La déclaration des revenus en ligne semble fonctionner à
merveille pour la plupart des utilisateurs (windows+IE).
En revanche avec Linux et Mozilla, je ne m'en serais pas tiré
sans les conseils des utilisateurs qui ont essuyé les plâtres
les années précédentes:
- Upgrader le JRE.
- chmod a+w /usr/java/jre*/lib/ext/ (sauf pour les courageux
qui naviguent sous root...)
- LANG=en_US.ISO-8859-1 (l'applet ne sait pas signer l'UTF-8 ?)
- Toujours exécuter Mozilla dans le même répertoire, sinon
l'applet ne retrouve pas ses fichiers.
D'où quelques interrogations sur cette infrastructure lourde qui
mélange cookies, javascript, java et SSL, alors que les banques
et sites marchands se contentent de SSL et de mots de passe.
- A t-elle une autre utilité que de garantir la non-répudiation
des déclarations ?
- Est-ce raisonnable, sachant que l'utilisateur doit installer
une applet opaque (voire obfusquée) et lui donner accès en
lecture et écriture au disque, alors que la non-répudiation
exigerait que la DGI n'ait strictement aucun moyen d'accéder
à la clé privée de l'utilisateur ?
- Que sait-on de teleir_cryptolib.jar ?
- Pourquoi le document à signer n'est-il jamais présenté
à l'utilisateur sous un format neutre et non ambigu ?
Il est vrai qu'on peut voir du XML (sans DTD) au milieu des
traces de débug dans la console Java.
- Pourquoi l'accusé de réception n'est-il pas signé, lui ?
- Ne pouvait-on pas obtenir les mêmes propriétés de sécurité
avec seulement SSL et les fonctions de gestion de certificats
du navigateur ? Un enregistrement d'un HTTP POST SSL avec
authentification forte du serveur et du client ne fournirait-il
pas à la fois la confidentialité, la signature non répudiable,
et l'accusé de réception également non répudiable ?
La connaissance de la passphrase ne suffit pas. Il faut également disposer du container de certificat PKCS-12 qui va avec. Un simple keylogger ne suffit donc pas, c'est l'avantage du certificat par rapport au login/password. Mais il est effectivement clairement possible de faire un trojan ciblé TéléIR qui irait ramener le certificat et récupérer la passphrase qui va avec.
Oui, il me semble qu'un simple ftp suffit d'autant plus que la localisation et le noms des 2 répertoires à récupérer sont connus.
vu le nombre de keyloggers et de trojans sous windows...
Je vois bien une solution, mais on va me traiter d'intaigriste. Toujours est-il que comme dirait l'autre "chez moi ça marche"[1], et en charset
Au pire on te traitera d'intégriste ;-)))
[1] je sais bien que cette phrase frise la constructivité nulle, mais c'est parti tout seul.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
-- Sylvain
[blabla ça marche pas]
Mai si ça fonctionne... mais sous Windows ;-(
La connaissance de la passphrase ne suffit pas. Il faut également
disposer du container de certificat PKCS-12 qui va avec. Un simple
keylogger ne suffit donc pas, c'est l'avantage du certificat par rapport
au login/password. Mais il est effectivement clairement possible de faire
un trojan ciblé TéléIR qui irait ramener le certificat et récupérer la
passphrase qui va avec.
Oui, il me semble qu'un simple ftp suffit d'autant plus que la
localisation et le noms des 2 répertoires à récupérer sont connus.
vu le nombre de keyloggers et de trojans sous windows...
Je vois bien une solution, mais on va me traiter d'intaigriste. Toujours
est-il que comme dirait l'autre "chez moi ça marche"[1], et en charset
fr_FR@euro.
Au pire on te traitera d'intégriste ;-)))
[1] je sais bien que cette phrase frise la constructivité nulle, mais
c'est parti tout seul.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du
pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour
un truc qui marche en java ;-(( Merci
La connaissance de la passphrase ne suffit pas. Il faut également disposer du container de certificat PKCS-12 qui va avec. Un simple keylogger ne suffit donc pas, c'est l'avantage du certificat par rapport au login/password. Mais il est effectivement clairement possible de faire un trojan ciblé TéléIR qui irait ramener le certificat et récupérer la passphrase qui va avec.
Oui, il me semble qu'un simple ftp suffit d'autant plus que la localisation et le noms des 2 répertoires à récupérer sont connus.
vu le nombre de keyloggers et de trojans sous windows...
Je vois bien une solution, mais on va me traiter d'intaigriste. Toujours est-il que comme dirait l'autre "chez moi ça marche"[1], et en charset
Au pire on te traitera d'intégriste ;-)))
[1] je sais bien que cette phrase frise la constructivité nulle, mais c'est parti tout seul.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
-- Sylvain
Cedric Blancher
Le Mon, 11 Apr 2005 15:28:20 +0000, Sylvain POURRE a écrit :
Oui, il me semble qu'un simple ftp suffit d'autant plus que la localisation et le noms des 2 répertoires à récupérer sont connus.
À condition qu'un serveur FTP soit disponible sur la machine en question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on est vraiment parano, ce qui semble être le cas de pas mal de contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour la déclaration et placer son répertoire teleir en lecture seulement pour lui ?
On peut toujours faire pleins de trucs pour casser le système, mais au fond, on va toujours en revenir au problème de la protection générale de la machine. Or c'est la base de tout et le problème sur lequel on va toujours retomber, et qui sera nettement plus problématique pour le commerce en ligne ou les accès bancaires. Non ?
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail.
-- BOFH excuse #142:
new guy cross-connected phone lines with ac power bus.
Le Mon, 11 Apr 2005 15:28:20 +0000, Sylvain POURRE a écrit :
Oui, il me semble qu'un simple ftp suffit d'autant plus que la
localisation et le noms des 2 répertoires à récupérer sont connus.
À condition qu'un serveur FTP soit disponible sur la machine en
question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on
est vraiment parano, ce qui semble être le cas de pas mal de
contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour
la déclaration et placer son répertoire teleir en lecture seulement pour
lui ?
On peut toujours faire pleins de trucs pour casser le système, mais au
fond, on va toujours en revenir au problème de la protection générale
de la machine. Or c'est la base de tout et le problème sur lequel on va
toujours retomber, et qui sera nettement plus problématique pour le
commerce en ligne ou les accès bancaires. Non ?
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du
pingouin mais ça me gonfle grave d'être obligé de revenir à Windows
pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail.
--
BOFH excuse #142:
new guy cross-connected phone lines with ac power bus.
Le Mon, 11 Apr 2005 15:28:20 +0000, Sylvain POURRE a écrit :
Oui, il me semble qu'un simple ftp suffit d'autant plus que la localisation et le noms des 2 répertoires à récupérer sont connus.
À condition qu'un serveur FTP soit disponible sur la machine en question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on est vraiment parano, ce qui semble être le cas de pas mal de contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour la déclaration et placer son répertoire teleir en lecture seulement pour lui ?
On peut toujours faire pleins de trucs pour casser le système, mais au fond, on va toujours en revenir au problème de la protection générale de la machine. Or c'est la base de tout et le problème sur lequel on va toujours retomber, et qui sera nettement plus problématique pour le commerce en ligne ou les accès bancaires. Non ?
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail.
-- BOFH excuse #142:
new guy cross-connected phone lines with ac power bus.
Emmanuel Florac
Le Mon, 11 Apr 2005 14:16:19 +0000, Sylvain POURRE a écrit :
J'utilise Linux (kernel 2.6.8-24.14) + Mozilla 1.7.6 + Sun java version "1.4.2_06".
Si tu utilises une distribution qui est par défaut en UTF-8 comme RedHat, Fedora, etc. ça ne peut pas fonctionner. Moi-même j'ai basculé temporairement ma slackware en UTF-8 "pour voir", et ça n'a aucun intérêt : je ne sais toujours pas lire le chinois, et la plupart des documentations (man pages, etc) sont en ISO et deviennent illisibles...
Sinon le petit certificat dans ~/teleir est facile à déplacer, c'est fait exprès : tu dois pouvoir facilement le changer de PC, etc. D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
-- De longs désirs, une longue admiration sans espérance, voilà le moyen d'adorer les femmes, et de rendre l'amour une passion délicieuse! N. Rétif de la Bretonne.
Le Mon, 11 Apr 2005 14:16:19 +0000, Sylvain POURRE a écrit :
J'utilise Linux (kernel 2.6.8-24.14) + Mozilla 1.7.6 + Sun java version
"1.4.2_06".
Si tu utilises une distribution qui est par défaut en UTF-8 comme
RedHat, Fedora, etc. ça ne peut pas fonctionner. Moi-même j'ai basculé
temporairement ma slackware en UTF-8 "pour voir", et ça n'a aucun
intérêt : je ne sais toujours pas lire le chinois, et la plupart des
documentations (man pages, etc) sont en ISO et deviennent illisibles...
Sinon le petit certificat dans ~/teleir est facile à déplacer, c'est
fait exprès : tu dois pouvoir facilement le changer de PC, etc.
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous
Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
--
De longs désirs, une longue admiration sans espérance, voilà le moyen
d'adorer les femmes, et de rendre l'amour une passion délicieuse!
N. Rétif de la Bretonne.
Le Mon, 11 Apr 2005 14:16:19 +0000, Sylvain POURRE a écrit :
J'utilise Linux (kernel 2.6.8-24.14) + Mozilla 1.7.6 + Sun java version "1.4.2_06".
Si tu utilises une distribution qui est par défaut en UTF-8 comme RedHat, Fedora, etc. ça ne peut pas fonctionner. Moi-même j'ai basculé temporairement ma slackware en UTF-8 "pour voir", et ça n'a aucun intérêt : je ne sais toujours pas lire le chinois, et la plupart des documentations (man pages, etc) sont en ISO et deviennent illisibles...
Sinon le petit certificat dans ~/teleir est facile à déplacer, c'est fait exprès : tu dois pouvoir facilement le changer de PC, etc. D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
-- De longs désirs, une longue admiration sans espérance, voilà le moyen d'adorer les femmes, et de rendre l'amour une passion délicieuse! N. Rétif de la Bretonne.
Sylvain POURRE
À condition qu'un serveur FTP soit disponible sur la machine en question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on est vraiment parano, ce qui semble être le cas de pas mal de contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour la déclaration et placer son répertoire teleir en lecture seulement pour lui ?
Oui mais il reste l'écriture de teleir_cryptolib.jar dans un répertoire où un user, normalement, n'a pas le droit d'écrire.
On peut toujours faire pleins de trucs pour casser le système, mais au fond, on va toujours en revenir au problème de la protection générale de la machine. Or c'est la base de tout et le problème sur lequel on va toujours retomber, et qui sera nettement plus problématique pour le commerce en ligne ou les accès bancaires. Non ?
Justement je pensais que la force des Unix/linux résidait dans le fait qu'il y a une séparation bien nette entre les users et l'admin. A partir du moment où, pour fonctionner, une appli me demande des droits particuliers et installe dans mon système des trucs que je ne contrôle pas, je ne vois pas de différence fondamentale avec les Windows.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail. Merci de ta réponse. C'est pour essayer de trouver ce qui cloche dans ma
conf Linux car mon objectif est de réussir à faire fonctionner sous le pingouin. J'ai pallié au plus pressé en passant par windows comme indiqué dans mon premier poste mais j'espère y arriver sous Linux puisqu'on peut faire une déclaration corrective, même après envoi.
-- Sylvain
À condition qu'un serveur FTP soit disponible sur la machine en
question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on
est vraiment parano, ce qui semble être le cas de pas mal de
contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour
la déclaration et placer son répertoire teleir en lecture seulement pour
lui ?
Oui mais il reste l'écriture de teleir_cryptolib.jar dans un répertoire
où un user, normalement, n'a pas le droit d'écrire.
On peut toujours faire pleins de trucs pour casser le système, mais au
fond, on va toujours en revenir au problème de la protection générale
de la machine. Or c'est la base de tout et le problème sur lequel on va
toujours retomber, et qui sera nettement plus problématique pour le
commerce en ligne ou les accès bancaires. Non ?
Justement je pensais que la force des Unix/linux résidait dans le fait
qu'il y a une séparation bien nette entre les users et l'admin. A partir
du moment où, pour fonctionner, une appli me demande des droits
particuliers et installe dans mon système des trucs que je ne contrôle
pas, je ne vois pas de différence fondamentale avec les Windows.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du
pingouin mais ça me gonfle grave d'être obligé de revenir à Windows
pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail.
Merci de ta réponse. C'est pour essayer de trouver ce qui cloche dans ma
conf Linux car mon objectif est de réussir à faire fonctionner sous le
pingouin. J'ai pallié au plus pressé en passant par windows comme
indiqué dans mon premier poste mais j'espère y arriver sous Linux
puisqu'on peut faire une déclaration corrective, même après envoi.
À condition qu'un serveur FTP soit disponible sur la machine en question... Et qu'on ait les droits sur ces fichiers. Par exemple, si on est vraiment parano, ce qui semble être le cas de pas mal de contributeurs ici, pourquoi ne pas créer un utilisateur uniquement pour la déclaration et placer son répertoire teleir en lecture seulement pour lui ?
Oui mais il reste l'écriture de teleir_cryptolib.jar dans un répertoire où un user, normalement, n'a pas le droit d'écrire.
On peut toujours faire pleins de trucs pour casser le système, mais au fond, on va toujours en revenir au problème de la protection générale de la machine. Or c'est la base de tout et le problème sur lequel on va toujours retomber, et qui sera nettement plus problématique pour le commerce en ligne ou les accès bancaires. Non ?
Justement je pensais que la force des Unix/linux résidait dans le fait qu'il y a une séparation bien nette entre les users et l'admin. A partir du moment où, pour fonctionner, une appli me demande des droits particuliers et installe dans mon système des trucs que je ne contrôle pas, je ne vois pas de différence fondamentale avec les Windows.
Peux-tu indiquer, STP, ta version de java. Je ne suis pas intégriste du pingouin mais ça me gonfle grave d'être obligé de revenir à Windows pour un truc qui marche en java ;-(( Merci
HS, donc réponse par mail. Merci de ta réponse. C'est pour essayer de trouver ce qui cloche dans ma
conf Linux car mon objectif est de réussir à faire fonctionner sous le pingouin. J'ai pallié au plus pressé en passant par windows comme indiqué dans mon premier poste mais j'espère y arriver sous Linux puisqu'on peut faire une déclaration corrective, même après envoi.
-- Sylvain
Eric Razny
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera expiré l'année prochaine, non? C'est peut être le moment (après envoi et confirmation de réception de la déclaration) de le révoquer et le renouveler, non?
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Eric.
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous
Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera
expiré l'année prochaine, non? C'est peut être le moment (après envoi
et confirmation de réception de la déclaration) de le révoquer et le
renouveler, non?
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour
pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera expiré l'année prochaine, non? C'est peut être le moment (après envoi et confirmation de réception de la déclaration) de le révoquer et le renouveler, non?
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Eric.
Erwann ABALEA
On Tue, 12 Apr 2005, Eric Razny wrote:
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera expiré l'année prochaine, non?
Normalement oui, modulo les dates de début/fin de campagne, de génération de certificat, etc.
C'est peut être le moment (après envoi et confirmation de réception de la déclaration) de le révoquer et le renouveler, non?
Pas forcément, pour 2 raisons: - on peut avoir changé de SPI (le gros code à 13 chiffres), sans raison évidente (ça m'est arrivé), - il n'est pas certain que l'AC actuelle soit encore valide l'an prochain (c'est presque vrai).
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Le certificat est conservé avec ta signature (il fait partie du message PKCS#7 envoyé), et il est aussi présent chez l'opérateur de l'AC, tu peux même l'obtenir en tant qu'usager lambda, avec la bonne URL (pas de compromission, un certificat est un objet publique). Pas la peine de conserver un certificat expiré et/ou révoqué.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- ``Do or do not. There is no try." Yoda
On Tue, 12 Apr 2005, Eric Razny wrote:
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous
Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera
expiré l'année prochaine, non?
Normalement oui, modulo les dates de début/fin de campagne, de génération
de certificat, etc.
C'est peut être le moment (après envoi
et confirmation de réception de la déclaration) de le révoquer et le
renouveler, non?
Pas forcément, pour 2 raisons:
- on peut avoir changé de SPI (le gros code à 13 chiffres), sans raison
évidente (ça m'est arrivé),
- il n'est pas certain que l'AC actuelle soit encore valide l'an
prochain (c'est presque vrai).
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour
pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Le certificat est conservé avec ta signature (il fait partie du message
PKCS#7 envoyé), et il est aussi présent chez l'opérateur de l'AC, tu peux
même l'obtenir en tant qu'usager lambda, avec la bonne URL (pas de
compromission, un certificat est un objet publique). Pas la peine de
conserver un certificat expiré et/ou révoqué.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
``Do or do not. There is no try."
Yoda
Le Mon, 11 Apr 2005 23:22:12 +0000, Emmanuel Florac a écrit :
D'ailleurs j'ai eu ce certificat il y a 2 ans, sous windows98, et sous Linux il marche très bien.
Au passage, n'oublie pas de le sauvegarder pour l'année prochaine ;)
Deux ans plus cette année, pour des raisons "de sécurité" il sera expiré l'année prochaine, non?
Normalement oui, modulo les dates de début/fin de campagne, de génération de certificat, etc.
C'est peut être le moment (après envoi et confirmation de réception de la déclaration) de le révoquer et le renouveler, non?
Pas forcément, pour 2 raisons: - on peut avoir changé de SPI (le gros code à 13 chiffres), sans raison évidente (ça m'est arrivé), - il n'est pas certain que l'AC actuelle soit encore valide l'an prochain (c'est presque vrai).
Ceci dit amha il faut bel et bien le sauvegarder, ne serait-ce que pour pouvoir prouver qu'on a, ou pas, signé telle ou telle déclaration.
Le certificat est conservé avec ta signature (il fait partie du message PKCS#7 envoyé), et il est aussi présent chez l'opérateur de l'AC, tu peux même l'obtenir en tant qu'usager lambda, avec la bonne URL (pas de compromission, un certificat est un objet publique). Pas la peine de conserver un certificat expiré et/ou révoqué.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- ``Do or do not. There is no try." Yoda
