-
salim édité il y a 8 mois | lien | sur : Pétition pour empêcher la France d’obliger les navigateurs tels que Firefox à censurer des sites web
Après lecture des documents, leur dénonciation de la loi SREN me paraît antinomique. À croire que « Mozilla » n’a pas lu l’article 6 du projet de loi SREN, ni l’étude d’impact, ou encore l’exposé des motifs, figurant pourtant parmi les documents accessibles publiquement dont certains ont pourtant une date de publication antérieure à leur dénonciation.
= Exposé des motifs =
L’article 6 porte sur le déploiement d’un filtre national de cyber-sécurité à destination du grand public permettant d’alerter les internautes via l’affichage d’un message d’avertissement dans leur navigateur lorsqu’ils souhaitent accéder à une adresse internet pour laquelle il existe un risque avéré d’arnaque ou d’escroquerie, notamment vis-à-vis de leurs données personnelles. Les sites cybermalveillants seront identifiés par des agents habilités de l’autorité administrative sous le contrôle d’une personnalité qualifiée indépendante rattachée à la Commission nationale de l’informatique et des libertés (CNIL).
Lorsque les faits persistent au-delà d’une période de 7 jours ou lorsque l’éditeur du service associé à l’adresse internet n’est pas identifiable, l’autorité administrative pourra demander aux fournisseurs d’accès à internet, aux fournisseurs de systèmes de résolution de noms de domaine et aux fournisseurs de navigateur internet de prendre toute mesure destinée à empêcher l’accès au site. Le dispositif vise à protéger les citoyens contre les tentatives d’hameçonnage et réduire les risques d’arnaques financières (paiements contrefaisants), d’usurpation d’identité, d’utilisation de données à caractère personnel à des fins malveillantes ou de collecte de données à caractère personnel via des moyens frauduleux, déloyaux ou illicites. La loi renvoie au décret en Conseil d’Etat, après avis de la Commission nationale de l’informatique et des libertés » pour fixer les modalités techniques de déploiement de ce filtre national de cyber-sécurité.
Le titre III promeut des dispositions en faveur de la confiance et de la concurrence nécessaires au développement d’une économie de la donnée équitable et innovante.
= Étude d’impact =
Les éditeurs de navigateur internet auraient à charge d’assurer le déploiement d’une solution de filtrage s’appuyant sur leurs services préexistants (ex : Google Safe Browsing, Microsoft SmartScreen).
Les FAI, résolveurs et navigateurs auraient également à assurer la bonne application et le suivi du blocage ou du message d’alerte sur la base des notifications, confirmations et/ou demandes de levées provenant de l’autorité administrative en charge du filtre anti-arnaque.
L’article de Mozilla est fallacieux. Le blocage des « sites » est réversible, temporaire et contestable, sans être effectif dans un premier temps. Ce n’est pas le gouvernement qui ordonne le blocage des sites mais une autorité administrative indépendante compétente. D’autant plus que le blocage des sites est clairement restreint à des cas bien déterminés. Et que les régimes autoritaires n’attendront pas les mesures restrictives de la France pour opérer.
-
-
Ce sont mes mots. Mais en lisant l’article 6 du projet de loi, on a de meilleurs éléments. Je ne comprends rien à la dénonciation de Mozilla. Cela me paraît complètement farfelu. Il semblerait que l’article 6 du projet de loi reprenne le même vecteur (moyen pour agir en vue d’un résultat) :
La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables (message d’avertissement explicatif visible pendant 7 jours ne bloquant pas les utilisateurs) dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées (signalements reçus du public et des forces de l’ordre et traités par une autorité administrative compétente [ayant des pouvoirs de police administrative], sous contrôle de la CNIL). Toutes ces demandes d’inclusion devraient être basées sur un ensemble solide de critères publics limités aux sites d’hameçonnage/escroquerie, faire l’objet d’un examen indépendant par des experts et expertes et contenir des mécanismes d’appel judiciaire au cas où une demande d’inclusion serait rejetée par un éditeur (la partie mise en cause peut émettre des observations suite à la mise en demeure, dans un délai de cinq jours ; le blocage est périodiquement réévalué et les sanctions sont levées lorsqu’elles ne sont plus valables) [Et étant donné ce qui potentiellement reprochés, il y a sûrement un volet pénal lorsque la partie prenante s’est fait connaître].
Cela va en contradiction totale avec ce qui est énoncé dans l’article publié par Mozilla.
-
Mais tu omets un vrai problème : le fait que ce soit les éditeurs de navigateurs web à appliquer ces mesures. Ce n’est pas aux éditeurs de gérer ça. Ta citation évoque : “les principaux systèmes de protection contre l’hameçonnage” dont Safe Browsing déjà exploité par Mozilla dans Firefox : c’est auprès d’eux qu’il faut agir.
-
Les éditeurs de navigateurs Web auraient voulus que les États n’interfèrent pas. Mais il est faux d’affirmer que cela ne concerne pas les navigateurs Web. Puisque ces systèmes de protection ont, de fait, été intégré dans les navigateurs. Qui plus est, par ces mêmes acteurs : Microsoft pour Windows Edge et Google pour Google Chrome. C’est devenu (ou en tout cas, je l’espère) une fonctionnalité importante de leur navigateur, protéger les internautes des menaces numériques, telles l’hameçonnage. Or, c’est également le rôle de l’État d’agir pour protéger les citoyens des menaces qui les visent et poursuivre ceux qui les commettent. « Mozilla » ne fait que chasser ou oblitérer la réalité.
-
Je peux a tout moment désactiver safe browsing. Si je veux naviguer sans protection, c’est mon droit et je peux actuellement le faire. Ce projet l’impose et si la vraie volonté était de protéger, jamais ça ne se serait passé comme ça.
Je ne suis pas du tout en accord avec ton point de vue et nous resterons en opposition.
-
Ça craint ! « Mozilla » semble vraisemblablement préférer (en y réfléchissant bien) faire prévaloir son intérêt particulier au détriment de l’intérêt général, au motif que les demandes de blocage n’émanent pas d’eux.
En cas de problème, les gens qui seront victimes de malveillances iront se tourner vers l’État. Parce que la société se numérise dans son ensemble et les risques encourus sont énormes. Mais si cela se trouve, Mozilla aura disparu d’ici là.
-
-
-
-
-
-
-
Je ne signerais pas cette pétition en ligne. En plus, traiter le gouvernement Français de « faciste » est inadmissible. En outre, la pétition de Mozilla est une mesure démagogique.
Je n’ai pas encore eu le temps de lire les documents officiels.
-
Quand j’écris “c’est aussi un nouvel outil terrible pour un gouvernement fasciste”, j’écris bien “UN”. Le RN pourrait très bien arriver au pouvoir un jour et je lui prête bien volontiers une étiquette de groupe politique fasciste. C’est pourquoi je poursuis avec : “Je n’accepte pas que la France soit une locomotive pour ces régimes vers lesquels nous nous dirigeons chaque jour qui passe.”
Il faut aussi accepter d’appeler un chat, un chat. La France a un pied dans le fascisme.
-
-
-
-
Je n’aime (vraiment) pas Github Actions donc je comprend l’envie de s’en éloigner. Par contre, une CI comme Woodpecker est simple et je pense adaptée pour faire ça. Dans ce concept de déploiement, je trouve qu’il y a plusieurs problèmes. Le premier est d’avoir des outils de build sur ton serveur. Le second est que tu ne tests pas si ton build se passe bien.
-
Pour compléter, voici une conf de woodpecker pour builder un site avec hugo et pousser le code générée sur une branche spécifique (contexte : https://www.deblan.io/post/624/gitnet-heberge-vos-pages-statiques) : https://gitnet.fr/deblan/pages-ci/src/branch/master/.woodpecker.yml
-
-
Est-ce que l’utiliser d’une CI/CD (comme Woodpecker-CI par exemple) t’a déjà traversé l’esprit ?
-
Oui tout à fait. À l’époque je ne connaissais que DroneCI, Woodpecker n’existait pas ou n’était pas encore connu.
Ensuite mes machines ne tenaient pas le coup avec l’ensemble des services (26 environ) qui tournaient sur le fameux serveur dédié OVH à 42€/an.
Il a fallu faire preuve d’ingéniosité ET garder un certain minimalisme tout en ayant un certain contrôle de ce qu’on utilise.
-
-
Hello.
Bien vu, intéressant !
PS : à moins que ce ne soit une erreur voulue, mais : “Si vous avez envie d’esssayer” <= petit dérapage “sss” ;)
-
-
C’est vrai que ça fait rêver ! Quel est le coût financier mensuel si ce n’est pas indiscret ?
-
hyakosm édité plus de 3 ans | lien | sur : Mozilla abandonne Firefox Send, son service de transfert de fichiers, suite à un détournement malveillant
[Comment removed by author]
-
-
La “Sync Encryption” n’effectue pas ce job ?
-
À l’ouverture du navigateur, je n’ai pas besoin de mot de passe pour avoir la saisie auto des mots de passe dans Vivaldi. Je n’ai pas besoin de mot de passe pour afficher les mots de passe enregistrés dans Vivaldi.
Dans Firefox, à son ouverture, je dois saisir le master password pour avoir l’auto saisie des mots de passe. Idem pour afficher la liste de mots de passe enregistrés, je dois à nouveau saisir le master password.
Donc ça n’a rien avoir avec le chiffrement des données synchronisées.
-
-
-
Je viens de regarder dans la feuille de route dans nos outils Vivaldi et l’ajout de la fonctionnalité est notée. Lle master-password a été demandé plusieurs fois, et il est possible de voter pour la “Feature” afin de lui donner du poids pour les développements futurs (c’est ainsi que ça fonctionne chez Vivaldi, nous laissons la parole aux utilisateurs) : https://forum.vivaldi.net/topic/24238/master-password-protected-mode-to-protect-your-profile
Concernant les containers, il en est de même, il est possible de voter pour l’ajout de la fonction (même si cela ressemble beaucoup au gestionnaire de profils, où j’ai 2 profils, 1 boulot et 1 enseignant pour séparer les 2 sessions Teams) : https://forum.vivaldi.net/topic/25289/multi-account-containers/
-
Les containeurs permettent d’isoler les données pour un site et c’est géré on demand. Typiquement, je peux avoir un onglet qui sera dans mon container “Pro”, avoir un autre onglet dans mon container “Perso”, …. Le master password est primordial, je ne comprends même pas comment les développeurs ne l’ont pas encore intégré. Quand j’ouvre mon client mail ou mon navigateur, je dois taper ce master password pour accéder à la liste des mots de passe enregistrés ou récupérer mes mails.
-
-
https://docs.lando.dev/basics/installation.html#hardware-requirements
C’est un grand délire ces besoins…
-
-
nikaro presque 4 ans | lien | sur : L’auto-hébergement, pour qui ? pourquoi ? 89 personnes me répondent
[Comment removed by author]
-
Il y a quelqu’un qui va dans ton sens dans les commentaires https://serveur410.com/lauto-hebergement-pour-qui-pourquoi-89-personnes-me-repondent/#comment-69
-
-
-
-
Super idée ! Je vais tester ça !
-
PR soumise (cf https://gitlab.com/journalduhacker/journalduhacker/-/merge_requests/1)
Je n’ai pas traité la problématique du logo qui implique un peu plus que du code :)
PS : c’est la première fois que j’écris du ruby et que je joue avec rails, ce n’est sans doute pas parfait !
-
-
-
« Au début d’internet, pour se rendre sur un site, au lieu de taper lesite.com il fallait taper son adresse IP » Mais c'est quoi, ces conneries ? Le DNS existait bien avant le Web !
« Un serveur DNS […] reçoit même des metadata tel que la résolution de votre écran » On trouve vraiment n'importe quoi sur le Web. On peut voter “Moins” sur le Journal du Hacker ?
-
“On peut voter “Moins” sur le Journal du Hacker ?”
Nope, c'est pas l'approche du Jdh de pénaliser les créateurs de contenu, même s'ils écrivent des bêtises parfois, on préfère penser qu'ils vont s'améliorer à partir des retours qu'on leur fait ou les retours que l'exposition via le Jdh va leur apporter.
De plus c'est pas parce qu'il y a des erreurs techniques et historiques que le fond de l'article n'est pas intéressant, à savoir mettre en avant le fait que des infos persos fuitent via les serveurs DNS. C'est sûrement une évidence pour les spécialistes, mais pas pour tout le monde.
-
Le fait de parler d'une chose importante (les fuites d'information via le DNS) n'excuse pas les erreurs. Sur toute chose importante (Linky, le réchauffement planétaire, les vaccins, etc), des gens disent des énormités. Faut-il les accepter puisqu'au moins, ils parlent de questions cruciales ?
-
Oui. Les débutants et le droit à l'erreur n'ont pas leur place ici ? Le Jdh n'est pas là pour contrôler la véracité et l'exactitude de tout article qui est remonté dessus, qui le pourrait ?
Cet article a 2 votes au bout de 5 heures, il ne faut pas croire que c'est juste une coïncidence mais également le fait que certains ont lu et ont décidé de ne pas voter pour. Chacun est responsable de son article (chez lui, sur son site/blog), OrelAuwen verra probablement ces commentaires et fera des corrections sur son article.
Tcho !
-
Accepter les erreurs non bien sûr, ce serait à la fois dommage pour les lecteurs et pour le rédacteur, mais les remonter à l'auteur dans l'espoir qu'il les corrige est à mon avis une action plus participative et efficace que nier en bloc l'effort de production de contenu de la personne, surtout si l'article va dans le bon sens.
Personnellement j'ai toujours corrigé mes articles quand on m'a remonté des points incorrects ou imprécis. Et sur le Jdh, plusieurs auteurs suivent les commentaires et réagissent quand on leur fait des remarques. C'est une façon de fonctionner qui, je trouve, permet d'encourager et valoriser l'effort de l'auteur, mais aussi l'effort de la communauté qui réagit au contenu qu'on lui soumet et ses réactions et remarques peuvent se concrétiser par une amélioration du contenu en question.
-
Euh, j'ai remonté à l'auteur (via le formulaire de commentaire du blog), donc je ne me sens pas concerné par ces reproches.
-
ah désolé si ça sonne comme des reproches, ce n'était pas le but, je rebondissais plutôt sur ta question de voter “moins” pour détailler la démarche du Jdh et mon point de vue personnel. @cascador a d'ailleurs écrit un article il y a quelques temps sur le blog du Jdh “Le downvote en question” https://blog.journalduhacker.net/index.php?article153/le-downvote-en-question
-
-
-
-
-
On note aussi le 323 dans une adresse IPv4… enfin, le message de fond est pas mal, mais faudrait quand même corriger les quelques erreurs, parce qu'au mieux ceux qui n'y connaissent rien vont retenir des bêtises, au pire ceux qui y connaissent pas grand chose mais un peu quand même risquent de remettre en cause la crédibilité de tout l'article…
-
-
Tu peux utiliser une IP valide spécialement conçue pour être utilisée dans ce genre de cas.
https://tools.ietf.org/html/rfc5737
Bon je sais pas si le cinéma ça rentre dans le cadre « documentation », mais pour l'article dont il est question ici, je trouve que ça a sa place.
-
-
-
-
Attention, cela ne marche que si la commande whois inclus un champ pour “Expiry Date”. Ça ne fonctionnera pas pour .de, par exemple.
-
Effectivement. J'ai intégré d'autres formats et si l'un d'eux n'est pas visible dans le retour de whois, c'est un “FAIL” qui sera affiché. Les whois de mes domaines retournent tous le champ “Expiry Date” donc ça répond à mon besoin. J'ai les TLD suivants : .com, .fr, .io, .org, .info, .tv et du .net.
-
-
Tu fais disparaître tous les projets libre/open-source, la majorité des projets proprios font le vol aussi (j'écris ça sans source).
Les gens ne sont plus éduqués à connaître les outils qu'ils utilisent. Le marketing que les libristes peuvent détester (et j'en fais parti) conduit les gens à n'être que des consommateurs et rien de plus. On leur dit que Foo et meilleurs que Bar et ça leur suffit pour passer de Bar à Foo (sprintf Google Chrome et Firefox).
Dans ton analyse, tu échappes une partie de la population que veut reprendre les choses en main, surtout quand il s'agit des outils que leurs enfants utilisent (@see https://www.tinternet.net/ + les échanges avec les gens [très très loin des geeks] lors des rencontres).
-
[Comment removed by author]
-
-
-
-
-
Ahhh mais qu’il est mauvaise langue ! J’avais déjà lu l’article (ce qui m’a amené à penser que passer par toutes les versions successives pour migrer c’est c***t et d’où ma question « pourquoi se donner tant de mal ? »)
Bon mais entre lire un article et lire tous les liens proposés par l’article, il y a une petite différence ;)
-
-
-
-
-
Très intéressant ! Je n’ai pas de DBA dans mon équipe mais on eu l’occasion d’en consulter pour gérer un cas de figure très technique. En plus d’être un beau métier, c’est essentiel pour avoir des bases solides.