Marotte ⛧ a écrit 8719 commentaires

Au fait, est-ce que l'auteur de cette bourde sur Debian s'en est remis ou bien il est parti vivre en ermite au fond du grotte terrassé par la honte ?

Qu'on soit bien d'accord, je ne souhaite pas me moquer de ce développeur, je profite gratuitement du travail qu'il fournit, et rien que pour ça je le respecte, je me demande juste comment s'est finie cette histoire.

Intéressant mais proprio ce soft.

http://forums.lastpass.com/viewtopic.php?f=12&t=8

L'auteur explique qu'il n'y a pas de problème, l'algorithme de chiffrage/déchiffrage est connu, chacun peut l'implémenter et comparer le résultat avec les fichiers générés par leur application…

Mais je me pose une question : ne serait-il pas possible à l'application d'envoyer (en +) des données non chiffrées ou chiffrées avec une clé connue seulement de l'application et de ses auteurs ? Ça serait vite repéré en observant le comportement du soft ?

Voilà : çapucépalibre c'est dommage.

Moi je verrai bien un truc tout con pour stocker les mots de passes, un fichier texte chiffré, en peu dans le genre d'un vim -x mais en plus robuste. J'ai déjà essayé de jouer avec nano, openssl et des pipes dans tous les sens mais je n'y suis pas arrivé. Peut-être que vim peut utiliser AES-256 à la place d'un simple crypt() maintenant ?

Bref, quitte à créer une sorte de "single point of failure" en utilisant un mot de passe maître, il me paraît plus simple d'utiliser un soft déjà disponible pour cela. Ne serait-ce que Excel, qui peut chiffrer un fichier avec AES-256… (Bon j'aurais plus confiance dans un soft libre plutôt qu'une bouse MS mais voilà quoi…)

Je suis d'accord avec toi dans l'ensemble. Cependant.

La matériel est généralement mieux supporté sous Linux que Windows.
Le vieux matériel est toujours mieux supporté sous Linux que sous Windows.

Il faut quand même avouer que le matériel très récent est moins bien supporté sous Linux que sous Windows.

La faute à l'entente entre constructeurs et Microsoft (qui travaillent ensemble, les uns sur le matos et les autres sur le driver qui va bien), je suppose.

J'ai eu le cas une fois avec une souris optique. Un truc pas cher acheté en grande surface. Je rentre, je branche, rien. Je cherche, tiens zarbi j'ai rien dans dmesg (ou un truc comme ça…). J'abandonne. Je retente 3 mois après : rien. Je retente 3 mois après : une souris qui fonctionne sans problème depuis.

Pour que le matos soit bien supporté sous Linux il faut qu'il ne soit pas trop récent, car personne n'a eu le temps d'écrire le driver, et il faut qu'il soit assez répandu sinon personne va chercher à écrire un driver…

Et effectivement si on considère le nombre total de matériels supportés par Linux et par Windows, Windows peut aller se rhabiller.

Maintenant tu vas me dire où tu as vu un lol dans l'article en question. IL sera d'ailleurs ravi de te réponse

Bon maintenant fredix faut arrêter de poster bourré ;)

Acheter une version boîte de Windows (l'installer) et exiger le remboursement du Home bloated livré avec la quincaillerie ?

Je n'étais pas ironique.

je déplore depuis longtemps le fait que le libre ne fasse aucun effort à proposer sur des services libres

On tourne en rond, comme d'autres l'ont déjà fait remarquer, un logiciel libre ont sait ce que c'est, un service libre ça n'a pas encore été défini. Alors je t'en prie, donne nous une définition d'un service libre.

La seul solution, c'est la chiffrement, pour TOUT, même l'auto hébergé, donc ca ne concerne pas le grand public…

Oui j'en ai déjà parlé. Je chiffre ce que j'envoie sur des serveurs tiers. Je ne chiffre pas mon /home, effectivement tu rentres chez moi, tu choppes l'UC tu as tout. Mais je sais que c'est possible de le chiffrer (si je devais le faire) et je sais comment le faire.

C'était juste pour dire que le cloud c'est juste une solution clé en main que l'on va vendre au gens/entreprises qui n'est qu'une chose déjà existantes : l'hébergement, l'administration de serveurs, la redondance, au lieu de seulement leur vendre les outils et les connaissances/compétences nécessaires à ce type d'infrastructure.

+1 : So 1990's ;)

Et il le propose par défaut. Tu marques un point :)

Mais encore une fois, la mafia, tu ne pouvais pas l'éviter. Là tu as le choix de ne pas utiliser ce produit… C'est pour ça que je considère que la comparaison est à la limite de la désinformation.

Clairement non. Peut-être qu'en tant qu'avertit, pour ton usage personnel ou pour ton propre usage commercial, si tu es indépendant, il est possible de prendre le temps de bien choisir son matériel. Par contre dans beaucoup de société, en tant que responsable informatique tu passes par un service commercial qui a négocié de son coté (ça concerne des avantages en nature genre croisière ou vacances aux Sechelles à ce niveau là). Et tu sais que, par exemple, pendant trois ans le PC pour la comptable tu dois le choisir dans ce catalogue là, tu n'as pas forcément le choix.

Après je pense qu'un service informatique, même pour peu d'utilisateurs, devrait fournir un master pour avoir des postes installés proprement avec les applis ad hoc de la boîte et les incontournables (et seulement cela).

Non, mais les sites gérés par des non intégriste du www redirigent example.com sur le www.example.com

Ça me rappelle une anecdote assez ancienne. J'ai une fois filé l'URL d'un site à moi à une personne. Peu de temps après elle m'a dit : "J'ai pas réussi à accéder à ton site". Et oui l'URL était de la forme http://foo.free.fr, la personne avait tapé http://www.foo.free.fr :/

Une solution que je n'ai pas appliquée mais à laquelle j'ai pensé à l'époque : mon prochain username chez free ce sera www.truc :)

Chacun son truc comme tu dis. Je me contenterai de te sortir cette vieille citation : "Pêche un poisson pour quelqu'un tu le nourriras un jour, apprend lui à pêcher tu le nourriras pour sa vie entière".

Voilà, pas d'autre argument, tu m'a vrillé le cerveau :)

Pour mettre la sortie d'un watch 'df -hTP' en image de fond pour les petits vaisseaux ? ;)

Tu n'as toujours pas d'argument pour le "devoir" de faire compliqué et chier l'utilisateur final avec de l'argot.

L'éduquer ? Élever le niveau de l'humanité entière par la connaissance partagée. Dans l'esprit des Lumières quoi.

d'un autre côté je m'étonne que madame michu dont on parle beaucoup par ici trouve ce genre de chose plus simple qu'un debian ou un ubuntu (ça doit être que linux n'est vraiment pas prêt pour le desktop…)

Sincèrement si tu prends n'importe que Me ou M Michu qui n'a pas, ou peu, d'habitude sous Windows, tu le mets devant Ubuntu (ou une autre distrib assez Michu compliant) tu te rendra compte que c'est vraiment plus simple pour lui d'utiliser Ubuntu que Windows. Si tu pars sur l'installation de l'OS (en assistant éventuellement l'utilisateur pour graver l'iso et booter sur le CD/DVD, mais pour le coup c'est la même pour Windows) là Ubuntu (même Debian) écrase Windows en terme de simplicité de l'installation… Bon après j'ai vraiment peu d'expérience avec du Windows 7, ça s'est peut-être amélioré, mais en tant qu'utilisateur de Windows XP ça crève les yeux.

Ca ne me choque pas.

Et bah…

Ta comparaison avec la prohibition est moisie.

Plutôt avec la mafia (en générale) comme on te l'a déjà répondu.

Comme en matière de sécurité prévenir c'est guérir, il reste à l'état le plus sécurisé: il bloque tout.

Tu vas sûrement te moquer de moi mais ta phrase m'a fait penser à cette vieille blague sur Windows : Niveau de sécurité 1 : enlever le câble réseau. Niveau de sécurité 0 : déconnecter l'ordinateur de son alimentation électrique.

Fondamentalement pas son comportement lorsque tu l'utilises sans licence.

Il manque au moins un mot dans ta phrase. Tu voulais peut-être dire "ne change fondamentalement pas le comportement de l'ordinateur lorsque qu'utilisé sans licence", mais le témoignage de l'auteur soutient et montre justement le contraire.

yohann : tu as en main un argument technique qui prouve que les configurations pleine de bloatware à la con sont contre-productive dans une entreprise (panne de VPN qui aurait pu dû être évitée)

Effectivement le rapport s'il existe est plus que ténu.

Je connais certains dino de l'informatique que disent "Lance internet" pour dire "Lance IE" ou en vérité "Lance un navigateur web" je n'ai pas l'outrecuidance de les reprendre à chaque fois et en fait je m'en fou, je comprends ce qu'ils veulent dire.

C'est pas une raison pour ne pas les reprendre si l'occasion se présente, mais c'est encore moins une raison pour les rabaisser, en leur montrant combien il ne sont plus à la page, avec des phrases du genre : "c'est juste inutile si tu as correctement configuré ton nom de domaine et tes serveurs avec des noms connus".

À propos de données personnelles dans le cloud (et accessoirement de réseau social), tu devrais pas mettre à jour ton lien "page perso" ?

$ whois barmic.fr
[…]
%% No entries found in the AFNIC Database.

Tu peux utiliser rsync… Oui ok faut bricoler.

Moi je préférerai un système P2P (qui d'ailleurs existe déjà il me semble) du genre : bon j'ai 10GB dispo sur mon disque dur chez moi à la maison. Je suis prêt à diviser par deux cet espace, je ne pourrai stocker que 5GB de mes fichiers, les 5GB restant serviront à héberger des chunk chiffrés des fichiers des autres pairs (les plus proches "routographiquement"). Ça me semble une meilleur idée.

-1 pour le ton condescendant à la fin du message. Sale vieux ;)

Cependant tu as raison. Bien que je comprenne l'étonnement de fredix quand au fait que le bureau GNOME fournisse à ces utilisateurs des fonctionnalités basées sur des services propriétaires et centralisés, je l'explique en partie par le fait qu'en tant que libriste il a un peu de mal a assumer son récent attrait pour MacOSX et les ordinateurs Apple. Mais j'ai trouvé son journal plutôt intéressant et propice à une discussion constructive.

Et encore, si tu ne lis pas les sources que tu compiles, en les comprenant qui plus est[1], tu peux très bien compiler un programme avec une backdoor. Je crois me souvenir que l'équipe à l'origine d'irssi (un client IRC libre assez apprécié) avait fait cette "blague" en installant un trojan via le fichier .configure (je suppose que le trojan ne pouvait pas forcément rootkiter le système car personne lance ses .configure en root, mais ça peut faire des dégâts quand même…)

[1] De plus tu as déjà audité les sources de ton compilateur que tu as compilé toi même o_0

Le routeur "je" peux l'acheter, le démonter, obtenir des information à l'aide d'un analyseur de bus et faire de la retro-ingénierie. Avec une application serveur avec laquelle je ne peux que discuter via un protocole réseau de haut niveau c'est carrément impossible. Alors certes je n'aurai de toute manière ni accès au routeur de mon fournisseur ni par exemple au système hôte dans le cas de serveurs virtualisés, il faudra toujours faire confiance à un moment donné, mais j'ai l'impression que le "software as service" c'est juste un (grand) pas vers encore plus de contrôle de l'utilisateur lambda, de ses communications. Encore moins de choix applicatif (même si certaines applications n'existeraient pas sans cloud, au hasard la synchronisation de donnée…), bref un minitel 2.0 fliqué comme pas possible…

Merci pour la correction. Cependant. Dans le cas d'un service hébergé, comment peut-on contrôler que c'est bien le code fournis qui tourne ?

Il ne me semble pas que je puisse récupérer le binaire d'Apache httpd qui tourne chez mon fournisseur pour comparer à ce que j'obtiens si je compile moi même les sources. Même avec l'AGPL l'utilisateur a moins de contrôle qu'avec une application compilée en local sur une machine de confiance, non ?

On ne pose pas de question à Chuck Norris, c'est lui qui donne les réponses.

Ben voilà, t'as trouvé comment Mme Michu va faire : comme avant.

Et c'est bien là le problème. Quand va-t-elle enfin comprendre que c'est comme à vent qu'elle doit faire !