Nous sommes le Jeu 28 Mars, 2024 12:51
Supprimer les cookies

Page 2 sur 6Précédent 1, 2, 3, 4, 5, 6 SuivantMyPads : cryptez-les tous!

Lun 28 Juil, 2014 13:00

sosolal a écrit:Et sinon, GreaseMonkey peut supprimer un script malveillant, donc une clé dans l'ancre, c'est sécurisée.
Sinon vous savez pas qu'il est possible de collaborer avec l'équipe d'Etherpad pour implémenter le chiffrement?

Comment fonctionne GreaseMonkey pour la détection de script malveillant ?
Au sujet d'Etherpad :

    * l'équipe est extrêmement réduite depuis une bonne année avec quasiment un seul contributeur historique et prédominant à ce jour (John McLear), qui a des tas d'autres projets à côté;
    * etherpad enregistre chaque frappe en base de données. Tout service un tant soit peu utilisé nécessite une base spécifique pour convenablement fonctionner, une base capable d'encaisser de hautes doses d'écriture chaque seconde;
    * de loin je pense qu'implémenter le chiffrement de chaque frappe représenterait une charge énorme pour la base de données (insertions plus massives) et modifierait la manière générale de fonctionner d'Etherpad (ou tout n'est pas côté client);
    * dans le navigateur, utiliser des bibliothèques JS pour le déchiffrement de plusieurs dizaines de milliers de caractères (avec l'historique) par pad affiché, et le calcul pour toute frappe rendrait à mon avis l'application moins réactive qu'elle ne l'est aujourd'hui. Tout navigateur un peu ancien souffrirait énormément.

En somme il s'agirait d'une refonte très importante de tout etherpad et je me dis qu'il vaudrait mieux recoder un système d'écriture collaborative spécialement prévu pour un usage chiffré, peut-être en usage mot à mot et non caractère par caractère. Soit sans aucun doute des centaines de jours Homme. Dans tous les cas, cela sort clairement du cadre de MyPads et du cahier des charges qui a été annoncé.
Yakulu

Messages : 5

Lun 28 Juil, 2014 13:27

sosolal a écrit:Sinon vous savez pas qu'il est possible de collaborer avec l'équipe d'Etherpad pour implémenter le chiffrement?


Et bien, je te retourne la question… Sais-tu que tu peux collaborer avec l'équipe d'Etherpad pour leur demander d'implémenter le chiffrement ?
cheval_boiteux

Avatar de l’utilisateur
Messages : 1531
Géo : Dole (39) - Strasbourg (67)

Lun 28 Juil, 2014 13:55

Eh, c'est votre projet!
Moi, je ne l'utiliserais probablement pas, crypté ou non, LO suffit.
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Lun 28 Juil, 2014 13:58

L'avantage d'un projet libre, c'est que tout le monde peut s'en saisir.
Bon travail sous LO.
Yakulu

Messages : 5

Lun 28 Juil, 2014 14:40

sosolal a écrit:Eh, c'est votre projet!


Alors pourquoi venir te mêler d'un truc dont tu n'as que faire ???

Notre projet, c'est de créer des comptes privés pour les pads comme expliqués sur la page du crowd-funding. Après, si tu souhaites en faire plus, n'hésites pas. Et alors, ça deviendra ton projet et tu pourras choisir les fonctionnalités que tu voudras mettre en place. Notre projet a des limites clairement définies. On ne va pas discuter pendant 10 ans d'un truc que ni l'un ni l'autre ne fera ?

Tu es content, alors très bien pour tout le monde. Tu n'es pas content, tant pis, il ne reste plus qu'à ouvrir ton éditeur de texte et de coder toi même. Tu sais, les «yakafokon» dans le logiciel libre, on n'aime pas trop ça, ça nous donne de l'urticaire.
cheval_boiteux

Avatar de l’utilisateur
Messages : 1531
Géo : Dole (39) - Strasbourg (67)

Lun 28 Juil, 2014 17:31

sosolal a écrit:"Nous avons aussi appris que beaucoup d'entre vous doivent se montrer plus critiques. Même à notre égard. Vous ne pouvez pas sérieusement approuver le 'fait' que nous avons déplacé nos serveurs dans la sanglante Corée du Nord. Bravo à vous qui nous avez dit d'aller nous faire voir. Restez toujours critiques. Envers tout le monde" -- The Pirate Bay

Hum, je vois pas le rapport. Tu nous as dit que ce serait bien d'avoir du chiffrement dans MyPads, on t'a répondu "pas dans le cahier des charges, chiant à faire, et ça ne résoud pas ton manque de confiance dans les admins", la critique aurait du s'arrêter là.

sosolal a écrit:Et sinon, GreaseMonkey peut supprimer un script malveillant, donc une clé dans l'ancre, c'est sécurisée.

À condition de savoir qu'il y a un script malveillant. C'est pas magique, GreaseMonkey ne devine pas tout seul qu'un script chargé est malveillant ou pas. Ah, pis le Père Noël n'existe pas non plus au passage.

sosolal a écrit:Sinon vous savez pas qu'il est possible de collaborer avec l'équipe d'Etherpad pour implémenter le chiffrement?

Sinon, plutôt que venir nous casser les pieds à venir nous demander un truc dont on a dit et répêté que c'est sans doute très très très très chiant à faire et pas du tout dans notre feuille de route, si tu te sortais les doigts du cul et que tu allais collaborer TOI avec l'équipe d'Etherpad ?

sosolal a écrit:Eh, c'est votre projet!
Moi, je ne l'utiliserais probablement pas, crypté ou non, LO suffit.

Alors pourquoi tu fais chier ? C'est quoi ton problème ? On te donne les raisons pour lesquelles on veut pas faire le chiffrement, si t'en veux, tu t'en charges. Tu veux pas t'en charger, t'arrêtes de faire ton gros lourd.

T'as réussi à me faire sortir de mes gonds, t'es content ?
lucsky

Messages : 19

Lun 28 Juil, 2014 23:11

lucsky a écrit:T'as réussi à me faire sortir de mes gonds, t'es content ?

@Sky : Keep cool, la bave de l'ado prépubère ne doit pas atteindre notre blanc admin-sys !

Un ado de 12 ans ça énerve toujours, c'est bien connu. Et tu pourras avancer autant d'arguments raisonnables que tu veux, de toute façon il n'en tiendra pas compte alors laisse courir :evil:
Il respecte même pas le jour des trolls, alors tes arguments... :mrgreen:
fat115

Avatar de l’utilisateur
Messages : 930
Géo : Ardèche ... du nord

Ven 15 Août, 2014 19:18

[EDIT] Oouups (facepalm), j'ai répondu à partir de la première page, sans voir la suivante. Je présente d'avance mes excuses à l'équipe pour avoir nourri le troll >.< [/EDIT]

Je plussoie les remarques de lucsky. Remettons les choses dans l'ordre. De la même manière qu'un tracteur ne sert pas à partir en vacances (et donc on se fiche complètement d'avoir un tracteur qui va à 130 ou qui a une ceinture de sécurité (même si sur ce dernier point, c'est peut-être obligé aujourd'hui, j'avoue que je ne sais pas), un outil de travail collaboratif n'a pas (à mon sens également je le reconnaît) et ne doit SURTOUT pas donner une fausse impression de sécurité. C'est le meilleur moyen de flinguer la collaboration avant même qu'elle ne commence.

Pourquoi ? Tout simplement parce que le danger ne vient pas du système, mais des gens. À partir du moment où il y a collaboration, même avec les meilleurs clés, les meilleurs algos etc. il pourra toujours y avoir des fuites, et HEUREUSEMENT (Snowden toussa). Il est dangereux de continuer à croire qu'une donnée peut-être en sécurité sur le net. Si tu veux utiliser un service tiers, comme son nom l'indique et même chiffré, ça reste un service tiers. Donc ouvert à tout vent. Hearthbleed nous a bien démontré une fois de plus que les failles existeront toujours.

Bref : service tiers == information publique. Peut-être difficile d'accès, peut-être compliqué, peut-être masqué, mais un jour ou l'autre public quand même. Donc j'ai même envie de complêter lucsky en disant que non seulement c'est compliqué et pas dans leur cahier des charges, mais en plus on peut considérer que c'est pédagogique de ne justement pas chiffrer. Pour pousser les gens à s'auto-héberger et à pas foutre tout et n'importe quoi sur internet.

Car à ce moment là, tu héberge ta propre instance de pad sur TON serveur, avec TON certificat pour obtenir une connexion SSL, tu bloque l'accès par un htaccess ou autre (avec éventuellement un script qui t'envoie sur ton téléphone les ips des gens passant le htaccess si tu es vraiment parano) et voilà, tous les échanges sont bien chiffré, sans avoir besoin de se prendre la tête en développement autour d'etherpad.

Une autre solution, toujours avec un pad auto-hébergé, c'est de ne l'ouvrir que sur une interface réseau local et de proposer à tes collaborateurs de s'y connecter au travers d'un VPN. Là aussi ça vérouille bien. Et là non plus il n'y a pas besoin de faire une opération à cœur ouver sur un logiciel qui n'est pas conçu pour.

Les pads n'ont pas été conçus pour être des outils sécurisé. Ce n'est pas le but. Si on veut un pad sécurisé, c'est l'architecture AUTOUR qui doit l'être. Et comme je te l'ai montré autour de deux exemples concrets, c'est largement possible.

Voilà voilà.
milouse

Avatar de l’utilisateur
Messages : 637
Géo : Nantes

Sam 16 Août, 2014 10:07

Je plussoie.
Je rajouterais même que c'est complètement :
1. nul
2. dangereux
3. contre-productif
4. stupide
de mettre ce plugin sur Framapad
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Dim 17 Août, 2014 21:28

Euh non, ma décence intellectuelle m'interdit d'accepter que tu plussoie mon message sans rien dire, puisque manifestement tu n'as pas compris le fond de ma pensée. Dans mon message je m'attaquais non pas au plugins poussé par Framasoft (et dont je salue au passage le travail remarquable de l'asso, ça fait plaisir de voir comment les choses ont bougées entre mon départ et mon retour) mais à tes demandes répétés et, excuse moi du terme, (et ce propos est appuyé par les arguments développés dans mon message précédent) à côté de la plaque concernant une demande de chiffrement inutile.

Le plugin poussé par Framasoft, contrairement à tes dires péremptoires, est extrêmement intéressant car il va permettre aux utilisateurs de pads de centraliser un certain nombre de paramètre leur permettant d'interagir de manière cohérente sur les différents pads d'une ferme de pad donnée. Il n'est donc ni nul, ni stupide et encore moins contreproductif au contraire. Si tu relis mon message à tête reposée, tu verras qu'une de mes propositions de protection induit l'utilisation de réseau non-public. Et oui, j'ai l'impression que tu as tendance à oublier qu'internet ne représente qu'une toute petite partie minuscule des réseaux d'ordinateurs en ce monde. Rien n'interdit à une entreprise / asso / école... d'ouvrir une ferme de pad déconnecté COMPLÈTEMENT d'internet. Et cet organisme sera certainement tout content de pouvoir utiliser le plugin de framasoft pour offrir une expérience utilisateur un peu moin décorrélée d'un pad à l'autre.

La sécurité ne doit JAMAIS nuire à la communication / collaboration. Il s'agit au contrairer de proposer les bonnes réponses aux bonnes problématiques en prenant en compte tout les paramètres de l'équation.

Encore une fois chiffrer un pad est stupide. Organiser / limiter / vérouiller son accès est la bonne solution.
Ce n'est pas pour rien que Snowden n'a pas utilisé un pad pour transmettre ses informations à G.Greenwald. Il a au contraire utilisé le bon outil pour le bon usage. Il n'y a pas de miracle. Et je te déconseille de partir en vacances en tracteur.
milouse

Avatar de l’utilisateur
Messages : 637
Géo : Nantes

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit