Je ne comprend pas trop cette critique. Ça fait plus de 15 ans que je suis sur internet et IRC et les e-mails sont les seuls protocoles de communication qui ait été pérenne jusqu'alors. Je suis passé par ICQ, MSN, Jabber et sans doute d'autres mais j'ai plus envie de changer tous les deux ans et perdre ou convertir tous mes logs. C'est quoi exactement le problème d'utiliser un truc qui marche pendant que le reste du monde passe son temps à migrer ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Si possible sans rajouter une couche en réchauffement climatique. (par exemple en utilisant un max de matos de récup plus tôt que du neuf)
Je suspecte que du matériel de récup'/ancien va être moins efficace que du matériel neuf/moderne et donc consommer et chauffer plus pour faire la même chose.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Je bosse chez Google. Si tu me donnes une IP je peux voir à ouvrir un ticket en interne parce que ça me semble pas normal que les régions d'outre mer soient considérées différemment pour ça. Mais je pourrai sans doute pas répondre ici avec le résultat, au mieux tu constatera que le problème est résolu dans quelques jours, au pire c'est intentionnel (pour une raison qui m'échappe mais que je ne pourrai vraisemblablement pas divulguer) et tu aura toujours le problème.
Si tu veux pas donner d'adresse spécifique, tu peux donner le range correspondant (whois $ton_ip) (google "what is my ip address?" pour savoir ton IP).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
De mon expérience une certification ne risque pas de t'apporter grand chose. Il serait sans doute plus judicieux de lire quelques bouquins et/ou pratiquer (par exemple en bénévole ou en commençant avec un poste junior).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
L'auteur a une adresse e-mail clairement indiquée sur le site upstream et dans la page de man. Lui envoyer un patch de cette manière me semble plus simple que d'ouvrir un compte github.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Mais une mesure de « sécurité » qui ne fonctionne que dans l’hypothèse heureuse où l’attaquant n’a pas beaucoup de moyens, et ne me donne comme seule garantie que « vous n’êtes probablement pas attaqué, sauf si vous l’êtes »… je n’appelle pas ça un « gain net en sécurité ».
Avec un raisonnement pareil, autant abandonner tout de suite. Il n'y a pas de sécurité absolue. Un attaquant qui a suffisamment de moyens finira toujours par arriver à ses fins.
c’est difficile, la sécurité
De manière générale il me semble qu'on augmente bien plus la sécurité en rendant les mesures de sécurité plus accessibles qu'en mettant en place un système « parfait » et inutilisable. Voire par exemple https://www.google.com/search?q=usability+site:schneier.com
On peut débattre de savoir si le modèle de CA est « corrigible » ou s'il faut mettre en place un truc complètement différent mais ta conception de la « sécurité » ne me semble pas très réaliste.
Pour en revenir à la question de ted : ça dépend du modèle de menace. Si tu veux pas te casser la tête, Let's Encrypt me semble un bon point de départ et sera plus pratique qu'un certificat autosigné pour tes utilisateurs. Si tu ne fais pas confiance en ton hébergeur / ton serveur, HTTPS ne t'aidera de toute façon pas.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee…
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
On peut aussi argumenter que le fait que Let's Encrypt force le renouvellement de certificat régulier force les utilisateurs à automatiser et sécuriser le processus. Alors qu'auparavant c'était souvent fait de manière ad hoc.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
On pourra relier cette adresse au nom de domaine, d’une part parce que c’est une information publique et d’autre part car ton poste, avant que ton navigateur affiche la page, aura déjà demandé de résoudre le nom de domaine machin.com au serveur DNS de ta boîte :)
taux "garantis 48h", tu imagines bien qu'ils ne collent pas du tout au marché. Ou alors il y a d'autres produits accessibles via ces plateformes ?
CurrencyFair (et les courtiers forex plus traditionels) permet de mettre des « limit orders ». C'est mentionné sur https://www.currencyfair.com/how-it-works/
Ils se prennent une marge (bien plus raisonnable que les banques traditionnelles) mais ils te mettent bien en correspondance avec un acheteur/vendeur pour la transaction et du coup il n'est pas rare d'avoir des transactions qui s'effectuent en plusieurs fois à des prix différents (tout comme pour les actions).
Tu ne trouveras pas de bourse dédiée au marché du change. Ca n'existe pas.
Si on prend la définition du wikipedia francophone à la révision actuelle, effectivement, techniquement une bourse ne fait pas d'échange de devises. J'insiste cependant que le principe est le même et la distinction est assez académique. Si tu vas voir l'article anglophone par exemple, la traduction de « bourse » est « exchange » qui est subdivisé en plusieurs catégories dont « forex ». D'ailleurs l'article anglophone suggère qu'historiquement il y avait bien des « bourses » dédiées au marché du change (« Foreign exchange market – is rare today in the form of a specialized institution »).
Tu peux aussi échanger des actions, obligations et autres instruments financiers avec ton voisin de palier un dimanche matin (de gré à gré quand la bourse est fermée donc) sans passer par une bourse.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Bazel
Posté par Krunch (site web personnel) . En réponse au journal Un petit tour des systèmes de build. Évalué à 3.
Il y a des gens qui ont essayé Bazel ? https://bazel.build/ (j'utilise une variante proprio au boulot et ça marche fort bien)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Et IRC ?
Posté par Krunch (site web personnel) . En réponse au journal Points de douleur du Team Chat ?. Évalué à 3.
Je ne comprend pas trop cette critique. Ça fait plus de 15 ans que je suis sur internet et IRC et les e-mails sont les seuls protocoles de communication qui ait été pérenne jusqu'alors. Je suis passé par ICQ, MSN, Jabber et sans doute d'autres mais j'ai plus envie de changer tous les deux ans et perdre ou convertir tous mes logs. C'est quoi exactement le problème d'utiliser un truc qui marche pendant que le reste du monde passe son temps à migrer ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Et IRC ?
Posté par Krunch (site web personnel) . En réponse au journal Points de douleur du Team Chat ?. Évalué à 1.
Faudra que tu expliques comment tu définis « simplicité ».
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# post mortem
Posté par Krunch (site web personnel) . En réponse au journal DLFP hacké. Évalué à 5.
https://linuxfr.org/news/post-mortem-de-l-incident-du-3-juin-2018
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# plus vieux = moins efficace ?
Posté par Krunch (site web personnel) . En réponse au message Vos techniques pour refroidir les serveurs sans clim. Évalué à 5.
Je suspecte que du matériel de récup'/ancien va être moins efficace que du matériel neuf/moderne et donc consommer et chauffer plus pour faire la même chose.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: X va-t-il détruire la planète ?
Posté par Krunch (site web personnel) . En réponse au journal Le Bitcoin va-t-il détruire la planète ? Contre‐point. Évalué à 3.
Voire aussi https://qntm.org/destroy
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# lieu
Posté par Krunch (site web personnel) . En réponse au journal Bon plan pour ne pas finir sobre et inculte. Évalué à 6.
Pour les gens qui ne veulent pas se fatiguer à cliquer sur le lien, ça se passe à Liège, Louvain-la-Neuve, Bruxelles, Louvain, Gand, Bruges et Anvers.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# voire aussi
Posté par Krunch (site web personnel) . En réponse au journal Le Bitcoin va-t-il détruire la planète ? Contre‐point. Évalué à 7.
https://blog.habets.se/2017/11/Why-bitcoin-is-terrible.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: cherche pas t'as Tor
Posté par Krunch (site web personnel) . En réponse au journal Je ne demande qu’à payer !. Évalué à 3.
s/de Tor/d'internet/
series of tube toussa
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Nous nous marrons noirs
Posté par Krunch (site web personnel) . En réponse au journal Je ne demande qu’à payer !. Évalué à 10.
Je bosse chez Google. Si tu me donnes une IP je peux voir à ouvrir un ticket en interne parce que ça me semble pas normal que les régions d'outre mer soient considérées différemment pour ça. Mais je pourrai sans doute pas répondre ici avec le résultat, au mieux tu constatera que le problème est résolu dans quelques jours, au pire c'est intentionnel (pour une raison qui m'échappe mais que je ne pourrai vraisemblablement pas divulguer) et tu aura toujours le problème.
Si tu veux pas donner d'adresse spécifique, tu peux donner le range correspondant (whois $ton_ip) (google "what is my ip address?" pour savoir ton IP).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Nous nous marrons noirs
Posté par Krunch (site web personnel) . En réponse au journal Je ne demande qu’à payer !. Évalué à 4.
Tu peux donner un exemple d'adresse IP en Outre-Mer qui n'est pas considéré comme en France par Google Play ou Youtube ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: erreur de recruteur...
Posté par Krunch (site web personnel) . En réponse au journal Etude comparée de la popularité des langages de programmation sur linuxfr. Évalué à 4.
Je suis particulièrement déçu que cette étude ne tienne pas compte du jour de la semaine qui est bien connu pour influencer la réception des journaux : https://linuxfr.org/users/krunch/journaux/dlfp-journalyser-2-0-pas-de-veille-techologique-le-weekend
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# certification ou auto-apprentissage
Posté par Krunch (site web personnel) . En réponse au message Certification AWS et formation devOps. Évalué à 3.
Qu'est-ce que tu entends exactement par devops ?
De mon expérience une certification ne risque pas de t'apporter grand chose. Il serait sans doute plus judicieux de lire quelques bouquins et/ou pratiquer (par exemple en bénévole ou en commençant avec un poste junior).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: UUoG
Posté par Krunch (site web personnel) . En réponse au journal Noyau vulnérable ou pas ?. Évalué à 6.
Aucune de ces solutions ne me semble aussi pratique que grep.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: UUoG
Posté par Krunch (site web personnel) . En réponse au journal Noyau vulnérable ou pas ?. Évalué à 10.
Tu vois un autre moyen pratique d'afficher à la fois le nom de chaque fichier et leur contenu?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Merci pour vos réponses
Posté par Krunch (site web personnel) . En réponse au message Pas possible de répondre au message. Évalué à 3.
Tu peux effectuer une demande de fonctionalité sur https://linuxfr.org/suivi/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Intérêt d'un patch
Posté par Krunch (site web personnel) . En réponse au journal ZIP et fcrackzip. Évalué à 4.
J'ai jamais ouvert de compte github mais envoyer un e-mail m'a certainement l'air plus simple.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Intérêt d'un patch
Posté par Krunch (site web personnel) . En réponse au journal ZIP et fcrackzip. Évalué à 3.
L'auteur a une adresse e-mail clairement indiquée sur le site upstream et dans la page de man. Lui envoyer un patch de cette manière me semble plus simple que d'ouvrir un compte github.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# le thème du spatial, depuis 2011
Posté par Krunch (site web personnel) . En réponse à la dépêche 34C3 à Leipzig — Compte‐rendu de conférences 2017 sur le Libre & Open Source . Évalué à 2.
C'était déjà un des thèmes principaux au Chaos Communication Camp 2011 avec le Hacker Space Program : https://media.ccc.de/tags/Hacker%20Space%20Program
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 3.
Avec un raisonnement pareil, autant abandonner tout de suite. Il n'y a pas de sécurité absolue. Un attaquant qui a suffisamment de moyens finira toujours par arriver à ses fins.
De manière générale il me semble qu'on augmente bien plus la sécurité en rendant les mesures de sécurité plus accessibles qu'en mettant en place un système « parfait » et inutilisable. Voire par exemple https://www.google.com/search?q=usability+site:schneier.com
On peut débattre de savoir si le modèle de CA est « corrigible » ou s'il faut mettre en place un truc complètement différent mais ta conception de la « sécurité » ne me semble pas très réaliste.
Pour en revenir à la question de ted : ça dépend du modèle de menace. Si tu veux pas te casser la tête, Let's Encrypt me semble un bon point de départ et sera plus pratique qu'un certificat autosigné pour tes utilisateurs. Si tu ne fais pas confiance en ton hébergeur / ton serveur, HTTPS ne t'aidera de toute façon pas.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 2.
Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee…
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 3.
L'attaque est un peu plus difficile comme même. De plus, si une attaque a lieu il est plus facile de la détecter a posteriori.
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
https://en.wikipedia.org/wiki/Certificate_Transparency
On peut aussi argumenter que le fait que Let's Encrypt force le renouvellement de certificat régulier force les utilisateurs à automatiser et sécuriser le processus. Alors qu'auparavant c'était souvent fait de manière ad hoc.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: HTTPS
Posté par Krunch (site web personnel) . En réponse au message Requête en clair dans url du moteur de recherche ... Évalué à 3.
Aussi, parce que le nom de domaine est souvent passé en clair dans la requête : https://fr.wikipedia.org/wiki/Server_Name_Indication
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# HTTPS
Posté par Krunch (site web personnel) . En réponse au message Requête en clair dans url du moteur de recherche ... Évalué à 9.
(flemme d'expliquer, t'as juste à lire la page wikipedia)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 3.
CurrencyFair (et les courtiers forex plus traditionels) permet de mettre des « limit orders ». C'est mentionné sur https://www.currencyfair.com/how-it-works/
Ils se prennent une marge (bien plus raisonnable que les banques traditionnelles) mais ils te mettent bien en correspondance avec un acheteur/vendeur pour la transaction et du coup il n'est pas rare d'avoir des transactions qui s'effectuent en plusieurs fois à des prix différents (tout comme pour les actions).
Si on prend la définition du wikipedia francophone à la révision actuelle, effectivement, techniquement une bourse ne fait pas d'échange de devises. J'insiste cependant que le principe est le même et la distinction est assez académique. Si tu vas voir l'article anglophone par exemple, la traduction de « bourse » est « exchange » qui est subdivisé en plusieurs catégories dont « forex ». D'ailleurs l'article anglophone suggère qu'historiquement il y avait bien des « bourses » dédiées au marché du change (« Foreign exchange market – is rare today in the form of a specialized institution »).
Tu peux aussi échanger des actions, obligations et autres instruments financiers avec ton voisin de palier un dimanche matin (de gré à gré quand la bourse est fermée donc) sans passer par une bourse.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.