OVH Cloud OVH Cloud

Gnome 2.6

127 réponses
Avatar
Emmanuel Florac
C'est chouette! beaucoup plus rapide que le 2.4! et le Nautilus spatial,
bon, personnellement je trouve que c'est une bonne idée. C'est inadapté
à une exploration du disque en profondeur, mais pour une exploration peu
profonde de son home directory (pour un luser de base, quoi) c'est bien
évidemment très supérieur...

--
De longs désirs, une longue admiration sans espérance, voilà le moyen
d'adorer les femmes, et de rendre l'amour une passion délicieuse!
N. Rétif de la Bretonne.

10 réponses

Avatar
GP
Emmanuel Florac wrote:


En passant, je trouve absolument délirant que, de nos jours, des fichiers
soient fournis sans être signés gpg.



N'éxagérons rien, s'il est signé md5 c'est déjà pas si mal.


Mais non! Si quelqu'un est capable de te fourguer un autre fichier que celui
que tu dois recevoir, il est aussi capable de t'envoyer le md5sum qu'il veut.
Le md5sum ne prévietn pas les hacks, juste les problèmes de transmissions qui,
à toutes fins utiles, avec les contrôles des protocoles, sont inexistants.

Par contre, les clés pour GPG peuvent être vérifiées à des sources différentes.
Je regrette toutefois que les liaisons pour les serveurs de clés ne soient pas
sécurisées. Si ce sont les gens d'Apache qui ne veulent pas offrir le service
gratuitement, il y a un problème.

Pas les temps qui courent, les signatures, c'est essentiel. Quand j'aurai
réinstallé, probablement avec la version 10 de Slackware, il n'y aura plus rien
qui va rentrer sur mon système qui ne soit signé.

GP


Avatar
Laurent Fousse
On Sun, 16 May 2004 11:22:48 -0400, GP wrote:

Je regrette toutefois que les liaisons pour les serveurs de clés ne
soient pas sécurisées. Si ce sont les gens d'Apache qui ne veulent
pas offrir le service gratuitement, il y a un problème.


Je ne vois pas ce que des liaisons sécurisées vers les serveurs de
clefs apporterait, vu leur fonctionnement qui permet à tout le monde
d'envoyer n'importe quelle clef. Ou alors tu penses à un serveur de
clefs privé?

Avatar
george
GP , dans le message , a écrit :
Je regrette toutefois que les liaisons pour les serveurs de clés ne
soient pas sécurisées.


C'est que tu n'as rien compris au fonctionnement des clefs et des
signatures. Les serveurs de clefs ne sont pas censés être dignes de
confiance, c'est uniquement un moyen pratique de récupérer des clefs
automatiquement, sans avoir à aller les chercher manuellement sur la
page personnelle des gens. Mais n'importe qui peut à tout moment créer
une clef «  » et la charger sur les serveurs de
clefs, rien ne l'en empêche.

Pour vérifier une signature, il ne faut faire confiance qu'à une clef
dont tu as toi-même vérifié la validité, où à une clef qui t'est
certifiée par quelqu'un qui en a lui-même vérifié la validité.

Ainsi, je sais personnellement que la clef 0B2790DE est bien celle de
David Madore, qui m'assure que FC0C02D5 est bien la clef d'Eugene
Spafford, qui à son tour certifie que C9541FB2 est la clef de Douglas
Calvert, qui annonce que 2A960705 est la clef de Peter Anvin, et ce
dernier nous assure que 517D0F0E est bien la clef de Linux Kernel
Archives Verification Key. C'est un peu lointain (plus il y a d'étapes,
plus il y a de personnes qui peuvent être un peu laxistes dans leurs
vérifications), mais j'ai d'autres chemins de vérification. Donc je fais
plutôt confiance à la clef 517D0F0E.

Si ce sont les gens d'Apache qui ne veulent pas
offrir le service gratuitement, il y a un problème.


Apache est un logiciel libre et distribué gratuitement sur le web. Que
crois-tu ?

Avatar
GP
Nicolas George wrote:

Je regrette toutefois que les liaisons pour les serveurs de clés ne
soient pas sécurisées.



C'est que tu n'as rien compris au fonctionnement des clefs et des
signatures. Les serveurs de clefs ne sont pas censés être dignes de
confiance, c'est uniquement un moyen pratique de récupérer des clefs
automatiquement, sans avoir à aller les chercher manuellement sur la
page personnelle des gens. Mais n'importe qui peut à tout moment créer
une clef « » et la charger sur les serveurs de
clefs, rien ne l'en empêche.

Pour vérifier une signature, il ne faut faire confiance qu'à une clef
dont tu as toi-même vérifié la validité, où à une clef qui t'est
certifiée par quelqu'un qui en a lui-même vérifié la validité.

Ainsi, je sais personnellement que la clef 0B2790DE est bien celle de
David Madore, qui m'assure que FC0C02D5 est bien la clef d'Eugene
Spafford, qui à son tour certifie que C9541FB2 est la clef de Douglas
Calvert, qui annonce que 2A960705 est la clef de Peter Anvin, et ce
dernier nous assure que 517D0F0E est bien la clef de Linux Kernel
Archives Verification Key. C'est un peu lointain (plus il y a d'étapes,
plus il y a de personnes qui peuvent être un peu laxistes dans leurs
vérifications), mais j'ai d'autres chemins de vérification. Donc je fais
plutôt confiance à la clef 517D0F0E.


Bien, si tu connais des gens qui connaissent des gens qui pour te rendre à qui
tu veux, que ce soit Anvin, Volkerding ou Knopper, tu es saprement plus
chanceux que moi. Très perso, aucun de mes amis intimes n'utilise Linux et s'il
fallait qu'un jour il y en ait un, on aura chacun nos clés, guère plus.

Évidemment, sachant qu'on peut te faire une confiance absolue :) je pourrais te
demander ton chemin de clés :), mais je me demande réellement à quoi rime ce
cirque. Si ce système peut être utile dans une bande de nerds, il serait vain
de chercher à l'imposer à toute une communauté de newbies. Les gens ont, en
général, autre chose à faire dans la vie que de vérifier des clés.

Alors, étant entendu qu'il n'y a pas plus de 100 serveurs de clés dans le monde
et qu'on ne devrait se fier qu'à des serveurs reconnus -- celui du MIT, disons
--, étant encore entendu qu'il ne peut y avoir qu'une clé avec le même nom --
disons, -- un serveur https permettrait d'être relativement
certain de la validité de la clé. Ce serait certainement préférable à la
situation actuelle.

Si ce sont les gens d'Apache qui ne veulent pas
offrir le service gratuitement, il y a un problème.



Apache est un logiciel libre et distribué gratuitement sur le web. Que
crois-tu ?


Je crois que les serveurs httpS ne sont pas «distribués gratuitement sur le web».

GP


Avatar
Laurent Fousse
On Sun, 16 May 2004 13:27:24 -0400, GP wrote:

Alors, étant entendu qu'il n'y a pas plus de 100 serveurs de clés
dans le monde et qu'on ne devrait se fier qu'à des serveurs reconnus
-- celui du MIT, disons --, étant encore entendu qu'il ne peut y
avoir qu'une clé avec le même nom -- disons, --
un serveur https permettrait d'être relativement certain de la
validité de la clé. Ce serait certainement préférable à la situation
actuelle.


En supposant que le fonctionnement des serveurs de clefs soit changé
pour garantir ces hypothèses (et c'est très loin d'être le cas), on
pourrait effectivement faire confiance dans les clefs qu'on a
téléchargé de façon sécurisée via *LE* serveur de clef canonique. Clef
qu'on aura téléchargée contre paiement, parce que le mec qui vérifie
les clefs uploadées, il va pas être bénévole.

Je ne pense pas que ça soit tellement préférable à la situation
actuelle. La sécurité a un coût, le plus important étant celui de
comprendre ce que l'on fait.

Avatar
GP
Laurent Fousse wrote:
On Sun, 16 May 2004 13:27:24 -0400, GP wrote:


Alors, étant entendu qu'il n'y a pas plus de 100 serveurs de clés
dans le monde et qu'on ne devrait se fier qu'à des serveurs reconnus
-- celui du MIT, disons --, étant encore entendu qu'il ne peut y
avoir qu'une clé avec le même nom -- disons, --
un serveur https permettrait d'être relativement certain de la
validité de la clé. Ce serait certainement préférable à la situation
actuelle.



En supposant que le fonctionnement des serveurs de clefs soit changé
pour garantir ces hypothèses (et c'est très loin d'être le cas), on
pourrait effectivement faire confiance dans les clefs qu'on a
téléchargé de façon sécurisée via *LE* serveur de clef canonique.


Il y a déjà un processus qui met les différents serveurs à jour.

Clef
qu'on aura téléchargée contre paiement, parce que le mec qui vérifie
les clefs uploadées, il va pas être bénévole.


:) Quel mec qui vérifie les clés? J'envoie une clé pour gilpel à altern.org .
Je reçois un message me disant qu'une clé a été demandée. Je confirme. Bingo!
Les noms de domaines où il y a des développeurs -- debian.org. slackware.com,
knooper.net, kernel.org, etc. -- pourraient recevoir, disons une fois par
semaine, une liste de leurs abonnés qui ont demandé une clé.

Je ne pense pas que ça soit tellement préférable à la situation
actuelle.


Je pense que oui.

La sécurité a un coût, le plus important étant celui de
comprendre ce que l'on fait.


Sans doute, mais si on veut faire autre chose que de distribuer OS et applis
sur CD, il faut prendre des mesures que tout le monde peut comprendre
facilement. Sinon, à plus ou moins long terme, ça déconner.

On parle de démocratiser Linux. On ne pourra le faire avec un système aussi
complexe que celui qui est actuellement en vigueur.

GP


Avatar
Emmanuel Florac
Le Sun, 16 May 2004 11:13:14 -0400, GP a écrit :


T'es bien sûr de ne pas avoir de problèmes dans le style de ceux que
j'éprouve?


Si, mais sous Knoppix/Debian exclusivement. Comme je l'ai mentionné en
passant une fois, j'ai eu droit à des trucs complètement
extra-terrestres du genre la lettre accentué qui n'apparaît que quand on
presse la lettre suivante, la lettre accentué qui fonctionne comme un
effacement-arrière, j'en passe et des plus drôles (mais plus pénible
quant à l'utilisation de la machine...)

--
In girum imus nocte ecce et consumimur igni

Avatar
Emmanuel Florac
Le Sun, 16 May 2004 11:11:21 -0400, GP a écrit :


Normal. Je viens de ressayer, puis ça fonctione correctement. En d'autres
mots? Je me fais hacker. Hier, je n'avais pas de barre de défilement dans
la console. Aujourd'hui, j'en ai une.


Tu te fais hacker ou tu deviens un hacker? :)

Il y a quelques semaines, le bouton retour dans Konqueror s'est mis à ne
pas fonctionner. Il faut que je choisisse dans le menu pour revenir en
arrière ou que j'utilise alt + flèche gauche.


Tu n'as pas fait une mise à jour?

Puis, le bouton de
défilement dans gxine s'est mis à ne plus fonctionner.


Ça n'est pas lié au type de fichier? Il y a certains types de fichiers
qui permettent la navigation (mpeg, quicktime), d'autres non (windows
media).

Hier, la barre de
progression dans wget s'est changée en un genre de bidule <=> qui se
promène de gauche à droite, style: [ <=> ]


Ah oui, c'est le comportement normal cela... J'ai toujours eu ça.

Alors là, c'est confirmé. Du moins pour ce qui est des interfaces, je ne
peux plus me fier à rien.

J'ai un firewall qui ne devrait pourtant laisser passer que les connexions
established ou related.


Ça c'est très efficace, même sous windows.

Tu vois une façon de régler ce problème sans que j'en aie pour six mois
d'études à temps plein?


Pour wget, c'est sûrement une option que tu devais avoir par défaut,
genre 'alias wget="wget -zz"' dans ton .login ou un truc de ce genre, non?
À moins que ce ne soit swarte qui ait installé un nouveau fichier de
config par défaut ou un truc de ce genre.

--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando

Avatar
GP
Emmanuel Florac wrote:

Il y a quelques semaines, le bouton retour dans Konqueror s'est mis à ne
pas fonctionner. Il faut que je choisisse dans le menu pour revenir en
arrière ou que j'utilise alt + flèche gauche.


Tu n'as pas fait une mise à jour?

Puis, le bouton de
défilement dans gxine s'est mis à ne plus fonctionner.


Ça n'est pas lié au type de fichier?


Non. J'ai essayé avec des fichiers que j'avais déjà visionnés. Pareil. Le
bouton ne bouge plus.

Hier, la barre de
progression dans wget s'est changée en un genre de bidule <=> qui se
promène de gauche à droite, style: [ <=> ]


Ah oui, c'est le comportement normal cela... J'ai toujours eu ça.


Pas moi.

Alors là, c'est confirmé. Du moins pour ce qui est des interfaces, je ne
peux plus me fier à rien.

J'ai un firewall qui ne devrait pourtant laisser passer que les connexions
established ou related.


Ça c'est très efficace, même sous windows.


Pourtant, j'avais des problèmes comme ça. Par exemple, j'écrivais dans Mozilla
et, tout d'un coup, l'éditeur se fermait et je perdais tout ce que je n'avais
pas sauvegardé. Là, j'ai empêché tous les redirects dans
/proc/sys/net/ipv4/conf/* et je logge même les martiens :)

Que dalle! Faut dire aussi que le "CTRL + s" est devenu une seconde nature.

Tu vois une façon de régler ce problème sans que j'en aie pour six mois
d'études à temps plein?



Pour wget, c'est sûrement une option que tu devais avoir par défaut,
genre 'alias wget="wget -zz"' dans ton .login ou un truc de ce genre, non?


Non.

À moins que ce ne soit swarte qui ait installé un nouveau fichier de
config par défaut ou un truc de ce genre.


Et il y a des tas d'autres trucs. Par exemple, quand j'ouvre xpdf à partir de
Mozilla, il y a une nouvelle fenêtre vide de Mozilla qui s'ouvre. ÇA ne faisait
pas ça il y a une semaine. Etc.


Avatar
GP
Emmanuel Florac wrote:


T'es bien sûr de ne pas avoir de problèmes dans le style de ceux que
j'éprouve?



Si, mais sous Knoppix/Debian exclusivement. Comme je l'ai mentionné en
passant une fois, j'ai eu droit à des trucs complètement
extra-terrestres du genre la lettre accentué qui n'apparaît que quand on
presse la lettre suivante, la lettre accentué qui fonctionne comme un
effacement-arrière, j'en passe et des plus drôles (mais plus pénible
quant à l'utilisation de la machine...)


Ça m'est aussi arrivé dernièrement avec Slackware. Je tapais la lettre
normalement, mais j'obtenais le caractère alt. J'ai rebooté, c'est revenu.

Mais, tout de même, il y a décidément un problème.

GP