L'idéal serait même une page dédiée avec le détail du calcul menant à ce karma avec ce qui nous est en conséquence interdit ou autorisé et la présentation des différents seuils qui changent les autorisations.
Actuellement, vu ton karma, tu peux écrire des dépêches, des sondages, des entrées de forums, des commentaires et écrire sur la tribune. Tu ne peux pas écrire des journaux et éditer le wiki.
Il est déjà possible de laisser des dépêches en rédaction, pour rédiger à plusieurs ou seuls. Et il suffit de mettre une mention Ne pas soumettre dans l'immédiat par éviter qu'elle soit transmise.
Quelle « prise en charge logicielle » pour :
- l'Intel Insider, une restriction matérielle pour faciliter le DRM sur le streaming ?
- le VPro qui permet de désactiver un ordi à distance ou d'effacer ses disques (par 3G, ethernet ou via internet) ?
La suppression à la demande de l'auteur (moi). En l'occurrence la suppression par l'auteur lui-même, qui a répondu au commentaire en pensant qu'il s'agissait de la dépêche Hadopi et PDF, donc à côté de la plaque.
Une adresse IP + un horodatage est parfois considéré comme une donnée personnelle car cela permet (via à un opérateur éventuellement) d'avoir le nom d'une personne physique/morale détentrice de l'abonnement utilisé pour la connexion. Évidemment cette personne peut être différente de la ou les personnes ayant utilisés la connexion, et l'adresse IP peut parfois être usurpée, utilisée à l'insu du détenteur, etc.
Wikipédia : « (...) l'adresse IP de connexion d'un internaute n'est pas considérée comme une donnée personnelle selon deux arrêts de la Cour d'Appel de Paris. Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée à caractère personnel (...) »
L'Hadopi dit que ce n'est pas une donnée personnelle : « La présidente de la Commission de protection des droits de l'Hadopi, Mireille Imbert-Quaretta, nous confirme que la Haute Autorité estime que l'adresse IP n'est pas une donnée personnelle (...) » (source Numérama)
Je (comme beaucoup d'autres) ne crois pas à la sécurité par l'obscurité. Et je suis pour diffuser/partager ce genre d'infos. On notera que dans certains cas (cf l'exemple avec les soldats), ce genre d'erreurs met des gens en danger. Ce n'est pas en mettant les problèmes sous le tapis qu'on les résout.
Et par ailleurs, le fait que cette IP soit diffusée ou non ne rend pas le principe de l'Hadopi meilleur ou pire...). Il montre juste une incohérence dans le fonctionnement de l'Hadopi. Ce qui devrait choquer, c'est le principe de l'Hadopi, pas une boulette dans un PDF. Comme ce qui devrait choquer, c'est le principe du vote électronique sans garantie et contrôle sur le scrutin, pas la n-ème faille de sécurité sur le sujet. Comme ce qui devrait choquer, c'est de donner toute sa vie privée à un acteur commercial qui la revend, pas la dernière joyeuseté de Facebook.
Une citation revue récemment qui me semble appropriée : « Chaque fois que nous assistons à un acte que nous estimons être injuste et que nous n’agissons pas, nous nous faisons les partisans de l’injustice. Ceux qui restent de façon répétée passifs face à l’injustice voient bientôt leur caractère se corrompre dans la servilité. La plupart des actes d’injustice dont nous sommes témoins sont liés à la mauvaise gouvernance, car lorsque la gouvernance est bonne, l’injustice sans réponse est rare. Par l’affaiblissement progressif du caractère d’un peuple, l’impact de l’injustice signalée mais restée sans réponse est de très loin supérieur à ce qu’il semble de prime abord. Les États de communication modernes, de par leur échelle, leur homogénéité et leurs excès, fournissent à leur population un déluge sans précédent d’injustices avérées, mais sans réplique apparente. » (Julian Assange)
Pour le premier point, en même temps ça me semble un peu normal (si on doit plonker des AMR, on a d'autres soucis que juste ne pas pouvoir poster sur la tribune d'admin. Et si on ne l'applique pas à la tribune de rédaction, rien n'empêche d'y venir donc...
Je n'oublie pas, mais ça n'est valable que si tu as un jour été hors de l'environnement hostile... Si tu as un jour déjà utilisé LinuxFr.org en HTTPS dans une zone de confiance, tu as déjà validé le certificat par exemple et donc tout va bien. Si tu utilises LinuxFr.org depuis toujours depuis une zone louche, genre DictatureLand, beh... Quelques pistes : tâcher de se faire confirmer l'info par plusieurs personnes en espérant que..., vérifier sur archive.org et le cache google que le site avait bien la même tête et donnait bien la même signature du certificat il y a quelques mois en espérant que..., utiliser un autre moyen de communication pour avoir l'info (SMS, téléphone, courriel, etc.) en espérant...
Certes, les root cités ont eu des problèmes, mais c'est aussi parce qu'ils... étaient intéressants pour les crackers.
Dans certains cas, juste parce qu'on pouvait faire pression sur eux pour avoir des certificats génériques de complaisance ou pour avoir la main sur les certificats racine...
je ne vois aucun moyen d'arriver sur linuxfr en milieu hostile sans me faire cracker dans le cas où quelqu'un veut)
Je résume :
ce qui est affiché sur LinuxFr.org en clair, la somme de contrôle sur le certificat et l'autorité de confiance utilisée, on ne peut pas y faire confiance car il peut y avoir un MitM contre le site
le fait qu'un admin signe la somme de contrôle, on ne peut pas y faire confiance car il peut y avoir un MitM, l'admin n'en est peut-être pas un, et en plus il faut avoir un chemin de confiance GPG jusqu'à lui
en plus même en acceptant que CaCert est bien l'autorité de confiance de Linuxfr.org, sur leur site, ils ont un certificat autosigné ces fourbes (forcément), donc pas de raison d'avoir confiance.
et de toute façon mon navigateur - qui embarque des autorités de confiance dont on sait qu'elles ne sont pas de confiance et qui utilise un système dont on sait qu'il ne marche pas (faire confiance à des entreprises...) - bref mon navigateur me dit de ne pas avoir confiance, et sur ça je lui fais confiance.
Bref on arrive à un des principes classiques en sécurité : à qui faire confiance ? Et si je ne fais confiance à personne, ben je n'ai pas grand chose... Sauf à réécrire tous mes logiciels de zéro et revalider toutes les RFC, les protocoles réseau et de chiffrement, etc.
Globalement en environnement hostile, pour accéder au site (hypersensible :) LinuxFr.org :
soit je sais qu'il utilise CaCert (ça a été dit plein de fois), auquel cas je peux vérifier que tout est OK de zéro.
soit je ne sais pas qu'il utilise CaCert ou je n'ai pas confiance dans cette affirmation, et... ben à part essayer depuis un environnement non hostile pour comparaison, demander des confirmations à des gens, etc., je ne vois pas de solution miracle. Je ne vois pas trop ce que LinuxFr.org pourrait faire de plus qu'une chaîne de certificats valides par rapport à l'autorité de confiance choisie, l'affichage de la somme de contrôle sur le site en permanence, et même parfois signée par un des admins. Quelles sont les autres idées pour faire mieux ?
Perso, plus ça va, plus j'aurais tendance à accorder ma confiance à un certificat autosigné par quelqu'un de sûr et connu, qu'à une hypothétique autorité de confiance dont je ne connais rien et qui a des consoeurs douteuses.
(identification du protocole utilisé par Wireshark 1.6.1)
links 2.3 annonce du TLS v1.0.
iceweasel 6.0.2 annonce du TLS v1.0.
konqueror 4.6.5 annonce du TLS v1.0.
Le serveur nginx utilisé propose SSLv2, SSLv3 ou TLSv1 (et dépend d'OpenSSL).
« Secure boot
(...) UEFI and secure boot harden the boot process All firmware and software in the boot process must be signed by a trusted Certificate Authority (CA) Required for Windows 8 client Does not require a Trusted Platform Module (TPM) »
et
« New Windows 8 requirements: Windows 8 client systems must be certified in UEFI mode Secure boot Secure firmware update process
(...) »
HW-719H (Lab) Experiencing the Windows Hardware Certification Kit
APP-840H (Lab) Hands on lab for Windows App Certification Kit
pas disponibles apparemment
SAC-932T Windows Server 8 software and hardware certification : diaporama
« Examples of “If Implemented” requirements for Server; UEFI Firmware If UEFI is implemented in the system, it must meet all requirements
(...) Trusted Platform Module Network Key Protector for BitLocker, Secure Boot, etc. enhance data security »
Il est aussi question d'une session « UEFI Firmware for Secure Experience, Session 457 ».
Mea culpa. Erreur de recopie suite à la lecture de la phrase de PC INpact
« Il restait bloqué à 95, ce qui avait poussé Microsoft à annoncer que la note de 100 n’intéressait pas les développeurs... Heureuse nouvelle : il obtient désormais une note de 100. » (évidemment je n'ai pas d'IE 9 pour tester chez moi, d'une part parce qu'il ne tourne pas sur Debian Sid, d'autre part parce qu'il n'est pas libre).
# Réponse partielle
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Visualiser son karma. Évalué à 2 (+0/-0).
Cf le page de wiki https://linuxfr.org/wiki/Karma
[^] # Re: Précision
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Amélioration de la censure de commentaires. Évalué à 2 (+0/-0).
Il n'y a pas eu de changement concernant les commentaires.
[^] # Re: Précision
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Amélioration de la censure de commentaires. Évalué à 3 (+0/-0).
Et depuis le commit qui vient d'atteindre la production en parallèle, tu ne peux plus écrire sur la tribune.
[^] # Précision
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Amélioration de la censure de commentaires. Évalué à 2 (+0/-0).
Actuellement, vu ton karma, tu peux écrire des dépêches, des sondages, des entrées de forums, des commentaires et écrire sur la tribune. Tu ne peux pas écrire des journaux et éditer le wiki.
[^] # Re: Ce commentaire a été supprimé par l'équipe de modération.
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Décence et respect autour d'un décès. Évalué à 1.
Jusqu'à maintenant les commentaires supprimés sur ce journal l'ont été parce qu'ils comportent des insultes.
# Doublon
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi éditer son commentaire. Évalué à 2 (+0/-0).
Doublon du #339
https://linuxfr.org/suivi/fonction-d%C3%A9dition-des-textes-commentaires-journaux-etc
[^] # Re: Stallmann
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Facebook, Google, twitter, etc. libres ?. Évalué à 4.
Comme Trésor du monde, par le club par les clubs UNESCO.
Cf http://linuxfr.org/news/lunesco-reconna%c3%aet-gnu et http://www.fwtunesco.org/?FWT_ATM_Treasure_List:News:Free_Software_as_a_World_Treasure
# Dépêche en rédaction
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Pouvoir enregistrer une dépêche en brouillon. Évalué à 2 (+0/-0).
Il est déjà possible de laisser des dépêches en rédaction, pour rédiger à plusieurs ou seuls. Et il suffit de mettre une mention Ne pas soumettre dans l'immédiat par éviter qu'elle soit transmise.
# Intel Insider et Vpro
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Intel Sandy Bridge et Linux : état des lieux. Évalué à 10.
J'avais déjà regardé les fonctions du Sandy Bridge en terme d'aspects éthiques (donc notamment les dangers DRM et informatique déloyale, qui contrôle votre processeur) et bidouillabilité. Voir https://listes.april.org/wws/arc/informatique-deloyale/2011-01/msg00000.html et https://listes.april.org/wws/arc/informatique-deloyale/2011-01/msg00002.html
Quelle « prise en charge logicielle » pour :
- l'Intel Insider, une restriction matérielle pour faciliter le DRM sur le streaming ?
- le VPro qui permet de désactiver un ordi à distance ou d'effacer ses disques (par 3G, ethernet ou via internet) ?
(Source http://en.wikipedia.org/wiki/Sandy_Bridge_%28microarchitecture%29 )
[^] # Re: Test sur LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Faille dans SSL 3.0 et TLS 1.0. Évalué à 3.
La suppression à la demande de l'auteur (moi). En l'occurrence la suppression par l'auteur lui-même, qui a répondu au commentaire en pensant qu'il s'agissait de la dépêche Hadopi et PDF, donc à côté de la plaque.
[^] # Re: Avocat du diable ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP. Évalué à 10.
Une adresse IP + un horodatage est parfois considéré comme une donnée personnelle car cela permet (via à un opérateur éventuellement) d'avoir le nom d'une personne physique/morale détentrice de l'abonnement utilisé pour la connexion. Évidemment cette personne peut être différente de la ou les personnes ayant utilisés la connexion, et l'adresse IP peut parfois être usurpée, utilisée à l'insu du détenteur, etc.
Wikipédia : « (...) l'adresse IP de connexion d'un internaute n'est pas considérée comme une donnée personnelle selon deux arrêts de la Cour d'Appel de Paris. Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée à caractère personnel (...) »
[^] # Re: Avocat du diable ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP. Évalué à 3.
L'Hadopi dit que ce n'est pas une donnée personnelle : « La présidente de la Commission de protection des droits de l'Hadopi, Mireille Imbert-Quaretta, nous confirme que la Haute Autorité estime que l'adresse IP n'est pas une donnée personnelle (...) » (source Numérama)
[^] # Re: Évitez de l'ébruiter
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP. Évalué à 10.
Je (comme beaucoup d'autres) ne crois pas à la sécurité par l'obscurité. Et je suis pour diffuser/partager ce genre d'infos. On notera que dans certains cas (cf l'exemple avec les soldats), ce genre d'erreurs met des gens en danger. Ce n'est pas en mettant les problèmes sous le tapis qu'on les résout.
Et par ailleurs, le fait que cette IP soit diffusée ou non ne rend pas le principe de l'Hadopi meilleur ou pire...). Il montre juste une incohérence dans le fonctionnement de l'Hadopi. Ce qui devrait choquer, c'est le principe de l'Hadopi, pas une boulette dans un PDF. Comme ce qui devrait choquer, c'est le principe du vote électronique sans garantie et contrôle sur le scrutin, pas la n-ème faille de sécurité sur le sujet. Comme ce qui devrait choquer, c'est de donner toute sa vie privée à un acteur commercial qui la revend, pas la dernière joyeuseté de Facebook.
Une citation revue récemment qui me semble appropriée : « Chaque fois que nous assistons à un acte que nous estimons être injuste et que nous n’agissons pas, nous nous faisons les partisans de l’injustice. Ceux qui restent de façon répétée passifs face à l’injustice voient bientôt leur caractère se corrompre dans la servilité. La plupart des actes d’injustice dont nous sommes témoins sont liés à la mauvaise gouvernance, car lorsque la gouvernance est bonne, l’injustice sans réponse est rare. Par l’affaiblissement progressif du caractère d’un peuple, l’impact de l’injustice signalée mais restée sans réponse est de très loin supérieur à ce qu’il semble de prime abord. Les États de communication modernes, de par leur échelle, leur homogénéité et leurs excès, fournissent à leur population un déluge sans précédent d’injustices avérées, mais sans réplique apparente. » (Julian Assange)
[^] # Re: Création de journaux interdite à cause du plonkage ?
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Amelioration du plonkage de tribune. Évalué à 2 (+0/-0).
Non c'est lié au karma du compte qui est fortement négatif.
[^] # Re: Koin
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Meego est mort ! Vive Tizen !. Évalué à 7.
Ton honnêteté t'honore. Rectifié.
# Certes
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Amelioration du plonkage de tribune. Évalué à 1 (+0/-0).
Pour le premier point, en même temps ça me semble un peu normal (si on doit plonker des AMR, on a d'autres soucis que juste ne pas pouvoir poster sur la tribune d'admin. Et si on ne l'applique pas à la tribune de rédaction, rien n'empêche d'y venir donc...
Note : je t'ai déplonké suite à ton test.
[^] # Re: Test sur LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Faille dans SSL 3.0 et TLS 1.0. Évalué à 2.
Je n'oublie pas, mais ça n'est valable que si tu as un jour été hors de l'environnement hostile... Si tu as un jour déjà utilisé LinuxFr.org en HTTPS dans une zone de confiance, tu as déjà validé le certificat par exemple et donc tout va bien. Si tu utilises LinuxFr.org depuis toujours depuis une zone louche, genre DictatureLand, beh... Quelques pistes : tâcher de se faire confirmer l'info par plusieurs personnes en espérant que..., vérifier sur archive.org et le cache google que le site avait bien la même tête et donnait bien la même signature du certificat il y a quelques mois en espérant que..., utiliser un autre moyen de communication pour avoir l'info (SMS, téléphone, courriel, etc.) en espérant...
[^] # Re: modifier le deuxième lien
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Python Quvi. Évalué à 2.
Le lien a été corrigé depuis.
[^] # Re: Test sur LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Faille dans SSL 3.0 et TLS 1.0. Évalué à 9. Dernière modification le 25 septembre 2011 à 22:19.
Dans certains cas, juste parce qu'on pouvait faire pression sur eux pour avoir des certificats génériques de complaisance ou pour avoir la main sur les certificats racine...
Je résume :
Bref on arrive à un des principes classiques en sécurité : à qui faire confiance ? Et si je ne fais confiance à personne, ben je n'ai pas grand chose... Sauf à réécrire tous mes logiciels de zéro et revalider toutes les RFC, les protocoles réseau et de chiffrement, etc.
Globalement en environnement hostile, pour accéder au site (hypersensible :) LinuxFr.org :
Perso, plus ça va, plus j'aurais tendance à accorder ma confiance à un certificat autosigné par quelqu'un de sûr et connu, qu'à une hypothétique autorité de confiance dont je ne connais rien et qui a des consoeurs douteuses.
[^] # Re: Test sur LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Faille dans SSL 3.0 et TLS 1.0. Évalué à 7.
Ouais, chacun place sa confiance où il veut (cf https://linuxfr.org/aide#aide-autrecertificatssl )
https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fdiginotar.com (dernier scandale en terme de certificat SSL) obtient 100% sur son certificat (!) et une mauvaise note sur le reste (leur boulot donc...).
https://www.ssllabs.com/ssldb/analyze.html?d=comodo.com (scandale précédent) obtient 100% sur son certificat et une bonne note sur le reste (mais moins bonne que celle de LinuxFr.org).
https://www.ssllabs.com/ssldb/analyze.html?d=verisign.com (encore un scandale) obtient 100% sur son certificat et une note pas trop mal sur le reste (mais moins bonne que celle de LinuxFr.org).
# Test sur LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Faille dans SSL 3.0 et TLS 1.0. Évalué à 4.
(identification du protocole utilisé par Wireshark 1.6.1)
links 2.3 annonce du TLS v1.0.
iceweasel 6.0.2 annonce du TLS v1.0.
konqueror 4.6.5 annonce du TLS v1.0.
Le serveur nginx utilisé propose SSLv2, SSLv3 ou TLSv1 (et dépend d'OpenSSL).
# Petites recherches
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Windows 8 aime l'opensource !. Évalué à 9.
Sur le même sujet :
La source est la présentation de Arie van der Hoeven, Principal Lead Program Manager chez Microsoft.
« Secure boot
(...)
UEFI and secure boot harden the boot process
All firmware and software in the boot process must be signed by a trusted Certificate Authority (CA)
Required for Windows 8 client
Does not require a Trusted Platform Module (TPM) »
et
« New Windows 8 requirements:
Windows 8 client systems must be certified in UEFI mode
Secure boot
Secure firmware update process
(...) »
En parcourant les liens du document :
HW-462T - Building hardware-based security with a Trusted Platform Module (TPM) : http://video.ch9.ms/build/2011/slides/HW-462T_Spiger.pptx
« UEFI will only launch a verified OS loader – such as Windows 8 »
« Windows 8 has a bunch of new TPM-enabled features »
HW-260T - Windows Certification: improvements to the logo program : http://video.ch9.ms/build/2011/slides/HW-260T_Koenders.pptx
Windows 8 Certification Requirements – Preview
Windows Hardware Certification Kit – Preview
(les deux nécessitent un compte Live.com, pas regardés du coup)
Windows Server 8 SW Certification Requirements Draft
Windows Logo Program for Hardware: Overview
« SYSFUND-0229. Systems with a greater than 2.2 terabyte boot drive must comply
with UEFI specification. »
HW-659T Certifying hardware with the Windows Hardware Certification Kit : http://video.ch9.ms/build/2011/slides/HW-659T_Rowland.pptx
HW-665C Windows Certification Program, process and tools : http://video.ch9.ms/build/2011/slides/HW-665C_Edfeldt.pptx
HW-719H (Lab) Experiencing the Windows Hardware Certification Kit
APP-840H (Lab) Hands on lab for Windows App Certification Kit
pas disponibles apparemment
SAC-932T Windows Server 8 software and hardware certification : diaporama
« Examples of “If Implemented” requirements for Server;
UEFI Firmware
If UEFI is implemented in the system, it must meet all requirements
(...)
Trusted Platform Module
Network Key Protector for BitLocker, Secure Boot, etc. enhance data security »
Il est aussi question d'une session « UEFI Firmware for Secure Experience, Session 457 ».
[^] # Re: Konqueror 4.7.1
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Navigateurs Web : tests Acid 3 et HTML 5 test. Évalué à 2.
Mea culpa. Erreur de recopie suite à la lecture de la phrase de PC INpact
« Il restait bloqué à 95, ce qui avait poussé Microsoft à annoncer que la note de 100 n’intéressait pas les développeurs... Heureuse nouvelle : il obtient désormais une note de 100. » (évidemment je n'ai pas d'IE 9 pour tester chez moi, d'une part parce qu'il ne tourne pas sur Debian Sid, d'autre part parce qu'il n'est pas libre).
[^] # Re: et...
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Revue de presse de l’April pour la semaine 37 de l’année 2011. Évalué à 2.
Errare humanum est, perseverare diabolicum
[^] # Re: Les semaines se suivent et se ressemblent...
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Revue de presse de l’April pour la semaine 37 de l’année 2011. Évalué à 2.
La revue de presse de la semaine précédente a été publiée de nouveau par erreur, puis remplacée (il y a encore actuellement un souci de cache).