PROJET AUTOBLOG


shaarli-Liens en vrac de sebsauvage

Site original : shaarli-Liens en vrac de sebsauvage
⇐ retour index

Firefox, the NSA and the Man in in the Middle - SitePoint

mercredi 2 octobre 2013 à 10:50
Puisque Pierre M. me questionne, voici mon avis sur cet article:
Forcer des algos de chiffrements forts (AES 256 bits au lieu de RC4) est une bonne chose...  mais en l'occurrence totalement inutile pour se protéger des attaques MITM.

Pourquoi ? Parce que la NSA peut sans problème faire pression sur l'une des nombreuses autorités de certifications présente par défaut dans les navigateurs afin de générer des certificats SSL valide et intercepter sans lever d'alerte. Gardons à l'esprit le cas de Microsoft/Tunisie. Et là ce n'était même pas la NSA. (http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51-anti-microsoftisme-du-jour-et-autres-joyeusetes).

Les autorités de certifications ne sont pas infaillibles. Les procédures de sécurité peuvent être abusées. Elles peuvent se faire pirater (c'est déjà arrivé). Elles peuvent subir des pression. Elles peuvent éventuellement décider de collaborer.

Alors votre super chiffrement en servira à rien si de toute manière votre navigateur accepte n'importe quel certificat signé, même si ce n'est pas le vrai certificat du site que vous visitez (Je rappelle que des vendeurs de firewalls filtrants se targuent, dans leur plaquettes commerciales, de pouvoir faire de la substitution de certificats SSL à la volée.)
Voir: http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus

Pour prendre une image: Vous pouvez utiliser les serrures les plus sophistiquées au monde (AES): Si le fabricant de la porte prête une copie des clés à quelqu'un d'autre (certificats SSL signés), votre super serrure sécurisée ne sert à rien.
(Permalink)

Source : http://www.sitepoint.com/firefox-nsa-man-middle/


Blog Stéphane Bortzmeyer: Le principe de robustesse, une bonne ou une mauvaise idée ?

mardi 1 octobre 2013 à 22:18
Un article sur les normes et l’interopérabilité (c'est mon job, en milieu médical, en fait). Cela me fait plaisir de lire de la part de S.B.: "le but est l'interopérabilité, que les programmes arrivent à se parler et à travailler ensemble. C'est plus important que de respecter rigoureusement la norme.". D'autant plus quand il y a des zones d'ombres dans la norme.

Une norme, c'est un peu comme la bible: Chacun en fait son interprétation. Il est donc important de raccorder au plus vite les implémentations, afin de voir ce qui marche et ce qui ne marche pas. Testez testez testez.

Sur internet, une norme n'est rien. Même si elle est documentée dans ses moindres détails, elle ne vaut rien s'il n'existe pas au moins une implémentation. Quand l'implémentation arrive, la norme commence à exister vraiment. (On l'appelle "implémentation de référence".)

Et on ne peut considérer une norme comme stable et fiable que s'il existe *plusieurs* implémentations indépendantes.
(Ce n'est pas pour rien si personne n'arrive à lire les documents Microsoft Office: Microsoft n'est pas foutu de respecter la norme qu'il a lui-même pondu sur les documents Office.)

C'est bien pour cette raison que des protocoles comme IPv6 ou SOAP ont eu des débuts difficiles: Les implémentations étaient, au début, incompatibles. Le soucis est que les intérêts commerciaux mettent différentes normes et implémentations en concurrence, pas toujours pour le meilleur de la technologie et l'intérêt des internautes.
(Permalink)

Source : http://www.bortzmeyer.org/principe-robustesse.html


Lire intégralement des flux RSS tronqués | La vache libre

mardi 1 octobre 2013 à 22:09
Juste une note: J'ai essayé plusieurs services de ce genre (pour obtenir le flux complet), et il y avait toujours un problème:
- flux pas mis à jour assez souvent (parfois 6 heures de décalage, parfois plus).
- certains items présentés comme nouveau alors qu'ils sont déjà vus.
- importantes lenteurs, voir des échecs (fréquents pour certains services).
- ou même: Flux disponible, mais plus mis à jour du tout par rapport au site (et aucune alerte).
- ou passage par des redirecteurs au lieu des liens directs (merci pour le respect de la vie privée).

Bref, c'est loin d'être la panacée. Je les ai tous dégagés.
(Permalink)

Source : http://la-vache-libre.org/lire-integralement-des-flux-rss-tronques/


L'huile de palme, le nouveau fléau - Matronix.fr

mardi 1 octobre 2013 à 22:05
L'huile de palme est encore pire que je pensais. Merci Matronix. (via http://qosgof.fr/fosteb//?4WAw-w)
(Permalink)

Source : http://www.matronix.fr/article113/l-huile-de-palme-le-nouveau-fleau


GitHub System Status

mardi 1 octobre 2013 à 21:59
Cette page affiche le status des serveur GitHub.
(Permalink)

Source : https://status.github.com/?unicorns


From the Canyon Edge: Fingerprints are Usernames, not Passwords

mardi 1 octobre 2013 à 21:55
Voilà un développeur intelligent. Rien que son titre montre qu'il a tout compris: Les empreintes digitale peuvent remplacer le nom d'utilisateur, pas le mot de passe.
Pour le dire dans le jargon, elles peuvent remplacer l'identification, pas l'authentification.
(identification = Qui est-ce ?  ;  authentification = Est-ce bien la personne qu'elle prétend être ?)
(Permalink)

Source : http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html


'I don't trust Microsoft' after NSA disclosures says former privacy chief • The Register

mardi 1 octobre 2013 à 21:51
Ouch... l'ancien responsable européen de la protection de la vie privée chez Microsoft Europe déclare qu'il ne fait plus confiance à Microsoft. Et qu'il faut désormais se tourner vers l'opensource.
Avec tous les doutes levés par les affaires NSA, la confiance dans les logiciels privateurs en prend un sacré coup (Microsoft, Cisco, Oracle...). Ces éditeurs vont devoir faire des choix drastiques et difficiles pour conserver la confiance de leurs clients.
(Permalink)

Source : http://www.theregister.co.uk/2013/10/01/i_dont_trust_microsoft_after_nsa_disclosures_says_its_former_privacy_chief/


GLORY OWL

mardi 1 octobre 2013 à 18:39
Un blog BD méchant et pas politiquement correct.  Gniark.  (via https://tiger-222.fr/shaarli/?7mg-ag)
(Permalink)

Source : http://gloryowlcomix.blogspot.fr/


Fibre 1 Gbit/s : une Ferrari dans les embouteillages, prévient l'Arcep

mardi 1 octobre 2013 à 18:34
Merci l'ARCEP.  Ça m'a fait sourire.
(Permalink)

Source : http://www.numerama.com/magazine/27134-fibre-1-gbits-une-ferrari-dans-les-embouteillages-previent-l-arcep.html


Saviez-vous qu’en Turquie, les lettres Q, X et W sont interdites ? | Rue89

mardi 1 octobre 2013 à 17:54
DAFUQ.  Pour des raisons *politiques* (gouvernement turque contre kurdes), les lettres Q, X et W sont interdites d'utilisation. Non mais FRANCHEMENT ???
EDIT: à lire: https://bajazet.fr/shaarli/?BmhrHw
(Permalink)

Source : http://www.rue89.com/2013/10/01/saviez-quen-turquie-les-lettres-q-x-w-sont-interdites-246229


Romaine Lubrique - Le site qui enlace le Domaine Public

mardi 1 octobre 2013 à 13:14
Non c'est pas cochon: C'est le site de Framasoft dédié aux œuvres du domaine public. (via http://www.framablog.org/index.php/post/2013/10/01/romaine-lubrique-domaine-public-apollinaire)
(Permalink)

Source : http://romainelubrique.org/


Curse of the crystal skulls and other vanishing area puzzles

lundi 30 septembre 2013 à 22:40
Bon je me note ça pour plus tard, parce que je n'ai toujours pas pris le temps de comprendre comment ça marche...  arrive... pas... à... comprendre: http://www.youtube.com/watch?v=_LY7mf49l5k

EDIT: Ah.... la différence de surface provient en fait d'une légère différence d'angle. C'est subtile, mais ça se voit sur Wikipedia: https://fr.wikipedia.org/wiki/Paradoxe_du_carr%C3%A9_manquant  (merci à Fabien).
RE-EDIT: Spoiler, la solution consiste également à substituer des pièces: https://www.youtube.com/watch?v=Fr7xAM4tCV4  (merci kleim !)
(Permalink)

Source : http://www.marianotomatis.it/blog/research.php?url=20110707


Facebook partage ses données avec les chaînes de télévision

lundi 30 septembre 2013 à 21:02
Haha... si Facebook fait la course avec Twitter dans l'exploitation des données perso, ça va être une belle rigolade. Pendant ce temps là, Google mange du popcorn et regarde comment ça se passe, en cultivant son petit jardin.
Pouah.
Donc, là, Facebook va envoyer aux chaînes de télé américaines, les informations liées aux "like" concernant les programmes télé.
(Permalink)

Source : http://pro.clubic.com/blog-forum-reseaux-sociaux/facebook/actualite-588844-twitter-facebook-partage-donnees-chaines-television.html


“Minecraft” Blamed For School Violence, Really

lundi 30 septembre 2013 à 20:58
Voilà voilà... donc un gamin a été condamné à rester chez lui, et il paraît que c'est la faute à Minecraft.  Si si.  Doh.
(Permalink)

Source : http://nerdapproved.com/gaming/minecraft-blamed-for-school-violence-really/


Google Web Designer

lundi 30 septembre 2013 à 20:54
Tiens... voilà que Google se fend d'un logiciel d'animation html5.  Sympa.  à tester... (mais pas trop lié aux libs Google, j'espère ; J'ai appris à me méfier de tout ce qui était gratuit venant de Google.)
(Permalink)

Source : https://www.google.com/webdesigner/


Twitter / tomiaruda : rainymood.com + http://sebsauvage.net/minecraft_musics … = on est pas bien là ? ♫

lundi 30 septembre 2013 à 16:46
:-)
( http://rainymood.com  + http://sebsauvage.net/minecraft_musics )

EDIT: Si vous voulez de super ambiances sonores (autres que la pluie), il y a l'*excellent* http://www.ambient-mixer.com/ (Vraiment excellent, je vous le recommande. Mais il nécessite Flash.)
(Permalink)

Source : https://twitter.com/tomiaruda/status/384675790450728961


Filippetti veut taxer les objets connectés pour donner du bonheur aux Français

lundi 30 septembre 2013 à 16:34
C'est connu, les taxes apportent le bonheur  ><
(Permalink)

Source : http://www.numerama.com/magazine/27115-filippetti-veut-taxer-les-objets-connectes-pour-donner-du-bonheur-aux-francais.html


John McAfee reveals details on gadget to thwart NSA - San Jose Mercury News

lundi 30 septembre 2013 à 13:28
Mouais... beaucoup d'effet d'annonce sur son futur gadget pour communiquer hors de toute surveillance possible.  J'attend franchement de voir.
(Permalink)

Source : http://www.mercurynews.com/bay-area-news/ci_24198989/john-mcafee-reveals-details-gadget-thwart-nsa


Keypress: A Javascript library for capturing input

lundi 30 septembre 2013 à 13:02
Une lib javascript de 9 ko, sans dépendances, permettant de gérer les pressions de touches du clavier.  ça peut servir.
(Permalink)

Source : http://dmauro.github.io/Keypress/


MarkJayBee's deviantART Gallery

lundi 30 septembre 2013 à 10:57
Il s'amuse bien avec les fractales 3D. Ça donne des choses intéressantes...
(Permalink)

Source : http://markjaybee.deviantart.com/gallery/