Un gros billet sur le chiffrement des communications à l'aide de TLS.

Bizarrement, pour me parler du Bitcoin je fais vachement plus confiance en un économiste marxiste libertaire (selon ses propres revendications) qui a bossé pour la Grèce (et pour Valve, ça me fera toujours marrer ça) qu'à un libertarien dont la bio twitter est "Entrepreneur dans les nouvelles technologies." (Rapport à l'auteur de cet article dépolitisant : https://medium.com/@straumat/que-r%C3%A9pondre-quand-on-vous-dit-que-bitcoin-n-est-pas-une-vraie-monnaie-140d2d58d9f9 )

Un publicité pour GNU/Linux faite par un fan en réaction aux dernières pub de Win10. Je trouve ça plutôt bien fait. :-)

« Saviez-vous qu'en utilisant Windows 10, un identifiant publicitaire unique vous est attribué, exploitable par les développeurs et les annonceurs ? Ou que par défaut, Microsoft envoie tous vos mots de passe vers ses serveurs lorsque vous associez l'ordinateur à un compte Microsoft ? »

C'est sympa comme tuto pour utiliser ChatSecure avec Orbot et Pidgin avec OTR pour chiffrer ses discussions jabber.

Mais pour le suivre il faut connaitre jabber et son fonctionnement (qui est loin d'être adapté aux communications sur téléphone), ainsi que tor.

Et il y a 7425 mot soit à peu près 25 min de lecture.

Donc personne n'ira jusqu'au bout et être tout seul à chiffrer ses communications ne sert à rien.

Bref, la discussion instantanée chiffrée à la portée de tout un chacun c'est pas pour tout de suite…

Un script shell qui configure des variables d'environnement pour pouvoir utiliser plusieurs versions de NodeJS dans un seul profil utilisateur.

Ou pour pouvoir installer et utiliser NodeJS et ses modules sans avoir besoin de root ni des droits d'écriture dans /usr/local

Ah ben c'est pour ça j'étais sur VPN toute la journée d'hier. Le trafic via Free était en grande partie KO alors que chez IPVarnish ça passait bien.

On a eu un appel d'un client aujourd'hui au bureau parce qu'il arrive pas à utiliser son appli web quand il est en 3G ou 4G. En regardant dans les logs serveurs je vois que ses requêtes n'arrivent pas. Donc je prend le contrôle de son poste en Teamviewer et je vais voir la console de son Firefox. Bingo, erreur javascript.

Mais pourquoi seulement en 3G ou 4G ? Je regarde les requetes effectuées au chargement et un truc me frappe : Il y a ni CSS, ni JS qui sont chargés. Donc je vais voir le code source.

Toutes les balises link (pour le CSS) ont été virées. Toutes les balises script avec une source (pour les JS), idem. Au lieu de ça, après le body on retrouve tous nos scripts, injectés les uns à la suite des autres.

Ça rappelle peut-être quelques choses aux gens qui suivent reflets.info puisque c'est exactement la même que dans cet article : https://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/ (Sauf que là c'est chez Bouygues et pas SFR)

La solution à long terme ? Écrire du Js plus propre, parce qu'il faut bien avouer que si on avait écrit des trucs moins dégueulasses ça aurait résisté à ce traitement.
La solution immédiate ? Passer en HTTPS, pour que l'opérateur ne puisse même plus regarder le contenu des pages qui transitent.

Alors quand je vois mozilla se faire incendier pour vouloir forcer le HTTPS partout, ça me rend triste. Parce qu'ils nous protègent.

Une nouvelle faille TLS. Les groupes Diffie-Hellman de 1024 bits peuvent avoir été précalculés et ça permet à une personne malveillante de diminuer la force du chiffrement pendant un man-in-the-middle.

Si vous administrez un/des serveurs web, il faut regénérer un nouveau grouppe DH d'au moins 2048bits et configurer vos serveurs pour qu'ils utilisent le nouveau groupe.

Si vous administrez pas de serveurs web et que le message au dessus vous semble incompréhensible, ne cliquez pas, ça va vous donner mal à la tête.

Je fais un petit bilan de solutions pour chiffrer facilement ses communications « instantanées » à l'heure actuelle.

En résumé :

• TextSecure pour les messages textes sur Android
• SMSSecure pour les messages textes sur Android si vous préférez que ce soit votre opérateur plutôt qu'OpenWhisper qui connaisse vos interlocuteur⋅ices ou si vous n'avez pas d'internet dans votre forfait mobile.
• RedPhone pour les appels sur Android
• Signal pour les messages textes et les appels sur iOS (compatible avec TextSecure et RedPhone)
• Tox pour remplacer Skype

https://twitter.com/code/status/593449017398407169

EDIT : Bon, en vrai ils ont packagé Atom.io avec des plugins maison.

Le GamerGate cherche à s'étendre au delà du milieu des jeux vidéo. Et cette bande de harceleurs sexistes et racistes seront accueillis à bras ouverts par le milieu du libre.

Pourquoi spécifiquement le libre ? Parce que du côté des logiciels privateurs il y a un petit risque pour une boite de ternir son image et de perdre des clients en soutenant le GamerGate (Intel et Adobe se sont déjà fait avoir) alors que les libristes seront plus que satisfait du verni anti-politiquement correct qu'apporte le GamerGate.

Et puis c'est pas comme si les problèmes de sexisme et de racisme étaient déjà bien implantés…

Brace yourselves…

Un excellent tuto sur l'apprentissage de la ligne de commande sous unixes libres et autres systèmes privateurs.

(En anglais)

Et votre FAI a accès à tout le surf que vous faites en HTTP, et votre fournisseur de mail a accès à tous vos courriers et votre hébergeur owncloud à tous vos fichiers et votre opérateur à l'historique de tous vos appels et de vos sms, etc.

Comme sebsauvage, je suis complètement démuni devant la réaction des gens face à cette information.

Naïvement je pensais qu'il était de notoriété publique que tout fournisseur de service qui n'utilise pas de chiffrement côté client dispose d'un accès total à toutes les données qui concernent l'utilisation de son service…

On le sait, Adobe a arrêté de développer la version Linux NPAPI de Flash player depuis la 11.2 et ne fourni depuis que des correctifs de sécurité (jusqu'en 2017.)

Ils continuent cependant de fournir un flash à jour en version PPAPI.

Ça veut dire que les utilisateur de Firefox qui veulent un flash à jour doivent utiliser Chrome ou Chromium.

Hé bien tout ça est terminé. Freshplayer plugin est un adapteur PPAPI vers NPAPI et permet ainsi d'utiliser le plugin flash de Chrome dans Firefox.

La preuve : http://i.imgur.com/EM75UuW.png

Alors que la plupart des hébergeurs en mutualisé ne fournissent à leurs client qu'un vague accès à un phpmyadmin trop limité pour exporter correctement (et encore moins importer…) les bases de données qui font plus de 5Mo, Web4all, tranquille, fourni AUSSI un accès ssh.

Et du coup pour l'import ou l'export des bases de données il suffit des commandes mysql et mysqldump et il y a pas de limite de taille autre que l'espace de stockage. \o/

En plus de commander chez eux dès qu'il me faut un mutu, je crois que je vais finir par adhérer. (Parce que oui, c'est un hébergeur associatif <3)

Une conférence brillante sur les troubles de l'attention et les troubles bipolaires chez les développeur⋅es.

« Real-world cryptography isn’t only about cryptography. It’s just as much about product design, and building experiences that work for the user—not requiring work from the user. It’s a cross-discipline problem that requires not only cryptographers but user-experience designers and developers, too. »

Envie de développer un nouveau thème WordPress mais pffff la flemme de remettre au propre mon vieil environnement de dev (un dossier un peu en vrac sur ma machine, une config nginx à la ramasse et des bases mariadb dans un état inconnu.)

Qu'à cela ne tienne, il suffit d'installer Vagrant, de cloner VagrantPress, de faire vagrant up et voila un WordPress accessible sur http://localhost:8080

Vagrant, Docker, Rocket, etc. tous ces trucs sont quand même vachement cools.

Article de rage à propos du module de chiffrement d'OwnCloud que je vous déconseille FORTEMENT d'utiliser.

C'est le mal. C'est juste le mal. Et je vais vous expliquer pourquoi tous les problèmes d'indentation du monde sont dus à ces saloperies de tabulations.

Le premier élément qui entre en jeux c'est que la largeur d'une tabulation est CONFIGURABLE. Je peux dire à certains éditeurs que je veux 4 caractères, je peux dire à d'autres que j'en veux 2, ou d'autre 8.

Moi tout seul ça n'aurait aucun intérêt de faire ça, mais je suis pas tout seul au monde. Potentiellement, quelqu'un va ouvrir mon code avec un éditeur configuré différemment du mien et il va trouver ça illisible.

Et ça c'est dans le cas où il est possible de le configurer car parfois ce n'est pas possible (je pense à l'affichage des forges comme Github ou Gitlab par exemple.)

Le second élément, c'est qu'en utilisant la tabulation comme méthode principale d'indentation, on peut se retrouver FORCÉ d'utiliser des espaces pour l'alignement du code. Par exemple sur l'image linkée, je chaîne les méthodes de mon objet en alignant les T_OBJECT_OPERATOR successifs. À la ligne 6, avec des tabulations je dois rajouter un espace pour corriger l'alignement. Et PAF on se retrouve avec une indentation mixte. Et si votre langage se base sur l'indentation pour fonctionner, ça marche pas (Python 3 aime pas du tout ça d'ailleurs)

Le dernier élément (et qui a à voir avec le fait qu'une tabulation ce n'est pas FAIT pour indenter mais pour tabuler) c'est cette chose méconnue qui s'appelle le tabstop. Avec une tabulation réglée sur 4 on a un tabstop tous les 4 caractères donc 0, 4, 8, 12, 16, 20 etc.

Dans l'image linkée à partir de la ligne 8 j'aligne les valeurs de mon tableau et on voit bien en comparant que la ligne 9 a une seule tabulation après la clé là où la ligne 10 a… 3 espaces. Parce que la tabulation va jusqu'au tabstop. Dans un éditeur ou une forge qui ne supporte pas les tabstops ou qui a une configuration différente, la ligne 9 aura un caractère de trop parce qu'une tabulation fera 4 de long et pas 3. Donc pour aligner des trucs correctement on doit à nouveau forcément utiliser des espaces.

Au final soit on utilise des tabulations à configurer selon les éditeurs de chacun⋅e, on compense les erreurs avec des espaces et on aligne les éléments aussi avec des espaces. Soit on utilise toujours des espaces, ça s'affiche partout pareil et on ne configure rien nulle part si ce n'est le raccourci pour insérer X espaces quand on appuie sur la touche tab du clavier parce que ça va quand même plus vite.

Bref, au final c'est peut-être pas pour rien si les communautés PHP, Python, Java ou JS recommandent 4 espaces et si côté HTML et Ruby on recommande 2 espaces. :-)

Un AssholeGater menace la développeuse de GGautoblocker de publier le code source de son application.

Ce serait énervant si le projet n'étais pas hébergé… sur GitHub.

(GGautoblocker est un script perl qui bloque les comptes les plus actifs du gamergate pour pas avoir à se fatiguer avec ces crétins)

OWS a bossé avec la célèbre application de messagerie mobile WhatsApp pour y utiliser leur protocole TextSecure.

Pourquoi c'est une bonne nouvelle ? Parce que WhatsApp a déjà des millions d'utilisateurs qui, du coup, voient la protection de leur vie privée faire un bond en avant.

Mais en même temps, WhatsApp reste une appli propriétaire et même si OWS les a aider à implémenter leur protocole et les valident, on ne peut pas savoir si ils vont pas rajouter un truc pourri dedans.

Un github-like en Go (apparemment assez léger pour tourner sur un raspberry) et sous licence MIT.

Je me met ça de côté pour le boulot (jai besoin de l'authentification LDAP), ça semble très prometteur.

Mon environnement de bureau c'est XFCE. Il est bien, léger, suffisamment configurable pour faire ce que je veux.

Mais il manque un petit quelquechose au gestionnaire de fenêtre, un tout petit truc qui me prive d'une impression de fluidité : Les transition. Un bête changement progressif et presque instantané de l'opacité d'une fenêtre qui s'ouvre ou se ferme, d'une tooltip qui apparait, etc…

Compton est un fork parait-il plus stable de xcompmgr qui fait juste ça (et qui du coup est léger comme une plume)

Il faut juste un peu de configuration (trouvée sur le net et adopté instantanément) : https://butt.leetchee.fr/public.php?service=files&t=533f148aaa228f97c82e14b3a3810efe

Et maintenant mon XFCE est parfait.

Des fois j'aime GNU/Linux <3

« I’d always hoped we were more virtuous than the mainstream, but it turns out we just didn’t have enough power to cause much harm. Our ingrained sense of victimization has become a perverse justification for bullying. That’s why I’m calling time on nerd culture. It’s done wonderful things, but these days it’s like a crawling horror of a legacy codebase so riddled with problems the only rational decision is to deprecate it and build something better. »

What is Jessica’s sin in this story?

Chez IBM ils s'ennuient un peu. Alors ils cherchent des occupations. Et ils trouvent que le JSON c'est un format un peu trop facile à gérer alors du coup ils développent de quoi transformer ces beaux petits flux JSON en bon gros XML qui tache.

WTF.

À la maison j'utilise ArchLinux et pour les mises à jours j'ai pris l'habitude de taper sudo pacman -Syu

Du coup au boulot avec ma Debian-like (Ubuntu, mais ça pourrait aussi bien être Mint ou Debian) ça me fait chier de taper sudo apt-get update && sudo apt-get upgrade

Vous allez me dire que je pourrais faire un alias, mais c'est moins drôle qu'utiliser un wrapper ^_^

Donc pacapt est une interface cli pour quelques gestionnaires de paquets afin d'avoir les mêmes commandes qu'avec pacman :

pacman        by Arch Linux, ArchBang, Manjaro, etc.
dpkg/apt-get  by Debian, Ubuntu, etc.
homebrew      by Mac OS X
macports      by Mac OS X
yum/rpm       by Redhat, CentOS, Fedora, etc.
portage       by Gentoo
zypper        by OpenSUSE
pkgng         by FreeBSD
cave          by Exherbo Linux

Je viens de perdre 30 min à chercher pourquoi il manquait des icônes dans ma barre de notification.

Des trucs triviaux comme redshift ou radiotray mais aussi des trucs plus chiants comme Pidgin ou (malheureusement) Skype que j'utilise UN PEU pour communiquer avec des collègues ou des clients.

Il se trouve que Canonical a fait un truc pour « améliorer l'expérience utilisateur » qui s'appelle les Indicators et fourni un service dont le but est d'intercepter les applications qui font une icône dans la zone de notif et de les afficher dans la zone des Indicators.

Et quand on utilise pas leur cochonnerie d'Unity ou GNOME (qui a du s'adapter j'imagine) il faut penser à couper le démarrage de 'indicator-application-service'

Et c'est comme ça qu'on fait de GNU/Linux un système accessible ?