Pour google-france.fr, ça ne me sert à rien, juste à éprouver que ça marche. Dans mon cas réel d’utilisation, je travaille pour une banque en ligne, on a mis cela en place et dès que notre team sécu est notifiée, il lui reste à contacter l’hébergeur du domaine frauduleux pour demander le retrait le plus vite possible.
Parfois la simplicité fait du bien !
Mes tous premiers sites étaient du pur HTML/CSS, puis je suis passé à WordPress.
Ajourdhui :
je continue à utiliser WordPress si c’est justifié, je m’en sers comme d’un framework en profitant des plugins et outils déjà pensés, testés et approuvés (SEO, WooCommerce…). Plus le fait qu’il y a du PHP donc on peut faire pleins de choses (gérer un programme de fidélité, effectuer des synchros à intervalles régulières…),
s’il y a peu de contenu et qu’il n’est pas voué à changer, alors j’utilise du HTML à l’ancienne (avec du CSS/LESS et du JS moderne) et le tout est buildé par npm,
si le contenu est voué à être édité un peu plus souvent sans toutefois le besoin d’un CMS dynamique comme WordPress, alors je pars sur générateur de site statique (c’est le cas de mon blog). Si c’est pour un client, il est quand même possible de pluguer une interface CMS, on a une rapidité de dingue, pas de base de données, moins de maintenance et en terme de developer experience, c’est bien plus souple étant donné que tout vis dans Git (pas de versionning de DB etc…).
Oui, en tant que dev c’est sur que je lis bcp de blogs de développeurs.
Et comme je suis le JDN, Hackers News, Lobsters etc, je pense que j’ai une vision qui ne représente pas la globalité des pratiques.
Mais là où je te donne raison, c’est que je vois beaucoup de gens qui prennent la peine d’écrire pour mettre le tout sur Medium :/
Oupsss désolé pour le retard de réponse, j’étais passé à côté de ta réponse ;)
Alors oui, je suis tout à fait d’accord avec toi, mais le truc dont je parlais dans ce mail, c’est la tendance, pas la faisabilité.
Et en l’occurrence, peu de gens font encore des blogs ou sites perso, beaucoup vont dans des silos comme Twitter, Facebook ou autre.
Quand je dis “peu de gens font encore des blogs ou sites perso”, c’est clair que c’est relatif, parce qu’il y en a encore beaucoup… Mais on croise aussi énormément de développeurs, de graphistes, de personnes qui pourtant travaillent dans le web, et n’ont plus de blog ou de site perso (et quand il y en a un, c’est souvent une page abandonné)
J’ai moins cette impression d’exploration sur le web.
Purée s’inscrire pour laisser un commentaire ou comment tuer le net, ça y est je supporte plus.
Très bonne idée, merci pour la découverte. Par contre je ne comprends pas à quoi ça te sert ? Je veux dire, une fois que tu as le nom de domaine “google-france.fr”, tu en fais quoi ?
Néanmoins je donne en commentaire des précisions très utiles, qui sont malheureusement souvent peu “distillées”, que je remets ici :
en fait, concernant RSA, non seulement il est préférable d’utiliser à minimum une taille de 4096 bits, mais il est conseillé aussi d’utiliser la fonction de dérivation de clé PKBDF. Ce qui avec l’option ‘-o’ donne :
ssh-keygen -t rsa -b 4096 -o -f ~/.ssh/id_rsa
On peut même la durcir encore plus en lui spécifiant un nombre de “tours de moulinettes”, grâce à l’option ‘-a’. Par défaut, cette valeur est de 16.
Actuellement, il semble être considéré qu’une valeur de 64 est suffisante dans un contexte paranoïaque. Tel que :
ssh-keygen -t rsa -b 4096 -o -a 64 -f file_id_rsa
Il est même possible de transformer une clé RSA précédemment créée, sans avoir spécifié la fonction de dérivation, tel que, par exemple :
ssh-keygen -o -p -f file_id_rsa -a 64
Concernant l’algorithme à courbe elliptique ed25519, en plus de ses avantages connus, il faut savoir que par défaut la génération de clé SSH avec, utilise aussi la fonction de dérivation de clé PKBDF, donc il n’y a pas besoin de spécifier l’option ‘-o’, mais on peut la durcir avec l’option ‘-a’ !
Le détail concernant PKBDF est connu, mais peu d’articles de promotion de création de clé SSH, en parle.
Pour finir, @antonof a raison de préciser la modification du fichier de config de SSH, en précisant les versions “sécurisées” pour :
Malheureusement, pour certains serveurs SSH, tel que Dropbear (SSHv2 seulement) ou pour certains clients SSH, il est nécessaire de “baisser en qualité”, autrement la connexion sera impossible.
Là, encore soit le log d’authentification, soit le message d’erreur au moment de la connexion informe du problème en question, heureusement !
On peut même rappeler que si l’option “LoginGraceTime” est utilisée dans le fichier de configuration, il faudra veiller à l’augmenter très certainement, à cause du temps de calcul nécessaire pour déchiffrer la clé, l’authentifier, etc…
Ha bha c’est bien mieux !
Plus besoin de JS pour afficher le site et ça modifie plus le comportement de défilement du navigateur et c’est rapide !
Bravo !
En non fédéré, pour une petite communautés, NextcloudTalk en auto hébergé est plutôt sympa.
Merci pour le partage ! :)
Excellent texte, lecture très recommandée pour tous els hébergeurs.
Très utile, merci. Voir aussi l’afnic qui fournit les noms de domaines créés en .fr quotidiennement.
Ok je comprends parce que moi je bosse chez un hébergeur ^^
Merci pour l’explication, Tcho !
Salut Cascador,
Merci pour ton retour.
Pour google-france.fr, ça ne me sert à rien, juste à éprouver que ça marche. Dans mon cas réel d’utilisation, je travaille pour une banque en ligne, on a mis cela en place et dès que notre team sécu est notifiée, il lui reste à contacter l’hébergeur du domaine frauduleux pour demander le retrait le plus vite possible.
L’autre avantage des clefs ed25519, c’est que la clef publique est assez courte. C’est donc plus confort à communiquer au besoin.
Petite typo: s/autant de CV si peu soigner/autant de CV si peu soignés/
Le format anglo-saxon est fort différent. Selon le poste c’est dans ce format qu’il faudra faire le CV.
Parfois la simplicité fait du bien ! Mes tous premiers sites étaient du pur HTML/CSS, puis je suis passé à WordPress.
Ajourdhui :
Oui, en tant que dev c’est sur que je lis bcp de blogs de développeurs. Et comme je suis le JDN, Hackers News, Lobsters etc, je pense que j’ai une vision qui ne représente pas la globalité des pratiques.
Mais là où je te donne raison, c’est que je vois beaucoup de gens qui prennent la peine d’écrire pour mettre le tout sur Medium :/
Bonjour,
Comment cela se fait que ce lien est passé ? Ce n’est pas un article, rien, aucune valeur ajoutée, aucune présentation.
Soit, l’initiative de Framasoft à l’égard du mon médical est louable, mais un lien direct juste vers le service en soit, quel intérêt ?!
Après, WordPress permet une personnalisation infini, donc c’est plutôt cool :)
Je suis aussi sur WordPress :) (d’autant plus que je suis pas dev, donc c’est vraiment beaucoup plus simple pour moi)
Oupsss désolé pour le retard de réponse, j’étais passé à côté de ta réponse ;)
Alors oui, je suis tout à fait d’accord avec toi, mais le truc dont je parlais dans ce mail, c’est la tendance, pas la faisabilité.
Et en l’occurrence, peu de gens font encore des blogs ou sites perso, beaucoup vont dans des silos comme Twitter, Facebook ou autre.
Quand je dis “peu de gens font encore des blogs ou sites perso”, c’est clair que c’est relatif, parce qu’il y en a encore beaucoup… Mais on croise aussi énormément de développeurs, de graphistes, de personnes qui pourtant travaillent dans le web, et n’ont plus de blog ou de site perso (et quand il y en a un, c’est souvent une page abandonné)
J’ai moins cette impression d’exploration sur le web.
C’est juste un mail sur un feeling ^^
Hello,
Purée s’inscrire pour laisser un commentaire ou comment tuer le net, ça y est je supporte plus.
Très bonne idée, merci pour la découverte. Par contre je ne comprends pas à quoi ça te sert ? Je veux dire, une fois que tu as le nom de domaine “google-france.fr”, tu en fais quoi ?
Merci, Tcho !
Article intéressant !
Néanmoins je donne en commentaire des précisions très utiles, qui sont malheureusement souvent peu “distillées”, que je remets ici :
en fait, concernant RSA, non seulement il est préférable d’utiliser à minimum une taille de 4096 bits, mais il est conseillé aussi d’utiliser la fonction de dérivation de clé PKBDF. Ce qui avec l’option ‘-o’ donne :
ssh-keygen -t rsa -b 4096 -o -f ~/.ssh/id_rsa
On peut même la durcir encore plus en lui spécifiant un nombre de “tours de moulinettes”, grâce à l’option ‘-a’. Par défaut, cette valeur est de 16. Actuellement, il semble être considéré qu’une valeur de 64 est suffisante dans un contexte paranoïaque. Tel que :
ssh-keygen -t rsa -b 4096 -o -a 64 -f file_id_rsa
Il est même possible de transformer une clé RSA précédemment créée, sans avoir spécifié la fonction de dérivation, tel que, par exemple :
ssh-keygen -o -p -f file_id_rsa -a 64
Concernant l’algorithme à courbe elliptique ed25519, en plus de ses avantages connus, il faut savoir que par défaut la génération de clé SSH avec, utilise aussi la fonction de dérivation de clé PKBDF, donc il n’y a pas besoin de spécifier l’option ‘-o’, mais on peut la durcir avec l’option ‘-a’ !
Le détail concernant PKBDF est connu, mais peu d’articles de promotion de création de clé SSH, en parle.
Pour finir, @antonof a raison de préciser la modification du fichier de config de SSH, en précisant les versions “sécurisées” pour :
Malheureusement, pour certains serveurs SSH, tel que Dropbear (SSHv2 seulement) ou pour certains clients SSH, il est nécessaire de “baisser en qualité”, autrement la connexion sera impossible. Là, encore soit le log d’authentification, soit le message d’erreur au moment de la connexion informe du problème en question, heureusement !
On peut même rappeler que si l’option “LoginGraceTime” est utilisée dans le fichier de configuration, il faudra veiller à l’augmenter très certainement, à cause du temps de calcul nécessaire pour déchiffrer la clé, l’authentifier, etc…
C’est un sujet qui est maîtrisée depuis plusieurs années. Personnellement, cela fait trois ans environ que j’en “parle”, ici : https://doc.huc.fr.eu.org/fr/sec/ssh/configuration-securisee/
Bonne configuration ++
Ha bha c’est bien mieux ! Plus besoin de JS pour afficher le site et ça modifie plus le comportement de défilement du navigateur et c’est rapide ! Bravo !
pour la Belgique / Suisse par exemple? c’est quoi les différences?
merci, la faute est corrigé :)
Une petite correction : s/qui peuvent aider dans ce sans/qui peuvent aider dans ce sens/ ;)
Autrement, que de conseils qui me semblent adéquates, logiques en soit. Merci