvent être différents des logs du serveur Z au même instant T. Ça dépend uniquement de la gestion des adresses par le client et c'est déjà disponible en pratique.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4. Dernière modification le 22 septembre 2016 à 23:20.
Donc le problème ne vient pas de DNSSec, ça me rassure :)
Et non, car si tu configures ton serveur DNS correctement, le script acme-dns-tiny ne pourra mettre à jour que les entrées TXT des sous-domaines préfixés par
_acme-challenge.. Tout ceci grâce à une bonne configuration de la mise à jour DNS par des clés TSIG qui ne pourront toucher qu'un nombre restreint d'enregistrements.En plus, les clients ACME n'ont absolument pas besoin d'avoir la clé privée à disposition: seul le CSR est nécessaire et la clé ACME de ton compte enregistré chez LE (ou un autre CA d'ailleurs…).
Donc pour tes problèmes, ce challenge est valide: le client ne connaît pas la clé privée TLS et il ne peut pas modifier les entrées DANE/TLSA, seulement les TXT sur certains sous-domaines.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Je n'ai eu aucun problèmes avec DNSSec et mon client acme-dns-tiny. Quels problèmes as-tu ?
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4. Dernière modification le 22 septembre 2016 à 22:17.
Les CGUs ne doivent pas être codées en dur dans les clients ACME: le
dictionnarypermet de connaître les CGUs en cours, il y a un Link aussi dans les réponses HTTP qui peut être renseigné par le serveur. Si l'utilisateur renseigne son e-mail lors de la création de son compte ACME, il pourrait aussi être averti en avance.Le passage de X1 vers X3 s'est passé durant la phase bêta si je ne me trompe pas.
Le challenge DNS permet de ne pas toucher à son serveur HTTP/HTTPS et permet une grande flexibilité dans son infrastructure. Par contre, il faut maîtriser un minimum son serveur DNS.
IPv6… Comment dire… Je suis très enthousiaste face à cette technologie, mais elle n'est pas évidente à utiliser pour des services d'authentification à mon avis. En plus, si ça a été activé récemment comme je l'ai lu dans les autres commentaires, ça veut dire qu'ils ont pu mettre en place cette infrastructure en moins d'une année après la sortie officielle de leur service (la version non beta donc). Moi je leur dit plutôt chapeau !
Ah et si leurs services ne te plaisent pas les spécifications sont ouvertes et leurs logiciels serveurs aussi il me semble…
# Dans un signet sous la notation du contenu
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à l’entrée du suivi Indication de nouveaux commentaires à côté du titre du contenu. Évalué à 2 (+0/-0).
Hello
C'est une bonne remarque.
Sur mon mobile les titres sont souvent sur 2 lignes sur les 3/4 de la partie gauche de l'écran. Sur le dernier quart à droite et sur la hauteur d'une ligne je vois la note du journal.
Je pense qu'en mobile on pourrait profiter d'utiliser le blanc qui se trouve aux 3/4 à droite sur la deuxième ligne pour afficher un signet (comme celui de la notation) avec un résumé du style "nombre de non lus / nombres de commentaires".
Je pense à un signet plus discret que celui de la notation et avec une taille de police plus petite pour que 999/999 passe sur 1 ligne.
J'essaierai ce soir de faire un mockup pour mieux m'expliquer :)
[^] # Re: vive Paypal
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Paypal en a marre que l’on dise que c’est nul. Évalué à 3.
Paypal peut être utilisé sans carte de crédit. Pour ça, il faut ouvrir un compte sur leur site et faire un versement depuis ta banque sur le compte paypal avec les références reçues. Le désavantage est que tu perds plusieurs jours pour que le virement soie pris en compte.
Par contre, tu peux faire des payements sur Internet sans cartes de crédit et sans donner les clés de ses comptes bancaires à PayPal.
[^] # Re: Et les valeurs du logiciel libre ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Donnez votre avis sur la nouvelle architecture de Cozy. Évalué à 2.
Oups: s/autout d'elle/autour d'elle/
Sur la page citée aussi ;)
# Améliorer Internet
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Le Cloud et la gestion de ses poubelles. Évalué à 2.
J'aime bien l'idée d'améliorer Internet :)
Je vois plusieurs services qui pourraient être intéressant et qui pourraient nécessiter pas mal de ressources:
Après, pour tout ceci, avoir les machines c'est bien, mais la gestion des mises à jour et de chacun des services sera certainement très chronophage.
Je pense qu'il serait intéressant de discuter avec ce genres de projets pour voir s'ils souhaitent investir leur temps dans le maintient de service sur ces machines.
Malheureusement, comme dit plus haut, ce sera juste un moyen d'absorber un peu plus ces déchets sans être une solution pour en diminuer la quantité.
[^] # Re: Tiptop le sexisme
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Ouverture du site Libre Games Initiatives. Évalué à 4. Dernière modification le 29 août 2016 à 13:30.
Alors j'aimerai bien connaître ces qualificatifs pour le français et l'allemand.
Je suis fracophone d'enfance, mais j'ai dû apprendre l'allemand, comme une bonne partie de la population suisse.
Comme j'ai de gros problèmes pour retenir les choses par cœur, ce genre de qualificatifs pourraient m'aider à me créer des règles pour savoir le genre des noms en allemand.
Pourrais-tu me donner ces qualificatifs pour le français ? Si tu y arrives, j'essaierai de trouver une correspondance avec l'allemand.
Par exemple, si en français, je dis "la soleil" à la place de "le soleil" quels sont ces qualificatifs cachés (quels changements dois-je comprendre) ? Ca pourrait m'aider à mettre en exergue les qualificatifs cachés germanophones qui déterminent que soleil est "die Sonne" et non pas "der Sonne".
[^] # Re: mensonger ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal PrimTux dans une machine virtuelle sous Windows. Évalué à 4. Dernière modification le 29 août 2016 à 13:09.
Comme tu peux le voir dans les captures d'écran, l'exe contient un "VirtualBox Portable".
L'idée des applications portables est de pouvoir exécuter un logiciel sans avoir besoin de l'installer (juste copier le dossier du logiciel dans un répertoire).
Peut-être que Windows requiert des droits pour écrire dans le dossier Public de la capture d'écran (quoique, vu le nom, ça devrait jouer), mais c'est le seul moment où ce serait nécessaire.
Donc, à essayer avant de dire que ce post est menssongé…
Edit:
En plus, c'est bien indiqué dans l'aricle:
Donc même pas besoin d'essayer ;)
[^] # Re: Marrant
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Gitlab 8.11: vue Kanboard et bien plus . Évalué à 4.
Du point de vue administrateur de forge, je préfère largement limiter au maximum les applications tierces qui viennent ajouter une couche par dessus la forge. Car à la moindre mise à jour de l'application ou de la forge, je risque de perdre l'interopérabilité des 2 outils (ce genre de conflits m'est arrivé fréquemment entre le trio Debian, Redmine et un plugin Redmine qui permettait de gérer git).
Alors que si c'est intégré directement dans le code source de l'application principale, la mise à jour de la forge engendrera moins de bugs. S'il y a un bug, il n'y a qu'une équipe à avertir et qui maitrisera tout le code.
[^] # Re: Je suis d'accord pour la plupart des arguments
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Appel de wallabag aux fabricants de liseuse. Évalué à 2. Dernière modification le 25 août 2016 à 09:22.
Mon argument était pour opposer la liseuse aux smartphones et tablettes qui ont un écran rétro-éclairé.
Les avantages par rapport au papier, il en existe en effet des dizaines. Celui qui me convainc le plus est d’éviter de continuer la déforestation de la planète pour des livres qui finiront par prendre la poussière dans des bibliothèques.
[^] # Re: Héhé
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Microsoft: Powershell libéré. Évalué à 1.
En même temps, je ne vois pas trop comment systemd pourrait déterminer le moment opportun pour afficher le log ?
Imaginons, que ce soit dès que le processus est lancé: tu verras dans le log des lignes du genres "Starting service…." et tu ne verras pas qu'un peu plus tard le service n'arrive pas à atteindre certains fichiers. Là tu auras l'impression que systemd a menti car il a indiqué le status "OK", alors qu'en réalité le service a échoué.
En fait, le seul cas que je vois pour que systemd puisse t'afficher un retour est le cas où le processus ne peut pas être exécuté (lanceur introuvable par systemd par exemple) ou la configuration du service ne suit pas les attentes de systemd. Il me semble que dans ce cas, systemd renvoie bien des erreurs.
[^] # Re: Je suis d'accord pour la plupart des arguments
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Appel de wallabag aux fabricants de liseuse. Évalué à 7. Dernière modification le 25 août 2016 à 08:40.
Et justement, les liseuses électroniques non plus, grâce à l'encre électronique.
C'est d'ailleurs le "seul" intérêt d'acheter ces machines à la place d'une tablette ou d'un smartphone (l'écran est lisible sans rétro-éclairage et nécessite beaucoup moins d'énergie).
[^] # Re: Powershell et cURL - mauvaise volonté
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal PowerShell sur Linux. Évalué à 9. Dernière modification le 23 août 2016 à 06:52.
Tiens, la lecture rapide m'a fait lire « travailleuse ». D'ailleurs j'ai dû relire 2 fois ton commentaire pour le comprendre et je m'était dit qu'un féminin tout seul dans ces propos était étrange.
La méthode avec les points centrés bloque la lecture fluide et cette méthode échoue fasse à la lecture rapide… ce n'est pas très efficace.
[^] # Re: Extensions
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Firefox 48 : API WebExtensions, Electrolysis et sécurité. Évalué à 3.
Bah, s'il en faut au moins un, voici le GTA04.
C'est un téléphone de bidouilleur (tinkerphones, le nouveau nom de la communauté OpenPhoenux autour de cet engin et de quelques autres). Son bootloader est libre, compilable, remplaçable et peut gérer plusieurs OS sur une même carte uSD. Il est encore en cours de production (une dernière production est en cours ou va bientôt commencer, le temps que les composants soient en stock chez le fabricant).
Le constructeur fournit les moyens de modifier tous les logiciels. Il fournit lui-même une version en test de Replicant avec le blob binaire wifi. La communauté Replicant a elle-même une version sans blob binaire (excepté celui du GSM, comme d'habitude).
PS: dans ces téléphones bidouillables, il y a également le Neo900, mais je n'ai pas trop suivit où en était le projet et si Android sera utilisable avec.
[^] # Re: Excellent, une remarque
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Créer des certificats avec ACME/Let's Encrypt et des vérifications DNS. Évalué à 5.
Merci pour les retours.
En effet, je n'ai pas pensé à mettre l'information sur les ressources DNS vérifiées, je vais l'ajouter car c'est très important pour correctement configurer son serveur DNS.
Pour l'update-ploicy, je vais aussi le mettre à jour dans l'exemple d'utilisation avec bind9. J'ai cherché un moyen pour créer une règle du style
wildcard _acme-challenge.*.example.com, mais ce n'est pas possible.Du coup, comme j'avais le nez dans ce problème, je n'ai pas pensé à chercher des solutions plus simples. Le problème de
selfest qu'il oblige à utiliser des CSR avec un seul domaine (et donc de faire un CSR et une configuration acme-dns-tiny par domaine à vérifier).Je pense que je vais plutôt montrer un exemple de ce style:
C'est un peu moins rapide à mettre en place que
zonesubs'il y a beaucoup de sous-domaines à vérifier, mais c'est beaucoup plus sécurisé car les autorisations sont restreintes au minimum.Merci pour SIG(0), je ne connaissais pas ce protocole. Malheureusement, le module dnspython que j'utilise ne l'implémente pas : https://groups.google.com/forum/?hl=fr#!topic/dnspython-users/ZnssFZlA48o
[^] # Re: Extensions
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Firefox 48 : API WebExtensions, Electrolysis et sécurité. Évalué à 4.
Je répondais surtout à la phrase:
Tu ne peux pas dire que Mozilla fait la même chose qu'Apple.
Le premier laisse clairement utiliser son logiciel sans DRM, à la condition de le reconstruire ou d'utiliser une version instable. Le second ne laisse aucun choix.
Et je ne porte pas de jugement sur "mal" ou "bien", c'est surtout 2 cas différents.
[^] # Re: Extensions
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Firefox 48 : API WebExtensions, Electrolysis et sécurité. Évalué à 10.
Aux dernières nouvelles, Apple empêche d'installer une version alternative de magasin d'application et empêche la recompilation d'iOS pour enlever ces limites.
[^] # Re: Client mobile et desktop
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Movim 0.10 - Holmes. Évalué à 8. Dernière modification le 05 août 2016 à 22:13.
Ou même sortir ton iPhone, ton windows phone, ton Samsung, ton Sony, ton Tizen, ton OpenMoko, ton N900, ton Open-C, ton n-ième phone à 100€ … et commencer à coder des clients « natifs » pour chacune de ces plateformes (et racheter les nouvelles versions à chaque fois, n'oublie pas d'acheter les licences de développement [pour ton portable et le serveur d'intégration] et d'utilisation des Store).
Franchement, un client natif pour Movim ne peut apporter beaucoup plus que le site Web, si ce n'est une intégration au système de notification et de cache de l'environnement. Mais même pour ces 2 points les navigateurs web modernes sont déjà capable de bien s'intégrer.
Ce qu'il faut surtout comprendre, c'est que Movim est une interface à XMPP, tout le travail de serveur est fait par XMPP (Pubsub, Carbon, MAM, …). En plus, la structure de Movim est telle que le navigateur web a un minimum de travail à faire, car c'est le daemon de Movim qui se charge de communiquer avec les serveurs XMPP (si j'ai bien compris, les parties clientes nécessaires à XMPP sont aussi gérées par le daemon).
Du coup, je vois mal ce que peut apporter un client "natif" en plus sur un téléphone ou une tablette. Mozilla a déjà prouvé que les technologies web pouvaient être utilisées pour faire un système d'exploitation complet pour smartphone (bien que Firefox OS n'a pas eu le succès escompté, des téléphones fonctionnent avec leur système).
[^] # Re: Installation sur carte SD ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Accéder aux mises à jour linux sur un Asus Eeepc 4g.. Évalué à 3.
PS: J'ai oublié de dire qu'il semble possible pour le EEEPC 900 de changer le disque (voir ifixit). Il faudrait voir si le EEEPC 700 a aussi le disque sur une carte externe où s'il est soudé directement sur la carte mère…
Mais ça ne règlera pas le problème du CPU et du GPU.
# Installation sur carte SD ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Accéder aux mises à jour linux sur un Asus Eeepc 4g.. Évalué à 3.
Si je me souviens bien, le EEEPC 700 a aussi un lecteur de carte SD. Vu que ça se fait pour les Raspbery Pi, j'essaierai de faire une installation sur une carte SD (attention à choisir un modèle compatible, donc du SD normal, pas HC ni XC je pense, il faut vérifier la spécification des différents modèles). Pour faire l'installation, ça devrait jouer de démarrer l'installateur sur une clé usb et de sélectionner la carte SD comme disque de destination.
J'utilise encore un EEEPC 900 (le modèle suivant) qui avait un disque SSD de 20 Go et 1 Go de RAM. J'avais demandé à Asus et ils m'ont dit que l'on pouvait au maximum mettre 2 Go de RAM pour ce modèle, j'espère que tu pourras mettre aussi 2Go de RAM avec les spécificités du modèle 700.
J'ai donc pu installer Debian sid/unstable avec la version minimale netinstall et y ajouter le bureau LXQt (le renouveau de LXDE) avec OpenBox et Firefox.
J'utilise ce pc principalement en nomade dans le train avec une connexion Edge/3G/HSPA et j'ai en général un terminal avec SSH d'ouvert et 1-2 onglets dans Firefox. Ça va pour lire un peu de doc sur le web, lire des blogs et administrer mon serveur, mais je n'essaierai pas de lire des vidéos sur le Web, car les transitions entre Firefox et le terminal sont déjà lentes.
Je viens de vérifier et
glxinfome dit que mon eeepc sait faire uniquement de l'OpenGL 2, malgré ma Debian très à jour et qui devrait permettre de faire de l'OpenGL 3. En même temps, c'était les premières générations de GPU Intel, donc on ne peut pas trop en demander.Comme j'ai 2Go de RAM et un SSD de 20 Go, je pense que ce qui ralentit le plus la machine est le processeur 32 bits à 900MHz et sa faible capacité graphique.
Du coup, 700MHz devient vraiment très peu à mon avis.
Pendant 2 ans, j'avais utilisé cette machine comme serveur mail/web et là, ça fonctionnait plutôt bien, j'en étais assez content. Je pense que ça pourrait aussi être une piste d'exploration comme recyclage de la machine.
[^] # Re: Quelle version?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Nautilus et raccourci clavier Copier/Coller. Évalué à 2. Dernière modification le 22 juillet 2016 à 16:49.
Apparemment, ça devrait être la version 3.14:
Ubuntu avait décidé de ne plus suivre les changements de Gnome sur Nautilus lorsque Gnome a complètement revu le code.
Ce qui est dommage, car récemment (je ne sais plus si c'est sur la 3.18 ou 3.20), Gnome a modifié justement la manière de renommer les fichiers pour utiliser des Popover avec une validation du nouveau nom à la volée (et éviter un message de dialogue en cas d'erreur).
Pour pouvoir aider, il faudrait savoir comment se passe la modification du nom du fichier. Est-ce qu'un popover est affiché ou est-ce simplement le nom qui est édité directement dans la sélection ?
Edit: ah, finalement, c'est pour une autre raison qu'Ubuntu n'a pas suivi les versions actuelles (d'après le même changelog):
[^] # Re: IPv6 fixe local avec IPv6 temporaire internet
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 3. Dernière modification le 22 juillet 2016 à 13:04.
Tiens, je ne sais pas si l'auto-configuration IPv6 exclue la configuration statique de certaines adresses, mais je pense que les deux peuvent être utilisés sur une même machine (en tout cas, la configuration automatique et DHCPv6 sont clairement indiqués comme complémentaires dans l'introduction de la RFC 4862).
Par contre, il faut bien comprendre avec IPv6 qu'il n'y a plus de nécessité d'avoir un réseau local entre les machines d'un même réseau. Comme elles ont toutes leurs propres adresses publiques, autant utiliser celles-ci directement.
Il existe bien le réseau local avec le préfixe
fe80::pour pouvoir débuter les communications entre le routeur et les membres du réseau et il peut être utilisé pour communiquer entre membres du réseau, mais je ne pense pas qu'il apporte plus d'avantages que le réseau publique.Pour protéger les machines du réseau, c'est un firewall qu'il faudra configurer correctement afin de ne pas exposer directement toutes les machines directement sur Internet.
Dans ce cas, les RFCs de cette dépêche gardent le concept d'adresses IP stables pour les fonctionnalités de type serveur.
Typiquement, apache2 n'écoutera pas les adresses IP temporaires, mais uniquement les adresses stables.
La première RFC indique bein que c'est pour les communications sortantes qu'il faut utiliser de préférence les adresses temporaires
L'idée de la seconde RFC de la dépêche est de dissimuler un peu plus les adresses stables: au lieu de restreindre les suffixes à l'utilisation de la plage d'adresses MAC, la RFC propose d'utiliser toute la plage disponible (tout en gardant cette adresse stable sur le réseau). Ainsi, un attaquant qui voudrait trouver les fonctionnalités serveurs d'un réseau devra scanner une plus grande plage d'adresse IP (ou passer par un autre moyen).
Pour Tor, je ne connais ce réseau que de nom, mais il faudrait pouvoir avertir dynamiquement le service Tor quand les adresses IPs actuelles vont devenir obsolètes et transmettre les nouvelles adresses IPs lors de leur création.
Merci aussi à la communauté LinuxFR de m'avoir relancé 2-3 fois pour la terminer :) Ça faisait 6 mois qu'elle traînait dans l'espace de rédaction ^^
[^] # Re: sources
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal OneRNG: générateur de nombres aléatoires open hardware/source. Évalué à 2. Dernière modification le 18 juillet 2016 à 22:20.
Mmmh, c'est une bonne question. Pour mon besoin, ça va très bien car ce serait pour une machine dans mon appartement et comme il y a pas mal de réseaux sans fil dans l'immeuble et les immeubles voisins, ça devrait bien marcher.
Cependant, OneRNG permet de configurer quelles sources utiliser (soit une, soit l'autre, soit les deux).
Donc, si on ne fait pas confiance à l'environnement radio du data center, on peut utiliser uniquement l'« avalanche diode ».
[^] # Re: NAT66 ou masquarade66
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 4.
Le end to end ne peux pas être maintenu avec des NATs: il faut pouvoir répondre au cas d'usage du commentaire de Xavier Claude, plus haut.
Le NAT44 permet aussi de faire de la correspondance m à n, mais l'usage est d'avoir m=1 (car le problème résolu avec NAT est le nombre d'adresses disponibles).
Le NAT64 permet de réduire la taille du n de manière plus raisonnable, puisque tu souhaites cacher ton réseau interne et surtout que le principal avantage de l'IPv6 n'est pas maintenu (le end to end).
La RFC propose en effet que la durée d'utilisation de l'adresse temporaire par la machine soit de 1 jour, mais c'est configurable.
Je pense que l'on se bat contre une chimère : vouloir des connexions end to end avec de la confidentialité de la structure réseau à chaque point. De plus, une écoute active du réseau permettra toujours de pouvoir tirer des informations avec les statistiques avec plus ou moins d'incertitudes.
Ce qui me plaît avec ces RFCs, c'est que ça garde possible l'utilisation du end to end tout en améliorant la confidentialité des activités de la machine à postériori. La RFC propose de créer des plages d'adresse temporaire, donc les logs du serveur X générés par le client A à l'instant T peuvent être différents des logs du serveur Z au même instant T. Ça dépend uniquement de la gestion des adresses par le client et c'est déjà disponible en pratique.