ymorin a écrit 499 commentaires

l'idée c'est bien d'utiliser ton téléphone fixe on est d'accord ? Comment fais ton fournisseur "Internet" de téléphonie pour faire sonner ton téléphone fixe ?

Tu connectes un téléphone SIP (WiFi, BT, base Dect...)
Tu utilises un logiciel de VoIP sur un PC, un netbook, un smartphone, etc... Et tous en même temps, pour le même prix.

l'idée c'est aussi de pouvoir être joignable avec son numéro de téléphone classique, on est toujours d'accord ?

Rien à battre du numéro géographique. A quoi il sert, franchement ? En plus, quand tu déménages, tu le perds. Alors que ton numéro VoIP (et le portable aussi) tu le gardes ( ou du moins tu en as la possibilité technique).

Les gens donnent de plus en plus souvent leur numéro de portable en contact "ami" ou "famille" (pas les démarcheur, eux ils ont le numéro du fixe sur lequel y'a plus de téléphone de branché).

qu'est ce que j'en ai à cirer que techniquement mon opérateur fasse passer la téléphonie dans un tunnel distinct du trafic IP internet ?

Rien à voir. Tu parles "technique", il parle "offres commerciales", et aussi de ne pas être captif d'un opérateur à cause de son bundle de services. Genre: je pars pas, sinon il va falloir que je refile mon nouveau numéro de tel à tous mes contacts...

Pour la TV, que proposes-tu ? [...] Sachant que le multicast IP ne fonctionne presque jamais en pratique dès qu'on sort d'un réseau local, tu veux faire de la diffusion Point à Point pour de la TV ?

La, c'est pas faux. Et même plutôt vrai. Mais tu as une vision de la télé orientée 'Live'. De mon point de vue, le Live sur IP, c'est nul, ça sert pas, il y a la TNT pour ça. Par contre, le très très gros avantage de la TV IP, ce serait un catalogue de VoD d'abondance, du style Netflix, avec un catalogue bien fourni, des nouveautés, des vieux trucs, des docus animaliers, des dessins animés, etc... Et là, tu est de toute façon en point-à-point.

Hop,
Moi.

pourquoi un fournisseur d'accès à l'Internet [...] préfère nous fournir du téléphone et de la télévision

Peut-être parce que c'est ça qui rapporte des sous ?

Il faut bien voir que la télé sur IP, OK c'est gratuit pour l'usager. Par contre, la VoD et les chaînes à péage, ça doit rapporter un max (sinon ça n'existerait pas...).

Hop,
Moi.

J'ai une ligne rapide (dans les 2 Mo/s en pointe)

En upload, ou en download?

2 Mo/s, c'est 2 méga octets par seconde, soit environ 16 méga bits par seconde. Donc, si c'est de l'ADSL, a priori, c'est du descendant.

Hop,
Moi.

Il me semble qu'il existe un mode TPM sans référence à une clef tier, avec une clef privé généré à la 1er installation. Elle est généré au début, avec possibilité de transfert entre TPM.

C'est probablement dans la norme UEFI, en effet. Mais il faut savoir que les fabricants de cartes mères, la norme, souvent ils s'en battent ; ce qui compte pour eux, c'est de vendre du matos, donc que Windows s'installe dessus.

Vu la concurrence sur les prix, implémenter quelque chose qui n'est pas nécessaire à faire tourner Windows est vu comme un sur-coût, et donc passe à la trappe.

Et y'a qu'à voir comment les développeurs de BIOS sont des gros gorets pour imaginer assez surement que c'est ce qui va se passer au final...

Hop,
Moi.

ça veut dire qu'après la première installation, s'il n'est pas posible de réinitialisez tpm, on aura inventé les cartes mère jetable ?

Pour les machines achetées complètes (eg. DELL, HP...), ce sera même dès l'achat. Le TPM sera déjà bloqué en usine, avec un Windows 8 pré-installé.

Pour le matériel en pièces détachées, il est fortement probable que ce soit aussi le cas pour la (très grande) majorité des cartes mères; elle seront programmée avec une des clés supportées par Windows 8.

Donc, même si tu montes ton PC toi-même, il y a fort à parier que tu ne pourras pas installer tes propres clés.

Hop,
Moi.

Par exemple le disque-dur grille. J'en met un nouveau, avec un nouvel OS. Il y a forcément une procédure qui permet de dire "je signe un nouveau truc".

C'est bien là que le bât blesse. Pour signer, il te faut une des clés privées, qui seront probablement dans un de ces coffres forts :

1. un à Redmond, chez notre marchand de fenêtres favori ;
2. un chez Intel, qui fabrique le TPM (qui est dans le proco) ;
3. chez le Taiwanais qui a fabriquer la carte.

Etant même probable que le troisième n'existe pas, ou contienne la clé d'un des deux autres.

dans les docs je ne trouve rien qui vienne contrecarer ça

Ce n'est pas (ne sera pas) un problème dû à la norme UEFI, mais plutôt à l'implémentation des BIOS UEFI par les industriels :

• Microsoft a dit que secure boot doit être actif pour booter Windows
• on veut booter Windows sinon on vendra pas
• on active secure boot
• on ne prévoit rien pour le désactiver

La norme UEFI n'oblige pas à forcer le secure boot, c'est une option de la norme. PAr contre, la norme n'impose pas non plus une procédure de customisation du trousseau de clé dans le TPM.

Pour de plus amples renseignements, et des explications qui tiennent la route, lire le blog de Matthew GARRETT :

• UEFI secure booting
• UEFI secure booting - part 2
• Supporting UEFI secure boot on Linux: the details
• Management of UEFI secure booting
• UEFI secure boot white paper
• Understanding the current state of UEFI
• Attacks on secure boot
• Clarifying the "secure boot attack"

Hop,
Moi.

Voilà en gros comment ça peut se paser :

• un éditeur logiciel génère une paire de clés privée/publique

• la clé privée, il la garde pour lui, et jamais elle ne sort (en théorie) : priv-L et pub-L (L: logiciel)

• un fabricant de carte mères :

  • génère sa propre paire de clés : priv-M et pub-M (M: matériel) avec les mêmes contraintes
  • met la clé pub-M en ROM dans un chip de sécurité
  • signe la clé pub-L avec sa clé priv-L
  • met la clé pub-L en ROM (ou en flash) dans le chip de sécurité
  • signe un tout petit bout de code avec sa clé priv-M
  • mets ce petit bout de code en ROM dans le chip de sécurité

Comme le code du chip de sécurité est en ROM il n'est pas modifiable, donc il n'est pas physiquement attaquable (ce qui ne veut pas dire qu'il n'y a pas de faille logicielle, mais c'est une autre histoire).

Une clé publique est valide si et seulement si sa chaîne de confiance permet de remonter à une clé en ROM :
- soit la clé est en ROM
- soit la chaîne de signature permet de remonter à une clé en ROM

Dans ce cas, il est possible d'ajouter des clés publique en flash, tant qu'on possède une clé privée dont la clé publique est en ROM.

Une fois que le chip de sécurité a établi la chaîne de confiance des clés publiques présentes, il peut vérifier que la signature du BIOS est validée par une de ces clés publiques.

Si la signature du BIOS est OK, alors, il est exécuté. Charge au BIOS alors de vérifier de la même manière le code qu'il voudra ensuite exécuter :

• des modules UEFI ( c'est à la mode ! )
• un bootloader
• autre chose...

Une fois que le BIOS a décidé quel code charger, que ce code est à son tour signé par une clé de confiance, alors le BIOS peut l'exécuter.

Et ainsi de suite :

• le bootloader vérfie le kernel
• le kernel vérifie /sbin/init
• /sbin/init vérifie /etc/inittab

Un autre scénario peut être :

• le bootloader vérifie le kernel et le système de fichiers

Le but dans tout ça, c'est bien de garantir que jamais du code ne puisse être exécuter sans que sa signature ne soit validée par une clé de confiance.

Tout repose sur trois choses :

1. les clés privées priv-M et priv-L ne fuient jamais
2. les clés privées priv-M et/ou priv-L ne servent jamais à signer un malware (par exemple pour un État)
3. tout code exécuté en chaîne n'exécute jamais du code non valide.

Maintenant, si tu as moyen de faire signer ta clé publique par priv-M ou toute autre clé dont la chaîne de confiance remonte à priv-M, alors tu pourras entrer ta clé publique dans le chip de sécurité, et seulement là tu pourras exécuter ton propre code.

Ou alors, si tu arrive à faire signer un GRUB par une clé priv-M ou priv-L, et que ce GRUB ne fait pas de vérification, alors tu pourras charger le noyau que tu veux.

Mais il faut bien voir qu'à aucun moment, à partir du code initial en ROM, jusqu'à l'exécution du booloader, la chaîne de confiance n'est brisée. Et c'est ce qui posera problème pour le UEFI secure boot voulu par Krosoft :

1. il n y aura probablement pas moyens de mettre notre propre bootloader non signé, donc impossible charger notre propre noyau non signé, etc...
2. il ne sera probablement pas possible de charger notre propre clé dans le chip de sécurité, donc impossible d'exécuter notre propre bootloader signé avec notre clé, etc...

Hop,
Moi.

echo -n

Qui n'est pas POSIX, donc non-portable. D'ailleurs, la norme POSIX dit bien :

Implementations shall not support any options.

Et :

New applications are encouraged to use printf instead of echo.

Pour écrire quantités de scripts shell, et devoir en déboguer un nombre énorme, je pense que echo devrait être supprimé une bonne fois pour toute. C'est une horreur à utiliser proprement, alors que printf est tellement plus facile...

Hop,
Moi.

Il ne faut pas de retour à la ligne. echo en rajoute systématiquement un. Essaye avec :

printf "jesaispas" | md5sum

Hop,
Moi.

En fait, j'avais mes notes

Deux truc me chagrinent quand je prend des notes lors de conférences :

• parfois, le temps que je comprenne l'orateur (qui s'exprime parfois dans un anglais encore plus approximatif que le mien), que je synthétise en trois ou quatre mots, que je l'écrive sur le papier, j'ai parfois loupé un truc important ;
• ou inversement, ce que l'orateur explique est tellement captivant que j'en oublie de prendre des notes.

Mais avoir ses notes, c'est vraiment génial !

Hop,
Moi (un peu jaloux, de ne pas avoir pu me déplacer au 28C3).

Une retranscription du superbe discours de Cory Doctorow est disponible.

Il y a même une vidéo de son intervention.

Hop,
Moi.

Il est mention de pièces d'identité officielle si la quittance de gaz et considérées comme officiel par l'État ils semble qu'ils l'acceptent.

Une quittance de gaz est un justificatif de domicile, pas une pièce d'identité.

En France, les pièces d'identité valides sont :

• un titre d'identité : carte nationale d'identité, passeport ou permis de conduire ;
• une autre pièce : document d'état civil indiquant la filiation, livret militaire, carte d'électeur ou carte vitale ;
• voire un témoignage.

Source, paragraphe « Justification d'identité ».

Hop,
Moi.

Tu leur installes sous GNU/Linux j'espère ?

Non, pas envie de me battre avec eux sur ce sujet. Ils savent pertinemment que je peux leur installer « autre chose que Windows » . Mais ils ne veulent pas, sous prétexte que « c'est encore un truc de geeks, on va rien comprendre, il va falloir qu'on ré-apprenne tout, alors que là on se débrouille » .

Je leur installe un Windows de base, avec LibreOffice, Firefox et Thunderbird, et je configure l'imprimante ; ensuite je leur vire les droits administrateur pour pas qu'il foutent trop la grouille, je fais un dd du disque que je sauvegarde chez moi pour restauration future.

Pas d'anti-virus, pas d'anti-spam, rien d'autre. Si le PC foire, je les engueulent copieusement, je ré-installe la copie de sauvegarde, et tant pis s'ils n'ont pas mis leurs docs sur une clé USB. S'ils râlent, alors je leur rappelle que, soit c'est comme ça, soit ils passent sous Linux, et je m'en occupe. S'ils veulent rester sous Windows, ils se démerdent.

Du coup, ça grince parfois ; mais c'est le deal...

Hop,
Moi.

Mes premiers pas sous Linux... Un grand moment de solitude !

À cette époque, comme plein de gens, j'utilisais uniquement le couple DOS-6.22 + Win-3.11. Et comme beaucoup, je pestais souvent...

Un jour, un pote est passé avec une bonne soixantaine de disquettes. Il m'a dit en substance :

Essaye ça, c'est trop top ! Ça fonctionne bien, c'est puissant, c'est gratuit, et on peut en faire ce qu'on veut !

Donc, j'ai installé ma première Slackware !

• Installation : OK
• premier reboot : OK
• recompilation du noyau : OK
• reboot : KO

Argh ! Et bien oui, pour pas faire comme mes petits camarades, j'avais une machine full-SCSI, et pas de l'IDE. Donc quand mon pote m'a dit « il faut activer le support IDE, le SCSI t'en à rien à battre », j'ai un peu tiqué, mais bon après tout, il devait s'y connaitre dans ce truc tout nouveau et tout bizarre. Après une seconde recompilation du noyau (une petite heure, IIRC), et un troisième reboot : Woohoo! Ça marche ! Et avec un serveur X ( He, mais, c'est pas du pr0n, pourquoi ça s'appelle X, alors? ;-] )

Ce qui m'a fait basculé petit à petit, c'était d'abord les performances : je pouvais graver un CD et surfer ( par RTC, à l'époque ! ) en même temps, sans risquer de cramer un CD pour rien.

Ensuite, ce qui m'a plu, c'était la puissance des outils disponibles : notamment les pipes, qui permettaient de faire des traitements cumulés sans soucis, et donc d'automatiser tout plein de processus sans avoir à pester contre une interface-texturée-256-couleurs-pour-adolescents-boutonneux-en-pleine-poussée-d'hormones.

Enfin, quand j'ai commencé à prendre mes marques en programmation, en bidouillage, j'ai commencé à apprécié la liberté offerte par ces logiciels. Que je puisse les modifier, les utiliser, proposer mes correctifs et évolutions aux autres, m'a vraiment plu.

Ensuite, ce sont enchainées diverses distributions : Red Hat, Mandrake, Mandriva, et maintenant Debian depuis 7 ans...

Au final, la bascule a pris près de dix ans, de 1994 à 2001.

Et maintenant, c'est le pied ! :-)

Hop,
Moi.

ils ont été capables d'installer Adobe Reader pour lire le PDF, ils n'auront aucun problème à installer 7-Zip pour lire tous les formats d'archives

Alors toi, tu ne connais pas mes parents et grands-parents ! ;-)

Pour Noël, mes parents ont voulus un PC portable pour quand ils vont chez mes grand-parents (justement). Bref, je me suis retrouvé avec un colis dans la boîte aux lettres, et un message sur mon répondeur : “on a mis ton adresse pour la livraison du PC. Tu nous l'installe et tu nous le ramène pour Noël, comme d'habitude”.

Hehehe !

Hop,
Moi.

tar a été conçu au départ comme un format d'archive streamable

Oui. Mais en théorie, tu peux faire du ZIP à la volée aussi : le “catalogue” de l'archive est à la fin, donc rien n'interdit de le générer au fil de l'eau. Sauf que l'implémentation de ZipArchive dans PHP utilise un fichier temporaire pour créer les archives, donc c'est la b@ise... :-/

Il reste l'option d'appeler la commande “zip” depuis PHP, en lui demandant d'envoyer l'archive sur stdout au lieu d'un fichier, mais bon, c'est crade... :-/

Et le tar, c'est pas garantie sous Winblows (sans installer de logiciel tiers, j'entends).

Hop,
Moi.

je suppose que c'est surtout dû au temps de téléversement ?

Pas dans mon cas. Je suis auto-hébergé, et je téléverse les images directement dans les répertoires idoines (en ligne de commande ou dans un explorateur de fichiers).

Par contre, le CPU étant peu puissant, la génération du ZIP prends du temps. Quant au téléchargement, je n'ai jamais eu de problème de ce côté là (c'est le serveur web qui gère l'envoi).

la fibre résoudra une partie de ces problèmes

Hey, comment dire... Déjà, je m'estime heureux d'avoir un ADSL à 10Mibps au fin fond de ma cambrousse ! Alors la fibre, c'est pas pour demain ! ;-)

Hop,
Moi.

tu veux que les utilisateurs puissent récupérer une archive avec toutes les photos ?

Je ne sais pas pour Tanguy, mais quand tu as des albums qui contiennent plus de 100 photos (eg. un mariage, une crémaillère...), c'est quand même plus pratique pour les utilisateurs de récupérer un gros ZIP (ou autre) qui contient toutes les photos de l'album (et des sous-albums, de plus), plutôt que de cliquer-droit-sauvez-sous-OK pour chaque photo...

Le problème que je rencontre dans ce cas, c'est la limitation sous PHP du temps maximal d'exécution et la taille mémoire maximale autorisés, qui sont l'une ou l'autre, ou les deux, emplafonnées dans le cas (justement le plus intéressant) des gros albums... :-/

Hop,
Moi.

j'en suis à me demander si je ne vais pas tenter d'écrire la nouvelle DPG (Dumb Photo Gallery)... snif

C'est un peu la question que je me pose en ce moment.

Il y a peu, un journal a présenté PhotoShow Gallery. Depuis, c'est ce que j'utilise.

Ça ne nécessite que PHP, et une collection de photos dans des répertoires. Je trouve ça vraiment pratique et simple à mettre en œuvre. Il y a une gestion des droits d'accès par dossier (aka albums), chaque utilisateur enregistré peut poser des tags (je n'utilise pas).

Pour l'instant, ça ne gère que des photos, mais si vous proposez des évolutions prenant en charge les vidéos, je suis persuadé que le mainteneur sera content (il y a déjà une entrée de suivi demandant le support des vidéos).

Hop,
Moi.

Merci pour cette présentation très détaillée. N'ayant pas de billet (sigh...), j'attends avec impatience le résumé très détaillé de ton épopée teutonne. ;-)

Bon voyage !

Hop,
Moi.

Contrôlez les permissions des applications
Ca n'existe pas depuis un bout de temps sur cyanogen ?

Sur mon CM-7, j'ai en effet cette sélection fine des permissions. Ça marche plutôt pas mal, j'en suis assez content : je désative systématiquement les permissions qui me semblent inutiles pour chaque application; si cette dernière ne fonctionne plus, alors je la désinstalle, point.

Par exemple, pourquoi une application IRC aurait besoin de connaitre ma position géographique ? Hop, plus de GPS ! Pourquoi un scanner de code-barre aurait besoin de lire et modifier mes contacts, lire mes bookmarks et mon historique de navigation, accéder au réseau ? Hop, désactivation. Pourquoi un widget d'horloge aurait besoin d'accéder à la carte SD, au réseau, et utiliser le téléphone ? Hop, dégage !

( Rahhh.... Ça fait du bien, tiens ! ;-] )

Hop, Moi.

Ah, et tant que j'y suis :

• le '&' dans les noms de répertoire empêche la création de micro-vignettes.
• la génération des thumbnails est assez lente sur ma machine, et j'ai une tétra-chiée de photos (plus 3400 actuellement), et donc la connection du navigateur tombe car ça prend trop de temps. Peut-être un refresh ou une barre de progression ?
• la génération automatique des thumbnails ne fonctionne pas en tant qu'administrateur. Boaf, pas grave, le premier qui visitera se prendra le temps de la génération...

(j'ai pas de compte github, et j'ai la flemme d'en créer un... Désolé de passer par ici pour te causer...)

Encore merci !

Hop,
Moi.

D'abord, je trouve que tu fais du bon boulot ! Tu es très réactif pour résoudre les problèmes et/ou suggestions qui te sont remontés. Bravo !

J'ai du instrumenter un peu le code pour trouver pourquoi mais thumbails n'étaient pas créés. Il faut soit ImageMagick, soit la libgd... Sigh... Je vais devoir re-compiler mon PHP... ;-)

Encore merci pour ce joli bout de soft ! :-)

Hop,
Moi.

Merci, c'est exactement ce dont j'avais besoin !

Un petit détail cependant : pourquoi avoir mis un bouton "+1" ? A part éditer le code source, aucun moyen de le supprimer. Dommage... :-(

Accepterais-tu un patch pour le rendre configurable ? (Oui, je sais, ça rendrai la config un peu moins triviale.)

Sinon : Merci, cette galerie me convient très bien ! :-)

Hop,
Moi.

Déjà, on a les octets 24-27 (base-0) : ef be ad de soit deadbeef en little endian. Reste plus qu'à trouver un format qui utilise deadbeef comme magic number...

Hop,
Moi.