1/ comme confirmé dans la section 9, c'est optionnel
2/ la section 6 précise bien qu'il faut apporter un soin particulier à ces fichiers exportés en terme de sécurité
3/ c'est à l'implémentation du serveur de décider comment stocker les mots de passe: tout comme Prosody laisse le choix aux administrateurs de stocker le mot de passe sous forme de hash, en clair, dans un fichier texte, en base de données, etc., le protocole laisse à l'implémentation du serveur la liberté de s'adapter à son cas d'usage spécifique
Donc un serveur qui veut respecter la confidentialité de ses utilisateurs, et sait pertinemment que la sécurité absolue n'existe pas, stockera le mot de passe sous forme de hash et ne l’inclura pas dans le fichier d'export.
À l'inverse, un serveur qui cible les entreprises trop number one en sécurité, leader sur leur marché, persuadées d'être à l'abri derrière leur firewall cisco dernier cri à 1M d'€ et qui veut laisser la possibilité à ses administrateurs de fliquer ses utilisateurs stockera tout ça en clair et exportera le mot de passe de la même façon
Le protocole n'a pas à préjuger du type d'utilisation qu'on en fera et doit rester flexible: j'imagine que la XSF, qui décide de ce que contiennent les XEP, inclut des organisations dont la sécurité n'est pas l'objectif premier… Il faut donc forcément faire des compromis.
J’ai cru comprendre en lisant une conversation de Bortzmeyer que les équipes du FOSDEM avaient patché Matrix/Element pour leur besoin et que ça cassait en partie la fédération.
There are no standardized regulation relating to just how long a short sale can last before being closed out.
Et :
The lender of the shorted shares can request that the shares be returned by the investor at any time, with minimal notice, but this rarely happens in practice so long as the short seller keeps paying its margin interest.
Et franchement, vu que le short selling est réservé à ceux qui ont de la thune, ça m’étonnerait vraiment pas que tant qu’ils peuvent s’en mettre dans la poche ils le font.
Ceux qui ont acheté par suivisme, au prix fort, vont perdre beaucoup d'argent.
Au pire, 100% de leur mise initiale.
Par contre, les short sellers eux ils flippent, parce que pour eux il n’y a pas de maximum dans la perte (et c’est pour ça qu’ils font tous les plateaux de TV pour parler de manipulation en ce moment).
Bah le principe c’est de vendre quelque chose que tu n’as pas au prix x et de l’acheter en temps voulu au prix y (en faisant tout pour que y soit inférieur à x).
En tout cas c’est ce qu’on prétend que c’est : la bourse c’est simplement acheter du blé et le revendre plus cher, hein ?!
Non, en vrai tout ça c’est virtuel, on achète et on vend du vent et ça ne marche que tant que tout le monde joue le jeu.
Dans le monde réel, si t’essaye de vendre plus de blé qu’il n’en existe sur terre, ça va probablement pas bien se passer.
Je parlais surtout de la dépendance aux services Google et de leur refus de collaborer avec F-Droid.
Pour ma part, je trouve vraiment paradoxal de mettre en avant la sécurité et la vie privée, tout en recommandant d'avoir les services Google Play sur son téléphone.
Pour F-Droid, Moxie considère que les mises à jour automatiques en arrière plan sont une bonne chose et qu’elles rendent l’écosystème plus sûre. Il considère même que l’écosystème des OS de smartphones est plus sûr que celui des OS desktop.
Je pense qu’il a tort et qu’il est borné, mais à la limite c’est son choix.
Tu peux toujours télécharger l’APK via leur site web et si tu veux Signal via F-Droid, il y a des dépôts alternatifs qui servent l’APK officiel sans modification.
Pour GCM, tu inverses complètement : la majorité des utilisateurs ont les GApps installées, ça ne demande absolument aucune configuration (pas d’optimisation de la batterie, de permissions en plus ou quoi que ce soit) et ça juste marche (et au passage, ça n’a aucun impact sur ta vie privée dans Signal).
Tu peux utiliser Signal sans GCM (je le fais), il va ouvrir une websocket avec leurs serveurs (donc consommer plus de batterie), afficher une notification permanente, te demander de désactiver manuellement l’optimisation de la batterie pour Signal (sinon ça marche pas), etc.
Mets toi à leur place, c’est quoi le mieux si tu veux que ton applications soit adopté par le plus de personnes possible (ça veut dire même ton grand-père de 80 ans) ?
Pour signald, je pense qu'ils écrivent principalement ça pour se protéger légalement, non ?
Bah non, regarde, on t’a fait les mêmes remarques sur HN : y a plus de E2EE avec ta passerelle, ça la rend moins sûr que d’utiliser l’application sur Android (même avec GCM :D).
On peut même imaginer que si signal n'était pas si réticent à l'idée de clients alternatifs, ils pourraient faciliter les implémentations aussi sûres que les siennes ?
Louis Rossmann a publié une vidéo « coup de gueule » sur la manière dont toute cette histoire est présentée et traitée par les médias et j’aime bien son argument : la manipulation elle a eu lien avant, quand le cours descendait et que certain ont shorté plus de part qu’il n’en existe réellement.
Excuse moi, j’étais pas assez clair, j’aurai du prendre un exemple avec un nombre d’utilisateurs dans le même ordre de grandeur : tu remarqueras que personne n’analyse le chiffrement des commentaires sur Reddit non plus.
Finalement, ça amène à la question : vous qui vous dites libristes, êtes vous prêt à accepter ce que ce qu'implique "pour tous les usages" ou est-ce juste de l'affichage?
Tu sais, on peut accepter « pour tous les usages » et quand même ne pas apprécier que les pires rapaces existent seulement parce que cette règle existe.
La vraie question (parce qu’on va quand même pas défendre une entreprise comme Elastic) c’est qu’est-ce que la SSPL apporte de plus que l’AGPL ?
Ça vaut pour Mongo aussi, pourquoi avoir choisi de « re-licencier » sous une licence qui n’a aucun historique juridique, qui est mal écrite, et qui n’est (selon les définitions admises actuellement) n’est pas FLOSS ?
La question qui doit être répondue est la suivante: Le programme X veut accéder aux ressources Y de l'utilisateur Z.
Ça c’est ce que resolvent OAuth2 et OIDC.
Mais de ce que je comprends de leur philosophie, c’est qu’il ne gère pas les droits d’accès. Ça c’est délégué à l’application.
Mais il se peut que Z n'ait pas le droit d'accéder à Y tout court, genre l'utilisateur lambda n'a pas le droit d'accéder à la console d'administration, seulement à ses mails et nextcloud. Donc pour permettre ces niveaux d'accès, j'utilise les scopes.
Ça c’est encore autre chose, et c’est souvent géré en envoyant une claim roles avec la liste des droits que l’utilisateur a dans l’application.
Je dis pas que j’ai raison et je pense qu’OIDC est trop peu standardisé pour qu’on tombe d’accord, mais personnellement je fais comme suit et je pense que c’est plus proche de la philosophie de base :
Des scopes et claims classiques pour transmettre les information de l’utilisateur (avec son consentement, comme c’est prévu dans OIDC).
Une claim groupes pour limiter quel utilisateur a le droit d’accéder ou non à l’application (par exemple, avec --allowed-groups=monitoring dans oauth2-proxy, j’autorise seulement les membres du groupe monitoring à accéder à l’interface de Prometheus).
Pour les applications qui le gère, une claim roles pour donner des droits particuliers à un utilisateur dans l’application (le lien entre les roles OIDC et les droits dans l’application est géré dans la dite application).
Sur Reddit il y a des développeurs qui ont fait du « teasing » au moment de l’annonce de l’abandon de CentOS (en disant que d’autres annonces allaient arriver).
Je pense que c’était prévu de longue date (même si, je te l’accorde, la comm est pas ouf).
La bonne nouvelle, c’est que si vous vous éloignez un instant de l’écran, que vous allez jusqu’à la bibliothèque municipale […], vous trouverez des tas de choses à lire qui représente généralement le meilleur de l’humanité […].
Oui, comme par exemple, les derniers livres de Zemmour ou Houellebecq, ou aussi Mein Kampf. Le meilleur de l’humanité.
[^] # Re: Configuration serveur et écosystème de clients
Posté par Anonyme . En réponse à la dépêche Messagerie instantanée : ce n’est pas une question d’applications. Évalué à 3.
1/ comme confirmé dans la section 9, c'est optionnel
2/ la section 6 précise bien qu'il faut apporter un soin particulier à ces fichiers exportés en terme de sécurité
3/ c'est à l'implémentation du serveur de décider comment stocker les mots de passe: tout comme Prosody laisse le choix aux administrateurs de stocker le mot de passe sous forme de hash, en clair, dans un fichier texte, en base de données, etc., le protocole laisse à l'implémentation du serveur la liberté de s'adapter à son cas d'usage spécifique
Donc un serveur qui veut respecter la confidentialité de ses utilisateurs, et sait pertinemment que la sécurité absolue n'existe pas, stockera le mot de passe sous forme de hash et ne l’inclura pas dans le fichier d'export.
À l'inverse, un serveur qui cible les entreprises trop number one en sécurité, leader sur leur marché, persuadées d'être à l'abri derrière leur firewall cisco dernier cri à 1M d'€ et qui veut laisser la possibilité à ses administrateurs de fliquer ses utilisateurs stockera tout ça en clair et exportera le mot de passe de la même façon
Le protocole n'a pas à préjuger du type d'utilisation qu'on en fera et doit rester flexible: j'imagine que la XSF, qui décide de ce que contiennent les XEP, inclut des organisations dont la sécurité n'est pas l'objectif premier… Il faut donc forcément faire des compromis.
[^] # Re: FOSDEM
Posté par Anonyme . En réponse au journal Google expulse (temporairement ?) Element (client Matrix) du Play Store. Évalué à 3.
J’ai cru comprendre en lisant une conversation de Bortzmeyer que les équipes du FOSDEM avaient patché Matrix/Element pour leur besoin et que ça cassait en partie la fédération.
[^] # Re: Faudrait en faire une dépêche
Posté par Anonyme . En réponse au lien Alice Recoque, pionnière de l'informatique et de l'intelligence artificielle, est décédée. Évalué à 1.
Avec LaTeX ça aurait été plus facile et plus intuitif :D
[^] # Re: Emprunter des actions ?
Posté par Anonyme . En réponse au lien Quelques vautours de la bourse en short, merci reddit !. Évalué à 6.
C’est pas ce que j’ai pu lire, par exemple dans cet article, Short Selling: How Long Does a Short Seller Have Before Covering?, il disent :
Et :
Et franchement, vu que le short selling est réservé à ceux qui ont de la thune, ça m’étonnerait vraiment pas que tant qu’ils peuvent s’en mettre dans la poche ils le font.
Au pire, 100% de leur mise initiale.
Par contre, les short sellers eux ils flippent, parce que pour eux il n’y a pas de maximum dans la perte (et c’est pour ça qu’ils font tous les plateaux de TV pour parler de manipulation en ce moment).
[^] # Re: Définir "gouvernement"
Posté par Anonyme . En réponse au lien Cory Doctorow : "Cessez de dire que ce n'est pas de la censure si ça ne vient pas du gouvernement". Évalué à -1.
Je vais finir par coder un bot… https://xkcd.com/1357/
[^] # Re: Kaiwa -> Converse
Posté par Anonyme . En réponse au sondage Quel est selon vous le client XMPP à l'interface la plus adaptée pour une équipe soudée de gens inconnus?. Évalué à 5.
extrait du README sur github :
[^] # Re: Emprunter des actions ?
Posté par Anonyme . En réponse au lien Quelques vautours de la bourse en short, merci reddit !. Évalué à 7.
Bah le principe c’est de vendre quelque chose que tu n’as pas au prix x et de l’acheter en temps voulu au prix y (en faisant tout pour que y soit inférieur à x).
En tout cas c’est ce qu’on prétend que c’est : la bourse c’est simplement acheter du blé et le revendre plus cher, hein ?!
Non, en vrai tout ça c’est virtuel, on achète et on vend du vent et ça ne marche que tant que tout le monde joue le jeu.
Dans le monde réel, si t’essaye de vendre plus de blé qu’il n’en existe sur terre, ça va probablement pas bien se passer.
[^] # Re: bonne initiative
Posté par Anonyme . En réponse au journal Ma passerelle XMPP/Signal. Évalué à 7.
Pour F-Droid, Moxie considère que les mises à jour automatiques en arrière plan sont une bonne chose et qu’elles rendent l’écosystème plus sûre. Il considère même que l’écosystème des OS de smartphones est plus sûr que celui des OS desktop.
Je pense qu’il a tort et qu’il est borné, mais à la limite c’est son choix.
Tu peux toujours télécharger l’APK via leur site web et si tu veux Signal via F-Droid, il y a des dépôts alternatifs qui servent l’APK officiel sans modification.
Pour GCM, tu inverses complètement : la majorité des utilisateurs ont les GApps installées, ça ne demande absolument aucune configuration (pas d’optimisation de la batterie, de permissions en plus ou quoi que ce soit) et ça juste marche (et au passage, ça n’a aucun impact sur ta vie privée dans Signal).
Tu peux utiliser Signal sans GCM (je le fais), il va ouvrir une websocket avec leurs serveurs (donc consommer plus de batterie), afficher une notification permanente, te demander de désactiver manuellement l’optimisation de la batterie pour Signal (sinon ça marche pas), etc.
Mets toi à leur place, c’est quoi le mieux si tu veux que ton applications soit adopté par le plus de personnes possible (ça veut dire même ton grand-père de 80 ans) ?
Bah non, regarde, on t’a fait les mêmes remarques sur HN : y a plus de E2EE avec ta passerelle, ça la rend moins sûr que d’utiliser l’application sur Android (même avec GCM :D).
Au passage, l’auteur explique pourquoi il dit ça : signald/signald#101
Imaginer on peut toujours.
[^] # Re: Manipulation de marché
Posté par Anonyme . En réponse au lien Quelques vautours de la bourse en short, merci reddit !. Évalué à 10.
Louis Rossmann a publié une vidéo « coup de gueule » sur la manière dont toute cette histoire est présentée et traitée par les médias et j’aime bien son argument : la manipulation elle a eu lien avant, quand le cours descendait et que certain ont shorté plus de part qu’il n’en existe réellement.
[^] # Re: bonne initiative
Posté par Anonyme . En réponse au journal Ma passerelle XMPP/Signal. Évalué à 2. Dernière modification le 27 janvier 2021 à 14:53.
Sans déconner, y a juste à aller sur le dépôt de signald pour comprendre pourquoi :
# re la classe ++
Posté par Anonyme . En réponse au journal Ma passerelle XMPP/Signal. Évalué à 10.
tu fais même une apparition sur HackerNews :) !
# sudal
Posté par Anonyme . En réponse au lien CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit). Évalué à 5.
Et pour en faire rager quelques uns ici : à quand une ré-écriture en Rust ?
[^] # Re: bug au niveau d'Android/iOS
Posté par Anonyme . En réponse au lien Signal et Messenger sur écoute. Évalué à 2.
Excuse moi, j’étais pas assez clair, j’aurai du prendre un exemple avec un nombre d’utilisateurs dans le même ordre de grandeur : tu remarqueras que personne n’analyse le chiffrement des commentaires sur Reddit non plus.
[^] # Re: bug au niveau d'Android/iOS
Posté par Anonyme . En réponse au lien Signal et Messenger sur écoute. Évalué à 2.
Tu remarqueras que personne n’analyse le chiffrement des commentaires sur DLFP, non plus.
[^] # Re: nombre de paires dans un câble
Posté par Anonyme . En réponse au lien Câbles sous-marins transatlantiques. Évalué à 7.
Notamment parce qu’une fibre peut faire passer plusieurs longueur d’onde.
[^] # Re: Il n'y a pas que le débit dans la vie de la 5G
Posté par Anonyme . En réponse au lien La fausse 5G se déploie à grande vitesse. Évalué à 3.
C’est quoi ce que tu appelles un Té ?
[^] # Re: Les promesses n’engagent que ceux qui y croient
Posté par Anonyme . En réponse au lien AWS fork Elastic Search qui n'est plus sous licence Apache. Évalué à 2.
Non, on remet en cause notre modèle économique et social.
[^] # Re: Les promesses n’engagent que ceux qui y croient
Posté par Anonyme . En réponse au lien AWS fork Elastic Search qui n'est plus sous licence Apache. Évalué à 6.
Tu sais, on peut accepter « pour tous les usages » et quand même ne pas apprécier que les pires rapaces existent seulement parce que cette règle existe.
[^] # Re: Il n'y a pas que le débit dans la vie de la 5G
Posté par Anonyme . En réponse au lien La fausse 5G se déploie à grande vitesse. Évalué à 3.
Si les municipalités respectaient la loi, on aurait déjà des fourreaux pour passer de la fibre partout dans nos villages.
Quand t’as les fourreaux déjà en place, y a pas de travaux pharaonique à faire.
Je sais pas de quoi tu parles, mais y a probablement pas plus d’élément actif en FO qu’en cuivre (j’aurai même tendance à dire qu’il y en a moins).
[^] # Re: Les promesses n’engagent que ceux qui y croient
Posté par Anonyme . En réponse au lien AWS fork Elastic Search qui n'est plus sous licence Apache. Évalué à 2.
Désolé, je t’ai moinssé par erreur.
[^] # Re: Les promesses n’engagent que ceux qui y croient
Posté par Anonyme . En réponse au lien AWS fork Elastic Search qui n'est plus sous licence Apache. Évalué à 4.
La vraie question (parce qu’on va quand même pas défendre une entreprise comme Elastic) c’est qu’est-ce que la SSPL apporte de plus que l’AGPL ?
Ça vaut pour Mongo aussi, pourquoi avoir choisi de « re-licencier » sous une licence qui n’a aucun historique juridique, qui est mal écrite, et qui n’est (selon les définitions admises actuellement) n’est pas FLOSS ?
[^] # Re: double dose
Posté par Anonyme . En réponse au journal genre, ils nous prendraient pour des neuneux ?. Évalué à 6.
Franchement on s’en bat la raie que ça soit Brassens, c’est juste que ça n’a strictement aucun rapport avec la discussion.
[^] # Re: Scope
Posté par Anonyme . En réponse au journal Comment j'ai (presque) réussi à ne plus retenir de mot de passe pour mes services en ligne. Évalué à 3. Dernière modification le 21 janvier 2021 à 18:35.
Ça c’est ce que resolvent OAuth2 et OIDC.
Mais de ce que je comprends de leur philosophie, c’est qu’il ne gère pas les droits d’accès. Ça c’est délégué à l’application.
Ça c’est encore autre chose, et c’est souvent géré en envoyant une claim
rolesavec la liste des droits que l’utilisateur a dans l’application.Je dis pas que j’ai raison et je pense qu’OIDC est trop peu standardisé pour qu’on tombe d’accord, mais personnellement je fais comme suit et je pense que c’est plus proche de la philosophie de base :
groupespour limiter quel utilisateur a le droit d’accéder ou non à l’application (par exemple, avec--allowed-groups=monitoringdans oauth2-proxy, j’autorise seulement les membres du groupe monitoring à accéder à l’interface de Prometheus).rolespour donner des droits particuliers à un utilisateur dans l’application (le lien entre les roles OIDC et les droits dans l’application est géré dans la dite application).[^] # Re: Ça rame après l'annonce
Posté par Anonyme . En réponse au lien No cost rhel. Évalué à 2.
Sur Reddit il y a des développeurs qui ont fait du « teasing » au moment de l’annonce de l’abandon de CentOS (en disant que d’autres annonces allaient arriver).
Je pense que c’était prévu de longue date (même si, je te l’accorde, la comm est pas ouf).
# Rézosocio = Pas bien, Livres = Bien
Posté par Anonyme . En réponse au lien Condorcet, les réseaux sociaux et les producteurs de merde. Évalué à -3.
Oui, comme par exemple, les derniers livres de Zemmour ou Houellebecq, ou aussi Mein Kampf. Le meilleur de l’humanité.