Il faut voir que pour une entreprise / institution, des quantités de PC sous XP sont passés à la benne ces dernières années. Donc oui, il y a une petite triche sur la licence et non, car un paquet de licence sont partis en fumée…
Le cas de saint-ex est particulier. Avant la durée était de 50 ans après la mort et on doublait en cas de mort pour la France. Après le passage à 70 ans un peu partout, on a gardé rétroactivement la règle des 100 ans afin de ne pas changer les règles du jeu d'un point de vu défavorable pour les quelques cas. Mais à ma connaissance, la clause du doublement à sauter pour les futurs auteurs…
A noter qu'au Canada c'est 50 ans donc cela fait un paquet de temps que saint-ex est dans le domaine public la bas.
Perl6 met tout le monde d'accord avec
sub do-all() {
open-door();
do-step1();
close-door();
} Et ouais, pendant que les autres s'endorment, il y en a un qui avance ;-)
Il n'y a pas de VRAIE valeur surtout que c'est la MÊME valeur, c'est juste l'unité qui change. Compter en base 1024 avait du sens au début de l'informatique ainsi qu'actuellement dans certaines opérations de bas niveau lorsqu'il faut caler les caches par exemple. Au niveau utilisateur, au vu de la taille des nombres, plusieurs dizaines de Go pour la RAM, des To pour les disques, la base 1014 n'a plus vraiment de sens d'autant plus qu'il y a aussi eu historiquement un mélange entre la base 1024 et 1000 au delà du million…
C'est comme pour la base 60 pour les monnaies, il faut savoir un jour arrêter d'utiliser des unités peu pratique dans l'usage courant qui n'apporte au final pas grand chose. Gardons ces unités pour les domaines spécialisés.
On ne va pas faire comme les ricains qui comptent toujours en miles, galon… Moi, je ne regrette pas les mbar, les mm de mercure, les °A et autres !
Les personnes mettent du HTTPS et des liens vers 36 sites, soit google analytics, soit des bibliothèques javascripts…
Un paquet de site non authentifié sont encore (et heureusement) non pas des applications mais principalement du texte ouvert au moteur de recherche. J'évite tout script externe, tout appel DNS externe, toutes images externes…
Bref, pour moi, ce n'est pas forcément une priorité de chiffrer pour chiffrer du contenu que je met à la disposition du public et vérifiant (je l'espère) toutes les lois de la république. Tout est dans les caches des moteurs de recherche…
Parce que justement j'utilise le HTTPS pour authentifier ! Sinon je met tout en https, il faut que je trouve un autre moyen pour authentifier. Mes sites web sont consultable pour la plupart authentifié ou non, or j'aime bien que l'authentification ait lieu sur le reverse proxy, en amont du site web, sur une machine n'ayant pas de langage de script !
En fait, tu tiens à protéger ton espace privé, mais une interception de flux pour remplacer le contenu du site public par un autre ne te dérangerait pas ?
C'est effectivement peu appréciable mais au vu de l'importance de MES sites, peu probable non plus.
Sinon, on parle ici de la véracité d'un site donc de sa signature. Il suffit d'avoir une page signé numériquement pour la valider comme on signe un courriel. Pas besoin de chiffrement et d'https donc. Une page signée suffit à certifier que la page provient bien de mon site web (ce qui ne veut pas dire mais cela est vrai dans 100% des cas que mon site n'a pas été piraté).
Signer le HTTP, oui. Tout chiffrer et basculer en HTTPS, ce n'est pas forcément utile à mon sens.
Normalement, en http, il ne devrait pas y avoir de droit d'écriture sur la base de donnée… (mais je suis loin d'être sur que tout soit bien écrit effectivement)
Sinon, la redirection est faite sur le reverse proxy qui est une autre machine ou il n'y a ni PHP ni Python ni rien de tous ces trucs… Donc remplacer la redirection me semble non pas infaisable mais non triviale…
Via reverse proxy, si tu as un site SPIP, tu rediriges le /ecrire vers le site en HTTPS, si tu as un site Wordpress, tu rediriges le /wp-admin en https…
Bref, en http, pas de login/pass, pas de chiffrement. C'est de la consultation et bon pour les robots. Dès qu'il y a un couple login/pass, cela bascule en https avec authentification dès le reverse proxy (donc avant l’exécution de code python ou php). Je ne suis pas un spécialiste de la sécurité mais je me dis que minimiser le nombre de ligne de code et simplifier les choses ne peuvent pas faire de mal. Mais attention, ce sont des modules intégrés de base dans Apache qui font le boulot et si je ne peux avoir confiance en eux, je peux presque arrêter mes sites web…
Et j'ai pas de traceur de stat sur mes sites. On me le demande parfois mais je renvoie ces personnes vers l'écriture de nouvelles pages !
Sur les sites web que je gère (donc pas DLFP). http -> connexion anonyme. https -> connexion identifié DÈS le reverse proxy sur un annuaire LDAP. Pas une ligne de Python exécuté avant que l'identification soit faites.
Je ne sais pas comment faire aussi clean et aussi simple en mettant tout en https…
D'ailleurs, je ne comprends pas pourquoi les équipements tournant sous Apple iOS sont encore autorisés à la vente dans l'union Européennes en 2017. Il est plus que temps de réglementer cela avant que cette pratique (impossibilité de spécifier un 'magasin' alternatif) ne se répandent sur tous les OS.
Je me vois pas faire un serveur SSH avec OTP via courriel. Pour ce qui est du smartphone, c'est mort. Tout le monde n'en a pas et il n'y a pas de smartphone professionnel. Donc ce n'est pas possible de baser une solution la dessus. A suivre donc ;-)
C'est tout comme tu dis. Dans mon milieu professionnel, il n'y a pas d'inscription utilisateur. 100% de ceux-ci sont dans le LDAP et rentrer via un autre moyen que les appli web utilisateur. Idem pour le changement de mot de passe, il a lieu dans le LDAP et non dans les 36 appli web et c'est tant mieux.
Du coup, oui, AUTH BASIC a des défauts mais il fait son boulot AVANT que la première ligne de Python ne s’exécute. Je préférerais comme beaucoup d'autre avoir une évolution de AUTH BASIC afin de profiter de technologie nouvelle car je pense que c'est souvent mieux que cela soit gérer en amont de l'appli web.
Sinon, vu nos budgets dans la recherche publique, je n'ai pas les moyens de faire (ou pas trouvé encore comment faire) une authentification à double facteur pas chère. Il faut que cela marche sur tous les OS, avec nos collaborateurs à l'étranger…
Donc je restreindrais l'utilisation du HTTP Basic Auth à des sites pour lesquels tu n'as pas besoin de te déconnecter.
Personnellement, je l'ai mis en place sur le reverse proxy en tête d'un paquet de serveur web. Le RP est un serveur Apache n'ayant aucune extension. Pas de PHP, pas de Python… Évidement, c'est tout en https quand même.
Coté sécurité, c'est peut être pas top mais vu le peu de ligne de code et de langage exposé, c'est peut être pas forcément pire qu'autre chose ? Associé à un petit fail2ban, on limite quand même les problèmes. Personnellement, l'authentification étant un élément central dans le web, c'est quand même mieux si le navigateur et le serveur web peuvent gérer tout cela sans que le développeur n'ait besoin de faire la moindre ligne coté serveur (PHP, Python…) ou client (Javascript).
Bref, peut être que Mozilla et Apache pourrait travailler sur cette problématique de l'authentification afin d'intégrer en dur un truc bien robuste et régulièrement évaluer par des experts en sécurité.
J'aimerais pouvoir me déconnecter d'un site et non de tous… Firefox (et les autres navigateurs) demande un login/password en mode AUTH Basic pour chaque AuthName différent. C'est quand même fou que le navigateur puisse authentifier les personnes dans la requête HTTP normalisé (BASIC ou DIGEST avec AuthName) mais que rien n'est jamais été prévu dans les clients pour se déconnecter. On a l'impression que seul la moitié du protocole a été implémenté ;-)
Quand à la navigation privée proposée ci-dessus, c'est faisable mais c'est quand même incroyable de devoir sortir l'artillerie lourde pour contourner une fonctionnalité qui manque depuis tant d'année.
Exact. Cela marche depuis l'origine (plus de 20 ans) et pas besoin de cookies ou de PHP. Cela a lieu avant ce qui est intéressant car on est dans les premières couches du navigateur donc on espère qu'on peut le faire confiance coté sécurité.
Je ne comprends pas que le trousseau de mot de passe ne soit pas protéger OBLIGATOIREMENT par une phrase de passe. Je trouve anormal qu'un tel logiciel puisse enregistrer des mots de passe sans chiffrer derrière le trousseau.
A une époque, j'avais lu que le chiffrement utilisé dans Firefox pour chiffrer le trousseau était faible. Qu'en est-il aujourd'hui ?
En parlant de mot de passe, lorsqu'on s'identifie sur une site en mode HTTP BASIC ou DIGEST (donc sans formulaire car en utilisant la norme intégré dans HTTP), une popup s'ouvre dans laquelle on donne son login/mot de passe. Il serait bien alors de rajouter dans l'onglet un bouton pour se déconnecter car cela est actuellement (et depuis toujours) impossible sans avoir à fermer son navigateur. C'est hyper pénalisant. A noter que personnellement, je préfère ce type d'authentification dans les sites web car celle-ci peut se réaliser par le serveur web AVANT exécution de tout code PHP, Python, Ruby…
Bref, l'authentification pourrait être bien plus intégré dans le navigateur qu'actuellement et pourtant, c'est un point fondamental.
le droit d'auteur souvent conservé par les maisons d'éditions
En fait, avec la nouvelle loi sur le numérique, après un embargo de 6 mois, on récupère les droits en France sur son article quelle que soit la revue avec laquelle on a signé. On a même le devoir de le publier alors en open-accès. C'est un nouveau droit. Voir les liens ci-dessus.
[^] # Re: Quid de la licence d'XP?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Comment j’ai mis fin à un chantage logiciel. Évalué à 2.
Il faut voir que pour une entreprise / institution, des quantités de PC sous XP sont passés à la benne ces dernières années. Donc oui, il y a une petite triche sur la licence et non, car un paquet de licence sont partis en fumée…
[^] # Re: Légal ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal OpenSSL souhaite passer en license Apache. Évalué à 2.
Le cas de saint-ex est particulier. Avant la durée était de 50 ans après la mort et on doublait en cas de mort pour la France. Après le passage à 70 ans un peu partout, on a gardé rétroactivement la règle des 100 ans afin de ne pas changer les règles du jeu d'un point de vu défavorable pour les quelques cas. Mais à ma connaissance, la clause du doublement à sauter pour les futurs auteurs…
A noter qu'au Canada c'est 50 ans donc cela fait un paquet de temps que saint-ex est dans le domaine public la bas.
[^] # Re: Lisp rocks
Posté par Sytoka Modon (site web personnel) . En réponse au journal CamelCase ou lowercase_with_underscore. Évalué à 6.
Perl6 met tout le monde d'accord avec
sub do-all() {
open-door();
do-step1();
close-door();
}
https://docs.perl6.org/language/functions
[^] # Re: la réponse est 42!
Posté par Sytoka Modon (site web personnel) . En réponse au message Mio/MiB je ne comprends pas.. Évalué à 1.
Parce que tu détiens la vérité ?
Il n'y a pas de VRAIE valeur surtout que c'est la MÊME valeur, c'est juste l'unité qui change. Compter en base 1024 avait du sens au début de l'informatique ainsi qu'actuellement dans certaines opérations de bas niveau lorsqu'il faut caler les caches par exemple. Au niveau utilisateur, au vu de la taille des nombres, plusieurs dizaines de Go pour la RAM, des To pour les disques, la base 1014 n'a plus vraiment de sens d'autant plus qu'il y a aussi eu historiquement un mélange entre la base 1024 et 1000 au delà du million…
C'est comme pour la base 60 pour les monnaies, il faut savoir un jour arrêter d'utiliser des unités peu pratique dans l'usage courant qui n'apporte au final pas grand chose. Gardons ces unités pour les domaines spécialisés.
On ne va pas faire comme les ricains qui comptent toujours en miles, galon… Moi, je ne regrette pas les mbar, les mm de mercure, les °A et autres !
[^] # Re: merci !
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à 3.
Attention, autant la NSA fait ce qu'elle veut, autant ton FAI est soumis à la loi française (ou belge, ou…) et ne peut pas faire ce qu'il veut !
[^] # Re: merci !
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à 1.
Et je suis sur que tu as ton Smartphone dans ta poche arrière toute la journée ;-)
[^] # Re: Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à -5.
Les personnes mettent du HTTPS et des liens vers 36 sites, soit google analytics, soit des bibliothèques javascripts…
Un paquet de site non authentifié sont encore (et heureusement) non pas des applications mais principalement du texte ouvert au moteur de recherche. J'évite tout script externe, tout appel DNS externe, toutes images externes…
Bref, pour moi, ce n'est pas forcément une priorité de chiffrer pour chiffrer du contenu que je met à la disposition du public et vérifiant (je l'espère) toutes les lois de la république. Tout est dans les caches des moteurs de recherche…
[^] # Re: Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à -3.
Parce que justement j'utilise le HTTPS pour authentifier ! Sinon je met tout en https, il faut que je trouve un autre moyen pour authentifier. Mes sites web sont consultable pour la plupart authentifié ou non, or j'aime bien que l'authentification ait lieu sur le reverse proxy, en amont du site web, sur une machine n'ayant pas de langage de script !
[^] # Re: Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à -5.
C'est effectivement peu appréciable mais au vu de l'importance de MES sites, peu probable non plus.
Sinon, on parle ici de la véracité d'un site donc de sa signature. Il suffit d'avoir une page signé numériquement pour la valider comme on signe un courriel. Pas besoin de chiffrement et d'https donc. Une page signée suffit à certifier que la page provient bien de mon site web (ce qui ne veut pas dire mais cela est vrai dans 100% des cas que mon site n'a pas été piraté).
Signer le HTTP, oui. Tout chiffrer et basculer en HTTPS, ce n'est pas forcément utile à mon sens.
[^] # Re: Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à -4.
Normalement, en http, il ne devrait pas y avoir de droit d'écriture sur la base de donnée… (mais je suis loin d'être sur que tout soit bien écrit effectivement)
Sinon, la redirection est faite sur le reverse proxy qui est une autre machine ou il n'y a ni PHP ni Python ni rien de tous ces trucs… Donc remplacer la redirection me semble non pas infaisable mais non triviale…
[^] # Re: Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à 1.
Exact. Anonyme => pas d'identification.
Via reverse proxy, si tu as un site SPIP, tu rediriges le /ecrire vers le site en HTTPS, si tu as un site Wordpress, tu rediriges le /wp-admin en https…
Bref, en http, pas de login/pass, pas de chiffrement. C'est de la consultation et bon pour les robots. Dès qu'il y a un couple login/pass, cela bascule en https avec authentification dès le reverse proxy (donc avant l’exécution de code python ou php). Je ne suis pas un spécialiste de la sécurité mais je me dis que minimiser le nombre de ligne de code et simplifier les choses ne peuvent pas faire de mal. Mais attention, ce sont des modules intégrés de base dans Apache qui font le boulot et si je ne peux avoir confiance en eux, je peux presque arrêter mes sites web…
Et j'ai pas de traceur de stat sur mes sites. On me le demande parfois mais je renvoie ces personnes vers l'écriture de nouvelles pages !
# Mon opinion
Posté par Sytoka Modon (site web personnel) . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à 0.
Sur les sites web que je gère (donc pas DLFP). http -> connexion anonyme. https -> connexion identifié DÈS le reverse proxy sur un annuaire LDAP. Pas une ligne de Python exécuté avant que l'identification soit faites.
Je ne sais pas comment faire aussi clean et aussi simple en mettant tout en https…
# Perl (ou autre)
Posté par Sytoka Modon (site web personnel) . En réponse au message Copier n fois un paramètre dans une commande en bash (shell?). Évalué à 3.
[^] # Re: Licence, et (non-)libertés
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche ChatSecure 4.0 ronronne et adopte OMEMO . Évalué à 2.
D'ailleurs, je ne comprends pas pourquoi les équipements tournant sous Apple iOS sont encore autorisés à la vente dans l'union Européennes en 2017. Il est plus que temps de réglementer cela avant que cette pratique (impossibilité de spécifier un 'magasin' alternatif) ne se répandent sur tous les OS.
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 2.
Je me vois pas faire un serveur SSH avec OTP via courriel. Pour ce qui est du smartphone, c'est mort. Tout le monde n'en a pas et il n'y a pas de smartphone professionnel. Donc ce n'est pas possible de baser une solution la dessus. A suivre donc ;-)
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 5.
C'est tout comme tu dis. Dans mon milieu professionnel, il n'y a pas d'inscription utilisateur. 100% de ceux-ci sont dans le LDAP et rentrer via un autre moyen que les appli web utilisateur. Idem pour le changement de mot de passe, il a lieu dans le LDAP et non dans les 36 appli web et c'est tant mieux.
Du coup, oui, AUTH BASIC a des défauts mais il fait son boulot AVANT que la première ligne de Python ne s’exécute. Je préférerais comme beaucoup d'autre avoir une évolution de AUTH BASIC afin de profiter de technologie nouvelle car je pense que c'est souvent mieux que cela soit gérer en amont de l'appli web.
Sinon, vu nos budgets dans la recherche publique, je n'ai pas les moyens de faire (ou pas trouvé encore comment faire) une authentification à double facteur pas chère. Il faut que cela marche sur tous les OS, avec nos collaborateurs à l'étranger…
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 3.
Personnellement, je l'ai mis en place sur le reverse proxy en tête d'un paquet de serveur web. Le RP est un serveur Apache n'ayant aucune extension. Pas de PHP, pas de Python… Évidement, c'est tout en https quand même.
Coté sécurité, c'est peut être pas top mais vu le peu de ligne de code et de langage exposé, c'est peut être pas forcément pire qu'autre chose ? Associé à un petit fail2ban, on limite quand même les problèmes. Personnellement, l'authentification étant un élément central dans le web, c'est quand même mieux si le navigateur et le serveur web peuvent gérer tout cela sans que le développeur n'ait besoin de faire la moindre ligne coté serveur (PHP, Python…) ou client (Javascript).
Bref, peut être que Mozilla et Apache pourrait travailler sur cette problématique de l'authentification afin d'intégrer en dur un truc bien robuste et régulièrement évaluer par des experts en sécurité.
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 3.
Génial. Je ne connaissais pas et ça marche ! Je ne connais personne qui savait cela. Comment as tu découvert cette astuce ?
Cela ne doit pas être bien difficile de faire une extension avec un bouton qui gère cela ;-)
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 3.
J'aimerais pouvoir me déconnecter d'un site et non de tous… Firefox (et les autres navigateurs) demande un login/password en mode AUTH Basic pour chaque AuthName différent. C'est quand même fou que le navigateur puisse authentifier les personnes dans la requête HTTP normalisé (BASIC ou DIGEST avec AuthName) mais que rien n'est jamais été prévu dans les clients pour se déconnecter. On a l'impression que seul la moitié du protocole a été implémenté ;-)
Quand à la navigation privée proposée ci-dessus, c'est faisable mais c'est quand même incroyable de devoir sortir l'artillerie lourde pour contourner une fonctionnalité qui manque depuis tant d'année.
[^] # Re: Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 4.
Exact. Cela marche depuis l'origine (plus de 20 ans) et pas besoin de cookies ou de PHP. Cela a lieu avant ce qui est intéressant car on est dans les premières couches du navigateur donc on espère qu'on peut le faire confiance coté sécurité.
# Enregistrement des mots de passe
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Firefox zone en version 51 . Évalué à 7.
Je ne comprends pas que le trousseau de mot de passe ne soit pas protéger OBLIGATOIREMENT par une phrase de passe. Je trouve anormal qu'un tel logiciel puisse enregistrer des mots de passe sans chiffrer derrière le trousseau.
A une époque, j'avais lu que le chiffrement utilisé dans Firefox pour chiffrer le trousseau était faible. Qu'en est-il aujourd'hui ?
En parlant de mot de passe, lorsqu'on s'identifie sur une site en mode HTTP BASIC ou DIGEST (donc sans formulaire car en utilisant la norme intégré dans HTTP), une popup s'ouvre dans laquelle on donne son login/mot de passe. Il serait bien alors de rajouter dans l'onglet un bouton pour se déconnecter car cela est actuellement (et depuis toujours) impossible sans avoir à fermer son navigateur. C'est hyper pénalisant. A noter que personnellement, je préfère ce type d'authentification dans les sites web car celle-ci peut se réaliser par le serveur web AVANT exécution de tout code PHP, Python, Ruby…
Bref, l'authentification pourrait être bien plus intégré dans le navigateur qu'actuellement et pourtant, c'est un point fondamental.
# rdiff-backup
Posté par Sytoka Modon (site web personnel) . En réponse au message Sauvegarde décrémentielle. Évalué à 2.
C'est ce que j'utilise sur les gros volumes…
# Open Source
Posté par Sytoka Modon (site web personnel) . En réponse au journal Le nouveau compilateur des Shaders DirectX sera Open Source. Évalué à 9.
Open Source n'est pas égal à libre surtout du coté de Microsoft. Mais là, c'est bien du code libre sous licence MIT.
[^] # Re: Feedback
Posté par Sytoka Modon (site web personnel) . En réponse au journal Création d'une revue scientifique libre et sceptique. Évalué à 4.
En fait, avec la nouvelle loi sur le numérique, après un embargo de 6 mois, on récupère les droits en France sur son article quelle que soit la revue avec laquelle on a signé. On a même le devoir de le publier alors en open-accès. C'est un nouveau droit. Voir les liens ci-dessus.
[^] # Re: Duplication
Posté par Sytoka Modon (site web personnel) . En réponse au journal Création d'une revue scientifique libre et sceptique. Évalué à 5.
C'est plus ou moins ce que cherche à faire les personnes du CCSD derrière HAL. Il peut être bien de voir avec eux ?