Let's Encrypt est-il en train de passer de sauveur à single point of failure (SPOF) ?

#17344

+1

J’y avais pensé aussi.

On peut faire la même remarque par exemple pour tout ce qui est Framasoft (leurs services en ligne là). C’est joli de dégoogliser Internet, mais si c’est pour mettre ses œufs dans un autre panier unique, c’est pas l’idéal non plus.

La solution, concernant Frama, ils l’ont : ce sont les C.H.A.T.O.N.S : un collectifs où chaque membre héberge une instance du service, de façon indépendante. Un peu à la manière de Mastodon.

Faire la même chose pour Let’s Encrypt semble pas mal, mais ça signifie aussi l’éventuelle naissance d’instances corrompues / vérolées / …

Ensuite, le HTTPS permet deux choses :
– chiffrer les communications entre le serveur et le navigateur
– authentifier le fait qu’un site est bien le site qu’il prétend être.

Dans mon cas (et je pense la majorité des cas), seule la première partie est intéressante. L’autre fonction est d’avantage utile pour les sites sensibles (banques, services gouvernementaux, etc.).

Or ceci, c’est déjà possible : n’importe qui pour produire un certificat HTTPS pour chiffrer son site. C’est juste que ce certificat ne sera pas signé et ne pourra pas servir pour authentifier le site. Le problème avec ça, c’est que les navigateurs lèvent une alerte pour cette raison…

https://www.nextinpact.com/news/105955-lets-encrypt-est-il-en-train-passer-sauveur-a-single-point-of-failure-spof.htm

Third party CSS is not safe - JakeArchibald.com

#17274

Maieuh…

Il est possible de faire un keylogger en CSS…

L’article, globalement, suggère (à juste titre) que si on utilise des scripts externes, ça revient à donner les clés de son site à quelqu’un d’autre (celui qui gère ledit script : JS peut tout faire sur la page, en fait, y compris remplir des champs, modifier des formulaires, faire des requêtes…).

Utiliser des styles externes semble moins risqué, mais il reste tout de même possible de faire beaucoup de choses… Le keylogger est juste un exemple.

La conclusion à tirer est qu’il faut tout héberger chez soi. Et surtout, comme d’hab, faire attention à ce qu’on récupère : un fichier CSS téléchargé puis hébergé sur son site peut très bien lui-même faire des includes() ailleurs, y compris sur des images, des svg…

https://jakearchibald.com/2018/third-party-css-is-not-safe/

Je suis toujours Charlie, et vous ? – Parigot-Manchot

#17118

Je ne lis pas forcément Charlie, je n’aime pas forcément Charlie, mais je refuse qu’on tue ceux qui le font.

Y a pas eu besoin de Charlie pour ça, mais c’est effectivement mon état d’esprit aussi.

Le problème 3 ans après, c’est que ce mème est devenue l’excuse justement pour instaurer des politiques sécuritaires où l’on "tue" ce qui font des choses avec lesquelles certains sont en désaccord.

Concrètement et par exemple, au nom de l’anti-terrorisme, l’État place une arme dans les mains de tous les policiers, même privés (agents de sécurité), même peu entraînés (policiers municipaux), et même en dehors de leur service.

Une arme, quand elle est utilisée, est destinée à tuer ou mutiler. Placer une arme dans les mains de quelqu’un, c’est lui donner le droit de vie où de mort de ceux qui sont à portée.

Quand c’est l’État qui le fait avec les policiers, ça revient à placer la peine de mort entre des mains individuelles plutôt qu’entre les mains d’une institution comme la Justice.

Et ça, ce n’est pas Charlie.
Je ne veux pas vivre dans un monde où l’on tue des humoristes. Mais je ne veux pas non plus vivre dans un monde où un inconnu mandaté par mon pays peut me descendre s’il en a envie ou s’il pète un câble.

Note : à tous ceux qui utilisent un lecteur RSS en ligne…

#16895

… assurez-vous que la liste des flux ne soit pas visible publiquement (si vous ne le désirez pas).

Je regarde un peu dans Google Webmaster là, et je vois que mes sites sont référencés par des tas de lecteurs RSS qui sont totalement ouverts au public (principalement Kriss-feed, mais pas seulement).

Si vous vous en foutez, alors moi aussi, mais sinon on peut (et n’importe qui, et n’importe quel moteur de recherche aussi) voir la liste de vos abonnements RSS. Et ça ne vient pas de Google Webmaster : n’importe quel webmaster peut voir d’où viennent les visiteurs, grâce au referer (le lien d’origine, que le navigateur communique au site visité), que tous les serveurs web enregistrent dans les logs.

Pour se prémunir de ça, une des solutions suivantes suffit :
– dites aux moteurs de recherche de ne pas visiter votre agrégateur RSS (avec le robots.txt — mais on doit faire confiance à moteur de recherche pour qu’il respecte cette consigne)
– dites au serveur web de ne pas laisser un moteur de recherche accéder à votre agrégateur (.htaccess ou autre ; mais un moteur de recherche peut très bien s’identifier comme un navigateur quelconque)
– utilisez un agrégateur qui n’affiche les flux que derrière une page de connexion (solution la plus sûre à mon avis).

https://lehollandaisvolant.net/?mode=links&id=20171022130428

Comment la France s’apprête à devenir un Etat policier où chacun est transformé en potentiel suspect - Basta !

#16793

Je viens de regarder « Captain America : The Winter Soldier » il y a deux jours.

Une des citations qui me résonne dans la tête est quand le Captain (un super-homme crée durant la WW2, qui a hiberné 40 ans dans la glace de l’arctique avant d’être réveillé et remmené à l’époque moderne) dit à Nick Fury (le boss du Shield, un service secret de défense des USA) qui veut utiliser un nouveau moyen de défense anti-terroriste :

We are pointing a gun at every citizen in the world, and call it protection ?

De la bouche du Captain, qui a combattu contre les Nazi durant la WW2, ça prend tout de suite une grande valeur.

Et ça, c’est totalement ce qu’on est en train de faire aujourd’hui : suspecter tout le monde, tout le temps, en les surveillant en masse, en automatisant cette surveillance (coucou reconnaissance faciale) la répression (coucou les PV/mandats envoyés de façon automatique), voire bientôt les arrestations (coucou les robots) et peut-être même les assassinats policiers (coucou les drones armés à reconnaissance faciale comme dans Half-Life-2).

L’idée même où chacun est un suspect, et où le gouvernement souhaite que chacun vive dans la peur que son voisin soit un suspect et une personne dangereuse, l’idée même où chacun vive dans la terreur, c’est ce que l’on appelle le terrorisme.

Je propose qu’on appelle ça le « terreurisme ».

https://www.bastamag.net/Comment-la-France-s-apprete-a-devenir-un-Etat-policier-ou-chacun-est-transforme