Anonyme a écrit 62265 commentaires

Dans Puppet, le reverse proxy a la charge de placer des en-têtes avec les bonnes informations (d’ailleurs le certificat du client est transmis au complet au backend).

Tu agis comme si je défendais Lenart ou systemd-homed, mais tout ce que je dis c’est que tes attaques sont bidons. Tu prétends que Lenart n’a pas d’argument, mais tu n’en as pas beaucoup plus.

c'est pas moi, c'est lui qui dit "no built-in encryption"!

Et il a raison, dans les fait on a du FDE et des solutions qui soit sont utilisées uniquement dans un contexte particulier (encfs), soit qui ne marchent pas (ecryptfs), mais il n’y a pas vraiment de chiffrement du home intégré au système d’authentification.

Au passage, tu n’as pas répondu à ma question, c’est quoi les 15 trouzillions de solutions qui font ça et qui fonctionne ?

Lennart est plus intelligent que tout le monde et il va y arriver.

En fait tu lui reproches quoi ? D’essayer ?

On parle d'une clé USB chiffrée avec LUKS qui va se ballader de machine en machine!!

Non, on parle d’une gestion du home qui permet entre-autre de se balader avec son home sur une clef USB.

Dès que tu auras résolu ce problème, tu pourras transporter ta clé d'une machine à une autre.

C’est la principal raison pour laquelle je n’utilise Linux que sur mon laptop et pas sur mon desktop : j’ai pas envie de me taper deux homes séparés, mais toi, ce que tu dis c’est qu’on devrait pas répondre à ce cas d’usage, parce que dans d’autres cas d’usage, ça ne marche pas ?

ok. Lennart ne connait pas Luks

Si, justement, le principe du chiffrement avec systemd-homed c’est de créer un fichier qui contienne une partition LUKS.

ou encfs

EncFS, c’est vraiment utilisé en dehors d’Android ?

ou les 15 trouzillions moyens de chiffrer ses données.

Sur Ubuntu il y avait ecryptfs qui était une plaie et qui de mémoire était pété d’un point de vue crypto.

T’as d’autres exemple qui ont vraiment fonctionné dans la vraie vie ?

Additional user metadata, like a picture, email address, location, timezone, or preferred language.

ESSENTIEL!

Oui, parce qu’actuellement, le fait qu’adduser te demande ton n° de bureau, ça te choque pas ?

C’est probablement plus essentiel que la langue préféré (qui est déjà stocké ailleurs).

C’est incomparable, VMWare a des ressources virtuellement illimitées, PVE est maintenu par une petite entreprise qui vend du support.

J’ai pas travaillé beaucoup avec VMWare (et plutôt en tant qu’utilisateur de la plateforme, qu’en tant qu’administrateur) et le plus gros truc maquant dans PVE c’est probablement les outils : pas de Veeam Backup intégré comme dans VMWare (ce qui semble être un incontournable), les providers terraform sont pas aussi complet ou aussi bon, packer ça fait genre 1 an que le provisioner existe, pas de « cloud provider » pour Kubernetes, etc.

D’ailleurs une différence avec VMWare, qui pourrait avoir une incidence dans le contexte de Kubernetes : dans PVE les disques sont fortement lié à une VM, dans VMWare tu peux très facilement déplacer un disque d’une VM à une autre.

Aussi, PVE n’a pas de DRS et beaucoup de chose sont « au niveau du host » : tu veux créer une VM il faut absolument lui dire sur quel host tu veux le faire par exemple.

Donc si tu cherche à faire un AWS en interne, c’est probablement VMWare qui gagne, mais PVE reste un très, très bon outil et je n’utiliserai probablement jamais VMWare si j’avais le choix. Bref, ça dépend fortement des besoins.

Au passage, un autre argument en faveur de VMWare c’est sa notoriété : dans une grande entreprise, ça sera probablement plus difficile de convaincre les décideurs d’utiliser PVE plutôt que d’aller chez le leader du marché.

C’est implémenté dans Nginx et Apache et c’est la méthode utilisé par Puppet pour authentifier les agents, et une des méthodes d’authentification disponible dans Vault.

Ça c’est juste des exemples qui me viennent de tête.

Pour une fois que des technos pourries ne sont pas utilisées, je ne vais pas m’en plaindre, perso. Si Certificate Transparency pouvait connaître le même sort, ce serait parfait.

C’est quoi le soucis avec CT ?

C’est expliqué succinctement dans What is HyperText.

Dans le format de Gemini (text/gemini) les liens sont séparés du texte, et il ne peut y en avoir qu’un seul par ligne. Ça donne un peu le même fonctionnement que le courriel :

blabla[1], blabla[2]

[1] http://foo.example.com
[2] http://bar.example.com

Après, si on prend le premier exemple de md2gemini, on pourrait imaginer que quand un client voit <text>\n<lien avec titre>\n<text>, il affiche ça inline.

À noter que ce comportement n’est pas propre à Gemini, ça marche pareil avec HTTPS.

Et c’est quoi l’équivalent du alt dans Gemini du coup ?

Même question pour l’absence d’hypertexte qui semble pourtant être une bonne chose du point de vue de l’accessibilité.

Comment les lecteurs d’écrans s’en sorte avec Gemini et ses liens séparés du texte ?

Et vu la proposition de Drew DeVault, à savoir de pin le certificat complet (pas seulement la clef publique), ça veut dire qu’un changement de certificat affichera un avertissement à l’utilisateur.

Autant dire que les administrateurs vont faire des certificats valident pour 1000 ans, et ne jamais les révoquer.

C’est dans les spécifications, à la section 4.2, Server certificate validation :

Clients can validate TLS connections however they like (including not at all) but the strongly RECOMMENDED approach is to implement a lightweight "TOFU" certificate-pinning system which treats self-signed certificates as first- class citizens.

Il y a aussi eu une discussion sur Mastodon où Drew DeVault a notamment expliqué à Stéphane Bortzmeyer qu’il ne devrait pas utiliser de certificat signé par une CA.

Apparemment Gemini recommande de suivre le comportement Trust On First Use (TOFU) de SSH (ça me semble problématique, mais je ne suis pas un expert).

Je t’invite à relire la définition de la loi de Godwin, tu remarqueras qu’elle ne dit pas « tout argument qui a sa source dans l’histoire de la Seconde Guerre Mondiale est invalide ».

Ce n’est sûrement pas valide moralement, mais parfaitement efficace tant que les autorités supérieures couvrent vos agissements.

Bien sûr que le problème est systémique, ce que je dis, c’est qu’on ne peut pas non plus retirer la responsabilité individuelle des flics et qu’ils ne pourront pas se défendre en invoquant des ordres qui leur auront été donné.

L’exemple de Nuremberg est très bon. Si les nazis avaient gagné…

Et c’est mon espoir que le vent tournera et que la hiérarchie policière sera un jour condamné comme il se doit.

Ça fait un moment que « je ne fais que suivre les ordres » n’est plus considéré comme une défense valide.

Je sais pas, c’est pas toi @ploum, auteur de Printeurs qu’on peut contacter pour toute question ou soutenir ton travail ?

C’est pourtant ce qu’il y a d’écrit à côté de l’article « Elon Musk est-il un voyageur du futur ? ».

Désolé, je peux pas ne pas faire cette remarque : est-ce que c’est à ranger à côté de ton article qui détaille ta vision d’Elon Musk et à quel point tu en es fan ?

du tout, Mr benala n'est pas policier et ne fait pas partie des forces de l'ordre, même si il y ressemble avec son casque

je ne pense pas, je gère mes long trajet en zoé sans stress, et j'arrive souvent à 0% a destination, vers 10% la zoe est un sapin de noel qui m'averti que c'est pas bon du tout. une fois bien en tête la capacité de la batterie et le trajet c'est possible d'arriver avec 1km d'autonomie.

je n'ai jamais fait appel au remorquage pourtant gratuit de chez renault.

l'hybride avec sa charge en 4h00 sur une borne pour avoir 100% de 50km, et de l'essence pour recharger, je pense avoir vu mieux comme efficacité energetique

je disconviens, je suis passé au tout electrique avec une zoé en 2014. deja je peux faire a l'aise 180km l'été, je faisais tous les week end 320km avec (en ce moment :p je respecte le confinement), je me recharge chez moi quand je dors, et de temps en temps sur des bornes public.

pour l'histoire de la location pour les gros meubles, chez ikea on peut louer un vehicule très facilement sur place, pas obliger d'être 2 du coup et la plupart des magasin de bricolage propose le service. Pour la déchetterie par exemple, et bien je fais plusieurs voyage :) vu que le trajet ne coute rien, j'ai emmené environ une trentaine de parpaing comme cela d'un vieux mur en plusieurs fois pour ne pas abimer la voiture.

pour les locations grand trajet, nous sommes en 2020, tous ce fait avec un smartphone : photo pour l'etat des lieu, de la jauge carburant, on laisse les clé dans la boite à gants, on valide tous cela sur l'appli et HOP la voiture se ferme.

de 2014 a 2016 j'avais une picasso sous le coude, au cas ou, je l'ai vendu après avoir enlevé la mousse dessus.

je pense que la plupart des gens qui trouve cela chiant, c'est plus une excuse pour ne pas en prendre une, pas de problème n'en n'achetais pas mais ne degouter pas les autres avec des choses qui n'existe pas :), arretez vos scenarios holywoodiens !

mon seul regret ? ne pas l'avoir pris en 2013, actuellement j'ai économisé pour 7M³ d'essence \o/. je vous laisse faire la multiplication.

C’était pas une veille voiture y a 20 ans.

pc + molotov ?

pc + une boite noire avec un accès à toutes tes données et un accès réseau vers l'extérieur… ça donne envie !

bon d'après ce que je lis sur divers sites, si c'est faisable, il faut rajouter l'option TV à ~3€ et la location d'un player revolution à ~13€ soit un total beaucoup trop au dessus de ce que je suis prêt à payer pour ce genre de service.
conclusion, on va rester en ADSL jusqu'à ce qu'ils se décident à mettre en place une offre qui me convient.

Il me semblait que l'offre Delta-S avait la particularité de ne pas permettre l'accès à l'option TV: tu connais quelqu'un qui a pu faire ce que tu proposes ?
Si ca se confirme on dépasse les 40€ , donc à voir en fonction du prix final.
merci de la suggestion en tout cas

Sans oublier le XKCD qui va avec.