Le 31/08/2020 à 12h 29

NextInpact, saynul, il vaut mieux lire l’Équipe https://www.lequipe.fr/Football/Actualites/Ligue-1-pourquoi-la-chaine-telefoot-a-connu-des-bugs-dimanche/1166317

Le 31/08/2020 à 11h 25

lordphoenix a dit:

Le mythe de l’internet décentralisé…

Ce n’est pas faux : les autres opérateurs se sont déconnectés du trou noir automatiquement (Cloudflare) ou manuellement et on a vu que l’Internet marchait sans CenturyLink (sauf évidemment pour les gens dont le seul fournisseur d’accès était CenturyLink).

Le 31/08/2020 à 11h 23

Tandhruil a dit:

A première vue ça a aussi impacté Téléfoot

Ce n’est pas confirmé, c’est juste leur déclaration. Comme des témoins ont vu que ça marchait pendant la mi-temps, ça fait plutôt penser à une surcharge du serveur. (Mais, avec le serverless et donc la dépendance vis-à-vis de trucs extérieurs, on ne sait jamais.)

Le 31/08/2020 à 09h 19

Quelques liens intéressants sur cette panne : le bon rapport technique (comme d’habitude) de Cloudfare https://blog.cloudflare.com/analysis-of-todays-centurylink-level-3-outage/ l’autre bon rapport technique de Qrator https://radar.qrator.net/blog/another-centurylink-bgp-incident l’activité débridée BGP de l’AS 3356 (Level3) pendant la panne https://stat.ripe.net/widget/bgp-update-activity#w.starttime=2020-08-16T21%3A00%3A00&w.endtime=2020-08-30T21%3A00%3A00&w.resource=AS3356

Le 10/07/2020 à 15h 00

Explication bizarre puisque, justement, dans le cas d’un .onion, il n’y a pas de nœud de sortie (on ne sort pas de Tor).
 

Le 26/06/2020 à 16h 38

Exagone313 a écrit :

Comcast ? Le FAI qui faisait du MITM sur HTTP pour ajouter de la publicité ?


Sans vouloir défendre Comcast, c’est une référence à un cas ancien, non ?https://www.bortzmeyer.org/6108.html

Le 25/06/2020 à 13h 16

Mimoza a écrit :

Si tu avait lu l’article



Je suis vexé car non seulement je l’ai lu, mais j’ai regardé la vidéo.

Le 25/06/2020 à 12h 51

Excellente nouvelle (après, il faudra regarder les détails, la vidéo n’est pas suffisante). Comme d’habitude, cela va énerver les acteurs qui voudraient bien contrôler la résolution DNS eux-mêmes.
 

Le 24/06/2020 à 08h 29

fofo9012 a écrit :

Je ne suis même pas sûr que ça augmente réellement la sécurité : Rien n’empêche un malware de contacter des IP directement sans passer pas DNS.


C’est rarement utilisé, car une telle méthode serait très vulnérable à une saisie de la machine (d’où l’intérêt des noms de domaine, qui ajoutent une indirection). Ce que font certains logiciels malveillants est plutôt de résoudre les noms par une méthode à eux (protocole privé, par exemple).

Et tous les logiciels malveillants ne sont pas perfectionnés, certains sont simples, et vulnérables à des solutions comme le résolveur menteur.

Le 23/06/2020 à 14h 31

J’ai un peu commenté ce projet enhttps://write.as/bortzmeyer/le-resolveur-dns-securise-de-la-nsa

Le 19/06/2020 à 14h 37

« On pense notamment à Koyeb, sorte d’IFTT du cloud “serverless” » C’est officiel, je suis trop vieux pour comprendre quoi que ce soit aux article de Next Inpact.

Le 18/06/2020 à 15h 35

fofo9012 a écrit :

Afficher les mails en format texte reste donc un mauvais conseil, vu que la plupart seront illisibles, ceux à peu près lisible seront noyé de 4ko de header que tu ne lis pas, autant afficher le HTML par défaut , et chercher dans les sources en cas de doutes.


J’affiche tout mon courrier en texte (en prime, ça me fait suivre les recommandations de mon RSSI, c’est bien) et je ne trouve pas la plupart des messages illisibles. Ceux qui le sont sont des messages de marketeux qu’il est bon d’ignorer de toute façon.

Le 17/06/2020 à 12h 18

Vekin a écrit :

On peut les voir dans les entêtes, non ? Pourtant, je ne trouve qu’un seul “from:” ou alors c’est Outlook qui ne m’affiche pas tout " />


C’est sûr qu’Outlook, comme outil d’analyse et de déboguage…

Le 16/06/2020 à 18h 56

Oliverpool a écrit :

Et pour tester une config en live, un petit tour par https://www.mail-tester.com/ peut être une bonne idée !


Il y a d’autres auto-répondeurs : cf.https://www.bortzmeyer.org/repondeurs-courrier-test.html (et si vous en connaissez qui ne sont pas sur la liste, je suis preneur).

Le 16/06/2020 à 18h 54

Vekin a écrit :

 Par contre, un truc que je ne saisie pas bien avec le SPF : il est censé “approuver” les serveurs du domaine de l’expéditeur (from), on est d’accord ?

 
Attention, il y a deux from (celui de l’enveloppe et celui de l’en-tête) et l’article ne parle pas de cette différence cruciale. SPF n’authentifie que celui de l’enveloppe.

Le 16/06/2020 à 18h 52

Hipparchia a écrit :

 C’est totalement déplacé, et visiblement ça ne choque pas grand monde. C’est quand même problématique, non ?


Non.

Le 16/06/2020 à 18h 30

Hipparchia a écrit :

Toujours sympas les forums de libristes, avec dès le premier commentaire une tournure de phrase à connotation raciste. " />


Alors, même en lisant trois fois les commentaires à l’article sur Linux-Fr, je ne vois pas la moindre trace de racisme. De l’aggressivité, peut-être, mais aucune allusion de près ou de loin à une race ou une origine ethnique.
 

Le 16/06/2020 à 18h 24

dvr-x a écrit :

Avant que j’ai un enregistrement PTR, ceux qui ne recevaient pas nos mails me sortait leur document de Best Practice : https://www.m3aawg.org/sites/default/files/document/M3AAWG_Senders_BCP_Ver3-2015…


Le MAAWG (cartel de gros opérateurs) ne fait pas l’unanimité.

Le 16/06/2020 à 11h 41

L’article ne parle pas de la différence entre enveloppe et en-tête. Je suppose qu’elle a été trouvée trop subtile et trop difficile à pédagogiser mais elle est cruciale. Par exemple, SPF teste l’enveloppe et DKIM l’en-tête (et c’est pour ça que DKIM a des problèmes avec les listes de diffusion, mais pas SPF).

Le 17/06/2020 à 11h 36

John Shaft a écrit :

Étrange. En plus la clé semble être en place depuis au moins 2018. Et comme ils utilisent aussi DMARC, une erreur se verrait dans les Authentification-Results. Hmmmm " />


Probablement une de ces middleboxes d’enfer qui modifie le corps du message (pour y ajouter un avertissement juridique àlakon)

Le 17/06/2020 à 11h 29

EmericV a écrit :

Envoyer un mail avec une IPv6 est nettement plus compliqué qu’avec une IPv4. Les gros acteurs sont déjà très chiants avec la réputation d’une IPv4. J’ai essayé une fois ou deux avec une IPv6 mais j’ai vite déchanté…


Ça marche pour moi. Ici, avec Gmail :

 
Received-SPF: pass (google.com: domain of [email protected] designates 2001:67c:2218:2::4:12 as permitted sender) client-

Le 17/06/2020 à 11h 26

John Shaft a écrit :

Pour moi, ils apparaissent bien valides avec le sélecteur “mailout” (domaine ovh.com)


Idem ici, ça marchehttps://dns.bortzmeyer.org/mailout._domainkey.ovh.com/TXT

Le 15/06/2020 à 15h 02

« Les grandes lignes ont été tracées dans ce document » Pour l’instant, ce ne sont que des très grandes généralités, qui peuvent s’appliquer à tous les projets, non ? Et certaines de ces lignes sont assez mystérieuses, comme « l’autodescription des nœuds ».

Le 15/06/2020 à 09h 12

Stéphane Bortzmeyer a écrit :

 
Si vous voyez le signe mâle séparé, cela veut dire que le moteur de rendu utilisé ne gère pas la combinaison des caractères. (Qui est quelque chose de relativement récent dans Unicode, et qui sert entre autres à éviter la duplication des émojis : pas besoin de deux émojis « médecin mâle » et « médecin femelle », il suffit d’un émoji médecin abstrait, et des combinaisons.)


Pour information, voilà ce que ça donne sur un Firefox (où le genre par défaut est femelle). Ah, non, zut, pas d’images dans les commentaires, il faut aller voir en ligne.
 

Le 15/06/2020 à 08h 30

Jarodd a écrit :

Mais ça risque vite de dériver sur des polémiques sur la couleur ou le genre des emojis…


Rappel utile : comme tous les caractères Unicode, les émojis sont des caractères, pas des glyphes. Leur représentation ne fait pas partie de la norme. (Cf. les discussions sur le revolver d’Apple ou sur le burger de Google.) Un émoji « pilote d’avion » n’a donc pas de genre. (Mais les représentations graphiques, choisies par le fournisseur du logiciel, peuvent en avoir un.) Idem pour la couleur.

Le 15/06/2020 à 07h 54

Obidoub a écrit :

Quand je vois ça: 

 
Si vous voyez le signe mâle séparé, cela veut dire que le moteur de rendu utilisé ne gère pas la combinaison des caractères. (Qui est quelque chose de relativement récent dans Unicode, et qui sert entre autres à éviter la duplication des émojis : pas besoin de deux émojis « médecin mâle » et « médecin femelle », il suffit d’un émoji médecin abstrait, et des combinaisons.)

Le 13/06/2020 à 13h 35

ben5757 a écrit :

Oui mais pas DKIM ni DMARC .

 
Pour DKIM, on n’en sait rien, ne connaissant pas le(s) sélecteur(s) utilisé. Il faudrait regarder un message émis via ce service, pour savoir.

Le 12/06/2020 à 12h 36

John Shaft a écrit :

Je suis preneur de .su ! " />


Si tu veux faire du buzz sur Twitter (du buzz négatif, mais c’est mieux que pas de buzz du tout), essaie staline.su ou hitler.ss.
 

Le 12/06/2020 à 12h 26

Soriatane a écrit :

Il y avait pas une demande de cacher ces informations personnelles dans le Whois à cause du RGPD ??


Ben justement oui, elles ne sont pas diffusées (essayez !)

Notons que le Monténégro ne fait pas partie de l’UE, ce qui complique l’analyse.

Le 12/06/2020 à 12h 18

Salamandar a écrit :

De mémoire, c’est le “legacy mode” ça.  Ce qui est conseillé (lorsque c’est possible), c’est l’utilisation du dossier .well-known sur le serveur.
https://mon_domaine.fr/.well-known/autoconfig/mail/config-v1.1.xml


Conseillé par qui et où ? Déjà, cela suppose qu’il existe un serveur HTTP pour le domaine.

Le 12/06/2020 à 12h 16

ben5757 a écrit :

Question un peu plus pointu. Qu’est ce qui en est de SPF, DKIM et DMARC ?


En regardant pour le domaine pris en exemple dans l’article, on voit que Gandi a mis le SPF :
https://dns.bortzmeyer.org/lejardinier.me/TXT

Le 12/06/2020 à 12h 14

Normalement, le BE (bureau d’enregistrement, que Next Inpact appelle curieusement gestionnaire de domaine) doit mettre le nom de son client dans la base du registre, sinon, ce sont des malhonnêtes.

(Notez que le serveur whois du .me est très discret.)

Le 12/06/2020 à 12h 11

J’ai apprécié que l’article utilise un exemple concret, pas uniquement des généralités. Et l’article dit bien qu’il n’y a pas que Gandi qui offre ces services.

Le 12/06/2020 à 12h 10

« Notez que l’extension « .me » est l’extension géographique du Monténégro, mais elle est ouverte à tous depuis plus de 10 ans. » Attention, il est fréquent qu’on choisisse le domaine de tête (TLD, pour Top-Level Domain) juste parce que le terme fait cool (ou bien pour faire une blague, genre biè.re). Lorsque tout va bien, ça n’a pas de conséquences. Mais, s’il survient un litige, alors on s’apercevra que les procédures de litige sont très différentes d’un domaine de tête à l’autre. S’il faut défendre ses droits devant un tribunal monténégrin, ça peut être intéressant. Certains TLD donnent par exemple des privilèges particuliers à des organisations d’ayant-droits, permettant à ceux-ci de supprimer plus facilement les domaines qu’ils n’aiment pas.

Bref, bien que se pencher sur les contrats (« J’ai lu [ah, ah] et j’accepte les conditions d’enregistrement dans le TLD .example ») et autres questions juridiques ne soit pas forcément exaltant, cela peut valoir la peine.

L’EFF avait fait une bonne étude à ce sujethttps://www.eff.org/wp/which-internet-registries-offer-best-protection-domain-ow…
 

Le 12/06/2020 à 11h 58

Pour les fanas de technique, notez que la découverte automatique des paramètres du serveur de messagerie (que Thunderbird fait très bien) se fait grâce à la méthode normalisée dans le RFC 6186, méthode qui consiste à ajouter dans le DNS des enregistrements de service. Regardez avec un client DNS (ici, le DNS looking glass) :https://dns.bortzmeyer.org/_imaps._tcp.lejardinier.me/SRV

Le 05/06/2020 à 11h 38

On peut aussi noter que, quand l’article utilise des résultats calculés par un programme informatique (la majorité des articles scientifiques, même en biologie, en maths et en sociologie), ce programme n’est quasiment jamais vérifié (parce que c’est long, et aussi parce que le « reviewer » ne connait pas l’informatique, parce que «  je relis un article de biologie, je ne fais pas d’informatique »). Cela donne parfois des problèmes intéressants :https://seenthis.net/messages/854269https://seenthis.net/messages/806572

Le 14/05/2020 à 15h 43

David_L a écrit :

Oui, ça devrait idéalement être intégré aux box. Mais quelque chose me dit que les FAI ne vont pas être pressés de sauter le pas… " />


Et quel intérêt ? Cela sécuriserait une communication qui est de toute façon uniquement sur le réseau local. Les dangers sont après.

Le 14/05/2020 à 15h 41

DayWalker a écrit :

Si le DoH n’est pas possible en utilisant un serveur chez notre FAI, est-ce parce qu’ils ont la flemme et ne l’ont pas activé ? Ou bien parce que coté OS (windows), il manque une brique pour pouvoir l’utiliser/activer simplement ?


Ou bien parce que ça n’a aucun intérêt ? Si on a confiance dans son FAI, guère de raison d’utiliser DoH.

Le 14/05/2020 à 15h 40

kgersen a écrit :
De toute y’a forcement un problème de ‘poule & œuf’ donc un client DoH soit utilise des IPs en dur (comme celui de Windows) soit utilise le DNS classique. Firefox utilise le DNS classique mais a une option pour spécifier en dur l’IP de l’uri ( network.trr.bootstrapAddress ) si on n’a pas confiance dans son résolveur DNS local.

Ou bien utiliser la base locale (/etc/hosts sur Unix).

Le 14/05/2020 à 15h 40

Zebulon84 a écrit :

Y a-t-il des résolveurs français ou européens qui supportent ou ont annoncé un futur support de DOH ?


Le mien :-)https://www.bortzmeyer.org/doh-mon-resolveur.html Il est même en .fr.

Mais il y en a d’autres chez la FFDN ou les CHATONS, comme dans la liste à la fin du README enhttps://framagit.org/bortzmeyer/homer

Le 06/05/2020 à 10h 08

Quelle est la source de cette information, d’ailleurs ? Je ne vois rien sur le site Web d’Orange Business Services, et Google ne trouve que cet article (et un du Journal du Net, derrière un paywall).

Le 05/05/2020 à 13h 11

Kazer2.0 a écrit :

Après, grâce à Framasoft, j’ai découvert le protocole DP-3T qui a l’air de permettre le contact-tracing sans enfreindre la vie privée (https://framablog.org/2020/04/12/une-appli-de-tracage-du-covid-9-qui-echappe-a-b… ).



DP3-T (ou PACT, qui en est très proche, des dizaines de protocoles ont été publiés mais seuls DP3-T et ROBERT ont bénéficié d’un service comm’) a ses inconvénients aussi.https://eprint.iacr.org/2020/399

Le 30/04/2020 à 15h 16

fry a écrit :

est-ce qu’un système type “blockchain” (pour la décentralisation) dans laquelle les labos / medecins qui dépistent un patient sont les seuls à pouvoir écrire, à l’aide du smartphone du patient, les identifiants aléatoires qu’il a eu au cours des X derniers jours ne pourrait pas faire le taf ?
avec un identifiant aléatoire par jour


Vous décrivez exactement les protocoles comme PACT ou DP3T (en rajoutant “blockchain”, qui n’a absolument aucun intérêt ici, puisqu’il n’y a qu’une seule autorité qui pourrait écrire).
Passons sur le “anonymisation totale” , évidemment impossible (on parle d’une application de SUIVI DE CONTACTS, ce qui est l’antithèse de l’anonymat).
Le problème principal de PACT/DP3T/votre proposition est que la liste des pseudonymes temporaires des personnes infectées est publique. C’est potentiellement un risque, compte tenu de la vaste expérience que nous avons des succès de la réidentification.

Le 24/04/2020 à 16h 47

Moi, j’apprécie de voir des articles longs, détaillés et réfléchis. Si je veux du rapide et court, il y en a plein partout sur l’Internet. Si je suis abonné, c’est bien pour avoir du plus approfondi.

Le 22/04/2020 à 14h 29

vizir67 a écrit :

davantage motivé par le désir d’agir, de faire quelque chose, même inutile…


« Je danse autour des mes carottes en chantant du Sardou pour qu’elles poussent plus vite »

« Mais c’est inefficace ! »

« C’est facile de critiquer, mais tu as une meilleure idée ? »
 
https://framablog.org/2020/04/22/stopconneries/

Le 20/04/2020 à 06h 52

jb a écrit :

Pas d’open source dans l’implémentation?


ROBERT est un protocole, pas un logiciel. Les auteurs de ROBERT travaillent à une mise en œuvre sous licence MPL (donc libre, sauf erreur). Mais rien ne dit que c’est ce qui sera utilisé dans l’application officielle.

Le 19/04/2020 à 16h 55

haelty a écrit :

Les id sont générées par le smartphone…


Eh non, relisez le document de description de ROBERT.

Le 02/04/2020 à 12h 00

Tiens, je viens seulement de remarquer que, dans l’article originel de Cloudflare,https://blog.cloudflare.com/introducing-1-1-1-1-for-families/, le second dessin montre… des parents homos. Est-ce que ça a été ajouté après la bavure ou bien était-ce depuis le début ?

Le 02/04/2020 à 11h 57

jmc_plus a écrit :

Je ne suis pas encore à m’excuser d’être hétéro, merci !


Personne ne l’a demandé, rassurez-vous, les homosexuels ne sont pas cannibales, non plus.

Le 02/04/2020 à 11h 54

v1nce a écrit :

Je comprends parfaitement que des parents puissent ne pas souhaiter que leurs enfants soient exposés à de la propagande.


Donc on bloque les sites religieux, par exemple ? (Qui, eux, font de la propagande explicitement dirigée vers les enfants.)