Seuls les logiciels signés par Apple peuvent tourner sur cet engin.
Donc Apple signe son logiciel "qui passe la sécurité", prend le tel au FBI, l'installe sur ce téléphone et rien d'autre, copie les données, désinstalle cette version, rend le tel au FBI, et le logiciel reste au même endroit que la clé qui signe (donc bien au chaud, aucune problème de sécurité, du moins ps plus que la gestion de la clé maitre).
En fait, ça m'étonne que tout soit en dur (matériel inviolable) et que hop on garde une partie logicielle qu'on contrôlerai. Pas très logique.
Donc ça ne tient pas, car de ce que je comprend ils disent qu'ils ne peuvent pas, pas qu'ils ne veulent pas.
Bref, votre vie privée est préservée par Apple uniquement parce qu'ils ont complètement verrouillé le système d'une manière où vous n'avez plus du tout de contrôle sur la machine. Ni vous, ni les autorités, du coup
De ce que je comprend : ni Apple en fait. Donc ça casserai la conclusion.
Qu'est-ce que j'ai loupé dans le cheminement logique? Pourquoi une partie matérielle super sécurisée si on a derrière une partie logicielle qu'on peut faire sauter?
il y a juste un un .debian.diff. Et ils envoient upstream quand c'est pertinent.
Perso, j'apprécie la mentalité Debian sur la transparence, et je ne sais pas ce qu'il te faut de plus.
modifie beaucoup trop les paquets qui sont fournis.
Plus grand débat.
Mais quel modification "non légitime pour la distro" te dérange?
Cela signifie qu'accepter d'utiliser un service web implique que tu fasses confiance au fournisseur du service et donc que celui-ci puisse trahir cette confiance.
Tu as la garantie, hors confiance, que Debian ou tout autre distro te fournit un binaire correspond au source? Non (car c'est non reproductible, pour le moment, même si Debian travaille sur la reproductibilité). Ben la c'est pareil, il faut avoir confiance.
Aucune différence avec ce que tu utilises déjà en libre.
contrairement à un logiciel que tu compiles, installes, sur une machine que tu contrôle, tu n'auras jamais l'assurance
Quelle différence?
tu peux faire pareil avec le service, du moment où tu as le source (AGPL par exemple).
ai-je dit le contraire?
C'est assez rigolo de voir les réactions des gens : ils prennent quelques mots de la phrase, les assemblent comme ça les arrangent pour pouvoir critiquer la réponse, et c'est parti!
Pour l'honnêteté intellectuelle, euh… A la poubelle.
Chaque mot que j'ai mis a son importance. Ici, tu as enlevé le mot "tronquée" de ma phrase.
Dit-moi que GitLab CE fait tout ce que fait GitHub, et on en reparle.
J'ai mis deux phrases, les deux sont justes (enfin j'imagine, vous évitez de les contredire), tu (vous) en fais un mélange en une phrase qui t'arrange et critique. Bizarrement, tu ne contredis pas ce que je dis, tu dois inventer une chose que je dis pour pouvoir critiquer. J'en déduis donc que ce que j'ai dit te dérange (tu n'aimes pas, mais impossible de contredire, chiant!)
Si on arrêtait la manipulation pour parler de ce qui a été écrit?
Et ils le font avec du logiciel libre (oui, tout ça est dans Gitlab CE) contrairement à ceux qui font ça sous Github.
Et?
Le libre pour le libre, admettons, mais c'est juste idéologique et ne change absolument rien en pratique. C'est bien la critique faite à une tonne de LL : de pâles (tronquées) copies d'un logiciel proprio, sans aucune innovation. Triste monde où le libre n'est que de la copie (en moins bien le plus souvent) de ce que fait le non libre, le libre serait-il que le logiciel du pauvre pour vous?
Je ne pensais pas forcément à des bugs amenant des trous de sécurité alors que plein de monde peut (le mot important est "peut") lire et comprendre le code. C'est encore un cas en plus (la croyance que parce que c'est libre les gens vont lire le code et en détecter les bugs avant les "méchants" a encore la vie dure parmi les gens aimant vivre que sur base de préjugés faux).
Je faisais plus référence à la croyance, on ne sait pourquoi, que parce qu'on file un code source x libre, le binaire fourni est exactement la compilation du code source x (et pas du code source y pas libre et ayant une backdoor en plus), que les gens soient sûrs (pas qu'ils pensent que c'est potentiellement ça, non qu'ils soient sûr et que ça soit leur "modèle de vie") de choses factuellement fausses et qu'un peu d'éducation sur le sujet le montrerai rapidement, personnellement ça me dépasse.
Arrête avec cette connerie que tu ressors à chaque putain de message à propos de gitlab.
Désolé, ce n'est pas des conneries, et j'arrêterai quand on arrêtera de dire que GitLab et un équivalent libre à GitHub. Pourquoi ne pas engueuler l'autre qui sort ça?
Ce n'est pas "à propos de GitLab", c'est "à propose de GitLab qui serait un équivalent libre à GitHub", si tu n'es pas capable de faire la différence, je n'y peux rien.
Ca s'appelle le modèle Freemium, un grand classique du logiciel non libre où c'est le 1% qui reste qui est la cible et les 99% restant de la publicité pas chère, tu découvres?
Certains aiment, OK, mais de la à parler de LL… OK, OK, ce modèle marche, mais franchement je ne vois pas le rapport avec le LL : tu consommes un produit, qu'il soit libre ou pas ne change rien pour toi, tu consommes seulement et l'important est qu'il soit gratuit pour ce que tu en fais, et quand tu auras besoin d'une fonctionnalité, tu seras fainéant et achèteras la fonctionnalité en non libre sans te poser de questions (vu que tu utilises déjà, c'est plus simple).
Sans compter qu'on parle d'équivalent à GitHub, donc peux-tu affirmer que tout ce que fait GitHub, et pas seulement ce que toi tu utilises, GitLab le fait? (hint : non).
Tu dis que comme vi répond à ton besoin et àa celui d'amis, c'est du libre équivalent à Microsft Word, sérieux ce n'est pas très pertinent.
Comme quoi, le marketing fonctionne très bien, des gens font de la pub pour du proprio en pensant aider le libre.
Pour les curieux, au FOSDEM (un truc de gens qui veulent dire du mal du logiciel libre?) : Open-core or partially proprietary licensing model is worse than fully proprietary licensing model
(malheureusement pas de slides ni vidéos encore, mais l'intro est "Open source community is treated like a bunch of hackers and hobbyists. There isn't a really good reason to adopt open core model." Non, ce n'est pas moi l'auteur)
Note que je n'ai rien spécialement contre ce modèle, n'étant pas contre le logiciel non libre, c'est juste que je ne pense pas que prendre ce type de business model pour faire de la comparaison contre du proprio soit bien pertinent.
Moi et d'autres amis dans leurs boites respectives on utilise gitlab en équipe avec process de review, merge request, CI… et on est très heureux.
Moi et d'autres amis dans leurs boites respectives on utilise github en équipe avec process de review, merge request, CI… et on est très heureux.
et?
Bref, je suis bien conscient que pour de plus en plus de monde le modèle Freemium plait, c'est un modèle qui marche très bien, je suis juste un peu triste de voir arriver le libre comme une simple plaquette publicitaire, on est en train de démontrer que le libre n'a aucun business model, et qu'il faut faire du proprio pour en vivre. J'en fais partie aussi (je vis aussi de non libre), mais j'estime au moins le voir (et je ne refuserai pas un patch car il irait en compétition avec la version que je vendrai), et ne pas me cacher derrière "j'ai une version pour pauvres, je l'appelle communuity edition et les gars s'occupent de faire de la pub pour que je puisse atteindre les gens qui payeront".
Perso, je me dis qu'utiliser GitHub, ben ça va aussi alors, tant qu'à être la dedans.
euh…
Gitlab est la copie de github.
ou
Gitlab est la copie tronquée LL de github.
Ca n'enlève rien au reste, juste que GitLab n'est pas le bon exemple de LL (le LL étant qu du marketing pour t'amener vers la version pas libre du tout).
Pour le reste je répondrais, "il n'y a pas de fumée sans feu".
Argument classique de tout conspirationniste qui se respecte.
Bref, rien de nouveau.
Le pire est effectivement qu'il doit être sérieux… Des fois, le monde me fait peur, autant d'obscurantisme, il ne faudra pas grand chose pour retourner à l'époque globale obscurantiste (en plus d'un retour à la xénophobie déjà ambiante, ça donne envie le futur qu'on se prépare)
qui n'utilise pas le chiffrement comme toute bonne pratique en 2016 (et avant).
Que vient faire "les services de google" dans ton histoire? rien, à part que tu veux cracher sur google mais qu'il semble que tu es en manque de raisons valables.
Ici, le fautif est alice.it, et seulement lui, aucun lien avec Google.
Google ne fait pas attention à la sécu, c'est un connard
Google fait attention à la sécu, c'est un connard
Dans tous les cas Google perd avec zurvan, en fait c'est voulu.
J'ai été un peu attéré de lire ça :
Perso, bien que le message soit limite, ok, j'ai plutôt été atterré de voir cette attaque gratuite contre Google. Après, ce genre de chose (mentir pour pouvoir cracher sur quelque chose) ne devrait pas me surprendre, certes…
Détectés a posteriori. Cool pour les visiteurs suivants, mais d’aucune utilité pour les premières victimes.
Limiter à 3 cas plutôt que 3 millions, je trouve ça déjà pas mal.
Et encore une fois, Google et compagnie essayent de trouver mieux. Si tu penses savoir faire mieux, n'hésite pas à les conseiller. Mieux, hein, pas un truc théorique qui ne marche pas en pratique.
Non mais ça c’était une blague, hein. Désolé, je n’ai pas de contrat à te proposer.
Euh… J'avais compris!
Je répond comme exemple que justement tu surestimes le besoin de sécurité.
J'ai utilisé les mails non chiffrés pour négocier des contrats à 7 chiffres, et ça n'a posé problème à personne (et je parie que les concurrents en lices n'ont jamais eu accès aux autres offres).
Bref, ton "besoin" de super sécurité est pour des montant plutôt à 9 chiffres (et encore), soit pas très courant.
Je tenterai de sauver la face en disant qu’en écoutant les promesses des CA, on serait quand même en droit d’attendre beaucoup plus de leur part qu’une protection contre un adversaire du niveau d’un « tenancier de bar perdu ».
Ca marche très bien aussi contre mon FAI, les mafias, et en fait tout ce qui n'est pas étatique.
Si tu es en Iran et que ton certificat google.com est signé par le gouvernement Iranien (tu as viré ce CA en qui tu n'as pas confiance), ça marche aussi direct (pas de première victime), et ça ne se fera pas souvent (Chrome pourra très bien virer la CA devant ça), et en plus maintenant on a la certificate pinning pour Google, bref ça en fait des outils.
C'est déjà BEAUCOUP.
Le fait que ton certificat soit signé par une CA reconnue ne m’a pas apporté de quelconque sécurité, même pas une « petite sécurité ». En fait, ton certificat n’entre même pas en ligne de compte — je ne l’ai jamais vu, je n’ai vu que celui présenté par Mallory.
Faut arrêter les conneries : d'accord les CA ne sont pas terribles, mais dire que ça n'apporte aucune sécurité est du mensonge (il y a un différence énorme quand même entre signé par soit même et signé par une CA reconnue comme relativement fiable par ton navigateur ou OS, nier cette différence et dire que les CA accepteront Mallory tranquille est du pur troll)
Ca dit au moins que c'est dans la toile de confiance (pas parfaite, mais qui en pratique marche, même pour Google car les faux certificats ont été détectés et neutralisés)
³ Et c’est dommage, parce que j’avais un super contrat à te proposer à propos de MediaInfo, mais du coup c’est Mallory qui va me faire une meilleure offre. :)
Le gens envoient un simple mail non chiffré, et ça marche très bien. Il faut arrêter de vouloir mettre de la sécurité "top secret" pour tout et n'importe quoi, une sécurité non adaptée au besoin de sécurité n'est pas de la sécurité.
Sauf à supposer que Mallory est incapable d’obtenir un certificat valide, ce qui me paraît pour le moins douteux de la part d’un adversaire par ailleurs capable de faire du MITM.²
Tu plaisantes la? N'importe quel tenancier de bar perdu dans lequel je vais le peut. Récupérer un certificat valide (accepté par les navigateurs) de mon domaine, ça serait plus difficile…
En pratique, les CA font le taf bien mieux que tout ce qu'on a imaginé pour le moment, et dire que c'est pareil que auto-signé est injuste.
Je te défie de faire accepter par les navigateurs un certificat pour mon domaine qui serait "elles ne servent à rien d’autre aujourd’hui qu’éviter les messages d’avertissements" (j'imagine toutefois que tu n'es pas de la NSA, après si on parle de la NSA capable de faire pression sur les CA, c'est autre chose, bien autre chose…)
Plus sérieusement, IdenTrust ne fait pas ça "parce qu'il a envie", car joue sa crédibilité dessus, donc si il a signé Let's Encrypt, c'est que la sécurité doit être assez bonne.
Et vu autrement, on peut dire aussi que c'est parce que Let's Encrypt voulait être accepté, au contraire de CACert qui n'en fait pas une priorité.
Le problème, (…)
Si il n'y avait que ça comme problème avec les CA… Mais on a pour le moment rien trouvé de mieux (qui marche, hein), donc on fait avec (une petite sécurité comme avec les CA est mieux que rien du tout comme avec Richard Dern ou CACert)
On en reparlera, de l'humilité et de la capacité à se remettre en question.
Euh… Qui fait 2 journaux avec des conneries énormes dedans, et sans se remettre en question quand on lui fait remarquer?
Vous semblez maitriser tellement de sujets importants et techniques, vous pourriez en faire profiter les autres au lieu de leur balancer des os à ronger.
On a essayé, mais l'auteur du journal a un problème avec l'humilité et la capacité à se remettre en question.
On a à apprendre de tout le monde, jeunes, moins jeunes, intelligents, génies, modestes.
Oui, on a apprendre. Mais on ne fait pas boire un âne qui n'a pas soif.
C'est pas précisément ce que cherche le Libre à mettre en place ? Permettre à chacun d'apporter ses idées pour améliorer les grands projets ?
Le libre se fout de l'upstream, tu dis que le libre est ta vie donc tu devrais au moins savoir ça.
La, tu ne parlerai pas de communautaire plutôt?
Vous vous dites Libristes, mais vous parlez d'informatique de confiance, vous semblez défendre Google, facebook.
Défendre? Où? On dit juste que tu proposes pire que eux.
C'est juste pour travailler sur un marché de niche, choper un diplôme, et se faire un max de thunes parce que le Libre va rapporter dans les années à venir ?
Ha ha ha…
désolé, mais alors la tu essayes de nous faire rire le plus possible, je n'arrive personnellement pas à croire qu'il n'y pas d'humour derrière ce semblant de sérieux.
Non, parce que la, plus on pense que tu as tapé le plus loin possible dans les énormités, plus tu en sors.
Et c'est dommage, parce que si seulement on mettait à profit votre énergie qu'actuellement vous utilisez pour détruire les idées des autres…
J'imagine que ça t'amuse de balancer l'énormité qui fera le plus réagir, c'est dommage, parce que si seulement on mettait à profit ton énergie qu'actuellement tu utilises pour sortir les plus grosses énormités…
Note : "idées"? Où? Désolé, tu te fous de notre gueule, je me permet donc de faire tout autant, on joue au même jeu débile.
ça fait vingt cinq ans que l'informatique est ma vie, pas juste professionnelle
Ce n'est pas crédible.
Note : ce n'est pas parce qu'on passe 25 ans dans son bain que nager est sa vie.
Si tu le fais professionnellement, j'espère que ton employeur (si tu en as un) ne tombe pas ici, ni que tu fais directement affaire avec des clients en leur disant autant de contre-vérités.
Et pour moi, le Libre est absolument fondamental.
Pour ça, il faudrait déjà savoir ce qu'est le libre (ce qu'il apporte, ce qu'il n'apporte pas).
Pas seulement pour le Logiciel Libre, mais aussi pour ce que ça implique en terme de social, d'humain, d'intellectuel.
Le libre, c'est le droit d'utiliser, étudier, modifier, copier. Quel rapport avec le social, l'humain, l’intellectuel? Tu ne mélangerais pas le libre avec autre chose?
Bon, admettons, tu fais du libre et de l'informatique depuis 25 ans. Par curiosité, parce que ta "page perso" avec 9 post de blog laisse sur la faim, si c'est le résultat de 25 ans d'informatique et de libre.
Si tu peux accepter un conseil : commence par te documenter, sérieusement (pas auprès d’intégristes du libre qui ont autant avec le libre que l'EI avec l'Islam, mais auprès de sources fiables) et considère que tu es tout tout début de l'apprentissage (donc n'apporte pas de solution, ça c'est quand on a étudié le sujet)
Il y a vraiment eu refus, ou bien déficit de financement ?
Refus. Ils ont commencé, Mozilla était semblait être ok pour faire gratos (et Debian l'avait gratos), et ils ont retiré la demande.
Oui mais en même temps ma question de départ c'était : "pour quelle raison Mozilla (et autres) ont-ils refusé de les intégrer ?" et non "en quoi cacert est-il moins bien que X pour l'utilisateur" ?
Tu plaisantes? Tu ne vois pas le lien entre les deux?
tu le répètes à plein de reprises (…) "n'a confiance en eux (…)" mais sans expliquer pourquoi,
ben si. J'ai pris le temps d'expliquer, mais la réponse semble ne pas te convenir.
OK mais pourquoi cette différence de traitement ?
Aucune différence de traitement.
(par exemple, si un CA n'éprouve pas le besoin d'être dans les navigateurs, c'est quand même gênant non? Est-ce la faute des navigateurs?)
quels sont les détails techniques/de communication / politiques qui ont entrainé la marginalisation de cacert ?
La, il faut que tu lises toute la prose sur CACert, mais le résumé t'a été donné.
=> est-ce que ça résume toute l'histoire ou est-ce que j'ai loupé des trucs ?
Tu as loupé tout ce qui est écrit dans le commentaire auquel tu réponds, pour en extraire que 2 trucs dont 1 hyper mineur. Euh…
Si tu ne veux pas l’analyser car ne répond pas comme tu voudrais entendre, ça ne changera pas les faits.
Bon, désolé, je croyais que la question était sérieuse, j'avais répondu sérieusement et me suis trompé de niveau de discussion et j'ai donc perdu mon temps à être sérieux, je repasse en mode rigolo (faut vraiment pas être sérieux ici, on te fait comprendre que ça sert à rien)
J'avoue que vu que la question montre tellement d'ignorance sur le libre et sur le fonctionnement d'une distro binaire que je ne sais pas comment répondre, surtout par quoi commencer, c'est encore pire que SSL. plantage.
Si la question est sérieuse (ce que je ne pense pas vu les réponses déjà caricaturales dans le refus de réfléchir sur les CA), il faut commencer par lire sur comment on tu peux être sûr qu'un binaire correspond au source (en fait, tu affirmes que le source sert à quelque chose, donc tu devrais toi M'éduquer sur comment tu peux être sûr que le binaire correspond au source, perso moi je ne sais pas comment tu fis).
Bref, tu as fait 2 journaux qui se font démonter sans que tu réfléchisses dessus, donc je ne pense pas que tes questions sont pour avoir une réponse, et je n'ai simplement pas trouvé de côté marrant ou d'utile pour les autres (je pense qu'ils savent tous, car la on part dans la base de base) à répondre, je n'étais pas inspiré.
Je te propose de faire un journal "comment savoir qu'un binaire vient du source donné : parce que".
les e-mails eux mêmes restent en clair et visibles par Google.
Oui, et si tu as une meilleure solution qui marche (non, PGP ne marche pas la dessus) avec un webmail sans faire confiance à l'hébergeur de mail, on prend. en attendant, la réalité est que ça ne marche pas.
Comme si c'était gênant pour Google que d'autres fournisseurs de services aient également accès au contenu de ces e-mails.
Ce n'est pas le sujet, mais bon j'imagine que tu veux juste troller.
Si tu ne veux pas troller, c'est pour éviter les MITM et autre sniffers comme… L'objectif de LinuxFr quand ils font du HTTPS, tu veux dire que LinuxFr te fait rigoler?
Le message, lui, restera bel et bien en clair de toutes façons.
Oui, et c'est pas le problème soulevé. Et?
si tu n'as pas confiance en ton hébergeur, pourquoi ne pas en changer?
Firefox ne tient pas du tout sa force de sa communauté (qui diminue visiblement), mais parce qu'il est libre.
ha ha ha.
Comment veux-tu ensuite que je ne sois pas méprisant?
Oui, désolé j'assume, mais je dis sans contour qu'on se fout de ma gueule (que tu ne connaisses pas, OK, mais que tu affirme le contraire, la c'est trop gros), et la tu te fous de ma gueule, et admettons, mais je méprise sans doute ceux qui essayent de me vendre n’importe quoi.
Ici, tu montres que tu n'as rien compris à comment ça marche (Firefox, GitHub…), ni même cherché (par exemple en lisant ce que j'ai écrit ici).
Tu peux toujours fantasmer sur les qualités du libre, en te plantant complet d'analyse tu ne changera jamais le monde, c'est certain.
quelqu'un peut-il réexpliquer ce qui cloche avec cacert et pourquoi ils n'arrivent pas à se faire accepter parmi les CA installées avec les navigateurs habituels ?
En résumé grosse maille (et j'assume, je caricature, quoique pas tant que ça):
- Un problème de communication
-- Dire que le système de CA c'est de la grosse merde (note : je ne remet pas en cause que c'est de la merde, mais pour le moment c'est la merde qui pue le moins donc on fait avec, et CACert ne résout rien de la puanteur du système) par design puis proposer une CA, c'est risible pour les utilisateurs potentiels
-- Dire que les autres CA et les navigateurs sont des merdes en sécurité, que eux ils savent trop plus mieux bien que tous les autres ce qu'il faut faire en sécurité, et ensuite demander à ces dernier d'être acceptée comme CA digne de confiance, n'est pas forcément la meilleure méthode pour se faire acceptée.
- Un problème technique
-- Faire chier les demandeurs avec l'équivalent (voir pire car pas toujours du monde près de chez toi alors que les autres CA font à distance) de ce qu'il faut d'un certificat EV (validation étendue) pour ensuite te filer un certificat DV (de base), ça cloche quelque part
-- A ma connaissance ils sont super à la bourre techniquement (SHA-256, CT Certificate Transparency etc…)
-- Refuser un audit de sécurité par tes pairs, pour avoir autre chose que "promis on fait de la sécu, ayez confiance", ça ne donne pas confiance (ni aux utilisateurs ni aux navigateurs web)
-- Avoir un certificat signée par une CA pas dans les principaux navigateurs revient à avoir un certificat auto-signé (d'une pourquoi alors se faire chier à faire signer le certificat, et de deux tu peux lire ce que les gens pensent de l'auto-signé dans les commentaires des journaux de l'auteur du journal)
- Un problème financier
-- Être incapable de récupérer ~200 k$ / an mondialement (ça en fait des donneurs potentiels) pour un truc de ce type, c'est pas plus rassurant sur la capacité de l'équipe à tenir dans le temps. (pourquoi 200? de tête il faut payer entre 50 et 100 k$ / an / entreprise pour être dans IE ou Safari)
Sachant que chaque différent problème a un impact sur l'autre, l'ensemble est… (censuré ;-) ).
=> Lapin compris
Normal que tu ne comprennes pas, personne à part eux ne comprend. un certificat DV (celui de base) a pour but de vérifier que le domaine atteint est celui visé. Pour ça il suffit d’envoyer un mail au webmasteur (adresse email dans le whois du domaine). On se fout de savoir "tes papiers d'identité et la correspondance de la photo avec ton visage." Ils proposent une sécurité en plus pour une confiance en plus, OK, mais c'est… En plus? Il faut déjà faire la base non? (comme être dans les navigateurs).
Il créent une "super toile de confiance avec vérification d'identité", mais personne dans les navigateur (ni Debian, tu parles d'une honte, être viré de Debian très au fait des libertés, faut le faire quand même dans le niveau de confiance bas…) n'a confiance en eux. Et ils ne se posent aucune question en allant au FOSDEM faire des signing party? euh…
Même les admins LinuxFr ont abandonné, je te laisse en déduire le niveau du problème.
Note : oui, je sais, il reste des adorateurs de CACert ici, désolé d'être factuel et de ne pas mettre les problèmes sous le tapis juste parce que ça se dit "tourné vers la liberté", la personne a demandé ce qui cloche, "rien, on est trop géniaux et les autres sont des cons" n'est pas une réponse pertinente.
Question subsidiaire: en quoi Let's Encrypt est-il mieux que cacert ?
Tout ce qui est écrit au dessus (problèmes de sécurité, confiance, finances), Let's Encrypt le résout (plus d'experts en sécurité, plus d'audit par ses pairs, engagement des navigateurs, financement sécurisé pour les prochaines années).
Let's Encrypt, c'est CACert au niveau du prix (son seul avantage par rapport à d'autres CA vu que CACert ne résout aucun problème des CA) sans les inconvénients.
Prenons donc Let's Encrypt et laissons mourir CACert (je pensais CACert mort mais j'ai aussi entrevu le stand au FOSDEM, certes, mais on s'approche de la nécrophilie)
PS : pour ceux qui me voient en adorateur des CA, rappel. J'ai pris du temps autant pour expliquer un problème des CA autant que pour expliquer le problème CACert, alors merci de ne pas partir dans le délire "tu les detestes bla bla bla", tout ce que je dis est factuel (vous pouvez expliquer en quoi ce serait faux), et je base mon explication sur une analyse, je me fous de qui aime ou pas tel truc (je m'intéresse au résultat) et j'ai pris le temps d'écrire pour expliquer le problème (pourquoi il faut éviter la chose), pas pour taper sur CACert gratuitement (je me fous complet de CACert l'entité, si ils proposent quelque chose de correct je dirai que c'est correct).
C'est le discours classique de tous ceux qui trouvent des complots à tous les coin de rue ("c'est évident", ça c'est de l'argumentation, bizarrement impossible pour l'auteur de la phrase de démontrer l'évidence).
Et?
J'aimerai juste autre chose qu'un commentaire sans arguments.
J'aimerai juste autre chose qu'un journal sans arguments
Il valent exactement ce pourquoi ils sont : tu conspue des tiers de confiance tout en les aimant.
Ca montre tout le problème de ta logique.
Le système de CA ne sont pas parfaits (personne n'a dit le contraire), mais tu te trompes de "combat", et surtout tes argument sont juste rigolos (et donner ta confiance à Debian parce que tu peut lire le code source, désolé, mais c'est une notion tellement fausse qu'on ne peut te croire quand tu dis connaitre le sujet et donc être capable de proposer une solution, tu ne connais en fait rien en terme de notion de confiance)
(n'y a-t'il pas d'audit de code, particulièrement depuis les problèmes de openssl ? de cisco ? de juniper ?).
Voit pas le rapport.
Debian peut mettre une backdoor autant que Juniper, et ça se verra autant (même si il y a un projet de reproductibilité pour justement pouvoir avoir plus confiance, mais ce n'est pas encore prêt)
Si tu considère qu'il existe un risque que debian me refile un paquet binaire contenant du code pourri, tu es d'accord pour dire qu'une CA peut valider occasionnellement des certificats plus ou moins douteux.
Oui (PERSONNE ne dit le contraire, il te faudra combien de temps pour l'accepter?), et justement ça te décrédibilise.
Tu dis que c'est ex-aequo, mais tu veux en virer un et pas l'autre.
euh… Non, rien, continue dans ton délire, ce n'est clairement pas toi qui amènera un jour plus de sécurité à Internet.
C'est plus facile, mais les gens ont du mal avec DNSSEC.
tous ces idiots d'admins, vraiment… Ou alors ce n'est pas plus facile, encore un fantasme.
(désolé, mais DNSSEC est notoirement connu pour ne pas être ami avec le mot "facile")
En attendant, il y a un truc qui ne marche pas, et un truc qui marchote.
Je préfère le truc qui marchote.
toujours à critiquer, sans proposer une meilleure solution (non, la solution de l'autre journal n'est pas mieux, c'est encore pire), encore moins la mettre en oeuvre (comme c'est bizarrre).
tu as accès un un code source.
tu n'as aucune idée du code source des binaires que tu as reçu.
bref, tu fantasmes sur une confiance que tu pourrais avoir, n'aimes pas les tiers, tout en les utilisant tout le temps.
Tu ne sais toujours pas de quoi tu parles (tu penses sérieusement pouvoir être sûr que le source fournis correspond au binaire fournis?)
Sérieux, informe-toi avant d'avoir tes idées sur ce qui est fiable ou pas.
PS : sans compter que tu as accès au code source mais que tu ne l'as pas lu.
# Comprend pas
Posté par Zenitram (site web personnel) . En réponse au journal Dilemme entre vie privée et contrôle de sa machine. Évalué à 0.
Donc Apple signe son logiciel "qui passe la sécurité", prend le tel au FBI, l'installe sur ce téléphone et rien d'autre, copie les données, désinstalle cette version, rend le tel au FBI, et le logiciel reste au même endroit que la clé qui signe (donc bien au chaud, aucune problème de sécurité, du moins ps plus que la gestion de la clé maitre).
En fait, ça m'étonne que tout soit en dur (matériel inviolable) et que hop on garde une partie logicielle qu'on contrôlerai. Pas très logique.
Donc ça ne tient pas, car de ce que je comprend ils disent qu'ils ne peuvent pas, pas qu'ils ne veulent pas.
De ce que je comprend : ni Apple en fait. Donc ça casserai la conclusion.
Qu'est-ce que j'ai loupé dans le cheminement logique? Pourquoi une partie matérielle super sécurisée si on a derrière une partie logicielle qu'on peut faire sauter?
Apple ne veut pas ou ne peut pas?
[^] # Re: Depuis le temps
Posté par Zenitram (site web personnel) . En réponse au journal Debian : Iceweasel pourrait redevenir Firefox . Évalué à 4.
il y a juste un un .debian.diff. Et ils envoient upstream quand c'est pertinent.
Perso, j'apprécie la mentalité Debian sur la transparence, et je ne sais pas ce qu'il te faut de plus.
Plus grand débat.
Mais quel modification "non légitime pour la distro" te dérange?
[^] # Re: données
Posté par Zenitram (site web personnel) . En réponse au journal Un service ouvert ?. Évalué à -2. Dernière modification le 18 février 2016 à 13:30.
Tu as la garantie, hors confiance, que Debian ou tout autre distro te fournit un binaire correspond au source? Non (car c'est non reproductible, pour le moment, même si Debian travaille sur la reproductibilité). Ben la c'est pareil, il faut avoir confiance.
Aucune différence avec ce que tu utilises déjà en libre.
Quelle différence?
tu peux faire pareil avec le service, du moment où tu as le source (AGPL par exemple).
[^] # Re: Pas forcément
Posté par Zenitram (site web personnel) . En réponse au journal La fin des installateurs modifiés pour sourceforge.. Évalué à -1. Dernière modification le 17 février 2016 à 12:22.
ai-je dit le contraire?
C'est assez rigolo de voir les réactions des gens : ils prennent quelques mots de la phrase, les assemblent comme ça les arrangent pour pouvoir critiquer la réponse, et c'est parti!
Pour l'honnêteté intellectuelle, euh… A la poubelle.
Chaque mot que j'ai mis a son importance. Ici, tu as enlevé le mot "tronquée" de ma phrase.
Dit-moi que GitLab CE fait tout ce que fait GitHub, et on en reparle.
J'ai mis deux phrases, les deux sont justes (enfin j'imagine, vous évitez de les contredire), tu (vous) en fais un mélange en une phrase qui t'arrange et critique. Bizarrement, tu ne contredis pas ce que je dis, tu dois inventer une chose que je dis pour pouvoir critiquer. J'en déduis donc que ce que j'ai dit te dérange (tu n'aimes pas, mais impossible de contredire, chiant!)
Si on arrêtait la manipulation pour parler de ce qui a été écrit?
Et?
Le libre pour le libre, admettons, mais c'est juste idéologique et ne change absolument rien en pratique. C'est bien la critique faite à une tonne de LL : de pâles (tronquées) copies d'un logiciel proprio, sans aucune innovation. Triste monde où le libre n'est que de la copie (en moins bien le plus souvent) de ce que fait le non libre, le libre serait-il que le logiciel du pauvre pour vous?
en attendant d'avoir mieux, Google fight!.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 1.
Je ne pensais pas forcément à des bugs amenant des trous de sécurité alors que plein de monde peut (le mot important est "peut") lire et comprendre le code. C'est encore un cas en plus (la croyance que parce que c'est libre les gens vont lire le code et en détecter les bugs avant les "méchants" a encore la vie dure parmi les gens aimant vivre que sur base de préjugés faux).
Je faisais plus référence à la croyance, on ne sait pourquoi, que parce qu'on file un code source x libre, le binaire fourni est exactement la compilation du code source x (et pas du code source y pas libre et ayant une backdoor en plus), que les gens soient sûrs (pas qu'ils pensent que c'est potentiellement ça, non qu'ils soient sûr et que ça soit leur "modèle de vie") de choses factuellement fausses et qu'un peu d'éducation sur le sujet le montrerai rapidement, personnellement ça me dépasse.
[^] # Re: Pas forcément
Posté par Zenitram (site web personnel) . En réponse au journal La fin des installateurs modifiés pour sourceforge.. Évalué à -1. Dernière modification le 17 février 2016 à 08:47.
Désolé, ce n'est pas des conneries, et j'arrêterai quand on arrêtera de dire que GitLab et un équivalent libre à GitHub. Pourquoi ne pas engueuler l'autre qui sort ça?
Ce n'est pas "à propos de GitLab", c'est "à propose de GitLab qui serait un équivalent libre à GitHub", si tu n'es pas capable de faire la différence, je n'y peux rien.
Ca s'appelle le modèle Freemium, un grand classique du logiciel non libre où c'est le 1% qui reste qui est la cible et les 99% restant de la publicité pas chère, tu découvres?
Certains aiment, OK, mais de la à parler de LL… OK, OK, ce modèle marche, mais franchement je ne vois pas le rapport avec le LL : tu consommes un produit, qu'il soit libre ou pas ne change rien pour toi, tu consommes seulement et l'important est qu'il soit gratuit pour ce que tu en fais, et quand tu auras besoin d'une fonctionnalité, tu seras fainéant et achèteras la fonctionnalité en non libre sans te poser de questions (vu que tu utilises déjà, c'est plus simple).
Sans compter qu'on parle d'équivalent à GitHub, donc peux-tu affirmer que tout ce que fait GitHub, et pas seulement ce que toi tu utilises, GitLab le fait? (hint : non).
Tu dis que comme vi répond à ton besoin et àa celui d'amis, c'est du libre équivalent à Microsft Word, sérieux ce n'est pas très pertinent.
Comme quoi, le marketing fonctionne très bien, des gens font de la pub pour du proprio en pensant aider le libre.
Pour les curieux, au FOSDEM (un truc de gens qui veulent dire du mal du logiciel libre?) :
Open-core or partially proprietary licensing model is worse than fully proprietary licensing model
(malheureusement pas de slides ni vidéos encore, mais l'intro est "Open source community is treated like a bunch of hackers and hobbyists. There isn't a really good reason to adopt open core model." Non, ce n'est pas moi l'auteur)
Note que je n'ai rien spécialement contre ce modèle, n'étant pas contre le logiciel non libre, c'est juste que je ne pense pas que prendre ce type de business model pour faire de la comparaison contre du proprio soit bien pertinent.
Moi et d'autres amis dans leurs boites respectives on utilise github en équipe avec process de review, merge request, CI… et on est très heureux.
et?
Bref, je suis bien conscient que pour de plus en plus de monde le modèle Freemium plait, c'est un modèle qui marche très bien, je suis juste un peu triste de voir arriver le libre comme une simple plaquette publicitaire, on est en train de démontrer que le libre n'a aucun business model, et qu'il faut faire du proprio pour en vivre. J'en fais partie aussi (je vis aussi de non libre), mais j'estime au moins le voir (et je ne refuserai pas un patch car il irait en compétition avec la version que je vendrai), et ne pas me cacher derrière "j'ai une version pour pauvres, je l'appelle communuity edition et les gars s'occupent de faire de la pub pour que je puisse atteindre les gens qui payeront".
Perso, je me dis qu'utiliser GitHub, ben ça va aussi alors, tant qu'à être la dedans.
[^] # Re: Pas forcément
Posté par Zenitram (site web personnel) . En réponse au journal La fin des installateurs modifiés pour sourceforge.. Évalué à -3.
euh…
Gitlab est la copie de github.
ou
Gitlab est la copie tronquée LL de github.
Ca n'enlève rien au reste, juste que GitLab n'est pas le bon exemple de LL (le LL étant qu du marketing pour t'amener vers la version pas libre du tout).
[^] # Re: J'ai moinssé
Posté par Zenitram (site web personnel) . En réponse au journal Debunking sur le virus Zika. Évalué à 3.
Argument classique de tout conspirationniste qui se respecte.
Bref, rien de nouveau.
Le pire est effectivement qu'il doit être sérieux… Des fois, le monde me fait peur, autant d'obscurantisme, il ne faudra pas grand chose pour retourner à l'époque globale obscurantiste (en plus d'un retour à la xénophobie déjà ambiante, ça donne envie le futur qu'on se prépare)
[^] # Re: Drôle
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2. Dernière modification le 16 février 2016 à 13:56.
qui n'utilise pas le chiffrement comme toute bonne pratique en 2016 (et avant).
Que vient faire "les services de google" dans ton histoire? rien, à part que tu veux cracher sur google mais qu'il semble que tu es en manque de raisons valables.
Ici, le fautif est alice.it, et seulement lui, aucun lien avec Google.
Google ne fait pas attention à la sécu, c'est un connard
Google fait attention à la sécu, c'est un connard
Dans tous les cas Google perd avec zurvan, en fait c'est voulu.
Perso, bien que le message soit limite, ok, j'ai plutôt été atterré de voir cette attaque gratuite contre Google. Après, ce genre de chose (mentir pour pouvoir cracher sur quelque chose) ne devrait pas me surprendre, certes…
[^] # Re: cacert ?
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0. Dernière modification le 16 février 2016 à 11:26.
Limiter à 3 cas plutôt que 3 millions, je trouve ça déjà pas mal.
Et encore une fois, Google et compagnie essayent de trouver mieux. Si tu penses savoir faire mieux, n'hésite pas à les conseiller. Mieux, hein, pas un truc théorique qui ne marche pas en pratique.
Euh… J'avais compris!
Je répond comme exemple que justement tu surestimes le besoin de sécurité.
J'ai utilisé les mails non chiffrés pour négocier des contrats à 7 chiffres, et ça n'a posé problème à personne (et je parie que les concurrents en lices n'ont jamais eu accès aux autres offres).
Bref, ton "besoin" de super sécurité est pour des montant plutôt à 9 chiffres (et encore), soit pas très courant.
Ca marche très bien aussi contre mon FAI, les mafias, et en fait tout ce qui n'est pas étatique.
Si tu es en Iran et que ton certificat google.com est signé par le gouvernement Iranien (tu as viré ce CA en qui tu n'as pas confiance), ça marche aussi direct (pas de première victime), et ça ne se fera pas souvent (Chrome pourra très bien virer la CA devant ça), et en plus maintenant on a la certificate pinning pour Google, bref ça en fait des outils.
C'est déjà BEAUCOUP.
[^] # Re: cacert ?
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 1. Dernière modification le 16 février 2016 à 10:49.
Faut arrêter les conneries : d'accord les CA ne sont pas terribles, mais dire que ça n'apporte aucune sécurité est du mensonge (il y a un différence énorme quand même entre signé par soit même et signé par une CA reconnue comme relativement fiable par ton navigateur ou OS, nier cette différence et dire que les CA accepteront Mallory tranquille est du pur troll)
Ca dit au moins que c'est dans la toile de confiance (pas parfaite, mais qui en pratique marche, même pour Google car les faux certificats ont été détectés et neutralisés)
Et à défaut de tout changer, on ajoute des choses comme Certificate Transparency pour rajouter encore plus de confiance (si tu veux faire des exemples personnels, ma transparence est la, mais on peut aussi parler de la transparence de LinuxFr depuis qu'ils ont abandonné CACert).
Le gens envoient un simple mail non chiffré, et ça marche très bien. Il faut arrêter de vouloir mettre de la sécurité "top secret" pour tout et n'importe quoi, une sécurité non adaptée au besoin de sécurité n'est pas de la sécurité.
Tu plaisantes la? N'importe quel tenancier de bar perdu dans lequel je vais le peut. Récupérer un certificat valide (accepté par les navigateurs) de mon domaine, ça serait plus difficile…
En pratique, les CA font le taf bien mieux que tout ce qu'on a imaginé pour le moment, et dire que c'est pareil que auto-signé est injuste.
Je te défie de faire accepter par les navigateurs un certificat pour mon domaine qui serait "elles ne servent à rien d’autre aujourd’hui qu’éviter les messages d’avertissements" (j'imagine toutefois que tu n'es pas de la NSA, après si on parle de la NSA capable de faire pression sur les CA, c'est autre chose, bien autre chose…)
[^] # Re: cacert ?
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0. Dernière modification le 16 février 2016 à 08:34.
1/ (…) while we propagate our own root. c'est en cours.
2/ Mozilla et Google en sponsor, je crois qu'ils ont eu un mot à dire dessus ;-).
Plus sérieusement, IdenTrust ne fait pas ça "parce qu'il a envie", car joue sa crédibilité dessus, donc si il a signé Let's Encrypt, c'est que la sécurité doit être assez bonne.
Et vu autrement, on peut dire aussi que c'est parce que Let's Encrypt voulait être accepté, au contraire de CACert qui n'en fait pas une priorité.
Si il n'y avait que ça comme problème avec les CA… Mais on a pour le moment rien trouvé de mieux (qui marche, hein), donc on fait avec (une petite sécurité comme avec les CA est mieux que rien du tout comme avec Richard Dern ou CACert)
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0. Dernière modification le 16 février 2016 à 08:17.
Euh… Qui fait 2 journaux avec des conneries énormes dedans, et sans se remettre en question quand on lui fait remarquer?
On a essayé, mais l'auteur du journal a un problème avec l'humilité et la capacité à se remettre en question.
Oui, on a apprendre. Mais on ne fait pas boire un âne qui n'a pas soif.
Le libre se fout de l'upstream, tu dis que le libre est ta vie donc tu devrais au moins savoir ça.
La, tu ne parlerai pas de communautaire plutôt?
Défendre? Où? On dit juste que tu proposes pire que eux.
Ha ha ha…
désolé, mais alors la tu essayes de nous faire rire le plus possible, je n'arrive personnellement pas à croire qu'il n'y pas d'humour derrière ce semblant de sérieux.
Non, parce que la, plus on pense que tu as tapé le plus loin possible dans les énormités, plus tu en sors.
J'imagine que ça t'amuse de balancer l'énormité qui fera le plus réagir, c'est dommage, parce que si seulement on mettait à profit ton énergie qu'actuellement tu utilises pour sortir les plus grosses énormités…
Note : "idées"? Où? Désolé, tu te fous de notre gueule, je me permet donc de faire tout autant, on joue au même jeu débile.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 3.
Ce n'est pas crédible.
Note : ce n'est pas parce qu'on passe 25 ans dans son bain que nager est sa vie.
Si tu le fais professionnellement, j'espère que ton employeur (si tu en as un) ne tombe pas ici, ni que tu fais directement affaire avec des clients en leur disant autant de contre-vérités.
Pour ça, il faudrait déjà savoir ce qu'est le libre (ce qu'il apporte, ce qu'il n'apporte pas).
Le libre, c'est le droit d'utiliser, étudier, modifier, copier. Quel rapport avec le social, l'humain, l’intellectuel? Tu ne mélangerais pas le libre avec autre chose?
Bon, admettons, tu fais du libre et de l'informatique depuis 25 ans. Par curiosité, parce que ta "page perso" avec 9 post de blog laisse sur la faim, si c'est le résultat de 25 ans d'informatique et de libre.
Si tu peux accepter un conseil : commence par te documenter, sérieusement (pas auprès d’intégristes du libre qui ont autant avec le libre que l'EI avec l'Islam, mais auprès de sources fiables) et considère que tu es tout tout début de l'apprentissage (donc n'apporte pas de solution, ça c'est quand on a étudié le sujet)
[^] # Re: cacert ?
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -2.
Tu fais comme si c'était mineur
Ce n'est pas bof
Refus. Ils ont commencé, Mozilla était semblait être ok pour faire gratos (et Debian l'avait gratos), et ils ont retiré la demande.
Tu plaisantes? Tu ne vois pas le lien entre les deux?
ben si. J'ai pris le temps d'expliquer, mais la réponse semble ne pas te convenir.
Aucune différence de traitement.
(par exemple, si un CA n'éprouve pas le besoin d'être dans les navigateurs, c'est quand même gênant non? Est-ce la faute des navigateurs?)
La, il faut que tu lises toute la prose sur CACert, mais le résumé t'a été donné.
Tu as loupé tout ce qui est écrit dans le commentaire auquel tu réponds, pour en extraire que 2 trucs dont 1 hyper mineur. Euh…
Si tu ne veux pas l’analyser car ne répond pas comme tu voudrais entendre, ça ne changera pas les faits.
Bon, désolé, je croyais que la question était sérieuse, j'avais répondu sérieusement et me suis trompé de niveau de discussion et j'ai donc perdu mon temps à être sérieux, je repasse en mode rigolo (faut vraiment pas être sérieux ici, on te fait comprendre que ça sert à rien)
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -1.
J'avoue que vu que la question montre tellement d'ignorance sur le libre et sur le fonctionnement d'une distro binaire que je ne sais pas comment répondre, surtout par quoi commencer, c'est encore pire que SSL. plantage.
Si la question est sérieuse (ce que je ne pense pas vu les réponses déjà caricaturales dans le refus de réfléchir sur les CA), il faut commencer par lire sur comment on tu peux être sûr qu'un binaire correspond au source (en fait, tu affirmes que le source sert à quelque chose, donc tu devrais toi M'éduquer sur comment tu peux être sûr que le binaire correspond au source, perso moi je ne sais pas comment tu fis).
Bref, tu as fait 2 journaux qui se font démonter sans que tu réfléchisses dessus, donc je ne pense pas que tes questions sont pour avoir une réponse, et je n'ai simplement pas trouvé de côté marrant ou d'utile pour les autres (je pense qu'ils savent tous, car la on part dans la base de base) à répondre, je n'étais pas inspiré.
Je te propose de faire un journal "comment savoir qu'un binaire vient du source donné : parce que".
[^] # Re: Drôle
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0. Dernière modification le 15 février 2016 à 19:23.
Pourquoi?
Oui, et si tu as une meilleure solution qui marche (non, PGP ne marche pas la dessus) avec un webmail sans faire confiance à l'hébergeur de mail, on prend. en attendant, la réalité est que ça ne marche pas.
Ce n'est pas le sujet, mais bon j'imagine que tu veux juste troller.
Si tu ne veux pas troller, c'est pour éviter les MITM et autre sniffers comme… L'objectif de LinuxFr quand ils font du HTTPS, tu veux dire que LinuxFr te fait rigoler?
Oui, et c'est pas le problème soulevé. Et?
si tu n'as pas confiance en ton hébergeur, pourquoi ne pas en changer?
[^] # Re: Pas forcément
Posté par Zenitram (site web personnel) . En réponse au journal La fin des installateurs modifiés pour sourceforge.. Évalué à -10.
ha ha ha.
Comment veux-tu ensuite que je ne sois pas méprisant?
Oui, désolé j'assume, mais je dis sans contour qu'on se fout de ma gueule (que tu ne connaisses pas, OK, mais que tu affirme le contraire, la c'est trop gros), et la tu te fous de ma gueule, et admettons, mais je méprise sans doute ceux qui essayent de me vendre n’importe quoi.
Ici, tu montres que tu n'as rien compris à comment ça marche (Firefox, GitHub…), ni même cherché (par exemple en lisant ce que j'ai écrit ici).
Tu peux toujours fantasmer sur les qualités du libre, en te plantant complet d'analyse tu ne changera jamais le monde, c'est certain.
[^] # Re: cacert ?
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2. Dernière modification le 15 février 2016 à 17:03.
Trolleur!
En résumé grosse maille (et j'assume, je caricature, quoique pas tant que ça):
- Un problème de communication
-- Dire que le système de CA c'est de la grosse merde (note : je ne remet pas en cause que c'est de la merde, mais pour le moment c'est la merde qui pue le moins donc on fait avec, et CACert ne résout rien de la puanteur du système) par design puis proposer une CA, c'est risible pour les utilisateurs potentiels
-- Dire que les autres CA et les navigateurs sont des merdes en sécurité, que eux ils savent trop plus mieux bien que tous les autres ce qu'il faut faire en sécurité, et ensuite demander à ces dernier d'être acceptée comme CA digne de confiance, n'est pas forcément la meilleure méthode pour se faire acceptée.
- Un problème technique
-- Faire chier les demandeurs avec l'équivalent (voir pire car pas toujours du monde près de chez toi alors que les autres CA font à distance) de ce qu'il faut d'un certificat EV (validation étendue) pour ensuite te filer un certificat DV (de base), ça cloche quelque part
-- A ma connaissance ils sont super à la bourre techniquement (SHA-256, CT Certificate Transparency etc…)
-- Refuser un audit de sécurité par tes pairs, pour avoir autre chose que "promis on fait de la sécu, ayez confiance", ça ne donne pas confiance (ni aux utilisateurs ni aux navigateurs web)
-- Avoir un certificat signée par une CA pas dans les principaux navigateurs revient à avoir un certificat auto-signé (d'une pourquoi alors se faire chier à faire signer le certificat, et de deux tu peux lire ce que les gens pensent de l'auto-signé dans les commentaires des journaux de l'auteur du journal)
- Un problème financier
-- Être incapable de récupérer ~200 k$ / an mondialement (ça en fait des donneurs potentiels) pour un truc de ce type, c'est pas plus rassurant sur la capacité de l'équipe à tenir dans le temps. (pourquoi 200? de tête il faut payer entre 50 et 100 k$ / an / entreprise pour être dans IE ou Safari)
Sachant que chaque différent problème a un impact sur l'autre, l'ensemble est… (censuré ;-) ).
Normal que tu ne comprennes pas, personne à part eux ne comprend. un certificat DV (celui de base) a pour but de vérifier que le domaine atteint est celui visé. Pour ça il suffit d’envoyer un mail au webmasteur (adresse email dans le whois du domaine). On se fout de savoir "tes papiers d'identité et la correspondance de la photo avec ton visage." Ils proposent une sécurité en plus pour une confiance en plus, OK, mais c'est… En plus? Il faut déjà faire la base non? (comme être dans les navigateurs).
Il créent une "super toile de confiance avec vérification d'identité", mais personne dans les navigateur (ni Debian, tu parles d'une honte, être viré de Debian très au fait des libertés, faut le faire quand même dans le niveau de confiance bas…) n'a confiance en eux. Et ils ne se posent aucune question en allant au FOSDEM faire des signing party? euh…
Même les admins LinuxFr ont abandonné, je te laisse en déduire le niveau du problème.
Note : oui, je sais, il reste des adorateurs de CACert ici, désolé d'être factuel et de ne pas mettre les problèmes sous le tapis juste parce que ça se dit "tourné vers la liberté", la personne a demandé ce qui cloche, "rien, on est trop géniaux et les autres sont des cons" n'est pas une réponse pertinente.
Tout ce qui est écrit au dessus (problèmes de sécurité, confiance, finances), Let's Encrypt le résout (plus d'experts en sécurité, plus d'audit par ses pairs, engagement des navigateurs, financement sécurisé pour les prochaines années).
Let's Encrypt, c'est CACert au niveau du prix (son seul avantage par rapport à d'autres CA vu que CACert ne résout aucun problème des CA) sans les inconvénients.
Prenons donc Let's Encrypt et laissons mourir CACert (je pensais CACert mort mais j'ai aussi entrevu le stand au FOSDEM, certes, mais on s'approche de la nécrophilie)
PS : pour ceux qui me voient en adorateur des CA, rappel. J'ai pris du temps autant pour expliquer un problème des CA autant que pour expliquer le problème CACert, alors merci de ne pas partir dans le délire "tu les detestes bla bla bla", tout ce que je dis est factuel (vous pouvez expliquer en quoi ce serait faux), et je base mon explication sur une analyse, je me fous de qui aime ou pas tel truc (je m'intéresse au résultat) et j'ai pris le temps d'écrire pour expliquer le problème (pourquoi il faut éviter la chose), pas pour taper sur CACert gratuitement (je me fous complet de CACert l'entité, si ils proposent quelque chose de correct je dirai que c'est correct).
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2.
Ce n'est pas une idée, juste le passé (avant les CA).
[^] # Re: Sources ? (sérieuses, j'entends)
Posté par Zenitram (site web personnel) . En réponse au journal Monsanto, Zika Hoax. Évalué à 9.
C'est le discours classique de tous ceux qui trouvent des complots à tous les coin de rue ("c'est évident", ça c'est de l'argumentation, bizarrement impossible pour l'auteur de la phrase de démontrer l'évidence).
Et?
J'aimerai juste autre chose qu'un journal sans arguments
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2. Dernière modification le 15 février 2016 à 12:07.
Il valent exactement ce pourquoi ils sont : tu conspue des tiers de confiance tout en les aimant.
Ca montre tout le problème de ta logique.
Le système de CA ne sont pas parfaits (personne n'a dit le contraire), mais tu te trompes de "combat", et surtout tes argument sont juste rigolos (et donner ta confiance à Debian parce que tu peut lire le code source, désolé, mais c'est une notion tellement fausse qu'on ne peut te croire quand tu dis connaitre le sujet et donc être capable de proposer une solution, tu ne connais en fait rien en terme de notion de confiance)
Voit pas le rapport.
Debian peut mettre une backdoor autant que Juniper, et ça se verra autant (même si il y a un projet de reproductibilité pour justement pouvoir avoir plus confiance, mais ce n'est pas encore prêt)
Oui (PERSONNE ne dit le contraire, il te faudra combien de temps pour l'accepter?), et justement ça te décrédibilise.
Tu dis que c'est ex-aequo, mais tu veux en virer un et pas l'autre.
euh… Non, rien, continue dans ton délire, ce n'est clairement pas toi qui amènera un jour plus de sécurité à Internet.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -2.
C'est plus facile, mais les gens ont du mal avec DNSSEC.
tous ces idiots d'admins, vraiment… Ou alors ce n'est pas plus facile, encore un fantasme.
(désolé, mais DNSSEC est notoirement connu pour ne pas être ami avec le mot "facile")
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -1.
En attendant, il y a un truc qui ne marche pas, et un truc qui marchote.
Je préfère le truc qui marchote.
toujours à critiquer, sans proposer une meilleure solution (non, la solution de l'autre journal n'est pas mieux, c'est encore pire), encore moins la mettre en oeuvre (comme c'est bizarrre).
Différence entre belle théorie et la pratique.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Zenitram (site web personnel) . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0. Dernière modification le 15 février 2016 à 11:48.
Ha ha ha…
tu as accès un un code source.
tu n'as aucune idée du code source des binaires que tu as reçu.
bref, tu fantasmes sur une confiance que tu pourrais avoir, n'aimes pas les tiers, tout en les utilisant tout le temps.
Tu ne sais toujours pas de quoi tu parles (tu penses sérieusement pouvoir être sûr que le source fournis correspond au binaire fournis?)
Sérieux, informe-toi avant d'avoir tes idées sur ce qui est fiable ou pas.
PS : sans compter que tu as accès au code source mais que tu ne l'as pas lu.