Je comprends que la spec recommande aux clients d'accepter les certificats auto-signés comme parfaitement valides. Ce n'est pas une recommandation pour les serveurs.
J'ai toujours trouvé ça ridicule que pendant longtemps les navigateurs web mettent une alerte qui fait peur pour un certificat auto-signé, mais ne disent rien pour les sites en http (ça a évolué depuis, maintenant les navigateurs affichent des avertissement si tu envois un formulaire avec un mot de passe en HTTP).
Peut-être qu'il y a des fibres dans le tissus qui ne supportent pas le repassage. Pour tous les tissus un peu élastique, c'est souvent recommandé de ne pas repasser.
Alors ce qu'ils proposent, c'est comme tu le suggère un truc basé sur le bluetooth pour enregistrer les proximités, avec un service centralisé qui indiquent quels id ont été testés positifs. Avec des id temporaires, et du chiffrement pour éviter certains problème de vie privée ou de fausse déclaration.
Les lieux en sont pas enregistré, seulement les interactions supposés (2 appareils restés proches un certain temps).
Perso je ne pense pas que ça fonctionne car ça nécessite que tout le monde installe et utilise le système en permanence.
J'ai du mal à croire qu'un système non basé sur la géolocalisation soit efficace. L'intérêt d'un système qui compare des géolocalisations, c'est qu'on peut reconstituer après coup certains trajets de gens infectés même si ils n'avaient pas l'application (pas installé, ou tout simplement pas de smartphone). Par exemple, en demandant au malade détécté où et quand il fait des courses (heure exacte retrouvable sur des tickets de CB).
Mais surtout avant tout, j'aimerais qu'on évalue d'abords sérieusement l'intérêt d'un tel système… Si le port du masque généralisé en public et le tests réguliers des populations les plus exposées suffisent, pourquoi aller fliquer en plus ? J'ai du mal à croire que fliquer les déplacements suffira a lui seul, donc les autres mesures devront également être utilisées de toute façon.
Le type parle entre autre d'un groupe de gens qui réfléchissent a comment faire un tracking qui soit utile en étant acceptable côté vie privée : https://www.pepp-pt.org/
Ça me semble étrange également de réécrire un serveur de cache.
Et je suis épaté par le fait que Squid fasse plusieurs requêtes en cas de demandes simultanées. D'un autre côté en y réfléchissant, tant qu'il n'a pas reçu de réponse pour une ressource, il ne peut pas regarder dans les en-têtes si elle peut être gardée en cache.
En proxy-cache qui marche bien, j'entends souvent parler de Varnish (pas essayé).
Je ne sais pas si tu as lu l'article, mais la conclusion est exactement la même que la tienne : Tous le monde se prends des surcoûts à cause de cette mode des grosses voitures, même ceux qui n'en ont pas.
Pour la taille des garages et des voitures, ce n'est pas un problème uniquement chez les américains et avec les SUV. Perso j'ai une place dans un parking souterrain qui date de 1970, et c'est vraiment trop étroit pour la largeur standard des voitures actuelles. Ma voiture n'est pas un SUV, et j'ai quand même dû faire gaffe à sa largeur quand j'ai choisi le modèle.
Il y a une estimation de l'efficacité de la pub ciblée par personne par rapport à une pub ciblée plus grossièrement (en fonction du site consulté par exemple) ?
Je sais qu'il est conseillé de ne pas cliquer sur les liens de désinscription [..]
Conseillé par qui ?
Je pense que ça dépend pas mal du type de spam. Sur mon adresse boulot je reçois bcp de spam de démarchage pour des salons, newsletter pour décideurs, formations diverses. Pour ces trucs là, mon expérience c'est que les liens de désincription fonctionnent pas mal.
Si c'est des boutiques de pilule, casino en ligne ou scam divers il vaut sans doute mieux faire le mort. Mais dans ces spams là, il y a rarement un lien pour se déinscrire…
J'ai du mal à croire que le stockage des mails soit vraiment le plus gros problème ou levier d'action. D'un autre côté, en entreprise on voit effectivement parfois 40 versions d'un même document circuler par mail avec plein de monde en copie.
Déjà répondu au dessus, mais en gros les logs du serveur web ça permet d'analyser ce que fait le serveur web. Pas de savoir comment les utilisateurs utilisent le site.
En exemple de base, dans les logs tu ne vois pas les écrans affichés si ils viennent du cache. Tu ne vois rien non plus si ton site est une SPA (fait avec Angular par exemple).
Pour le côté vie privée, si tu fais juste de l'analyse d'usage sans identifier les utilisateurs ce n'est pas plus intrusif que de l'analyse de log. D'ailleurs le RGPD n'oblige pas a demander le consentement de l'utilisateur pour ça.
En faisant de l'analyse d'usage avec une sonde tu peux aussi comprendre comment est utilisé un site SPA. Et ça permet aussi d'avoir une information correcte même si le gros des requêtes utilisent du cache (classique, ou avec un service worker).
C'est juste pas la même chose que de l'analyse de log.
Et pour le côté "Respect des utilisateurs" dont parle Grégoire, il n'y a pas une méthode qui est forcement mieux qu'une autre… Utiliser une sonde ne signifie pas que tu vas tracer les utilisateurs (Matomo est d'ailleurs tamponné compatible RGPD sans consentement avec certains réglages), et tu peux tracer les utilisateurs avec de l'analyse de log ! Les identifiants fbclid que rajoute Facebook apparaissent dans les logs, alors que GoatCounter ne les remonte peut-être pas (je n'ai pas vérifié).
Pour parler respectabilité on peut différentier plusieurs choses :
- Les ressources consommées (taille, nombre de requête) : Il y a forcement une requête de plus avec une sonde, mais elle peut être toute petite. Il y a pleins d'autres leviers pour réduire les ressources utilisées par un site. Si on veux absolument garder des stat exactes alors une sonde peut permettre d'utiliser plus de cache de de faire de l'analyse de log :)
- Ne pas tracer l'utilisateur : Il faut regarder ce que la sonde remonte. Mais dans tous les cas (sonde et logs) il faut faire confiance à l'hébergeur pour qu'il ne conserve pas plus que le nécessaire.
- Ne pas envoyer les données de l'utilisateur à n'importe qui : Là forcement, avec une sonde qui pointe vers un tiers (si on n'héberge pas soi-même le serveur de suivi), ça paraît forcement moins bien que des logs. Mais bon avec cet argument, on considère aussi comme "non respectueux" les sites qui utilisent des hébergements mutualisés où des CDN… Dans ces deux cas, il faut également faire confiance à un tiers pour qu'il n'exploite trop les logs (en Europe la loi aide bien).
[^] # Re: Discussion
Posté par Wawet76 . En réponse au lien Le protocole Gemini, revenir à du simple et sûr pour distribuer l'information en ligne ? - Botzmeyer. Évalué à 3.
Je comprends que la spec recommande aux clients d'accepter les certificats auto-signés comme parfaitement valides. Ce n'est pas une recommandation pour les serveurs.
J'ai toujours trouvé ça ridicule que pendant longtemps les navigateurs web mettent une alerte qui fait peur pour un certificat auto-signé, mais ne disent rien pour les sites en http (ça a évolué depuis, maintenant les navigateurs affichent des avertissement si tu envois un formulaire avec un mot de passe en HTTP).
[^] # Re: Il faudrait que ça soit affiché dans le navigateur
Posté par Wawet76 . En réponse au lien Webbloatscore: estimer la bloatitude de votre site web. Évalué à 2.
La seule mesure efficace, ça serait de prendre la bloatitude en compte dans l'établissement du score d'un site par Google.
# Scénarii ?
Posté par Wawet76 . En réponse au lien scénarii de propagation du virus sars-2. Évalué à 3.
Si tu veux absolument mettre le mot en italien, c'est sans accent.
Mais bon sinon en français, tu peux dire des scénarios.
[^] # Re: Pas grave
Posté par Wawet76 . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 4.
Les cotisations c'est par modèle aussi non ?
Genre les voitures les plus volées coûtent plus chère à assurer.
[^] # Re: Samba ça marche au poil
Posté par Wawet76 . En réponse au journal Partage familial de fichiers (lecture seule, sans mot de passe). Évalué à 1.
Mais surtout, Samba permet de faire du smb plus récent non ?
Wikipédia m'indique que SMB2 est complet depuis Samba 3.6 (aout 2011)
[^] # Re: Température et temps
Posté par Wawet76 . En réponse au journal De l'usage et de l'entretien des masques de protection. Évalué à 3.
Peut-être qu'il y a des fibres dans le tissus qui ne supportent pas le repassage. Pour tous les tissus un peu élastique, c'est souvent recommandé de ne pas repasser.
[^] # Re: PEPP-PT
Posté par Wawet76 . En réponse au journal Covid 19 - un traçage organisé par le monde du libre ?. Évalué à 7. Dernière modification le 08 avril 2020 à 00:44.
Alors ce qu'ils proposent, c'est comme tu le suggère un truc basé sur le bluetooth pour enregistrer les proximités, avec un service centralisé qui indiquent quels id ont été testés positifs. Avec des id temporaires, et du chiffrement pour éviter certains problème de vie privée ou de fausse déclaration.
Les lieux en sont pas enregistré, seulement les interactions supposés (2 appareils restés proches un certain temps).
Perso je ne pense pas que ça fonctionne car ça nécessite que tout le monde installe et utilise le système en permanence.
J'ai du mal à croire qu'un système non basé sur la géolocalisation soit efficace. L'intérêt d'un système qui compare des géolocalisations, c'est qu'on peut reconstituer après coup certains trajets de gens infectés même si ils n'avaient pas l'application (pas installé, ou tout simplement pas de smartphone). Par exemple, en demandant au malade détécté où et quand il fait des courses (heure exacte retrouvable sur des tickets de CB).
Mais surtout avant tout, j'aimerais qu'on évalue d'abords sérieusement l'intérêt d'un tel système… Si le port du masque généralisé en public et le tests réguliers des populations les plus exposées suffisent, pourquoi aller fliquer en plus ? J'ai du mal à croire que fliquer les déplacements suffira a lui seul, donc les autres mesures devront également être utilisées de toute façon.
# PEPP-PT
Posté par Wawet76 . En réponse au journal Covid 19 - un traçage organisé par le monde du libre ?. Évalué à 8.
Un article est passé cet après-midi sur Next Inpact (gratuit 24h) :
https://www.nextinpact.com/news/108875-en-temps-crise-il-y-a-toujours-risque-important-dadopter-mesures-liberticides.htm
Le type parle entre autre d'un groupe de gens qui réfléchissent a comment faire un tracking qui soit utile en étant acceptable côté vie privée :
https://www.pepp-pt.org/
# Flash ! AAhh-ahhhhh
Posté par Wawet76 . En réponse au journal Ce soir on se change les idées de 21h01 à 21h07. Évalué à 5.
Un passage de l'ISS, ça ne vaut pas un flash Iridium.
(mais ça n'existe plus normalement, je m'y étais intéressé il y a quelques années)
[^] # Re: Autre serveur http
Posté par Wawet76 . En réponse à la dépêche KissCache un service de mise en cache KISS. Évalué à 1.
En proxy ça ne va pas, mais Varnish s'utilise en reverse-proxy. Et tu peux mettre du https derrière je suppose.
Ce qu'ils ne veulent pas faire, c'est que Varnish serve du https. Pas qu'il en consomme.
[^] # Re: Autre serveur http
Posté par Wawet76 . En réponse à la dépêche KissCache un service de mise en cache KISS. Évalué à 2.
(Mais j'ai bien compris que Kiss-Cache ne faisait pas juste ce qu'on attend de base d'un proxy-cache)
[^] # Re: Autre serveur http
Posté par Wawet76 . En réponse à la dépêche KissCache un service de mise en cache KISS. Évalué à 2.
Ça me semble étrange également de réécrire un serveur de cache.
Et je suis épaté par le fait que Squid fasse plusieurs requêtes en cas de demandes simultanées. D'un autre côté en y réfléchissant, tant qu'il n'a pas reçu de réponse pour une ressource, il ne peut pas regarder dans les en-têtes si elle peut être gardée en cache.
En proxy-cache qui marche bien, j'entends souvent parler de Varnish (pas essayé).
[^] # Re: carte virtuelle
Posté par Wawet76 . En réponse au journal Les sites de paiement qui demandent la lune. Évalué à 6.
Changer de banque.
Les deux miennes le proposent gratuitement, alors que ce n'est pas pour ça que je les avais choisies à la base. Donc ça doit être courant.
[^] # Re: Liberté ?
Posté par Wawet76 . En réponse au lien Ha ha ha ! Les SUV deviennent trop gros pour nos déjà grand garages !. Évalué à 3.
Je ne sais pas si tu as lu l'article, mais la conclusion est exactement la même que la tienne : Tous le monde se prends des surcoûts à cause de cette mode des grosses voitures, même ceux qui n'en ont pas.
Pour la taille des garages et des voitures, ce n'est pas un problème uniquement chez les américains et avec les SUV. Perso j'ai une place dans un parking souterrain qui date de 1970, et c'est vraiment trop étroit pour la largeur standard des voitures actuelles. Ma voiture n'est pas un SUV, et j'ai quand même dû faire gaffe à sa largeur quand j'ai choisi le modèle.
# M Nitot est un suppôt des grandes plateformes privatives
Posté par Wawet76 . En réponse au lien Tristan Nitot arrête le faux-cul ("le cœur n’y était plus"). Évalué à 2.
Il a posté sur Twitter que son site était en carafe mais que le billet était aussi disponible sur son compte Linked-In.
Par contre sur Mastodon, rien depuis 3j. C'est même encore marqué qu'il travaille chez Qwant.
Ok, ok, il a 25 fois plus d'abonnés sur Twitter.
Bref, tout ça pour dire que son explication est dispo sur un site qui tient la charge :
https://www.linkedin.com/pulse/au-revoir-qwant-tristan-nitot/
[^] # Re: Mouais
Posté par Wawet76 . En réponse au lien comment bien se saluer au travail sans se serrer la main ? (footshake) - vidéo de 2min33. Évalué à 2.
C'est ce que je fais au boulot depuis le H1N1, et personne ne m'en tient rigueur.
Un dessin de Dubuisson sur le sujet :
https://www.7sur7.be/extra/marc-dubuisson-croque-l-actu~a2e598b6/167423197/
# Pub ciblée
Posté par Wawet76 . En réponse au journal Consultation publique de la CNIL sur les bannières de cookie. Évalué à 5.
Il y a une estimation de l'efficacité de la pub ciblée par personne par rapport à une pub ciblée plus grossièrement (en fonction du site consulté par exemple) ?
# Se désinscrire
Posté par Wawet76 . En réponse au journal Script pour se désinscrire massivement des listes publicitaires. Évalué à 8.
Conseillé par qui ?
Je pense que ça dépend pas mal du type de spam. Sur mon adresse boulot je reçois bcp de spam de démarchage pour des salons, newsletter pour décideurs, formations diverses. Pour ces trucs là, mon expérience c'est que les liens de désincription fonctionnent pas mal.
Si c'est des boutiques de pilule, casino en ligne ou scam divers il vaut sans doute mieux faire le mort. Mais dans ces spams là, il y a rarement un lien pour se déinscrire…
# Il s'agirait de grandir...
Posté par Wawet76 . En réponse à la dépêche Weboob a dix ans !. Évalué à -8.
Je trouve ce nom de logiciel inacceptable !
# Une étude sérieuse serait bienvenue
Posté par Wawet76 . En réponse au lien Réduisez le nombre de courriels si vous voulez lutter contre le réchauffement climatique. Évalué à 4.
Le sénat vient justement de lancer une mission d'information sur les émissions du numérique :
https://www.nextinpact.com/brief/le-senat-se-penche-sur-l-empreinte-carbone-du-numerique-11053.htm
J'ai du mal à croire que le stockage des mails soit vraiment le plus gros problème ou levier d'action. D'un autre côté, en entreprise on voit effectivement parfois 40 versions d'un même document circuler par mail avec plein de monde en copie.
[^] # Re: Pourquoi passer par ces horreurs alors qu'il y a déjà tout ce qu'il faut dans les logs ?
Posté par Wawet76 . En réponse au journal GoatCounter 1.0 un Web analytique léger, libre et respectueux. Évalué à 4.
Déjà répondu au dessus, mais en gros les logs du serveur web ça permet d'analyser ce que fait le serveur web. Pas de savoir comment les utilisateurs utilisent le site.
En exemple de base, dans les logs tu ne vois pas les écrans affichés si ils viennent du cache. Tu ne vois rien non plus si ton site est une SPA (fait avec Angular par exemple).
Pour le côté vie privée, si tu fais juste de l'analyse d'usage sans identifier les utilisateurs ce n'est pas plus intrusif que de l'analyse de log. D'ailleurs le RGPD n'oblige pas a demander le consentement de l'utilisateur pour ça.
[^] # Re: Question con...
Posté par Wawet76 . En réponse au journal GoatCounter 1.0 un Web analytique léger, libre et respectueux. Évalué à 7.
En faisant de l'analyse d'usage avec une sonde tu peux aussi comprendre comment est utilisé un site SPA. Et ça permet aussi d'avoir une information correcte même si le gros des requêtes utilisent du cache (classique, ou avec un service worker).
C'est juste pas la même chose que de l'analyse de log.
Et pour le côté "Respect des utilisateurs" dont parle Grégoire, il n'y a pas une méthode qui est forcement mieux qu'une autre… Utiliser une sonde ne signifie pas que tu vas tracer les utilisateurs (Matomo est d'ailleurs tamponné compatible RGPD sans consentement avec certains réglages), et tu peux tracer les utilisateurs avec de l'analyse de log ! Les identifiants fbclid que rajoute Facebook apparaissent dans les logs, alors que GoatCounter ne les remonte peut-être pas (je n'ai pas vérifié).
Pour parler respectabilité on peut différentier plusieurs choses :
- Les ressources consommées (taille, nombre de requête) : Il y a forcement une requête de plus avec une sonde, mais elle peut être toute petite. Il y a pleins d'autres leviers pour réduire les ressources utilisées par un site. Si on veux absolument garder des stat exactes alors une sonde peut permettre d'utiliser plus de cache de de faire de l'analyse de log :)
- Ne pas tracer l'utilisateur : Il faut regarder ce que la sonde remonte. Mais dans tous les cas (sonde et logs) il faut faire confiance à l'hébergeur pour qu'il ne conserve pas plus que le nécessaire.
- Ne pas envoyer les données de l'utilisateur à n'importe qui : Là forcement, avec une sonde qui pointe vers un tiers (si on n'héberge pas soi-même le serveur de suivi), ça paraît forcement moins bien que des logs. Mais bon avec cet argument, on considère aussi comme "non respectueux" les sites qui utilisent des hébergements mutualisés où des CDN… Dans ces deux cas, il faut également faire confiance à un tiers pour qu'il n'exploite trop les logs (en Europe la loi aide bien).
# Utilisé dans le nouvel Edge sorti hier chez Microsoft...
Posté par Wawet76 . En réponse au journal KHTML c'est fini. Évalué à 7.
Je me demande si il reste des lignes de KHTML dans Blink, ou si avec le temps tout a plus ou moins été ré-écrit.
# Question en tant que non-utilisateur de Paypal
Posté par Wawet76 . En réponse au journal Payement FNAC via Paypal. Évalué à 3.
J'ai déjà utilisé Paypal pour des paiements entre particulier (sur eBay), mais c'était il y a très longtemps.
Je me demande quel intérêt il y a à utiliser Paypal pour un achat à la FNAC. Ils apportent quelque-chose par rapport à une bête transaction par CB ?
# IE6 encore et toujours là.
Posté par Wawet76 . En réponse au sondage Quelle est la technologie la plus obsolète sur ou avec laquelle j'ai dû travailler récemment ?. Évalué à 5.
Internet Explorer 11 a une fonctionnalité appelée "Mode de compatibilité" qui permet de faire en sorte qu'il se comporte comme IE6.
C'est toujours utilisé, et c'est encore arrivé cette année qu'on se cogne des problèmes avec ça dans mon entreprise.