Logo journal du hacker middle
  1. 1

    Mais c’est un manchot ;) Les pingouins qui marchaient on a eu la bonne idée de les exterminer :(

    1. 1

      Merde, je fais pas la différence perso… donc faut excuser l’erreur :p

      1. 1

        En plus penguin en anglais donne manchot en français, bref on n’est pas aidé sur ce coup-là :p

    1. 2

      Petit ajout par rapport à l’article : Pour avoir Pass sur Android il est possible d’installer Password Store (en GPL-3, disponible sur F-Droid) avec OpenKeyChain pour la gestion des clés GPG (GPL-3, aussi disponible sur F-Droid). Password Store gère git et si on utilise une yubikey (comme suggéré dans l’article) on peut également l’utiliser avec l’application via NFC.

      1. 1

        J’ai effectivement pas creusé la partie mobile encore (j’utilise peu mon téléphone). En tout cas, merci pour le retour sur les outils, je vais tester ça !

        1. 1

          Merci pour les informations. Est-ce que Password Store propose un clavier alternatif comme Keepass4Android qui d’après ce que j’ai lu semble le plus sécurisé ? pass me semble intéressant mais les solutions proposées sur Android me semble moins bien intégrées. Merci.

          1. 1

            Le clavier est requis pour taper la passphrase de sa clé GPG (demandé par l’application OpenKeyChain). C’est le clavier du système qui est utilisé mais libre à chacun d’installer un autre clavier sur son smartphone (perso j’utilise Anysoft Keyboard mais il en existe peut-être de meilleurs). Password Store et OpenKeychain me semblent tout à fait intégrés pour une utilisation mobile (j’utilise pass depuis au moins 5 ans et les applis mobiles depuis facilement 3 ans).

        1. 3

          .gouv.fr medium.com ouch :/ Le pragmatisme a quand même des limites.

          L'article n'en est pas moins intéressant.

          1. 1

            Me suis fait la même remarque.

          1. 1

            Putty, un émulateur ? Sérieusement ? Ils ont fumé quoi chez Dévelopez ? Encore un Windowseux qui ne comprend rien à la ligne de commande !

            1. 1

              PuTTY est un émulateur de terminal doublé d'un client pour les protocoles SSH, Telnet, rlogin, et TCP brut. Cf. Wikipedia.

              Dans le sens où il émule un terminal.

            1. 3

              Eh oh, faut franchement se calmer là…

              Ce détecteur est extrêmement important car il évite qu'en changeant de point wi-fi, on ne se retrouve sur un point de portail captif, et qu'on envoie des adresses, des cookies, des identifiants de manière automatique, ouvrant la porte à une interception.

              C'est mon point de vue mais… Heureusement que cette vérification existe !

              1. 2

                Tout à fait d'accord ! L'article souligne en parlant de l'option: “dont je vous avoue mon ignorance totale quant à son utilité sociale”. J'ai trouvé en 2 secondes cette explication (qui reprend ce que @DaScritch viens de dire): https://www.reddit.com/r/privacytoolsIO/comments/6j22nd/disable_firefox_detect_captive_portal_in/djb5fq9

                1. [Comment from banned user removed]

                  1. 1

                    @bloginfo, après avoir relu 5 fois l'article, je ne vois pas de mention de ce genre. “Pour désactiver cette fonctionnalité dont je vous avoue mon ignorance totale quant à son utilité sociale” est tout ce que je vois.

                    @DaScritch vient de donner la raison de l'appel à cette adresse.

                2. [Comment from banned user removed]

                  1. 2

                    C'est un metabug qui a sa propre page QA https://wiki.mozilla.org/QA/Captive_Portals . La suite des liens est intéressants, notamment les problèmes de stratégie de détection de changement de points wi-fi, pas toujours bien remontées par les OS. Je songe notamment aux features “transparency itinerance” et surtout la mortelle stratégie iOS et Android qui consiste à se connecter au premier point d'accès wi-fi ouvert trouvé, sans forcément en informer les utilisateurs ou les programmes.

                    Ayant développé un portail captif pour un groupe de très grosses entreprises, mes tests persos m'ont montré qu'on se retrouvait souvent avec des informations très compromettantes, parce que les scripts PWA balancent la purée, sans forcément recevoir d'événements du type “offline”/“online” indiquant un changement inopiné de point d'accès.

                    Après, je ne suis pas surpris que tu n'aie pas vraiment cherché, car ce n'est pas la première fois que je reprends tes posts.

                    1. [Comment from banned user removed]

                      1. 2

                        « Rien » ???? J'ai cherché « detect captive portal firefox » dans un moteur de recherche, la page que je t'ai pointé était le tout premier lien exposé .

                        Ensuite, l'URL a été expliquée dans le metabug sur bugzilla https://bugzilla.mozilla.org/show_bug.cgi?id=1202680 . Alors certes, en commentaires, mais quand même… RTFM.

                        L'adresse n'est pas supposée être fixée dans le marbre, car certains kits de captive portal qu'on peut qualifier de “malicieux” (je ne vois pas d'autres termes), s'amusent déjà à faker ce genre de page pour essayer de chopper des identifiants à la volée.

                        Le tout m'a pris… Allez … 3mn pour te répondre, parce que je trouve ce genre d'article un poil expédié et alarmiste, et si tu n'as pas fait un minimum de recherche, je me demande quel intérêt à fournir à un rythme aussi soutenu des articles avec ce genre d'accroche. La recherche d'audience à tout prix ? Le problème est que ton style d'article ne te semble pas prêter à conséquences, mais que tu vas le laisser en ligne sans une seule correction (ni dans le titre, ni dans le chapeau) pendant des années. Et que des gens vont te croire sans chercher à lire au delà de ton premier chapitre. Sauf qu'ils vont involontairement se mettre dans une situation dangereuse, beaucoup plus grave que la supposée “télémétrie”.

                        Tu aurais été responsable, tu aurais ouvert un bug demandant une meilleure information sur un des supports (QA ? fait. KB ? fait aussi), voire tu aurais gentiment demandé sur les réseaux sociaux une réponse AVANT de publier.

                        1. [Comment from banned user removed]

                          1. 1

                            Honnêtement, il y a quelques infos sur le Bugzilla. Je pense que pour les développeurs c'est un détail d'implémentation ;) Ils ont documenté le fait que c'est potentiellement un problème de vie privée. Après, c'est sûr qu'on peut toujours mieux faire mais je pense qu'il y a déjà pas mal d'éléments pour qui veut se faire une idée précise. Sinon, il reste le code :p

                            1. 2

                              malheureusement on peut jamais vraiment lire le code qui tourne sur un serveur…

                1. 2

                  Bonjour, je suis vraiment étonné de tout se pétoire pour un simple fait que tu as démontré! Ils utilisent largement ce qu'ils attaquent et ça c'est un fait! Et encore si j'étais les GAFAM moi j’empercherais l'utilisation des services à ceux qui m'attaquent!!!

                  Je suis debianeux mais j'ai de plus en plus de mal avec ceux qui prônent l'anarchie totale …

                  1. 3

                    Je pense que peu de gens discutent les faits. Personne ne peut nier le dilemme. Personnellement, c'est juste l'insinuation (peut-être mal interprétée) que LQDN est opportuniste. On peut ne pas être d'accord avec eux sur certaines campagnes comme celle-ci mais l’association mérite quand même un peu plus respect AMHA.

                  1. 2

                    Je pense que le troll est réussi ;)

                    C'est le même dilemme pour Firefox qui dénonce les DRM puis fini par les embrasser, pour Gitlab qui s'hebergait sur GitHub, etc.

                    Tout le monde ne peut pas s'offrir le luxe de la radicalité comme Stallman au risque de se retrouver bien seul et caricaturé.

                    Après, je pense que ce qui fait mal c'est de faire passé LQDN pour des opportunistes après tout les combats qu'il ont menés. Ça me semble un peu irrespectueux.

                    Sinon, Twitter n'est pas vraiment un GAFAM.

                      1. 2

                        Attention à la mise en demeure ;)

                        1. 1

                          Il faut que tu tires le lien vers l'article de linuxfr.org pour que les gens comprennent ;)

                          Tcho !

                          1. 1