Ça simplifie une attaque. Tu as juste besoin d'un certificat bidon mais valide. Et comme il y'a +30'000 certificats bidons mais valide, j'ai toutes les raisons de penser que je pourrais en avoir un aussi.
Alors il ne me reste plus qu'à me positionner entre la victime et le serveur, avoir le bon certificat bidon et récupérer ce que je souhaites dans les communications. Pas besoin de manipuler le moindre DNS, pas besoin d'envoyer un mail avec un lien vers un site ayant presque le même nom et espérer que la victime ne s'en rende pas compte.
Alors avec une borne wifi (comme mon htc desire: petit, portable et hackable), je mets le ssid qui a le nom du bistrot proche de l'entreprise en question (ma victime) et j'ai beaucoup de chance d'obtenir quelques comptes utilisateurs discrètement. Bien entendu comme le nom d'utilisateur et le mot de passe est certainement le même pour d'autres services ... Et voilà, plus simple que ça.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Aujourd'hui j'ai 251 onglets. Comment je fais pour trouver quelque chose dedans ? Ben je sais un peu près ce qui est où et surtout j'ai les onglets à gauche. En ayant les onglet à gauche, j'ai en permanence une centaine d'onglet sous les yeux c'est très pratique.
J'ai l'extension TabKit qui permet de grouper les onglets et de les colorer.
Le tri, je le fais quand le chargement de mon navigateur prend plus de temps que me faire un café. D'abord je ferme tous les onglets ayant l'icône Google, c'est des résultats de recherches et j'ai tous les résultats intéressants ouverts dessous (grouper), tous les icônes Wikipedia, toutes les icônes "RFC" et toutes les icônes de sites de références connus (logo FreeBSD c'est des pages du handbook, logo Debian c'est des recherches sur des paquets, logo php.net, Apache, MySQL, PostgreSOL, ...), après il me reste plus grand chose (150 onglets) alors je prends un à un et je regarde.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Faire de la détection à partir du user-agent c'est une pratique d'un autre âge.
C'est aussi mon avis et c'est l'avis de Peter-Paul Koch dans son excellent livre. Il recommande de faire un site fonctionnel sans javascript et ensuite d'ajouter des fonctionnalités via javascript. J'ai pas pu voir le site (j'ai pas d'invitation), mais, à mon avis, sur un site d'horaire/achat le javascript peut être entièrement optionnel.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Un clé, une serrure, un changement de serrure, c'est facile.
C'est un mot de passe avec un algo symétrique que tu décris là. La cryptographie asymétrique, tu as une clé qui peut uniquement fermé la porte (clé publique), un clé qui peut fermé, ouvrir, générer une clé de fermeture unique et changer la serrure (clé privée).
SSL et PGP sont les deux des systèmes asymétriques. Le CA a une clé publique et un clé privée, un certificat a une clé publique et privée et en fait le CA un certificat c'est la même chose (certificat X.509), sauf que le CA a la champs CA=true, un certificat serveur CA=false. Après tu as des subtilités (ce certificat peut chiffré, mais pas authentifier, ou l'inverse).
Je vois pas comment on peut faire plus simple qu'enigmail. Mais il faut avoir une base minimum :
Tu dois créer deux clés
Une est la clé publique, il t'es donc proposer de la mettre sur un serveur de clé
L'autre est la clé privée, c'est très important de la garder secrète, celui qui l'a peut se faire passer pour toi
Les serveurs de clés sont des facilités faites pour simplifier la recherche de clé publique (est-ce que X a une clé publique ? oui, je lui envoies le message chiffré (enigmail le fait si tu lui demandes)).
La clé de révocation est un clé publique qui doit être balancée à tout le monde quand tu perds (ou tu penses avoir été volé) ta clé privée, ça la rend invalide
Ta clé privée est généralement chiffrée avec un algo symétrique afin de te donner le temps de révoquer ta clé en cas de vol (le temps que le voleur trouve ton mot de passe, si c'est "abcd", t'es mort en moins d'une heure, si c'est "&AEUHATHKgecug9r84(&UOECAHOECUGJK7889a??+#$(@#$TKOE((@#)($LOEAUta", normalement pas avant quelques siècles).
C'est pas évident, mais entre comprendre ça et les EULA ... Je trouve ça plus simple.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
De ce que je sais, CACert.org a stoppé son inclusion dans Firefox en 2007 parce que certaines faiblesses ont été rencontrées surtout au niveau de la gestion. Ces faiblesses ont été découvertes durant l'audit fait par Mozilla pour l'inclusion.
En 2009, le responsable de l'audit, Ian Grigg, arrête son travail, laissant un rapport final derrière lui.
Il y'a maintenant un liste de choses à faire et il faut suivre le conseil de Ian en 2007 :
In the meantime, there is no point in pressuring Mozilla on the issue. Better
if you wish to help, join CAcert as a user and contribute on their large task
list.
Donc au lieu de discuter sur pourquoi Mozilla devrait ou ne devrait pas inclure CACert.org, il faut aller donner un coups de main à CACert.org pour qu'ils arrivent au bout du travail nécessaire. Mais de tout ce que j'ai pu lire sur l'audit de CACert.org, jamais je n'ai vu la méthode de vérification d'identité être remise en cause.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Oui, je n'ai pas parlé de CAcert.org, mais pour avoir fait les démarches auprès de d'un vrai CA et auprès de CAcert.org, c'est sans appel : mon vrai certificat a été fait à l'aide de photocopies (assez facile à falsifier) envoyée par mail et CAcert.org, j'ai rencontré deux personnes en présentant deux papiers officiels attestant mon identité.
Mon vrai certificat a une validité de 3 ans avec tous les champs X.509 remplis et CAcert.org, seulement 6 mois avec juste le CN; je dois encore prouvé mon identité.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
C'est utilisé. La clé d'archive de Debian nécessite 9 personnes pour signer et 7 personnes pour être révoquée. Et personne ne fait parti des deux groupes : http://ftp-master.debian.org/keys.html
Malheureusement pour les entreprises de certification SSL, ça serait trop contraignant d'avoir une vraie politique de sécurité.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
C'est pertinent. C'est une réflexion qui vient souvent. Mais généralement les gens qui font cette réflexion oublie que l'on doit parfois se cacher des criminels aussi. Si un criminel obtient des informations pertinentes sur moi, grâce à un formulaire d'inscription sur un site ou un courrier gmail à un ami, il peut se faire passer pour moi par téléphone auprès de : ma société de carte de crédit, ma banque, mon opérateur téléphonique, ...
J'ai essayé, début de cette semaine, d'obtenir des informations auprès de ma société de carte de crédit en ne mentionnant pas les montants de mes factures et mon numéro de carte de crédit. Figure-toi que ça a marché avec des informations simples et facilement accessible (adresse, date de naissance, ...). Ça peut-être le point de départ d'une attaque permettant de me subtiliser de l'argent, me faire chanter, m'arnaquer, ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non, le problème ne vient pas de qui gère le CA ou le DNS. Le problème vient du fait que Verisign, par exemple, devrait ne plus avoir le droit d'être CA vu le nombre d'erreurs graves que la société a commise avec le protocole SSL et SSL EV. Le problème vient du fait que SSL prévoit une autorité de confiance, mais finalement on devient autorité de confiance qu'en allongeant des dollars et aucune sanction n'est prise en cas d'erreur parce que personne ne "veille" au bon fonctionnement de ce sytème. Le problème c'est que faire les vérifications nécessaires pour fournir un certificat SSL est tellement coûteux que le processus est bidon et juste pour la forme :
- Il faut des photocopies de document officiels.
- Envoyer ça par mail (non-signé avec PGP ou autre) ou courrier
- Envoyer la requête par mail (non-signé toujours)
- En réponse on reçoit le certificat publique signé
- Payer beaucoup d'argent
Si je compare CACert.org (que j'ai essayé pour mon serveur perso), j'ai rencontré déjà 2 personnes et montré 2 documents officiels à chaque fois et je ne peux toujours pas faire des certificats de plus de 6 mois; il y'a là un réseau de confiance, comme PGP. Malheureusement dépêcher un personne sur place pour avoir une vérification d'humain à humain est pas vraiment dans l'intérêt productif des CAs.
Le problème est clairement un système de confiance erroné. On ne peut pas baser la confiance de la majorité de nos communications Web sur un système où uniquement le dividende des actionnaires est décisif.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Comme faire un certificat pour localhost (ou autre nom débile) ou une IP dans les blocs réservés (RFC1918) ou alors un non respect du protocol EV (Extended Validation) ?
Si j'en crois ce document, http://www.eff.org/files/ccc2010.pdf, il ne devrait pratiquement plus avoir d'autorité de confiance dans les navigateurs.
Le SSL est mort : les gouvernements ont tous, directement ou indirectement, des autorités de confiance et les autorités n'ont aucune conscience professionnelle.
Moi j'enlève toujours l'autorité de confiance Swisscom de mes navigateurs : mon FAI ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Comme je lis le site généralement dans le train avec mon smartphone, je clique sur les liens de manière plus ou moins accidentellement ... Mes avis sont donc que la mauvaise interprétation de la position de mon doigt par le système Android!
Comme quoi même mon avis est contrôlé par Google; ils sont vraiment fort.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[ ... ] mais j'ai vu il y a peu un rapport Suisse à destination des investisseurs [ ... ] qui plaçait la France dans les meilleurs pays pour investir.
Parce que la Suisse a fortement intérêt à avoir un euro fort à côté. Quand l'euro est fort, le franc suisse est faible et c'est plus intéressant dans ce sens pour l'économie suisse.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Je trouve que ça devient lassant ces journaux sur l'avortement, et, pour avorter le troll (et atteindre le point Godwin d'entrée), je dirais que ça devient lassant que ces journaux parlent toujours de l'avortement comme le pire crime que l'humanité ait commis, qu'Hitler est un enfant de choeur comparé à ces femmes qui avortent, ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Ce n'est pas parce que c'est légal que c'est un droit.
Ben ça dépend si on considère que la loi est une "whitelist" ou une "blacklist" ... Mais je crois que considérer la loi comme une "whitelist" c'est se tirer une balle dans le pied; il n'est pas écrit que j'ai le droit de faire pipi dans les toilettes, donc je n'ai pas ne droit.
Tu prends exemple de l'alcool. J'ai la liberté de me murger chez moi sans être inquiéter. Par contre j'ai pas le droit de me balader dans la rue complètement explosé pour éviter les accidents; un type défoncé est, généralement, erratique. Maintenant sous cette loi, il y'a l'application elle-même. Dieu sait le nombre de fais où j'ai circuler dans un état lamentable (si, si) et même rencontrer des policiers dans cet état. Jamais je me suis fait arrêter pour ça, simplement parce que j'arrive à me comporter normalement dans des états très avancé et que je ne semble pas représenter un risque.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[...] mais les femmes qui se discriminent elles-même.
Oui c'est mon impression. Où je bosse c'est une grande majorité de femmes (genre ~70-30%). Quand un des monsieur obtient un avantage salarial auprès du boss, ben on le félicite et voilà, on avait qu'a le faire nous. Quand une des madame obtient un avantage, les autres montent au créneau et généralement, dans les six mois, l'avantage est résilié. C'est arrivé plus d'une fois et ça m'étonne à chaque fois.
Maintenant elles en sont à réclamer un système de gestion des heures automatisé parce qu'elles se soupçonnent entre elles de tricher sur les horaires et les vacances.
Enfin bon on a peut-être que des cas, mais en tout cas le boss semble saturer : le taux d'homme est en augmentation drastique depuis une année (on était à ~90-10% en 2009).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
On a donné l’exemple de Debian plus haut, qui peut travailler avec des noyaux qui ont bien plus de différence [ ... ]
Heu, moi je disais juste une connerie en passant, mais je suis presque d'accord avec pBpG.
Le noyau Android est un dérivé de Linux, mais ce n'est pas Linux vu que le noyau Linux est ce qui est disponible sur http://www.kernel.org !
Je dirais que la relation Linux-Android est plus ou moins équivalente à la relation Debian-Ubuntu. Ce dernier hérite de l'autre, mais il y'a des différences plus ou moins grandes.
Et la diversité c'est bon.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Parce que bon, je peux aussi le modifier au point de lui faire ressembler goutte pour goutte au kernel NT, comme ca tu pourras hurler de joie a l'idee que Windows tourne sur un kernel Linux
Sérieux, tu as vraiment le temps de le faire ? Parce que je veux bien voir ça : après Debian GNU/Linux, Debian GNU/kFreeBSD et Debian GNU/Hurd, voilà Debian GNU/kNT !
Après on pourrait avoir Debian BSD/Hurd ou Debian MS/Hurd (... aptitude install activedirectory ... Exchange au lieu de Exim ... script d'initialisation en bat ...).
J'imagine le jour où Microsoft libère tous ses projets sous GPL, les mix qu'on peut faire c'est juste magique. Et si Apple fait pareil : Debian OSX/kNT
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Moi je prédis la fin d'Intel sur la gamme des processeurs grand-public. Actuellement c'est pas Intel qui détient les processeurs dans le monde des tablettes et autres smartphones, mais ARM. De plus en plus les gens vont lâcher les "gros ordinateurs" pour s'orienter vers des séries de terminaux léger autour d'un NAS à tout faire (Excito B3 par exemple (j'ai reçu le mien \o/)) : smartphones et netbook en déplacement, tablettes et portable à la maison (donc 1 sur 4 reste du x86/x86_64, mais pas certain).
Avec IPv6 (bon ça c'est du très, très long-terme ... un siècle ou deux encore), les gens pourront se connecter en tout temps chez eux pour accéder à leurs données et n'auront pas besoin d'avoir des machines sur-puissantes pour travailler.
Et si c'est pas chez eux, c'est chez Google, Microsoft ou Apple que les données seront stockées.
Et en entreprise ça deviendra toujours plus orgiaque, en installera même plus de poste de travail, uniquement des serveurs, car les gens voudront travailler avec leurs outils, on verra donc une augmentation de l'utilisation de SSH pour le partage de fichier chez les clients, SMB va mourir à petit feu, NFS ne sera là uniquement pour le partage entre les serveurs (et encore), les applications seront via le Web et rien d'autres ...
Bref je vois venir un monde de terminaux connectés à des serveurs, eux-même inter-connectés en P2P dans un nuage informatique inter-opérable avec du SSO universalisé grâce à Facebook Connect, vu que les gouvernements ne donneront plus de papiers d'identité mais des compte Facebook.
Et moi j'aurais fait mon retour à la terre, je vivrais en autarcie, cultivant mon jardin, m'éclairant à la bougie, me chauffant au bois dans un bagnard en pierre verte de St-Martin et buvant l'eau du puit ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Ben c'est vrai que mon compte "MasterTchetch Desuza" ça sonne vrai ... Surtout qu'à force de changer la particule ("MarquisTchetch", ...) ça aurait dû leurs mettre la puce à l'oreille. Surtout avec des amis comme "Princesse ...".
Et mon compte "Planète Terre" fonctionne bien.
Par contre j'ai pas réussi à créer un compte avec un nom de famille d'un président US et le compte "Marquis Tchetch de Sade" n'a pas passé non plus.
D'un autre côté il y'a un patronyme fort répandu dans ma région : Gay. J'en connaît un qui a envoyé ses papiers pour pouvoir entrer sur facebook.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Je pensais m'y mettre aussi vu que je lis le site le matin dans le train depuis mon smartphone. Surtout que certains liens son tellement proche qu'en voulant lire un commentaire replié je "moinsse" le commentaire du dessus (ce matin j'ai pertinenté un commentaire de cette manière).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: comprends pas
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL, et l'escroquerie continue . Évalué à 10.
Ça simplifie une attaque. Tu as juste besoin d'un certificat bidon mais valide. Et comme il y'a +30'000 certificats bidons mais valide, j'ai toutes les raisons de penser que je pourrais en avoir un aussi. Alors il ne me reste plus qu'à me positionner entre la victime et le serveur, avoir le bon certificat bidon et récupérer ce que je souhaites dans les communications. Pas besoin de manipuler le moindre DNS, pas besoin d'envoyer un mail avec un lien vers un site ayant presque le même nom et espérer que la victime ne s'en rende pas compte.
Alors avec une borne wifi (comme mon htc desire: petit, portable et hackable), je mets le ssid qui a le nom du bistrot proche de l'entreprise en question (ma victime) et j'ai beaucoup de chance d'obtenir quelques comptes utilisateurs discrètement. Bien entendu comme le nom d'utilisateur et le mot de passe est certainement le même pour d'autres services ... Et voilà, plus simple que ça.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: RoR vs. Templeet
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Ça continue d'avancer LinuxFr.org en Rails. Évalué à 4.
C'est pas FHS-Compliant le
/www, ça aurait dû être/srv/www: http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: FF4 et lenteur au démarrage
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal un mois avec Chrome. Évalué à 4.
Aujourd'hui j'ai 251 onglets. Comment je fais pour trouver quelque chose dedans ? Ben je sais un peu près ce qui est où et surtout j'ai les onglets à gauche. En ayant les onglet à gauche, j'ai en permanence une centaine d'onglet sous les yeux c'est très pratique.
J'ai l'extension TabKit qui permet de grouper les onglets et de les colorer.
Le tri, je le fais quand le chargement de mon navigateur prend plus de temps que me faire un café. D'abord je ferme tous les onglets ayant l'icône Google, c'est des résultats de recherches et j'ai tous les résultats intéressants ouverts dessous (grouper), tous les icônes Wikipedia, toutes les icônes "RFC" et toutes les icônes de sites de références connus (logo FreeBSD c'est des pages du handbook, logo Debian c'est des recherches sur des paquets, logo php.net, Apache, MySQL, PostgreSOL, ...), après il me reste plus grand chose (150 onglets) alors je prends un à un et je regarde.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: En bref
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Un concurrent pour Voyages-SNCF. Évalué à 5.
C'est aussi mon avis et c'est l'avis de Peter-Paul Koch dans son excellent livre. Il recommande de faire un site fonctionnel sans javascript et ensuite d'ajouter des fonctionnalités via javascript. J'ai pas pu voir le site (j'ai pas d'invitation), mais, à mon avis, sur un site d'horaire/achat le javascript peut être entièrement optionnel.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Bis repetita
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 6. Dernière modification le 26 mars 2011 à 19:01.
C'est un mot de passe avec un algo symétrique que tu décris là. La cryptographie asymétrique, tu as une clé qui peut uniquement fermé la porte (clé publique), un clé qui peut fermé, ouvrir, générer une clé de fermeture unique et changer la serrure (clé privée).
SSL et PGP sont les deux des systèmes asymétriques. Le CA a une clé publique et un clé privée, un certificat a une clé publique et privée et en fait le CA un certificat c'est la même chose (certificat X.509), sauf que le CA a la champs CA=true, un certificat serveur CA=false. Après tu as des subtilités (ce certificat peut chiffré, mais pas authentifier, ou l'inverse).
Je vois pas comment on peut faire plus simple qu'enigmail. Mais il faut avoir une base minimum :
Ta clé privée est généralement chiffrée avec un algo symétrique afin de te donner le temps de révoquer ta clé en cas de vol (le temps que le voleur trouve ton mot de passe, si c'est "abcd", t'es mort en moins d'une heure, si c'est "&AEUHATHKgecug9r84(&UOECAHOECUGJK7889a??+#$(@#$TKOE((@#)($LOEAUta", normalement pas avant quelques siècles).
C'est pas évident, mais entre comprendre ça et les EULA ... Je trouve ça plus simple.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: In other news
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 6.
De ce que je sais, CACert.org a stoppé son inclusion dans Firefox en 2007 parce que certaines faiblesses ont été rencontrées surtout au niveau de la gestion. Ces faiblesses ont été découvertes durant l'audit fait par Mozilla pour l'inclusion.
En 2009, le responsable de l'audit, Ian Grigg, arrête son travail, laissant un rapport final derrière lui.
Il y'a maintenant un liste de choses à faire et il faut suivre le conseil de Ian en 2007 :
Donc au lieu de discuter sur pourquoi Mozilla devrait ou ne devrait pas inclure CACert.org, il faut aller donner un coups de main à CACert.org pour qu'ils arrivent au bout du travail nécessaire. Mais de tout ce que j'ai pu lire sur l'audit de CACert.org, jamais je n'ai vu la méthode de vérification d'identité être remise en cause.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: In other news
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 10.
Oui, je n'ai pas parlé de CAcert.org, mais pour avoir fait les démarches auprès de d'un vrai CA et auprès de CAcert.org, c'est sans appel : mon vrai certificat a été fait à l'aide de photocopies (assez facile à falsifier) envoyée par mail et CAcert.org, j'ai rencontré deux personnes en présentant deux papiers officiels attestant mon identité.
Mon vrai certificat a une validité de 3 ans avec tous les champs X.509 remplis et CAcert.org, seulement 6 mois avec juste le CN; je dois encore prouvé mon identité.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Une analyse
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 3.
Il y'a aussi une analyse de l'EFF sur cette affaire https://www.eff.org/deeplinks/2011/03/iranian-hackers-obtain-fraudulent-https
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Plusieurs autorités ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 8.
C'est utilisé. La clé d'archive de Debian nécessite 9 personnes pour signer et 7 personnes pour être révoquée. Et personne ne fait parti des deux groupes : http://ftp-master.debian.org/keys.html
Malheureusement pour les entreprises de certification SSL, ça serait trop contraignant d'avoir une vraie politique de sécurité.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Bis repetita
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal SSL .... Évalué à 10.
C'est pertinent. C'est une réflexion qui vient souvent. Mais généralement les gens qui font cette réflexion oublie que l'on doit parfois se cacher des criminels aussi. Si un criminel obtient des informations pertinentes sur moi, grâce à un formulaire d'inscription sur un site ou un courrier gmail à un ami, il peut se faire passer pour moi par téléphone auprès de : ma société de carte de crédit, ma banque, mon opérateur téléphonique, ...
J'ai essayé, début de cette semaine, d'obtenir des informations auprès de ma société de carte de crédit en ne mentionnant pas les montants de mes factures et mon numéro de carte de crédit. Figure-toi que ça a marché avec des informations simples et facilement accessible (adresse, date de naissance, ...). Ça peut-être le point de départ d'une attaque permettant de me subtiliser de l'argent, me faire chanter, m'arnaquer, ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Encore 6 version de retard.
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Firefox 4 est sorti. Évalué à 2.
Tu peux aussi faire plus "marketing" : Firefox est deux fois mieux que IE 9, Chrome 6, Opera 11 et Firefox 3, (9+6+11+3)*2=58 => Firefox 58.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pas besoin de MS
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à 10.
Non, le problème ne vient pas de qui gère le CA ou le DNS. Le problème vient du fait que Verisign, par exemple, devrait ne plus avoir le droit d'être CA vu le nombre d'erreurs graves que la société a commise avec le protocole SSL et SSL EV. Le problème vient du fait que SSL prévoit une autorité de confiance, mais finalement on devient autorité de confiance qu'en allongeant des dollars et aucune sanction n'est prise en cas d'erreur parce que personne ne "veille" au bon fonctionnement de ce sytème. Le problème c'est que faire les vérifications nécessaires pour fournir un certificat SSL est tellement coûteux que le processus est bidon et juste pour la forme : - Il faut des photocopies de document officiels. - Envoyer ça par mail (non-signé avec PGP ou autre) ou courrier - Envoyer la requête par mail (non-signé toujours) - En réponse on reçoit le certificat publique signé - Payer beaucoup d'argent Si je compare CACert.org (que j'ai essayé pour mon serveur perso), j'ai rencontré déjà 2 personnes et montré 2 documents officiels à chaque fois et je ne peux toujours pas faire des certificats de plus de 6 mois; il y'a là un réseau de confiance, comme PGP. Malheureusement dépêcher un personne sur place pour avoir une vérification d'humain à humain est pas vraiment dans l'intérêt productif des CAs.
Le problème est clairement un système de confiance erroné. On ne peut pas baser la confiance de la majorité de nos communications Web sur un système où uniquement le dividende des actionnaires est décisif.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pas besoin de MS
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Où l'on parle de Microsoft et des méthodes démocratiques de Ben Ali.... Évalué à 6.
Comme faire un certificat pour localhost (ou autre nom débile) ou une IP dans les blocs réservés (RFC1918) ou alors un non respect du protocol EV (Extended Validation) ?
Si j'en crois ce document, http://www.eff.org/files/ccc2010.pdf, il ne devrait pratiquement plus avoir d'autorité de confiance dans les navigateurs.
Le SSL est mort : les gouvernements ont tous, directement ou indirectement, des autorités de confiance et les autorités n'ont aucune conscience professionnelle.
Moi j'enlève toujours l'autorité de confiance Swisscom de mes navigateurs : mon FAI ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Random
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Métaphysique de l'approbation des publications. Évalué à 10.
Comme je lis le site généralement dans le train avec mon smartphone, je clique sur les liens de manière plus ou moins accidentellement ... Mes avis sont donc que la mauvaise interprétation de la position de mon doigt par le système Android!
Comme quoi même mon avis est contrôlé par Google; ils sont vraiment fort.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Ben merde alors, le MEDEF qui fait dans le social !
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Journée de la femme, droit des pères. Évalué à 2.
Parce que la Suisse a fortement intérêt à avoir un euro fort à côté. Quand l'euro est fort, le franc suisse est faible et c'est plus intéressant dans ce sens pour l'économie suisse.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Encore ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal [Journée internationale de la femme] droit, peine et liberté. Évalué à 4.
Je trouve que ça devient lassant ces journaux sur l'avortement, et, pour avorter le troll (et atteindre le point Godwin d'entrée), je dirais que ça devient lassant que ces journaux parlent toujours de l'avortement comme le pire crime que l'humanité ait commis, qu'Hitler est un enfant de choeur comparé à ces femmes qui avortent, ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: ce qui est légal n'est pas un droit
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal 8 mars 2011 : International Women Day. Évalué à 0.
Ben ça dépend si on considère que la loi est une "whitelist" ou une "blacklist" ... Mais je crois que considérer la loi comme une "whitelist" c'est se tirer une balle dans le pied; il n'est pas écrit que j'ai le droit de faire pipi dans les toilettes, donc je n'ai pas ne droit.
Tu prends exemple de l'alcool. J'ai la liberté de me murger chez moi sans être inquiéter. Par contre j'ai pas le droit de me balader dans la rue complètement explosé pour éviter les accidents; un type défoncé est, généralement, erratique. Maintenant sous cette loi, il y'a l'application elle-même. Dieu sait le nombre de fais où j'ai circuler dans un état lamentable (si, si) et même rencontrer des policiers dans cet état. Jamais je me suis fait arrêter pour ça, simplement parce que j'arrive à me comporter normalement dans des états très avancé et que je ne semble pas représenter un risque.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Sujet du commentaire
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal 8 mars 2011 : International Women Day. Évalué à 2.
Ou alors faire des pompes tous les matins ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re:Re:Ladifférencede salaireàposteégal
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal 8 mars 2011 : International Women Day. Évalué à 5.
Oui c'est mon impression. Où je bosse c'est une grande majorité de femmes (genre ~70-30%). Quand un des monsieur obtient un avantage salarial auprès du boss, ben on le félicite et voilà, on avait qu'a le faire nous. Quand une des madame obtient un avantage, les autres montent au créneau et généralement, dans les six mois, l'avantage est résilié. C'est arrivé plus d'une fois et ça m'étonne à chaque fois.
Maintenant elles en sont à réclamer un système de gestion des heures automatisé parce qu'elles se soupçonnent entre elles de tricher sur les horaires et les vacances.
Enfin bon on a peut-être que des cas, mais en tout cas le boss semble saturer : le taux d'homme est en augmentation drastique depuis une année (on était à ~90-10% en 2009).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: précision
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Parlons un peu du futur. Évalué à 2.
Heu, moi je disais juste une connerie en passant, mais je suis presque d'accord avec pBpG. Le noyau Android est un dérivé de Linux, mais ce n'est pas Linux vu que le noyau Linux est ce qui est disponible sur http://www.kernel.org ! Je dirais que la relation Linux-Android est plus ou moins équivalente à la relation Debian-Ubuntu. Ce dernier hérite de l'autre, mais il y'a des différences plus ou moins grandes.
Et la diversité c'est bon.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: précision
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Parlons un peu du futur. Évalué à 2.
Sérieux, tu as vraiment le temps de le faire ? Parce que je veux bien voir ça : après Debian GNU/Linux, Debian GNU/kFreeBSD et Debian GNU/Hurd, voilà Debian GNU/kNT ! Après on pourrait avoir Debian BSD/Hurd ou Debian MS/Hurd (... aptitude install activedirectory ... Exchange au lieu de Exim ... script d'initialisation en bat ...).
J'imagine le jour où Microsoft libère tous ses projets sous GPL, les mix qu'on peut faire c'est juste magique. Et si Apple fait pareil : Debian OSX/kNT
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# La fin d'Intel ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Parlons un peu du futur. Évalué à 9.
Moi je prédis la fin d'Intel sur la gamme des processeurs grand-public. Actuellement c'est pas Intel qui détient les processeurs dans le monde des tablettes et autres smartphones, mais ARM. De plus en plus les gens vont lâcher les "gros ordinateurs" pour s'orienter vers des séries de terminaux léger autour d'un NAS à tout faire (Excito B3 par exemple (j'ai reçu le mien \o/)) : smartphones et netbook en déplacement, tablettes et portable à la maison (donc 1 sur 4 reste du x86/x86_64, mais pas certain).
Avec IPv6 (bon ça c'est du très, très long-terme ... un siècle ou deux encore), les gens pourront se connecter en tout temps chez eux pour accéder à leurs données et n'auront pas besoin d'avoir des machines sur-puissantes pour travailler.
Et si c'est pas chez eux, c'est chez Google, Microsoft ou Apple que les données seront stockées.
Et en entreprise ça deviendra toujours plus orgiaque, en installera même plus de poste de travail, uniquement des serveurs, car les gens voudront travailler avec leurs outils, on verra donc une augmentation de l'utilisation de SSH pour le partage de fichier chez les clients, SMB va mourir à petit feu, NFS ne sera là uniquement pour le partage entre les serveurs (et encore), les applications seront via le Web et rien d'autres ...
Bref je vois venir un monde de terminaux connectés à des serveurs, eux-même inter-connectés en P2P dans un nuage informatique inter-opérable avec du SSO universalisé grâce à Facebook Connect, vu que les gouvernements ne donneront plus de papiers d'identité mais des compte Facebook.
Et moi j'aurais fait mon retour à la terre, je vivrais en autarcie, cultivant mon jardin, m'éclairant à la bougie, me chauffant au bois dans un bagnard en pierre verte de St-Martin et buvant l'eau du puit ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Je suis un personnage fictif aux multiples identités et j'emmerde facebook
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Envie de laisser traîner tes traces partout sur le web ?. Évalué à 4.
Ben c'est vrai que mon compte "MasterTchetch Desuza" ça sonne vrai ... Surtout qu'à force de changer la particule ("MarquisTchetch", ...) ça aurait dû leurs mettre la puce à l'oreille. Surtout avec des amis comme "Princesse ...".
Et mon compte "Planète Terre" fonctionne bien.
Par contre j'ai pas réussi à créer un compte avec un nom de famille d'un président US et le compte "Marquis Tchetch de Sade" n'a pas passé non plus.
D'un autre côté il y'a un patronyme fort répandu dans ma région : Gay. J'en connaît un qui a envoyé ses papiers pour pouvoir entrer sur facebook.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: moi j'aime bien la machine "standard" de developpement
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Comment ça marche chez microsoft. Évalué à 2.
Et c'est bien l'objectif http://xkcd.com/323/
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Génial
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Une nouvelle feuille de style orientée lecture. Évalué à 2.
Je pensais m'y mettre aussi vu que je lis le site le matin dans le train depuis mon smartphone. Surtout que certains liens son tellement proche qu'en voulant lire un commentaire replié je "moinsse" le commentaire du dessus (ce matin j'ai pertinenté un commentaire de cette manière).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell