J'ai déjà donné quelques avis sur le sujet, https partout tout le temps c'est quand même bien con !
C'est la porte ouverte à l'obsolescence par https !
Situation déjà existante que vous pouvez donc tester : prenez un serveur HP équipé de iLO3 et vous ne pourrez pas vous connecter sur l'interface de gestion à moins de ruser comme un sioux.
Alors oui https c'est super bien blablablabla mais c'est aussi la mort pour les vieux équipements dont la seule porte d'entrée est https (ssl 1.0) et plus le temps passe et plus ça concernera de matériels divers et variés.
Ça vaut pour des photocopieurs, des switchs, des serveurs, des routeurs, des AP wifi, etc. etc. etc.
Je reste donc militant pour avoir un fallback d'accès en http ! na !
Tu as un très vieux matos, OK, rien ne t’empêche de garder un vieux Firefox aussi et le lancer en connaissance de cause que c'est pas top top pour ce cas, sans que tu emmerdes la planète entière à avoir plus sécurisé (car en pratique si on supprime pas pour Mr tout le monde, en face ça ne bouge pas même quand ça peut).
Ce n'est pas par plaisir que TLS 1.0 (j'ose espérer que tu ne penses pas vraiment à SSL 1.0) est retiré, c'est qu'il a des failles et que des gens ne bougent pas tant qu'on ne le vire pas des navigateur de la majorité et que pas de chance si on garde TLS 1.0 ça permet parfois de casser du TLS 1.2 (et plus?) en forçant à passer en version inférieure. TLS 1.2 semble tenir le coup pour le moment, donc pas près d'être retiré.
Je reste donc militant pour avoir un fallback d'accès en http ! na !
Et d'autres diront, en expliquant pourquoi, pourquoi c'est une très mauvaise idée et que c'est "la moins pire des solutions" qui a été choisie.
Et que passer sur du iLO3 en HTTP, c'est heu… On est de nos jours rarement en circuit fermé, les gens peuvent conclurent vite sur le soucis, le monde a changé depuis.
Posté par Typhlos .
Évalué à 4.
Dernière modification le 04 mai 2023 à 11:02.
Je ne suis pas d'accord dans le sens où https n'est pas le responsable de cette obsolescence. Le responsable est le constructeur qui n'a pas fait les mises à jour pour supporter les nouvelles versions de TLS.
On ne change pas de version de TLS tous les 4 matins et à chaque fois, il y a une période pour faire la bascule qui me semble raisonnable : dans l'exemple de TLS 1.0, il a été publié en 1999 et son support a été abandonné par Firefox en 2020 (Firefox 74). TLS 1.1 a lui été publié en 2006 et abandonné en même temps. Et ça a été annoncé en 2018. TLS 1.2, qui lui est toujours supporté, a été publié en 2008. TLS 1.3 a presque 5 ans puisqu'il a été publié en 2018.
Les constructeurs ont donc largement le temps de supporter les nouvelles versions de TLS avant que les anciennes versions ne soient abandonnées : 14 ans entre la publication de TLS 1.2 et l'abandon de TLS 1.0 et 1.1.
Donc parler de ne pas garder le support de SSLv1 (publié il y a presque 30 ans en 1994 !) comme raison de l'obsolescence ne me paraît pas correct.
T'as une machine qui ne fait que de l'IPv6 et du TLS 1.3, qui fait relai vers un conteneur qui fait 6-to-4, pour un autre serveur qui ne fait que du TLS 1.2, qui fait relai vers un pod dans Kubernetes qui ne fait que du TLS 1.1, qui renvoie vers un Raspberry qui ne fait que HTTP 0.9 sur TLS 1.0 sans SNI, qui renvoie vers ton ILO3. Simple quoi. Comme ça tu peux accéder en IPV6 et TLS 1.3 à ton ILO3, celle qui protège ta Slackware d'origine pour le concours d'uptime.
Ça tombe bien SSL v1.0 n'a jamais été mis en œuvre ;-)
Haaaaaaa y en a au moins un qui a vu le troll :-)
Plus sérieusement, oui il est question d'un "logiciel" qui bride un "matériel" et le débat est sans fin.
Oui le constructeur devrait à minima ouvrir ses spec lorsqu’il retire son matériel de la liste du matériel qu'il "supporte", mais ça ne changera finalement pas grand-chose car les gens impactés par ces vieux matériels sont rarement en mesure de développer eux-mêmes des upgrades des logiciels embarqués. Mais ça serait déjà une grosse avancée.
Alors oui pour répondre à zenitram "je" peux conserver un firefox 1.0 sur un super vieux OS de l'époque. Mais "je" ne suis pas la cible de ma remarque.
La "cible" de ma remarque ce sont toutes ces personnes qui ne peuvent prétendre à du matériel moderne pour des questions idiotes qu'on appelle bien souvent "argent" (mais qui est plus largement l'accès à la technologie où je fait d'être dans un pays où il "faut faire avec") et qui se retrouvent donc avec des photocopieurs fonctionnels mais qui ont 20 ans + des switchs de l'époque, des routeurs délavés mais qui marchent et permettent de faire des choses … aussi incroyable que ça puisse être.
Je n'ose même pas parler d'une certaine forme de solidarité entre les bipèdes qui habitent la planète mais moi oui ça me déchire de constater que parce que c'est mieux pour vous on vous empêche d'accéder à l'interface d'admin d'un routeur tout simplement parce que sa stack https est obsolète. Alors que le même matériel accessible en http serait … utilisé et rendrait donc service.
Alors voilà, continuons à mettre à la décharge des matériels qui marchent mais qui ne sont plus pilotables. Monde absurde.
Un peu de lecture ? je crois avoir vu passer ça sur linuxfr il n'y a pas si longtemps:
Ça ne fait pas un certain écho ? Si vous ne voyez pas le lien alors je comprends que vous ne suiviez pas mon résonnement, je ne vous en veux pas pour autant :-)
C'est pas un problème pour ceux-la, puisque tout ce qu'ils ont est obsolète.
Sinon, Linux fonctionne très bien sur de vieux ordinateurs, donc ça permet quand même à certains d'être à jour au niveau technologique.
Avoir des routeurs qui sont accessibles uniquement en réduisant la sécurité, c'est un gros problème. Un jour, ce routeur ne fonctionnera pas, ou bien servira à détourner des informations, ou a espionner… chacun ses choix.
Éventuellement ajouter devant le routeur un tout petit routeur moderne avec OpenWRT dessus qui servira d'intermédiaire… par exemple…
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Concernant le Linux sur du vieux matériel, c'était pour répondre au fait qu'ils ont des équipements anciens, et pas les fonds pour tout remplacer.
le principal problème, c'est l'obsoléscence des vieux équipements réseaux. Mais je vois mal comment il peut à la fois y avoir un soucis de budget d'un côté mais pas de soucis concernant la consommation électrique d'un autre côté. D'autre part, il y a maintenant plein de logiciels libres que l'on peut installer sur des routeurs, et ça fait parfaitement le travail, sans dépendre d'un constructeur.
Et, ces routeurs peuvent être remplacés par des PC standards.
Si les besoins en bande passante dépassent ce que peuvent faire les routeurs virtuels dans une machine standard, c'est qu'il y a un problème dans l'élaboration du budget et des consommateurs.
C'est un peu comme ceux qui râlent sur Gmail, mais préfèrent quand même le garder parce que c'est gratuit (ou presque, vu qu'on paye avec les données personnelles)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Sinon, un fallback en accès hors réseau, c’est très bien : ça permet d’accéder au matériel sans avoir à exposer un accès non sécurisé au matériel sur le réseau. Bon, c’est un peu plus pénible parce qu’il faut aller sur place, mais ça dépanne.
En fait, c’est probablement déjà en place sur tous les matériels de ta liste – sauf peut-être les AP Wifi et certains switches managés mal conçus.
un simple site Web dans un Intranet ne peut pas s'offrir un certificat X.509…
Hein? Gratuit c'est trop cher?
Apparemment, personne ne parle d'intranet.
Parce que dans 99.999% des cas il y a une connexion vers l'extérieur en vrai. Ça peut être juste la clé USB vérolée sur le PC du voisin sur le même intranet…
Cette façon de différencier est considérée comme obsolescente depuis plus de 20 ans.
On fait comment pour faire obtenir un certificat d'un nom de domaine qui pointe vers une IP privée? Moi j'avais compris qu'il fallait que le serveur relié au domaine soit accessible depuis une IP publique afin que l'autorité de certification puisse vérifier à qui appartient le domaine.
Ou tu te fais ta propre CA, ce qui n'a rien de spécialement compliqué et permet beaucoup de choses (comme de l'authentification par certificat de chaque utilisateur, des certificats pour signer et d'autres pour chiffrer les courriels internes, des certificats clients pour authentifier les machines et éviter d'avoir un annuaire lisible par tout le monde, etc.), de la signature numérique de documents, etc.
Bin non, en effet, ou ça ne devrait pas l'être.
Si déployer un simple certificat sur un parc de machines est compliqué, c'est qu'il y a un problème d'admin sys.
La boîte est grosse, et on vient à peine d'avoir une PKI interne. L'accès est verrouillé, donc pour avoir un certificat, c'est compliqué. Quand on veut monter son site vite fait en interne, c'est pas jouable de compter sur un certificat valable sur tous les périphériques de l'entreprise.
La boîte est grosse, et on vient à peine d'avoir une PKI interne.
Grosse du genre à ne pas voir de problème pour installer des certificats sur toutes leur machines pour que leur proxy puisse déchiffrer à la cool tout le trafic ?
C'est vraiment une question de volonté. On voit depuis des décennies des grandes entreprises faire un peu n'imp' avec TLS, mais quand il ne s'agit pas de surveiller ce que font leurs employés ça devient compliquer de créer une PKI.
Une PKI c'est techniquement simple et très documenté. Ne pas en faire relève d'un choix. À chacun de prendre ses responsabilités. Les choix fait de s'autoriser de la dette technique n'a pas à peser sur l'ensemble des utilisateurs dans le monde.
Posté par rycks .
Évalué à 7.
Dernière modification le 04 mai 2023 à 18:44.
Bon,
ça y est je suis un vieux con … alors je vais donner des exemple concrets d'endroits où c'est un problème:
maison de quartier, maison des jeunes, espace associatif où on bricole des vieux équipements mais c'est justement le but d'apprendre et de se former en dehors de toute école vu que le monde scolaire ne veut pas de nous (car nous sommes trop vieux, trop con, trop grand, trop chauves, trop maladaptés, ou pas assez …) et là oui un vieux HP avec iLO3 permet d'ouvrir des connaissances de dingue
intranet sans aucune connexion internet, maison d'arrêt (prison), centre de rééducation, certains "sous réseaux" de maisons familiales et rurales, intranet de certaines écoles, lieux contraints divers et variés
espaces clos non connectés aussi drôle que ça puisse être parfois même pour des raisons de sécurité (labo divers)
lieux de vies lointains (pas forcément au milieu de la brousse hein, ça peut être en haute montagne, au fond d'une vallée, ici ou ailleurs)
etc.
Et attention vieux matos ne veut pas dire vieux logiciels : et c'est bien le noeud du problème. Exemple : je fais des formations sur des HP équipés de iLO3 depuis un ordinateur tout à fait récent (quelques années à peine) lequel est équipé d'un firefox up-to-date …
J'espère simplement apporter un regard sur une réalité différente, n'oublions pas les autres, l'informatique aussi peut-être solidaire et humaniste.
alors je vais donner des exemple concrets d'endroits où c'est un problème:
Encore une fois : la dépreciation n'est pas faite pour le plaisir d'embêter mais parce qu'il y a un problème de sécurité.
Et des gens connaissant plus que toi ou moins ont pesé le pour et le contre ont estimé que les emmerdes dont tu parles ont un poids moindre que les risques de sécurité.
Tu peux te croire plus intelligent que le consensus IETF, je t'invite à convaincre les autres et faire une RFC qui annule la RFC qui déprécie TLS 1.0 et 1.1, tu es intelligent tu arriveras à convaincre les gens au fait de la sécurité.
Rappelons que ce qui est déprécié et viré actuellement est TLS 1.0 et 1.1 (et les SSL), pas HTTP qui marche toujours, donc on ne parle pas du tout des gens qui son sur un réseau sûr au bout du monde, ils peuvent toujours utiliser HTTP même avec le dernier Firefox, le site en lien est pour le fun pour le futur très lointain, sans gêner tes exemples.
l'informatique aussi peut-être solidaire et humaniste.
ça veut dire ne pas laisser les gens avec des problèmes de sécurité, pas de les laisser avec une solution facile mais plus sécurisée, ça c'est pour se donner bonne conscience à peu de frais.
Et la solidarité et l'humanisme ne disent absolument pas de laisser 99% des gens pas en sécurité pour garder un truc pour un petit pourcent qui pose soucis.
Dire "solidaire et humaniste" est la facilité pour ne pas chercher à comprendre ce que te disent les gens qui connaissent mieux que toi.
Posté par rycks .
Évalué à 10.
Dernière modification le 04 mai 2023 à 22:42.
Rappelons que ce qui est déprécié et viré actuellement est TLS 1.0 et 1.1 (et les SSL), pas HTTP qui marche toujours, donc on ne parle pas du tout des gens qui son sur un réseau sûr au bout du monde, ils peuvent toujours utiliser HTTP même avec le dernier Firefox, le site en lien est pour le fun pour le futur très lointain, sans gêner tes exemples.
Mais relis moi … je demande à ce que http perdure, je ne demande pas à ce que tls1.0 soit accepté en 2050. Non je demande à ce qu'en 2050 je puisse encore me connecter à l'interface d'admin du photocopieur, du point d'accès wifi, de la console de gestion d'un serveur etc.
Je prends l'exemple de l'abandon des stack pourries de ssl/tls pour éclairer la situation.
L'abandon de http est pour moi une erreur profonde qui exclu de fait du monde, beaucoup de monde et pousse à la poubelle du matos.
Le https-only everywhere est d'après moi une bêtise et oui quand on décide à ma place de ce qui est mieux pour moi j'ose dire que ce qui est bon pour certains ne l'est pas forcément pour tout le monde.
J'ai marqué dans mon 1er message "un fallback sur http" serait bienvenu et je maintiens cette position.
https ne marche pas ? http marche ? "super*" !
ssh ne marche pas ? telnet marche ? "super*" !
dnssec ne marche pas ? dns marche ? "super*" !
wpa-psk ne marche pas ? wifi open marche ? "super*" !
etc.
= super je peux encore faire des choses, ça peut aussi se faire hacker. J'ai une vielle bagnole sans abs, sans airbag, sans clim, sans radar de recul, sans boite auto mais elle me permet encore d'aller faire mes courses, d'aller chez le docteur, etc. je suis moins en sécurité dans cette vielle bagnole mais je n'ai pas les moyens d'en avoir une autre et elle rends encore sacrément service … c'est pareil pour bon nombre de publics avec un vieux photocopieur, un vieux serveur etc.
Et n'allez me faire dire que je suis contre tls and co … être en mesure de basculer sur un protocole non sécurisé ne dit pas que je suis contre ledit protocole sécurisé (et à jour).
Solidaire et humaniste c'est de ne pas se dire que le 1% ne vaut pas la peine qu'on se soucie d'eux … 1% c'est rien après tout ?
= super je peux encore faire des choses, ça peut aussi se faire hacker. J'ai une vielle bagnole sans abs, sans airbag, sans clim, sans radar de recul, sans boite auto mais elle me permet encore d'aller faire mes courses, d'aller chez le docteur, etc. je suis moins en sécurité dans cette vielle bagnole mais je n'ai pas les moyens d'en avoir une autre et elle rends encore sacrément service … c'est pareil pour bon nombre de publics avec un vieux photocopieur, un vieux serveur etc.
Bon exemple que la bagnole : depuis un moment on a ajouté un contrôle technique pour éviter que des gens qui pensent que "elle roule encore donc ça va" se fassent tuer ou tuent avec.
Même critique possible "les plus pauvres" etc (ne parlons pas des motards qui se la pètent et qu'il ne faudrait pas toucher à leur femme, euh pardon à leur engin, bon eux pour l'instant en France on les laisse certes).
Et je suis tout autant d'accord sur virer les voitures qui ne passent pas le contrôle technique et qu'on ne veut/peut pas faire évoluer (réparer ce qui merde) même si ça exclut des "pauvres" (comme pour l'informatique, il faut vite parler de ça, les pauvres n'ont pas de voiture ni de vieux serveur, ils sont occupés à autre chose) car c'est pour le bien commun (tiens, les gens ici parlent souvent du bien commun… Mais il semble y avoir des exceptions pour quand ça ne va pas dans le "bon" sens).
Merci pour l'argument qui conforte encore plus ma position sur le sujet.
je demande à ce que http perdure,
Je te rassure donc tout de suite : à part pour plaisanter et du très long terme, je ne connais personne qui veut tuer HTTP la maintenant (une raison pratique sans doute, c'est que contrairement à TLS 1.0 et 1.1 garder HTTP ne réduit pas la sécurité de TLS 1.2+, donc bien moins gênant, on peut garder en affichant que ça pue mais que c'est faisable), il faut par contre s'y préparer maintenant pour que dans 10 ou 20 ans on puisse le faire (ou que ça devienne un très très grosse exception), et donc il faut en parler maintenant pour que ce soit prêt et qu'il ne reste que peu de truc HTTP seul, même si on se prend des gens qui pensent on ne sait trop comment que en parler maintenant signifierait le faire maintenant.
Bref, pour le moment on affiche juste "ton truc n'est pas du tout sécurisé, tu sais" et on fait une blague avec le site "rip". Le temps de virer, du moins par défaut, HTTP n'est pas encore venu, car il ne pose pas encore de problème de sécurité au bien commun, mais vaut mieux être prêt au cas où ça pose problème un jour.
Posté par rycks .
Évalué à 5.
Dernière modification le 05 mai 2023 à 10:12.
Merci pour l'argument qui conforte encore plus ma position sur le sujet.
Et qui me conforte à penser que vous avez une vue très étroite du monde, la France n'est pas le centre du monde.
Le http/https imposé à l'ensemble des humains est un problème bien plus vaste.
Que chez toi dans ta France il te soit "interdit" d'utiliser une vieille r5 sur les routes officielles (mais que techniquement tu peux encore faire tourner pour peu d'avoir du carburant compatible) pourquoi pas … mais tu ne veux quand même pas rendre impossible son usage à un Malgache ? une Cambodgienne, un Thaï, une Mexicaine, un Péruvien ?
De même que monter à 3/4/5 sur une moto sans casque pour aller travailler sur le chantier.
Donc oui mon exemple de la voiture est tout a fait correct pour illustrer le problème.
C'est ça la réalité, rendre inaccessible un matériel informatique qui ne propose qu'un accès https (donc non pérenne) c'est empêcher son utilisation pour des raisons que je trouve absurdes.
Vraiment ouvrez les yeux et changez de nombril :-)
Que chez toi dans ta France il te soit "interdit" d'utiliser une vieille r5 sur les routes officielles (mais que techniquement tu peux encore faire tourner pour peu d'avoir du carburant compatible) pourquoi pas … mais tu ne veux quand même pas rendre impossible son usage à un Malgache ? une Cambodgienne, un Thaï, une Mexicaine, un Péruvien ?
En l'occurence, pour y avoir passé un peu plus d'1 mois dernièrement, il y a certe de grosses épaves qui roulent au Mexique [1][2] mais le gros du problème, c'est que c'est encore totalement normalisé de rouler bourré comme un âne mort[3][4], que les infras sont merdiques et que beaucoup de chauffeurs de poids lourds (parfois doubles remorques d'environ 70tonnes) carburent à diverses drogues et roulent souvent en excès de vitesse.
[1] j'ai même vu une nissan qui avait manifestement fait plusieurs tonneaux, n'avait plus aucune vitre ou rétroviseur fonctionnel, ni de silencieux d'échappement.
[2] Ils ont supposément un contrôle technique, mais tout se fraude avec quelques billets.
[3] la situation sécuritaire fait aussi que de nombreuses femmes ne vont pas prendre le bus, un taxi officiel ou même un Uber non accompagnées, et encore moins de nuit.
[4] et urbanisme fait pour le tout à la bagnole qui rend compliquée toute utilisation de transports en commun.
Et c'est juste un exemple. Je n'ai pas du tout envie qu'il y ait un certificat.
Idem, pour me connecter sur une machine sur le réseau local… en toutes connaissances de cause.
Par contre, ce serait bien que dans les navigateurs il ne soit pas possible de scanner le réseau local avec Javascript (je n'ai pas le lien, désolé) depuis n'importe quel site web.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Moué ben perso je pense que http devrait survivre !
Posté par rycks . Évalué à 9.
J'ai déjà donné quelques avis sur le sujet, https partout tout le temps c'est quand même bien con !
C'est la porte ouverte à l'obsolescence par https !
Situation déjà existante que vous pouvez donc tester : prenez un serveur HP équipé de iLO3 et vous ne pourrez pas vous connecter sur l'interface de gestion à moins de ruser comme un sioux.
Alors oui https c'est super bien blablablabla mais c'est aussi la mort pour les vieux équipements dont la seule porte d'entrée est https (ssl 1.0) et plus le temps passe et plus ça concernera de matériels divers et variés.
Ça vaut pour des photocopieurs, des switchs, des serveurs, des routeurs, des AP wifi, etc. etc. etc.
Je reste donc militant pour avoir un fallback d'accès en http ! na !
eric.linuxfr@sud-ouest.org
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Zenitram (site web personnel) . Évalué à -3.
Tu as un très vieux matos, OK, rien ne t’empêche de garder un vieux Firefox aussi et le lancer en connaissance de cause que c'est pas top top pour ce cas, sans que tu emmerdes la planète entière à avoir plus sécurisé (car en pratique si on supprime pas pour Mr tout le monde, en face ça ne bouge pas même quand ça peut).
Ce n'est pas par plaisir que TLS 1.0 (j'ose espérer que tu ne penses pas vraiment à SSL 1.0) est retiré, c'est qu'il a des failles et que des gens ne bougent pas tant qu'on ne le vire pas des navigateur de la majorité et que pas de chance si on garde TLS 1.0 ça permet parfois de casser du TLS 1.2 (et plus?) en forçant à passer en version inférieure. TLS 1.2 semble tenir le coup pour le moment, donc pas près d'être retiré.
Et d'autres diront, en expliquant pourquoi, pourquoi c'est une très mauvaise idée et que c'est "la moins pire des solutions" qui a été choisie.
Et que passer sur du iLO3 en HTTP, c'est heu… On est de nos jours rarement en circuit fermé, les gens peuvent conclurent vite sur le soucis, le monde a changé depuis.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Typhlos . Évalué à 4. Dernière modification le 04 mai 2023 à 11:02.
Je ne suis pas d'accord dans le sens où https n'est pas le responsable de cette obsolescence. Le responsable est le constructeur qui n'a pas fait les mises à jour pour supporter les nouvelles versions de TLS.
On ne change pas de version de TLS tous les 4 matins et à chaque fois, il y a une période pour faire la bascule qui me semble raisonnable : dans l'exemple de TLS 1.0, il a été publié en 1999 et son support a été abandonné par Firefox en 2020 (Firefox 74). TLS 1.1 a lui été publié en 2006 et abandonné en même temps. Et ça a été annoncé en 2018. TLS 1.2, qui lui est toujours supporté, a été publié en 2008. TLS 1.3 a presque 5 ans puisqu'il a été publié en 2018.
Les constructeurs ont donc largement le temps de supporter les nouvelles versions de TLS avant que les anciennes versions ne soient abandonnées : 14 ans entre la publication de TLS 1.2 et l'abandon de TLS 1.0 et 1.1.
Donc parler de ne pas garder le support de SSLv1 (publié il y a presque 30 ans en 1994 !) comme raison de l'obsolescence ne me paraît pas correct.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
T'as une machine qui ne fait que de l'IPv6 et du TLS 1.3, qui fait relai vers un conteneur qui fait 6-to-4, pour un autre serveur qui ne fait que du TLS 1.2, qui fait relai vers un pod dans Kubernetes qui ne fait que du TLS 1.1, qui renvoie vers un Raspberry qui ne fait que HTTP 0.9 sur TLS 1.0 sans SNI, qui renvoie vers ton ILO3. Simple quoi. Comme ça tu peux accéder en IPV6 et TLS 1.3 à ton ILO3, celle qui protège ta Slackware d'origine pour le concours d'uptime.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Typhlos . Évalué à 3. Dernière modification le 05 mai 2023 à 12:05.
Bah voilà, c'est pourtant pas compliqué !
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par rycks . Évalué à 5.
Haaaaaaa y en a au moins un qui a vu le troll :-)
Plus sérieusement, oui il est question d'un "logiciel" qui bride un "matériel" et le débat est sans fin.
Oui le constructeur devrait à minima ouvrir ses spec lorsqu’il retire son matériel de la liste du matériel qu'il "supporte", mais ça ne changera finalement pas grand-chose car les gens impactés par ces vieux matériels sont rarement en mesure de développer eux-mêmes des upgrades des logiciels embarqués. Mais ça serait déjà une grosse avancée.
Alors oui pour répondre à zenitram "je" peux conserver un firefox 1.0 sur un super vieux OS de l'époque. Mais "je" ne suis pas la cible de ma remarque.
La "cible" de ma remarque ce sont toutes ces personnes qui ne peuvent prétendre à du matériel moderne pour des questions idiotes qu'on appelle bien souvent "argent" (mais qui est plus largement l'accès à la technologie où je fait d'être dans un pays où il "faut faire avec") et qui se retrouvent donc avec des photocopieurs fonctionnels mais qui ont 20 ans + des switchs de l'époque, des routeurs délavés mais qui marchent et permettent de faire des choses … aussi incroyable que ça puisse être.
Je n'ose même pas parler d'une certaine forme de solidarité entre les bipèdes qui habitent la planète mais moi oui ça me déchire de constater que parce que c'est mieux pour vous on vous empêche d'accéder à l'interface d'admin d'un routeur tout simplement parce que sa stack https est obsolète. Alors que le même matériel accessible en http serait … utilisé et rendrait donc service.
Alors voilà, continuons à mettre à la décharge des matériels qui marchent mais qui ne sont plus pilotables. Monde absurde.
Un peu de lecture ? je crois avoir vu passer ça sur linuxfr il n'y a pas si longtemps:
https://linuxfr.org/users/olivedeparis/liens/politique-de-l-absurde-le-numerique-et-l-acces-aux-droits-sociaux
Ça ne fait pas un certain écho ? Si vous ne voyez pas le lien alors je comprends que vous ne suiviez pas mon résonnement, je ne vous en veux pas pour autant :-)
eric.linuxfr@sud-ouest.org
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par GG (site web personnel) . Évalué à 1.
C'est pas un problème pour ceux-la, puisque tout ce qu'ils ont est obsolète.
Sinon, Linux fonctionne très bien sur de vieux ordinateurs, donc ça permet quand même à certains d'être à jour au niveau technologique.
Avoir des routeurs qui sont accessibles uniquement en réduisant la sécurité, c'est un gros problème. Un jour, ce routeur ne fonctionnera pas, ou bien servira à détourner des informations, ou a espionner… chacun ses choix.
Éventuellement ajouter devant le routeur un tout petit routeur moderne avec OpenWRT dessus qui servira d'intermédiaire… par exemple…
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par rycks . Évalué à 7.
Belle contradiction dans deux paragraphes qui se suivent:
ok donc le firefox obsolète pourra se connecter avec le vieux ssl du matos
et voilà : comment faire donc avec ton linux à jour pour te connecter sur un équipement dont le ssl n'est plus accepté par ton linux à jour ?
Et une projection à + 10 ans ?
eric.linuxfr@sud-ouest.org
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par GG (site web personnel) . Évalué à 3.
Concernant le Linux sur du vieux matériel, c'était pour répondre au fait qu'ils ont des équipements anciens, et pas les fonds pour tout remplacer.
le principal problème, c'est l'obsoléscence des vieux équipements réseaux. Mais je vois mal comment il peut à la fois y avoir un soucis de budget d'un côté mais pas de soucis concernant la consommation électrique d'un autre côté. D'autre part, il y a maintenant plein de logiciels libres que l'on peut installer sur des routeurs, et ça fait parfaitement le travail, sans dépendre d'un constructeur.
Et, ces routeurs peuvent être remplacés par des PC standards.
Si les besoins en bande passante dépassent ce que peuvent faire les routeurs virtuels dans une machine standard, c'est qu'il y a un problème dans l'élaboration du budget et des consommateurs.
C'est un peu comme ceux qui râlent sur Gmail, mais préfèrent quand même le garder parce que c'est gratuit (ou presque, vu qu'on paye avec les données personnelles)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Psychofox (Mastodon) . Évalué à 10.
Je crois que ce que le monde a besoin, ce sont des firmwares que tout un chacun peut flasher et dont les sources sont ouvertes.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 6.
Sinon, un fallback en accès hors réseau, c’est très bien : ça permet d’accéder au matériel sans avoir à exposer un accès non sécurisé au matériel sur le réseau. Bon, c’est un peu plus pénible parce qu’il faut aller sur place, mais ça dépanne.
En fait, c’est probablement déjà en place sur tous les matériels de ta liste – sauf peut-être les AP Wifi et certains switches managés mal conçus.
La connaissance libre : https://zestedesavoir.com
# Intranet
Posté par Glandos . Évalué à 4.
Apparemment, personne ne parle d'intranet.
Je sais que le Zero Trust, c'est la nouvelle bible, mais des fois, un simple site Web dans un Intranet ne peut pas s'offrir un certificat X.509…
[^] # Re: Intranet
Posté par Zenitram (site web personnel) . Évalué à 3.
Hein? Gratuit c'est trop cher?
Parce que dans 99.999% des cas il y a une connexion vers l'extérieur en vrai. Ça peut être juste la clé USB vérolée sur le PC du voisin sur le même intranet…
Cette façon de différencier est considérée comme obsolescente depuis plus de 20 ans.
[^] # Re: Intranet
Posté par ted (site web personnel) . Évalué à 4.
On fait comment pour faire obtenir un certificat d'un nom de domaine qui pointe vers une IP privée? Moi j'avais compris qu'il fallait que le serveur relié au domaine soit accessible depuis une IP publique afin que l'autorité de certification puisse vérifier à qui appartient le domaine.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Intranet
Posté par claudex . Évalué à 10.
Soit tu as une CA internet, soit tu utilise une validation qui ne demande pas un accès, comme avec un nom DNS: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Intranet
Posté par flan (site web personnel) . Évalué à 6.
Ou tu te fais ta propre CA, ce qui n'a rien de spécialement compliqué et permet beaucoup de choses (comme de l'authentification par certificat de chaque utilisateur, des certificats pour signer et d'autres pour chiffrer les courriels internes, des certificats clients pour authentifier les machines et éviter d'avoir un annuaire lisible par tout le monde, etc.), de la signature numérique de documents, etc.
[^] # Re: Intranet
Posté par flagos . Évalué à -1.
C'est vrai que ca n'a rien de complique d'aller installer le certificat sur chacune des machines de la boite…
[^] # Re: Intranet
Posté par flan (site web personnel) . Évalué à 5.
Bin non, en effet, ou ça ne devrait pas l'être.
Si déployer un simple certificat sur un parc de machines est compliqué, c'est qu'il y a un problème d'admin sys.
[^] # Re: Intranet
Posté par Glandos . Évalué à 1.
Non, c'est une IP privée.
La boîte est grosse, et on vient à peine d'avoir une PKI interne. L'accès est verrouillé, donc pour avoir un certificat, c'est compliqué. Quand on veut monter son site vite fait en interne, c'est pas jouable de compter sur un certificat valable sur tous les périphériques de l'entreprise.
[^] # Re: Intranet
Posté par barmic 🦦 . Évalué à 8.
Grosse du genre à ne pas voir de problème pour installer des certificats sur toutes leur machines pour que leur proxy puisse déchiffrer à la cool tout le trafic ?
C'est vraiment une question de volonté. On voit depuis des décennies des grandes entreprises faire un peu n'imp' avec TLS, mais quand il ne s'agit pas de surveiller ce que font leurs employés ça devient compliquer de créer une PKI.
Une PKI c'est techniquement simple et très documenté. Ne pas en faire relève d'un choix. À chacun de prendre ses responsabilités. Les choix fait de s'autoriser de la dette technique n'a pas à peser sur l'ensemble des utilisateurs dans le monde.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Intranet
Posté par Psychofox (Mastodon) . Évalué à 5.
Let's encrypt.
# Vision du monde ...
Posté par rycks . Évalué à 7. Dernière modification le 04 mai 2023 à 18:44.
Bon,
ça y est je suis un vieux con … alors je vais donner des exemple concrets d'endroits où c'est un problème:
Et attention vieux matos ne veut pas dire vieux logiciels : et c'est bien le noeud du problème. Exemple : je fais des formations sur des HP équipés de iLO3 depuis un ordinateur tout à fait récent (quelques années à peine) lequel est équipé d'un firefox up-to-date …
J'espère simplement apporter un regard sur une réalité différente, n'oublions pas les autres, l'informatique aussi peut-être solidaire et humaniste.
eric.linuxfr@sud-ouest.org
[^] # Re: Vision du monde ...
Posté par Zenitram (site web personnel) . Évalué à 1.
Encore une fois : la dépreciation n'est pas faite pour le plaisir d'embêter mais parce qu'il y a un problème de sécurité.
Et des gens connaissant plus que toi ou moins ont pesé le pour et le contre ont estimé que les emmerdes dont tu parles ont un poids moindre que les risques de sécurité.
Tu peux te croire plus intelligent que le consensus IETF, je t'invite à convaincre les autres et faire une RFC qui annule la RFC qui déprécie TLS 1.0 et 1.1, tu es intelligent tu arriveras à convaincre les gens au fait de la sécurité.
Rappelons que ce qui est déprécié et viré actuellement est TLS 1.0 et 1.1 (et les SSL), pas HTTP qui marche toujours, donc on ne parle pas du tout des gens qui son sur un réseau sûr au bout du monde, ils peuvent toujours utiliser HTTP même avec le dernier Firefox, le site en lien est pour le fun pour le futur très lointain, sans gêner tes exemples.
ça veut dire ne pas laisser les gens avec des problèmes de sécurité, pas de les laisser avec une solution facile mais plus sécurisée, ça c'est pour se donner bonne conscience à peu de frais.
Et la solidarité et l'humanisme ne disent absolument pas de laisser 99% des gens pas en sécurité pour garder un truc pour un petit pourcent qui pose soucis.
Dire "solidaire et humaniste" est la facilité pour ne pas chercher à comprendre ce que te disent les gens qui connaissent mieux que toi.
[^] # Re: Vision du monde ...
Posté par rycks . Évalué à 10. Dernière modification le 04 mai 2023 à 22:42.
Mais relis moi … je demande à ce que http perdure, je ne demande pas à ce que tls1.0 soit accepté en 2050. Non je demande à ce qu'en 2050 je puisse encore me connecter à l'interface d'admin du photocopieur, du point d'accès wifi, de la console de gestion d'un serveur etc.
Je prends l'exemple de l'abandon des stack pourries de ssl/tls pour éclairer la situation.
L'abandon de http est pour moi une erreur profonde qui exclu de fait du monde, beaucoup de monde et pousse à la poubelle du matos.
Le https-only everywhere est d'après moi une bêtise et oui quand on décide à ma place de ce qui est mieux pour moi j'ose dire que ce qui est bon pour certains ne l'est pas forcément pour tout le monde.
J'ai marqué dans mon 1er message "un fallback sur http" serait bienvenu et je maintiens cette position.
etc.
= super je peux encore faire des choses, ça peut aussi se faire hacker. J'ai une vielle bagnole sans abs, sans airbag, sans clim, sans radar de recul, sans boite auto mais elle me permet encore d'aller faire mes courses, d'aller chez le docteur, etc. je suis moins en sécurité dans cette vielle bagnole mais je n'ai pas les moyens d'en avoir une autre et elle rends encore sacrément service … c'est pareil pour bon nombre de publics avec un vieux photocopieur, un vieux serveur etc.
Et n'allez me faire dire que je suis contre tls and co … être en mesure de basculer sur un protocole non sécurisé ne dit pas que je suis contre ledit protocole sécurisé (et à jour).
Solidaire et humaniste c'est de ne pas se dire que le 1% ne vaut pas la peine qu'on se soucie d'eux … 1% c'est rien après tout ?
eric.linuxfr@sud-ouest.org
[^] # Re: Vision du monde ...
Posté par lolop (site web personnel) . Évalué à 3.
Surtout que pour les gens qui n'en veulent pas, pour de bonnes raisons de sécurité, il suffit qu'il soit désactivable.
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
[^] # Re: Vision du monde ...
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 05 mai 2023 à 09:23.
Bon exemple que la bagnole : depuis un moment on a ajouté un contrôle technique pour éviter que des gens qui pensent que "elle roule encore donc ça va" se fassent tuer ou tuent avec.
Même critique possible "les plus pauvres" etc (ne parlons pas des motards qui se la pètent et qu'il ne faudrait pas toucher à leur femme, euh pardon à leur engin, bon eux pour l'instant en France on les laisse certes).
Et je suis tout autant d'accord sur virer les voitures qui ne passent pas le contrôle technique et qu'on ne veut/peut pas faire évoluer (réparer ce qui merde) même si ça exclut des "pauvres" (comme pour l'informatique, il faut vite parler de ça, les pauvres n'ont pas de voiture ni de vieux serveur, ils sont occupés à autre chose) car c'est pour le bien commun (tiens, les gens ici parlent souvent du bien commun… Mais il semble y avoir des exceptions pour quand ça ne va pas dans le "bon" sens).
Merci pour l'argument qui conforte encore plus ma position sur le sujet.
Je te rassure donc tout de suite : à part pour plaisanter et du très long terme, je ne connais personne qui veut tuer HTTP la maintenant (une raison pratique sans doute, c'est que contrairement à TLS 1.0 et 1.1 garder HTTP ne réduit pas la sécurité de TLS 1.2+, donc bien moins gênant, on peut garder en affichant que ça pue mais que c'est faisable), il faut par contre s'y préparer maintenant pour que dans 10 ou 20 ans on puisse le faire (ou que ça devienne un très très grosse exception), et donc il faut en parler maintenant pour que ce soit prêt et qu'il ne reste que peu de truc HTTP seul, même si on se prend des gens qui pensent on ne sait trop comment que en parler maintenant signifierait le faire maintenant.
Bref, pour le moment on affiche juste "ton truc n'est pas du tout sécurisé, tu sais" et on fait une blague avec le site "rip". Le temps de virer, du moins par défaut, HTTP n'est pas encore venu, car il ne pose pas encore de problème de sécurité au bien commun, mais vaut mieux être prêt au cas où ça pose problème un jour.
[^] # Re: Vision du monde ...
Posté par rycks . Évalué à 5. Dernière modification le 05 mai 2023 à 10:12.
Et qui me conforte à penser que vous avez une vue très étroite du monde, la France n'est pas le centre du monde.
Le http/https imposé à l'ensemble des humains est un problème bien plus vaste.
Que chez toi dans ta France il te soit "interdit" d'utiliser une vieille r5 sur les routes officielles (mais que techniquement tu peux encore faire tourner pour peu d'avoir du carburant compatible) pourquoi pas … mais tu ne veux quand même pas rendre impossible son usage à un Malgache ? une Cambodgienne, un Thaï, une Mexicaine, un Péruvien ?
De même que monter à 3/4/5 sur une moto sans casque pour aller travailler sur le chantier.
Donc oui mon exemple de la voiture est tout a fait correct pour illustrer le problème.
C'est ça la réalité, rendre inaccessible un matériel informatique qui ne propose qu'un accès https (donc non pérenne) c'est empêcher son utilisation pour des raisons que je trouve absurdes.
Vraiment ouvrez les yeux et changez de nombril :-)
eric.linuxfr@sud-ouest.org
[^] # Re: Vision du monde ...
Posté par Jérôme FIX (site web personnel) . Évalué à 4.
Pourtant il faudrait peut être !
https://donnees.banquemondiale.org/indicateur/SH.STA.TRAF.P5?locations=KH-FR-TH-MG-MX-PE
[^] # Re: Vision du monde ...
Posté par Psychofox (Mastodon) . Évalué à 4.
En l'occurence, pour y avoir passé un peu plus d'1 mois dernièrement, il y a certe de grosses épaves qui roulent au Mexique [1][2] mais le gros du problème, c'est que c'est encore totalement normalisé de rouler bourré comme un âne mort[3][4], que les infras sont merdiques et que beaucoup de chauffeurs de poids lourds (parfois doubles remorques d'environ 70tonnes) carburent à diverses drogues et roulent souvent en excès de vitesse.
[1] j'ai même vu une nissan qui avait manifestement fait plusieurs tonneaux, n'avait plus aucune vitre ou rétroviseur fonctionnel, ni de silencieux d'échappement.
[2] Ils ont supposément un contrôle technique, mais tout se fraude avec quelques billets.
[3] la situation sécuritaire fait aussi que de nombreuses femmes ne vont pas prendre le bus, un taxi officiel ou même un Uber non accompagnées, et encore moins de nuit.
[4] et urbanisme fait pour le tout à la bagnole qui rend compliquée toute utilisation de transports en commun.
[^] # Re: Vision du monde ...
Posté par GG (site web personnel) . Évalué à 5. Dernière modification le 05 mai 2023 à 19:03.
D'ailleurs, j'apprécie de pouvoir visiter http://127.0.0.1:631
Et c'est juste un exemple. Je n'ai pas du tout envie qu'il y ait un certificat.
Idem, pour me connecter sur une machine sur le réseau local… en toutes connaissances de cause.
Par contre, ce serait bien que dans les navigateurs il ne soit pas possible de scanner le réseau local avec Javascript (je n'ai pas le lien, désolé) depuis n'importe quel site web.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.