Quiconque utiliserait ce chiffrement devrait rétro-porter tous les changements opérés en 4.4 pour corriger des fuites mémoires et des corruptions de données.
Je ne comprends pas cette phrase mais les mots "corruption de données" font peur…
Quelqu'un pourrait ré-expliquer ?
Pourquoi ce n'est actif que dans la navigation privée ? Je trouve que ca un intérêt de l'avoir actif aussi dans le mode normal (celui qui te garde ton historique, les cookies sympa pour t'éviter de re-saisir ton login quand tu réouvres ton navigateur, etc..)
Je marche à coup de self-destructing cookies, no script, Ublock et request policy. Je le vis bien.
Je pensent que Ublock et self-destructing cookies marchent sans que l'utilisateur s'en préoccupe.
Pour les 2 autres, c'est plus contraignant.
J'utilise Conversations sur Android que je trouve assez bien fait pour remplacer le SMS. On peut facilement envoyer des photos.
Apparement il utilise Jingle. Du coup je me demandais si les photos passaient en clair sur le réseau ou pas.
J'ai regardé un peu son code mais je ne trouve pas de traces de chiffrement.
Je crois que c'est important d'expliquer que les utilisateurs aient conscience si la confidentialité qui est entendue sur les messages texte s'appliquent aussi aux contenus multimédias ou pas…
La connexion XML jusqu'au serveur Jabber est à priori chiffrée (suivant les paramètres du client et du serveur).
Qu'en est-il du traffic qui transporte le binaire du fichier?
Je vois trois cas : Jingle, transfert direct (client to client) et lorsque l'on passe par un proxy (si les 2 utiliseurs sont derrière un NAT).
Tu es pisté par ton IP uniquement. Google n'as pas d'autres info (cookie, OS, javascript, config materielle, etc…)
Et encore, il y a un mode de fonctionnement de MySearch ou tu peux tunneliser ta connexion au serveur de Google par une autre instance de Mysearch. Ce qui fait sauter le tracking par IP.
SSL n'est pas cassé car le flux est redirigé en entier et donc le relai ne peut pas t'espionner. Le flux est chiffré avec le certificat de Google jusque chez toi.
C'est encore en beta, car il faut un nombre suffisant d'instances qui tournent pour ca ait un intérêt.
Les conditions d'utilisations demandent d'accéder au web avec une connexion directe (pas de meta moteur) et par l'interface web. C'est ce que je fais.
J'attends encore par quel moyen l'utilisateur peut vérifier que DDG c'est mieux qu'un autre moteur X coté vie privée. Google a un discours commercial (Don't be evil), DDG aussi. Mais on n'est pas là pour parler com' si?
Ticket resto mais commande groupée de sandwich tous les midi par internet qui ne prend pas les tickets restau.
Et les petits commerçants qui doivent s'équiper en terminaux de CB…
Dans toutes les "vraies" tentatives de rendre l'email plus sûr et plus personnel, le chiffrement de bout en bout est utilisé.
De ce fait, le serveur ne peut pas comprendre le message, ce qui est assez pratique car il n'y a plus besoin de se préoccuper des intermédiaires.
(Quoique, Gmail/Hotmail pourraient proposer de garder la clé de déchiffrement Gpour faciliter l'expérience utilisateur de vos correspondants…)
Les entêtes sont également chiffrées (pour ne pas révéler le surnom que vous donnez à vos correspondants au serveur) et donc l'usage des moyens de connexion classiques (IMAP/POP) tombe à l'eau. Faute de nouveau standard, il faut pour chaque service d'email, trouver le plugin qui va bien avec son logiciel d'email favori ou se taper l'application en javascript/html.
Je trouve un peu dommage d'en arriver là car la fragmentation guette.
C'est quoi l'avenir ? Une guerre entre services ? Comment on envoie un mail sécurisé à quelqu'un qui serait sur un service concurrent à protonmail? Comment on peut gérer ses mails hors ligne (genre faire une recherche dans le contenu de 2 go d'email, ca va se faire comment online si le serveur ne peut accéder au contenu? J'ai un SSD qui adore ça, dommage de ne pas en profiter)
Les styles c'est bcp plus simple à utiliser que le formattage classique.
Mais créer les styles est compliqué. Donc ce qu'il faudrait c'est comme pour les blog wordpress, tu importes un "thème" qui comporte des styles qui vont ensemble et tu ravales la facade de ton document.
ex :
C'est marrant mais moi, je vois direct quand un powerpoint ou graphique est fait avec MSOffice ou OpenOffice. Dans les 2 cas l'utilisateur est le même et ne sait pas créer son thème.
Mais sur MSOffice, le thème (fond, couleur, police) est par défaut classe, alors que sous OpenOffice, on se tape les couleurs de Win95.
Si on me dit qu'Office ne met pas en avant les style, regardez office 2007 :
On peut changer de thème en 1 clic et ceux par défaut ont déja de la gueule.
Si on pense que l'utilisateur ne comprend rien aux styles et qu'on ne veut pas lui pourrir l'interface, permettez au moins de switcher l'interface d'Openoffice entre 2 layout de l'interface. Une optimisée pour les adorateurs des styles avec juste de quoi changer de style le paragraphe en cours et l'autre comme aujourd'hui avec un trillion de boutons de formatage.
Quand on insère une image dans Writer, la marge par rapport au texte vaut 0 dans le thème par défaut. Donc c'est inutilisable par défaut et il faut customizer.
Dans Apple Page 9 , tu insères une image dans le texte, et en faisant un clic dessus, tu peux l'insérer "à droite" ou "à gauche" avec la marge qui s'applique dynamiquement pour n'exister que entre l'image et le texte et non tout autour de l'image afin de garder l'image alignée verticalement avec le texte sur le bord de la page.
Depuis Office 97 si je me souviens bien, les styles sont devenus le "bread and butter" pour avoir des beaux documents faciles à modifier. Tout comme l'arrivée des CSS a rendu les pages web plus belles et facile à écrire.
Je pense qu'Office 2007 (celui où le bandeau à nettoyé l'interface d'Office) a fait un grand pas en avant en venant avec une belle police par défaut (Calibri de mémoire), une palette de couleur adéquate (variante de tons sur quelques couleurs) et un accès aux styles plus évident (apercu du style dans l'interface et changement à vue du style de la sélection dans la page quand on parcourt les styles)
Sous libre office, c'est toujours les outils de formattage (gras, souligné, police, etc…) qui sont mis en avant dans l'interface et le néophyte n'est pas du tout encouragé à utiliser les styles. Pourquoi?
La palette de couleur de base tout comme les styles par défaut sont horribles
Qui écrit en police serif et en couleur Bordeaux? (tout en ayant les titres en sans serif, beaurk)
C'est ce à quoi je faisais allusion dans mon premier commentaire.
Ca c'est le système anti-phishing and anti-malware des sites webs et pas des fichiers téléchargés.
Phishing and Malware Protection works by checking the sites that you visit against lists of reported phishing and malware sites. These lists are automatically downloaded and updated every 30 minutes…
D'où l’ambiguïté de savoir si le nouveau système sur les fichiers téléchargés fonctionne aussi avec des listes noires, mais apparemment non.
Iceweasel 38 vient d'arriver dans stable. Pas de Pocket, pas de Hello.
Donc je suppose que si tu es sur Debian, ce genre de truc est désactivé sans que tu t'en préoccupes.
The first of these changes, introduced in Firefox 39, consists of extending the monitoring of malicious file downloads to the Mac and Linux versions of Firefox
Firefox asks Google’s Safe Browsing service if the file is safe by sending it some of the download’s metadata (file type, name, size, hash, URL, locale)
Et ce n'est pas expliqué si la liste de tous les fichiers qu'on télécharge est envoyée à Google ou si une liste noire des mauvais logiciels est téléchargée depuis les serveurs Google et la comparaison faite en local (comme pour les mauvaises URLs si j'ai bien compris)
Car bon, c'est activé par défaut. On a vu mieux pour protéger notre vie privée.
Lightbeam me semble un bon outil pour vérifier ce qui marche ou pas.
Finalement, Request Policy + Noscript + self destructing cookies est la solution que j'utilise au quotidien. (C'est un peu complexe sur les sites qui ont beaucoup de contenus externes, mais ce sont aussi les sites les plus pourris qu'il faudrait refuser d'utiliser en fait)
# Chiffrement et Ext4
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 4.4. Évalué à 7.
Je ne comprends pas cette phrase mais les mots "corruption de données" font peur…
Quelqu'un pourrait ré-expliquer ?
# QEMU et accelération 3D
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 4.4. Évalué à 5.
Il y a une limitation sur l'API OpenGL utilisable ou ça dépend uniquement du driver de l'hôte?
[^] # Re: Firefox hello
Posté par tuxicoman (site web personnel) . En réponse au journal Debian : Iceweasel pourrait redevenir Firefox . Évalué à 2.
Merci pour la réponse :-)
# Firefox hello
Posté par tuxicoman (site web personnel) . En réponse au journal Debian : Iceweasel pourrait redevenir Firefox . Évalué à 3.
J'avais cru que c'était supprimé de Iceweasel mais non.
Dans about:config, mettre la variable loop.enabled à true et Hello est là, fonctionnel.
Pourquoi l'avoir désactivé dans Debian tout en laissant le code ?
# Un problème. Où ca?
Posté par tuxicoman (site web personnel) . En réponse au journal faille Linux 0 day du 19 janvier 2016 . Évalué à 6.
update, reboot , dodo
https://security-tracker.debian.org/tracker/CVE-2016-0728
[^] # Re: ext4 vs F2FS pour SSD
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 4.3. Évalué à 3.
D'après Phoronix, c'est pas évident.
http://www.phoronix.com/scan.php?page=article&item=linux-40-ssd
[^] # Re: tracking protection et mode normal
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Firefox ? 42 !. Évalué à 2.
Au contraire, Mozilla pourrait faire pression (paiement, règles) à ceux qui voudraient rester sur la liste blanche.
# tracking protection et mode normal
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Firefox ? 42 !. Évalué à 4.
Pourquoi ce n'est actif que dans la navigation privée ? Je trouve que ca un intérêt de l'avoir actif aussi dans le mode normal (celui qui te garde ton historique, les cookies sympa pour t'éviter de re-saisir ton login quand tu réouvres ton navigateur, etc..)
Je marche à coup de self-destructing cookies, no script, Ublock et request policy. Je le vis bien.
Je pensent que Ublock et self-destructing cookies marchent sans que l'utilisateur s'en préoccupe.
Pour les 2 autres, c'est plus contraignant.
# Hello et version mobile
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Firefox ? 42 !. Évalué à 5.
Est il prévu d'apporter Hello dans la version mobile. C'est quand même sur ce type de terminaux que se passe la majorité des conversations orales.
[^] # Re: disparition des greffons
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Firefox ? 42 !. Évalué à 2.
C'est la fin de JAVA aussi? Oracle va morfler là.
[^] # Re: Sécurisation des données
Posté par tuxicoman (site web personnel) . En réponse au journal Parlons XMPP - épisode 9 - copie de fichiers et Jingle. Évalué à 3.
Merci Goffi.
J'utilise Conversations sur Android que je trouve assez bien fait pour remplacer le SMS. On peut facilement envoyer des photos.
Apparement il utilise Jingle. Du coup je me demandais si les photos passaient en clair sur le réseau ou pas.
J'ai regardé un peu son code mais je ne trouve pas de traces de chiffrement.
Je crois que c'est important d'expliquer que les utilisateurs aient conscience si la confidentialité qui est entendue sur les messages texte s'appliquent aussi aux contenus multimédias ou pas…
# Sécurisation des données
Posté par tuxicoman (site web personnel) . En réponse au journal Parlons XMPP - épisode 9 - copie de fichiers et Jingle. Évalué à 2.
Salut,
La connexion XML jusqu'au serveur Jabber est à priori chiffrée (suivant les paramètres du client et du serveur).
Qu'en est-il du traffic qui transporte le binaire du fichier?
Je vois trois cas : Jingle, transfert direct (client to client) et lorsque l'on passe par un proxy (si les 2 utiliseurs sont derrière un NAT).
Merci !
[^] # Re: Osez votre propre moteur !
Posté par tuxicoman (site web personnel) . En réponse au journal Passage à duckduckgo pour mes recherches au lieu de google. Évalué à 3. Dernière modification le 22 octobre 2015 à 18:11.
Tu es pisté par ton IP uniquement. Google n'as pas d'autres info (cookie, OS, javascript, config materielle, etc…)
Et encore, il y a un mode de fonctionnement de MySearch ou tu peux tunneliser ta connexion au serveur de Google par une autre instance de Mysearch. Ce qui fait sauter le tracking par IP.
SSL n'est pas cassé car le flux est redirigé en entier et donc le relai ne peut pas t'espionner. Le flux est chiffré avec le certificat de Google jusque chez toi.
C'est encore en beta, car il faut un nombre suffisant d'instances qui tournent pour ca ait un intérêt.
Les conditions d'utilisations demandent d'accéder au web avec une connexion directe (pas de meta moteur) et par l'interface web. C'est ce que je fais.
J'attends encore par quel moyen l'utilisateur peut vérifier que DDG c'est mieux qu'un autre moteur X coté vie privée. Google a un discours commercial (Don't be evil), DDG aussi. Mais on n'est pas là pour parler com' si?
# Ca continue encore et encore...
Posté par tuxicoman (site web personnel) . En réponse au journal L'absurdité des tickets restau. Évalué à 2. Dernière modification le 08 octobre 2015 à 00:11.
Ticket resto mais commande groupée de sandwich tous les midi par internet qui ne prend pas les tickets restau.
Et les petits commerçants qui doivent s'équiper en terminaux de CB…
# IMAP et POP non compatibles
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Nouvelles de ProtonMail : version 2.0, ouverture (partielle) du code et mobilité. Évalué à 10.
Dans toutes les "vraies" tentatives de rendre l'email plus sûr et plus personnel, le chiffrement de bout en bout est utilisé.
De ce fait, le serveur ne peut pas comprendre le message, ce qui est assez pratique car il n'y a plus besoin de se préoccuper des intermédiaires.
(Quoique, Gmail/Hotmail pourraient proposer de garder la clé de déchiffrement Gpour faciliter l'expérience utilisateur de vos correspondants…)
Les entêtes sont également chiffrées (pour ne pas révéler le surnom que vous donnez à vos correspondants au serveur) et donc l'usage des moyens de connexion classiques (IMAP/POP) tombe à l'eau. Faute de nouveau standard, il faut pour chaque service d'email, trouver le plugin qui va bien avec son logiciel d'email favori ou se taper l'application en javascript/html.
Je trouve un peu dommage d'en arriver là car la fragmentation guette.
C'est quoi l'avenir ? Une guerre entre services ? Comment on envoie un mail sécurisé à quelqu'un qui serait sur un service concurrent à protonmail? Comment on peut gérer ses mails hors ligne (genre faire une recherche dans le contenu de 2 go d'email, ca va se faire comment online si le serveur ne peut accéder au contenu? J'ai un SSD qui adore ça, dommage de ne pas en profiter)
[^] # Re: Styles et formatage
Posté par tuxicoman (site web personnel) . En réponse à la dépêche LibreOffice 5.0 : sous le capot. Évalué à 10.
Les styles c'est bcp plus simple à utiliser que le formattage classique.
Mais créer les styles est compliqué. Donc ce qu'il faudrait c'est comme pour les blog wordpress, tu importes un "thème" qui comporte des styles qui vont ensemble et tu ravales la facade de ton document.
ex :
C'est marrant mais moi, je vois direct quand un powerpoint ou graphique est fait avec MSOffice ou OpenOffice. Dans les 2 cas l'utilisateur est le même et ne sait pas créer son thème.
Mais sur MSOffice, le thème (fond, couleur, police) est par défaut classe, alors que sous OpenOffice, on se tape les couleurs de Win95.
Si on me dit qu'Office ne met pas en avant les style, regardez office 2007 :
On peut changer de thème en 1 clic et ceux par défaut ont déja de la gueule.
Si on pense que l'utilisateur ne comprend rien aux styles et qu'on ne veut pas lui pourrir l'interface, permettez au moins de switcher l'interface d'Openoffice entre 2 layout de l'interface. Une optimisée pour les adorateurs des styles avec juste de quoi changer de style le paragraphe en cours et l'autre comme aujourd'hui avec un trillion de boutons de formatage.
Quand on insère une image dans Writer, la marge par rapport au texte vaut 0 dans le thème par défaut. Donc c'est inutilisable par défaut et il faut customizer.
Dans Apple Page 9 , tu insères une image dans le texte, et en faisant un clic dessus, tu peux l'insérer "à droite" ou "à gauche" avec la marge qui s'applique dynamiquement pour n'exister que entre l'image et le texte et non tout autour de l'image afin de garder l'image alignée verticalement avec le texte sur le bord de la page.
# Styles et formatage
Posté par tuxicoman (site web personnel) . En réponse à la dépêche LibreOffice 5.0 : sous le capot. Évalué à 10. Dernière modification le 26 août 2015 à 01:27.
Depuis Office 97 si je me souviens bien, les styles sont devenus le "bread and butter" pour avoir des beaux documents faciles à modifier. Tout comme l'arrivée des CSS a rendu les pages web plus belles et facile à écrire.
Je pense qu'Office 2007 (celui où le bandeau à nettoyé l'interface d'Office) a fait un grand pas en avant en venant avec une belle police par défaut (Calibri de mémoire), une palette de couleur adéquate (variante de tons sur quelques couleurs) et un accès aux styles plus évident (apercu du style dans l'interface et changement à vue du style de la sélection dans la page quand on parcourt les styles)
Sous libre office, c'est toujours les outils de formattage (gras, souligné, police, etc…) qui sont mis en avant dans l'interface et le néophyte n'est pas du tout encouragé à utiliser les styles. Pourquoi?
La palette de couleur de base tout comme les styles par défaut sont horribles
Qui écrit en police serif et en couleur Bordeaux? (tout en ayant les titres en sans serif, beaurk)
[^] # Re: Et le Expanded Malware Protection?
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie de Firefox 40. Évalué à 3.
Mea culpa.
[^] # Re: Et le Expanded Malware Protection?
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie de Firefox 40. Évalué à 4.
C'est ce à quoi je faisais allusion dans mon premier commentaire.
Ca c'est le système anti-phishing and anti-malware des sites webs et pas des fichiers téléchargés.
D'où l’ambiguïté de savoir si le nouveau système sur les fichiers téléchargés fonctionne aussi avec des listes noires, mais apparemment non.
[^] # Re: Et le Expanded Malware Protection?
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie de Firefox 40. Évalué à 6.
Iceweasel 38 vient d'arriver dans stable. Pas de Pocket, pas de Hello.
Donc je suppose que si tu es sur Debian, ce genre de truc est désactivé sans que tu t'en préoccupes.
# Et le Expanded Malware Protection?
Posté par tuxicoman (site web personnel) . En réponse à la dépêche Sortie de Firefox 40. Évalué à 3. Dernière modification le 13 août 2015 à 01:23.
Dans la version 40 il y a aussi ca : https://blog.mozilla.org/security/2015/08/11/expanded-malware-protection-in-firefox/
Et ce n'est pas expliqué si la liste de tous les fichiers qu'on télécharge est envoyée à Google ou si une liste noire des mauvais logiciels est téléchargée depuis les serveurs Google et la comparaison faite en local (comme pour les mauvaises URLs si j'ai bien compris)
Car bon, c'est activé par défaut. On a vu mieux pour protéger notre vie privée.
[^] # Re: Iceweasel sur Debian Stable
Posté par tuxicoman (site web personnel) . En réponse au journal Faille critique sous Firefox: faut-il changer ses mots de passe?. Évalué à 1.
Lol : https://packages.qa.debian.org/i/iceweasel.html
La 38.2 vient d'être poussée dans les mises à jour de sécu de la Stable.
[^] # Re: Iceweasel sur Debian Stable
Posté par tuxicoman (site web personnel) . En réponse au journal Faille critique sous Firefox: faut-il changer ses mots de passe?. Évalué à 2.
Lol : https://packages.qa.debian.org/i/iceweasel.html
La 38.2 vient d'être poussée dans les mises à jour de sécu de la Stable.
# Iceweasel sur Debian Stable
Posté par tuxicoman (site web personnel) . En réponse au journal Faille critique sous Firefox: faut-il changer ses mots de passe?. Évalué à 5.
Ca sent l'update de 31.8 à 38.1.1
L'embêtant, c'est que ca risque de prendre quelques jours.
En attendant, il faut mettre pdfjs.disabled à true dans about:config
# Et sinon ca marche?
Posté par tuxicoman (site web personnel) . En réponse au journal Aidez à tester la bêta de Privacy Badger 1.0 pour Firefox. Évalué à 5. Dernière modification le 26 juillet 2015 à 21:25.
J'avais fait un comparatif des solutions pour éviter le pistage à un moment donné : et le résultat n'était pas très glorieux. Peu de traqueurs étaient décelés.
Lightbeam me semble un bon outil pour vérifier ce qui marche ou pas.
Finalement, Request Policy + Noscript + self destructing cookies est la solution que j'utilise au quotidien. (C'est un peu complexe sur les sites qui ont beaucoup de contenus externes, mais ce sont aussi les sites les plus pourris qu'il faudrait refuser d'utiliser en fait)