Adrien Dorsaz a écrit 952 commentaires

Merci, on est bien d'accord sur le fonctionnement d'un routeur (même d'un switch en fait).

Je ne comprends vraiment pas ce qu'apporte de plus un NAT66 à la place des adresses temporaires.
La seule différence que je vois est que la table de correspondances du NAT serait publique à un certain moment avec les adresses temporaires.

Si tu souhaites absolument garder cette confidentialité du NAT, pourquoi ne pas faire plus simplement du NAT64 ?
Ça impliquera des tables de correspondances beaucoup plus petites que du NAT66. De toute façon, si tu souhaites "cacher" ton réseau derrière un NAT autant garder une structure réseau IPv4, puisque les avantages de l'IPv6 seront perdues (plusieurs adresses IP atteignables de l'extérieur du réseau par machine).

Avec les adresses temporaires il est toujours possible de récupérer de l'information qui était plus difficile à extraire avec du NAT44 comme par exemple le nombre de machines internes.

Désolé, mais je ne vois pas comment on retrouve le nombre de machines internes par les adresses temporaires utilisées. Toutes les machines ne se connectent pas en même temps sur Internet et n'ont pas une connexion permanente.

Qu'est-ce qui peut te confirmer ou infirmer que l'adresse X utilisée il y a 3 minutes appartient à la même machine que l'adresse Y utlisée actuellement ? Si tu arrives à me répondre, alors il faut proposer une correction de la RFC, car l'algorithme prévoit que la prochaine adresse utilisée ne peut pas être devinable par quelqu'un d'extérieur.

Pour la mascarade, je ne comprends toujours pas quelles sont les avantages d'avoir des adresses internes et externes ? Que cherches-tu à cacher / protéger ?
Comment penses-tu que les outils de P2P fonctionnent actuellement si la machine était vraiment "cachée" par une mascarade ?

L'idée proposée est bien d'utiliser la TOTALITÉ de la plage disponible en attribuant aléatoirement une IP non-utilisée pour empêcher justement la connaissance du nombre de machines. Cela peut se faire sans trop de ressource par le routeur, un générateur de nombre aléatoire suffit (la probabilité que le générateur sorte 2 fois la même IP sur deux connexions sortantes en cours est extrêmement faible ), pas de gestion de collisions à se soucier car seul le routeur attribue les IPs externe.

Évidemment, puisque l'on ne serait plus dans le cas d'un réseau auto-configuré. Ces 2 RFCs ne traitent que des cas de réseaux IPv6 auto-configurés (avec un préfixe réseau suffisamment petit).

Ce que tu décris là, n'est pas une configuration de routeur, mais un serveur DHCPv6, si j'ai bien compris. Ça ne nécessite quand même pas de NAT et de mascarade pour pouvoir fonctionner, mais ça demande plus de travail sur la structure du réseau.

L'entropie disponible est une estimation de la disponibilité des nombres aléatoires.

Le commentaire au dessus a un lien sur un bon article qui explique ça avec la différence entre /dev/random et /dev/urandom.

Pour l'interface graphique, je ne suis pas sûr.

Dans l'article, ils parlent des paramètres ipv6.ip6-privacy, pour les adresses temporaires (je pense que la capture d'écran correspond à ça), et ipv6.addr-gen-mode, pour les adresses stables opaques avec la valeur stable-privacy.

Pour être sûr, j'ai regardé sur ma Debian dans le dossier /etc/NetworkManager/system-connections et j'ai trouvé cette section dans le fichier de configuration de mon réseau:

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=2
method=auto

NAT est un protocole qui est utilisé pour pallier au manque d'adresses IPv4 disponible.

En IPv6, tout un chacun pourra utiliser énormément d'adresses, il n'y a donc plus besoin de résoudre ces anciens problèmes.

La question serait plutôt: pourquoi penses-tu avoir absolument besoin de la complexité du NAT ?

Si c'est pour une question de réseau "privé", alors les 2 RFCs de cette dépêche proposent des solutions tout à fait viable qui garantissent la même vie privée qu'avec l'utilisation de NAT.
De plus, leur solution ne complexifie pas la gestion de la structure du réseau, puisque ce sont les appareils du réseau qui les activent.

Si c'est une question de protection contre des attaquants, alors la solution est la configuration d'un Firewall à l'entrée de ton réseau. Il suffit de définir les bonnes règles (interdire par défaut le trafic entrant initié par l'extérieur) et le réseau sera aussi bien protégé qu'en IPv4.

Alors quel dogme l'empêche à chaque connexion sortante de la machine X du réseau local vers les nets de tirer au hasard une IP Y dans sa plage et faire une masquarade de Y vers X le temps de la connexion ? C'est beaucoup plus simple que du NAT44.

Je ne vois pas bien l'intérêt de cette solution : ça fera juste croire que la machine X a l'adresse Y, mais ça ne changera rien par rapport à la confidentialité et ça demandera plus de travail au routeur (maintient d'une table de correspondance des adresses "réelles" avec les adresses "montrées"). Quel est l'intérêt de ne pas montrer l'adresse "réelle" ?

Ici, les propositions sont que chaque machine du réseau change régulièrement elle-même ses adresses, ça revient au même que ta proposition et ça ne complexifie pas la structure du réseau.

Hello,

J'ai les 2 protocoles sur mon réseau et j'utilise l'extension Firefox SixOrNot pour avoir une petite idée de ce qui est disponible en IPv6.

Personne ici ne pourra répondre à ta question s'il est effectivement en IPv6 seulement: LinuxFR n'est connecté qu'à IPv4 ;)

Sinon, Google, Facebook et quelques autres gros sites sont disponible en IPv6, mais Github, par exemple, n'est disponible que en IPv4 (alors que Gravatar est disponible en IPv6).

Au niveau des services webs, c'est très disparate. Il faudrait déjà que les hébergeurs proposent des hébergements connectés aux 2 réseaux avant que ce soit utile (SixXS tient une liste des hébergeurs IPv6) et que les fournisseurs de strcutures de type "cloud" soient également compatibles.

Google tient des statistiques sur l'utilisation d'IPv6 par leurs visiteurs, ça à l'aire déjà de bien progresser de leur côté (depuis janvier, on est passé de 4% du trafic à 10% environ).

Oui, c'est bien une erreur qui s'est glissée. Je voulais bien dire au reste d'Internet.

Oui, c'est ça.

Pour la gestion des adresses, le protocole IPv6 prévoit déjà que toutes les adresses utilisées ne sont louées que pour un certain temps. Si je me souviens bien, il n'y a pas vraiment de limite maximale de temps par défaut.

Ici, pour les adresses temporaires, le respect de la RFC requiert juste que la machine connectée déprécie elle-même régulièrement la location de ces adresses et en calcule de nouvelles pour continuer d'utiliser le réseau.

Apparemment, le routeur pourrait avoir un ajustement si le mainteneur du réseau décide de refuser l'utilisation d'adresses temporaires (il faut bien que le routeur bloque le trafic de ses adresses). Sinon, si le mainteneur ne souhaite pas bloquer, il n'y aurait pas besoin d'ajustement.

Pour les adresses stables, c'est juste qu'au lieu d'utiliser uniquement l'adresse MAC pour trouver un identifiant d'interface, la machine doit créer une clé secrète et calculer l'identifiant pour chaque réseau auquel elle se connecte. Donc là non-plus, il n'y a pas besoin d'ajuster la structure du réseau.

C'est ce qui m'a bien motivé pour la dépêche quand j'ai lu l'annonce de Network-Manager: si le réseau IPv6 a été configuré pour que les machines se configurent automatiquement, il suffit d'activer ces options dans Network-Manager pour préserver un peu plus la vie privée des utilisateurs de la machine.

mon entropie disponible chute souvent¹

Un appel de note sans la note correspondante, c’est triste…

Ah oui, j'ai oublié de l'enlever. La note a été transformée en paragraphe dans le texte (celui à propos de mon dev actuel).

Par ailleurs, si le programme tape par défaut dans /dev/random (c’est le cas de dnssec-signzone il me semble), il ne faut pas hésiter à lui dire d’aller voir du côté de /dev/urandom.

Je peux confirmer que lorsque je fais un lsof /dev/random, je vois named constamment (de temps en temps un autre logiciel, mais ce n'est que quelques instants).

random-device The source of entropy to be used by the server. Entropy is primarily needed for DNSSEC
operations, such as TKEY transactions and dynamic update of signed zones. This options speci-
fies the device (or file) from which to read entropy. If this is a file, operations requiring entropy
will fail when the file has been exhausted. If not specified, the default value is /dev/random (or
equivalent) when present, and none otherwise. The random-device option takes effect during the
initial configuration load at server startup time and is ignored on subsequent reloads.
(documentation de Bind 9.9)

Merci, je n'avais même pas pensé que ça pouvait être configurable dans bind et le lien pour /dev/urandom est très intéressant !

Super, ils espèrent produire 1000 pièces pour le mois d'août 2016.

Si j'ai bien compris leur documentation, leur source est aussi une paire de transitors :

• 20V noise source
  • AP3015A boost regulator
  • back-to-back 3904 transistor noise

Par contre, je ne sais pas quelle est la différence avec la source correspondante de la OneRNG.

Il faut que je regarde la vidéo de la Debconf 16 chez moi pour comprendre.

Merci !

C'est un peu différent, puisque les versions de développements ont le second nombre impaire.
Dans une version de développement, on s'attend bien à ce que les patchs ajoutent/enlèvent des fonctionnalités.

Au moment de la release, ce sera bien une version 2.10.x (ou 3.x) qui indiquera bien que, depuis la dernière version stable, des fonctionnalités ont été ajoutées / enlevées. GNOME a le même genre de gestion de version et Linux l'avait aussi à l'époque.

Oui, mais je suis assez maladroit et je n'ai jamais appris à faire des soudures, alors je préfère ne pas tenter ce genre d'expérience :)

Super, merci, je pourrais prendre un peu plus de recule à OneRNG.

C'est très intéressant que la FSF vende aussi un générateur d'aléatoire.
En plus, il n'y a pas besoin de logiciels spéciales pour Linux, on peut voir l'interface directement avec /dev/ttyACM0.
Donc, si j'ai bien compris, il faudra juste utiliser rng-tools pour prendre en compte cette nouvelle source d'entropie.

Je trouve la page de présentation beaucoup plus simple et claire.

Le magasin en ligne de la FSF est déjà sous HTTPS avec Let's Encrypt (alors que pour OneRNG, c'est que la validation de payement qui se fait par un site "Norton Secured").

Enfin, les deux projets sont très intéressant et sont complémentaires puisqu'ils utilisent des sources d'entropies différentes :)

Désolé, je n'avais pas trouvé le ticket de suivi https://linuxfr.org/suivi/annuler-un-pertinentage-inutilage

Mais avec systemd, je n'ai pas avertissement, tout est écrasé silencieusement.

Moi je l'ai eu et on m'a demandé comment je voulais gérer la fusion. Mais tu étais peut-être trop fatigué pour appuyer sur "D" et "Enter".

Non, parce que j'utilise systemd (pour les timers, unit, services, …) et je ne vais donc pas chercher à me passer de celui-ci.

L'idée est que ne pas utiliser systemd est possible (avec les paquets sysvinit-core, systemd-shim et init-system-helpers).

Si MATE ne fonctionne vraiment pas, c'est alors MATE qui te pose problème (D-Bus ne dépend que de libsystemd0, pas de systemd directement).

Hello,

C'est le genre de changement qui ne m'étonne pas sur une branche non-stable de Debian. Vu un commentaire plus bas, le changement est bien annoncé.

Sinon, Debian n'impose pas systemd, le paquet d'init propose encore l'ancien système sur Jessie. Il ne me semble pas avoir entendu parler de l'abandon de SysV pour Stretch, donc ça devrait aussi être disponible.

C'est quand même un bon troll: proposer comme solution de passer d'une distribution avec binaires à une distribution à compilation locale juste parce qu'une branche instable est instable dans sa configuration par défaut…
Alors qu'il suffit de changer 1 ligne dans /etc/systemd/logind.conf ou même de bien choisir de choisir son logiciel d'init ou encore de rester sur une version stable…

Les barres (horizontales et verticales) de défilement du navigateur sur le côté des fenêtres/boites dont le contenu dépasse la place d'affichage disponible.

Le navigateur se charge normalement d'afficher ces barres au besoin et il maîtrise lui-même leur fonctionnement grâce aux toolkit graphiques qu'il utilise (GTK+2 par exemple pour Firefox).

Est-ce qu'il n'y aurait pas l'icône de Thunderbird ou d'une enveloppe dans la barre de notification ? (En haut à droite de l'écran sur Ubuntu)

Je pense que Thunderbird démarre mais sans afficher sa fenêtre par défaut à cause de FireTray. Il suffit de cliquer sur la notification pour afficher la fenêtre.

Il me semblait aussi qu'une des évolutions de GNOME 3 permettait justement ce comportement.

Je ne sais pas comment ils l'ont implémentés, mais il me semble qu'ils ont prévu ce concept très tôt avec leur idée de ne pas perturber l'activité courante de l'utilisateur. Du coup, je ne saurai pas dire si c'est un ajout de fonction aisé à faire pour un DE déjà existant.

Je crois aussi que l'article loupe le coche : en forçant le changement de certificat tous les 3 mois, Let's encrypt permet de passer très rapidement aux nouvelles technologies cryptographiques (pour les certificats). Pour moi, Let's encrypt permet justement de renforcer la sécurité générale, car elle évitera que des certificats trop faible persistent sur le web trop longtemps.

De même, le paragraphe suivant me paraît un peu douteux:

Sachant que HSTS réclame a minima 18 semaines (126 jours) pour pouvoir être intégré par défaut aux navigateurs, 6 mois (180 jours) pour être considéré comme A+ sur SSLLabs ou encore que la norme HPKP préconise 60 jours de délai de rétention, les 90 jours de Let’s Encrypt sont totalement en dehors des clous.

HSTS sert surtout à dire que ce site devrait être uniquement accédé par HTTPS pour les x prochains jours (dès que la première visite sur HTTPS a eu lieu). Ce n'est pas du tout lié au certificat utilisé, c'est juste un indice de redirection côté navigateur.

Je ne connais pas HPKP, mais s'il ne permet pas de changer les certificats assez aisément (donc avec une automatisation) et fréquemment, alors pour moi c'est lui qui pose problème. En effet, je ne prendrai jamais le risque de rendre mes sites inaccessibles à cause d'une erreur de manipulation d'administration système (l'erreur est humaine et fréquente). Mais je prends les remarques de cet article avec des pincettes vu les points précédents…

En début de semaine, la mailing list de Geary a reçu une réponse officielle pour expliquer la situation à la communauté.

Rapport de l'email rapidement traduit :

Le fondateur de Yorba s'excuse d'abord de ne pas avoir écrit plus tôt, le temps lui manquant à cause d'autres projets. La fondation n'est plus active depuis le mois de juin suite à leur épuisement des fonds et au fait que Jim, le dernier directeur de Yorba, n'a aussi plus de temps à se consacrer à ces projets.

Les repository officiels des projets étant hébergés chez GNOME, tout membre de cette communauté peut devenir mainteneur des projets. Il précise tout de même que Shotwell et Geary sont de grands projets assez complexes et qu'il faudra y investir beaucoup de temps pour les maintenir, voire les faire évoluer.

Enfin, les forks d'Elementary sont la bienvenue, mais le fondateur préférerait que la suite officiel des projets soie chez GNOME si possible.

Je suis personnellement un peu surpris qu'il n'y ait pas eu d'appel aux dons quand ils ont vu leurs fonds fondre.

le Launch new instance est trop bœuf, c'est du tout ou rien. Au sein d'un même bureau je ne suis pas contre le fait que par défaut il n'ouvre pas plusieurs instances. Mais le mieux ça serait que comme avec Gnome 2 on puisse choisir si une appli doit lancer plusieurs instances ou non. C'est plus subtile et efficace.

Il suffit de faire un clique "milieu" sur l'icône (ou même maintenir pressé Ctrl avant de cliquer) pour lancer une nouvelle instance. Sinon, tu peux faire un clique droite et tu verras pas mal d'options (ajout aux favoris du docker,…).

Si un simple clique ouvrait une nouvelle instance, on verrait aussi 15 commentaires dire "Bouhh, leur liste de fenêtre ne me permet plus de récupérer ma fenêtre, elle ne fait qu'ouvrir de nouvelles fenêtres, c'est inutilisable :(".

Pour le ALT-TAB comme je l'ai dit c'est une extension et pas une option ou alors faut que tu me dises où elle est ?

Non, ce n'est pas une extension: c'est simplement le système de configuration fin de GNOME : dconf-editor (avec gnome2, c'était gconf-editor si je me souviens bien).

Après, c'est vrai que ce genre d'option pourrait apparaître dans le Gnome Tweak Tools (leur outil de personalisations fines, pour les configurations un peu "geek").

Sinon, ces propos sur Gnome 3 sont complètement hors sujet avec cette dépêche. Ce qui me surprend avec Mate, c'est que finalement la pluspart de leurs évolutions semble être: utilisation des nouvelles technologies qui sont la base de Gnome 3 (systemd-logind, gtk3, …), essayer de fixer quelques vieux bugs sur des applications forkées (avec la dernière version de Nautilus, il y a vraiment eu beaucoup d'améliorations qui ne verront jamais le jour dans Caja) et de bénificier de quelques nouvelles features grâce au travail des autres (le multi-touch vient surtout de Gtk3).

Vraiment, je ne comprend toujours pas pourquoi les déçus de Gnome2 n'ont pas essayé de simplement faire un Shell différent à Gnome 3, comme Linux Mint l'a fait. Ça leur aurait évité tous ce travail de portage et ça aurait pû permettre de proposer de vraiment nouvelles fonctionnalités, puisqu'ils ne perdraient pas leur temps à faire un portage technique déjà réalisé par Gnome. En effet, il faut bien comprendre que leurs applications forkées doivent maintenant être portées vers Gtk3 alors que Gnome a déjà porté la pluspart des applications intéressantes de Gnome2 vers Gtk3.

En tout cas, les défauts sont faciles à trouver :
– si on veut utiliser par exemple plusieurs Wikipédia dans des langues différentes, eh bien on a plusieurs icônes Wikipédia identiques,

– le moteur de recherche sélectionné « saute », donc si on veut ajuster la recherche, il faut le remettre.

Je n'ai pas réussi à reproduire:

• Je commence par écrire "ma"
• Je sélectionne DDG avec les flèches haut/bas du clavier (ou je place le pointeur sur l'icône DDG)
• Je continue à écrire " recherche"
• Je suis toujours sur DDG et quand j'appuie sur "Enter" ou que je clique, j'arrive bien sur DDG.

PS: Avec Iceweasel 42

Je répondais surtout à la question "quelle distribution n'impose pas pulseaudio ?".

Je pense que l'installation minimale de Debian (sans aucun task-desktop*) correspondrait à ce critère.