Zenitram a écrit 29457 commentaires

Je sais pas trop, vlc s'est grille chez apple donc on risque pas de les y voir de si tot.

LibVLC est passé LGPL depuis. Du coup c'est compatible avec le verrou Apple maintenant.

Et pour PGP? On te demande depuis le début comment on fait dans la vraie vie, la, maintenant, pour vérifier une signature PGP.

Par une ou plusieurs connaissances communes, considérées comme des autorités de certification.

Quitte à me répéter, dans la vraie vie il n'y a pas de connaissances communes.

le modèle PGP est strictement supérieur à celui de X.509 (SSL).

C'est tellement mieux que pas foule l'utilise, surtout pas à l'endroit où la grosse problématique de savoir à qui on cause est important (Internet).

Ah oui, tu vas me sortir une histoire de méchants conspirationnistes qui veulent se faire de l'argent plutôt que d'accepter que PGP ne répond pas au besoin d'identification la première fois qu'on se cause?

PGP permet d'implémenter un modèle pyramidal à la X.509 avec des autorités de certification, il suffit pour ça de se restreindre volontairement à une signature par certificat ;

Mais pourquoi donc SSL, avec toutes ses failles, n'est pas remplacé par PGP sur la toile, vraiment… Si il est si supérieur!

Donc, un webmail, c'est pour des machines sous Windows, des machines vérolées, des machines de gens qui installent des bêtises. Et utiliser GPG dans ces conditions-là, c'est être fou.

Ca dépend. Oui, dans le cas général, je suis d'accord : se connecter sur une machine inconnue pour ensuite signer, c'est ne rien comprendre.

Par contre, j'ai personnellement un cas de figure avec le webmail à utiliser : quand je suis chez une personne digne de confiance (genre un mec linuxien pur qui me file des passwords imbittables et différents pour chaque accès que je lui demande, mr mon admin si tu me lis ;-) ) et que je n'ai pas machine sous la main (certes, c'est rare!), je considère que ma chaîne de confiance est correcte (certes, j'ai SSL du coup dans la chaîne…) et du coup c'est utile.
Par contre, clair : c'est un cas très très rare et beaucoup ne vont pas regarder si leur chaine de confiance est correcte.

Ce qui t’intéresse c'est d'avoir toujours la même personne en face.

Et comme déjà dit : pas forcément.
Ca, c'et facile (tu valides la signature la première fois), comme SSH par exemple. Pas de problème.

La problème qui intéresse c'est d'avoir la personne à qui on pense. Si, ça peut être important. C'est justement toute la problématique, et c'est à quoi répond par exemple SSL et les tiers de confiance, justement.

Wow… Impressionnant comme ça tourne en rond pour éviter de voir le problème en face.

par un ami commun

Si si ça arrive de ne pas avoir d'amis communs. Encore plus des amis communs que ça gonfle de "vérifier".

tu peux vérifier le hash de la clef par téléphone.

Vas-y, fait-toi chier… Ou comment faire compliqué.
Oui, c'est possible. Mais c'est pas du tout pratique. A utiliser que pour des trucs hautement sensibles. Donc ni toi, ni moi, les contraintes sont trop fortes par rapport au niveau de confidentialité requis.

Sans compter que du coup, on l'a comment le numéro de téléphone? Ben oui, quand on cherche à vérifier la signature d'un "étranger", généralement le numéro de téléphone a la même valeur de sécurité que le mail en clair, soit aucune valeur de sécurité. Autant valider le hash la première fois que tu le reçois et juste vérifier que c'est toujours la même personne sans chercher à vérifier si c'est la bonne au départ, au niveau sécurité c'est pareil.

Alors que si tu fais un windows D tu viens de tout réduire, il ne te reste plus qu'à recliquer sur tes 5 fenêtres pour les faire revenir au premier plan.

Ou faire Win+D de nouveau.

Ou alors on implémente de manière correcte. Tu l'as toi-même démontré ici

Je te parle de cette merde la :
https://linuxfr.org/nodes/89696/comments/1326179

Je le vois assez souvent (défaut d'enigmail si ma mémoire est bonne)

Super pas pratique. Et cher (j'ai souvent un océan entre moi et mon correspondant)

Dit moi ce dont tu as besoin, je te dirais comment t'en passer.

Rectification : Thunderbird, sans enigmail, m'affiche la signature PGP toute pourrie. Ben oui, du libre… (du moins à mon dernier test il y a quelques mois)
Les Webmails aussi. En fait, beaucoup de monde, de beaucoup d'entreprises.

Et rien à foutre : en plus de quand même faire attention avec un lecteur dominant (que tu sois microsoft-phobe ne change pas que c'est important), on doit penser à la compatibilité descendante surtout quand c'est simple de le faire si on a envie que sa jolie technologie se diffuse sans réaction "tu fais chier avec ta merde".
Pourquoi faire de la compatibilité quand foutre la merde est plaisant, certes…

Si je ne me trompe pas, le monsieur vit aux Etats-Unis, donc OS américain.
Et oui, il y a des français capables de vivre avec une autre langue… Ca arrive. Et peut-être qu'il n'avait pas envie de se faire le passage en français (ça se fait en quelques clics) juste pour quelques mots simples.

Donc si je comprends bien, on est tellement compétitifs et le système est tellement bon qu'on a besoin d'une mesure spéciale pour empêcher les industriels de se barrer. Ah ouai, c'est cohérent…

En RDA, le gouvernement disait que si ils construisaient un mur et tiraient sur les gens qui tentaient de s'enfuir (partir), c'était pour empêcher les méchants de l'extérieur de les envahir (entrer). Et il y en avait pour le croire, c'est ça le pire. Comme Kwiknclean qui nous explique que son idée est tellement bien qu'il faut qu'il construise un mur pour nous empêcher de partir.

Autant mettre des taxes sur ce qui rentre afin de compenser le prix dû à une moindre protection sociale en face est compréhensible, autant empêcher de sortir montre juste qu'on ne crois pas soit-même au modèle proposé…

VLC était un mauvais exemple.
Mais plein de libre est sur le store. Juste pas du copyleft (car l'outil de distribution qui se rajoute n'est pas libre), mais il n'y a pas que le copyleft dans la libre.

Pour les fichiers, un SFTP et ça allait.
C'était nos échanges de mails qui devaient être "confidentiels", et non, taper son texte sous OpenOffice, chiffrer le fichier, et l'envoyer en pièce jointe n'est pas ergonomique.

La sécurité, ça marche si elle n'a pas pour objectif secondaire de faire chier l'utilisateur au maximum.

Si j'ai bien compris, PGP/MIME, c'est pratique pour le chiffrement. Pour la signature, quel intérêt d'envoyer un mail incompatible avec des lecteurs "normaux" alors que ça n'apporte aucune plus-value par rapport à un header bien placé qui garde la compatibilité descendante?

Ici, on parle de signature, ou un fallback est tout à fait possible. Si les développeurs comprenaient l'importance de ne pas faire chier les destinataires qui ne sont pas "aware" PGP.

Au contraire : il est évident qu'on ne peut pas garder en clair un texte qu'on veut chiffrer! C'est enfoncer des portes ouvertes de dire que c'est impossible de chiffrer sans chiffrer.
Donc la seule chose dont on parle à mettre dans les headers, c'est bien la signature.

et comme tu l'as fait remarquer, les autres le font sans problème. C'est vraiment une connerie immonde de foutre sa signature GPG dans le corps du texte, qui est réservé au texte. Oui, les gens qui foutent leur signature GPG dans le corps du mail à des gens sans savoir si en face c'est supporté (genre sur une mailing-list, vas-y que je fais chier tout le monde) me font bondir : ne le faite pas, l'outil est mauvais, très mauvais.

(comme si l'esprit open-sources pouvait se résumer à 4 pauvres loi succinctes pour coller à un paradigme libéral),

Zut alors, personne n'est d'accord sur le reste, et limiter à ces 4 lois permet justement au libre d'évoluer, mais ça ne va pas.
Colle autre chose sur le libre, et ce n'est plus le libre, celui qui marche.

C'est con, mais le libre marche justement parce qu'il ne parle pas d'autres choses que les 4 libertés.

On nage en pleine hypocrisie.

Effectivement : il y a des gens qui veulent s'approprier le libre en faisant croire que leurs idées hors-sujet sont dans le libre.

Je trouve votre idée tellement bonne que je propose même d'en faire une loi pour la rendre applicable à tous et pour tous sur le territoire.

Imposer. Encore et encore. Très loin de la liberté absolue prônée des libertaires… Mais chut hein, ne pas avouer qu'on est tout sauf libertaire!

Sinon, c'est déjà une loi pour la rendre applicable : en effet, rien ne t’interdit de donner, tu es libre. Le monsieur ne dit rien d'autre que tu es libre de le faire. Libre != être imposé. Don != prélèvement obligatoire. Ce que tu demandes existe déjà. Mais c'est con, les gens usent de leur liberté. Faudrait interdire la liberté.

Défaitisme

Attend : je dis que c'est de la connerie d'avoir "insulter l'autre" comme programme, et tu parles de défaitisme?
C'est quoi le rapport?

Non, je parle de ton programme, qui tient en une seule ligne : faire chier l'autre, l'insulter, dire "non".
Tu l'as dit toi même, ton programme est "faire un peu de comm' assassine par mailing list en interne face aux porcs en place"…

Mais c'est sûr, plutôt que d'avoir un programme, d'avoir une proposition à faire, c'est plus facile de cracher sur le voisin.

Désolé, ce n'est pas une solution.

Pourquoi la plupart des sites qui m'envoient des informations relativement confidentielles (mots de passe, factures, reçus…) ne me proposent pas de déposer ma clé PGP publique dans le formulaire ?

Parce que personne n'a rien à foutre de tes factures et personne ne viendra faire de MITM pour ça?
Tout comme avant, les factures n'étaient pas en recommandé (pour être sûr du destinataire) avec un sceau de protection (pour pas qu'un autre lise)

Un niveau de sécurité inadapté au besoin, c'est ridicule : avec le mail, le lien "faible" est entre les SMTP (le reste est protégé par IMAPS), et à part si tu joues à de l'autohébergement (c'est ton problème si tu joues à ça, et tu es pas assez nombreux pour que ça soit regardé), faire un MITM entre deux hébergeurs est pas facile du tout.

Après, si tu es prêt à payer de ton argent pour avoir ce niveau de sécurité inadapté par rapport au niveau d'information, je suis sûr qu'ils seront d'accord pour avoir ton argent. En attendant, je ne vois pas pourquoi moi je payerai pour ton délire sécuritaire.

L'attaque MiN depuis le début, est vraiment improbable et de plus en plus avec le temps qui passe.

Comme tout est improbable, autant ne rien faire!
Hum… Justement, ce qui nous intéresse c'est que ce n'est pas impossible.

Autant rester en clair, sans rien, dans ce cas, c'est aussi improbable qu'on vienne faire un MITM. Sauf quand on fait un MITM.

Chiffre, OK, impossible de faire autrement que de chiffrer, merci je suis idiot mais quand même.
Et signer, c'est quoi le problème de le mettre dans le header comme tout le monde à la place de pourrir l'affichage?

faire un peu de comm' assassine par mailing list en interne face aux porcs en place

Ca c'est du programme!
Et après on s'étonne que ce syndicat dont Mr est membre donne de l'urticaire…

Le problème des mails, c'est que c'est un protocole de communication obsolète et foireux qu'on ne devrait plus utiliser.

Hum. Les headers, ce n'est pas présent pour rien. C'est même fait pur ça. D'autres logiciels arrivent très bien à les utiliser, mais pas GPG. Le problème ne serait-il pas l'implémentation de GPP pour les mails plutôt que format d'email?