Package: torsocks

2015-09-15 Par sujet eknadekrem 

Homepage: https://gitweb.torproject.org/torsocks.git

une version 2.x est disponible sur git.
c'est la version préconisée.

je n'ai rien compris à la façon de l'installer.
est-ce quelq'un(e) sait comment s'y prendre ?
est-ce une version immature ou non suffisament testé ?
est-ce que cette version sera bientôt disponible dans les dépôts ?

bref, un peu (et même beaucoups) d'éclaircissement à ce sujet m"aiderait 
à m'y retrouver.'

Re: Jessie : erreurs au démarrage. EFI ?

2015-09-15 Par sujet Pascal Hambourg 
Alain Rpnpif a écrit :
> 
> Je n'ai pas de partition réservée à l'EFI.

La core image de GRUB est forcément amorcée depuis quelque part.
La partition est identifiable à partir de l'entrée d'amorçage EFI de
Debian, affichée avec la commande (en root) :

efibootmgr -v

Ensuite comparer l'UUID figurant dans l'entrée "debian" avec les valeurs
de PARTUUID affichés par la commande (en root) :

blkid

> La partition UEFI est-elle indispensable ?

Si on parle de l'identifiant de type de "partition système EFI", je
soupçonne que non, sinon le firmware UEFI ne s'embêterait pas à stocker
la position, taille et UUID de la partition contenant le chargeur dans
l'entrée d'amorçage EFI. Mais il faut que ce soit un système de fichiers
que le firmware UEFI comprenne, donc FAT.

De même il n'est pas indispensable que cette partition soit montée en
permanence sur /boot/efi. Ça l'est seulement pour y installer un
chargeur d'amorçage EFI. De même qu'il n'est pas nécessaire que /boot
soit montée en permanence.


> Erreur de ma part : les messages arrivent après la sélection du noyau
> de démarrage mais avant son chargement. Donc GRUB pourrait être
> concerné (aussi ?).


Comment ça, "aussi" ? Evidemment que GRUB et lui seul est concerné, dans
tous les cas.

Re: mise à jour testing+stable

2015-09-15 Par sujet Pierre Crescenzo 
Bonjour,

Je m'y suis mis sérieusement hier et, au prix de l'abandon (temporaire :-))
de quelques paquets importants pas encore prêts ("gnome" mais seulement le
métapaquet, "filezilla"...), ça passe désormais bien. J'ai agis peu à peu
avec synaptic, en lisant bien la liste de ce qu'il enlevait.

Amitiés,

Pierre Crescenzo
  mailto:pie...@crescenzo.nom.fr
  http://www.crescenzo.nom.fr/

Le 10 septembre 2015 11:35, Pierre Crescenzo  a
écrit :

> Bonjour,
>
> Merci pour cette information. Mais je vois bien la version 5 de
> LibreOffice et mes "blocages" (plus de 600) ne sont pas limités à lui. Je
> tente de faire quelques mises à jour sélectives de temps en temps pour
> converger mais c'est un travail de Sisyphe pour le moment...
>
> Amitiés,
>
> Pierre Crescenzo
>   mailto:pie...@crescenzo.nom.fr
>   http://www.crescenzo.nom.fr/
>
> Le 9 septembre 2015 15:35, kevin  a écrit :
>
>> Bonjour,
>>
>> Si ça peut aider...
>>
>> ces jours-ci, sur des machines installées en stretch, j'avais un
>> problème avec LibreOffice base avec un fichier qui pourtant fonctionnait
>> bien jusqu'à récemment --- quand exactement ? --- : lorsque je tentais
>> d'ouvrir le formulaire, j'avais un message d'erreur :
>> 
>>
>> aucun pilote SDBC n'a été trouvé pour
>> l'URL 'sdbc:embedded:hsqldb'
>> --
>>
>>
>> Réinstaller le paquet « libreoffice-sdbc-hsqldb » n'a pas corrigé le
>> problème.
>>
>>
>> D'autre part, je voyais sur www que la version LibreOffice pour stretch
>> est actuellement la 5, alors que mes machines sous stretch utilisaient
>> toujours la 4 ; et une mise à jour classique (aptitude update /
>> safe-upgrade) n'installait pas la 5.
>>
>> J'ai désinstallé le méta-paquet « libreoffice », puis je l'ai réinstallé
>> (après avoir lancé un clean), et la réinstallation lance en réalité
>> l'installation de la version 5 ; phénomène un peu curieux, que je
>> suppose être lié à cette période de transition dont parle le post
>> précédent.
>>
>> => et l'installation de la version 5 corrige mon problème d'accès à la
>> bdd.
>>
>> Après la « réinstallation » du paquet libreoffice, un nouvel
>> update/upgrade met à jour d'autres paquets (plutôt curieux aussi,
>> puisque juste avant de désinstaller LO, j'avais lancé un update/upgrade).
>>
>>
>>
>>
>>
>>
>>
>

Re: Upgrade de testing

2015-09-15 Par sujet Pierre Crescenzo 
Bonjour,

Je m'y suis mis sérieusement hier et, au prix de l'abandon (temporaire :-))
de quelques paquets importants par encore prêts ("gnome" mais seulement le
métapaquet, "filezilla"...), ça passe désormais bien. J'ai agis peu à peu
avec synaptic, en lisant bien la liste de ce qu'il enlevait.

Amitiés,

Pierre Crescenzo
  mailto:pie...@crescenzo.nom.fr
  http://www.crescenzo.nom.fr/

Le 12 septembre 2015 10:15, Franck Delage  a écrit :

> Bonjour à tous,
>
> Quelqu'un a-t-il réussi à être à jour en Testing aujourd'hui ?
>
> Cela fait des jours que je suis bloqué par une résolution des dépendances
> interminable...
>
> Aujourd'hui petite amélioration, avec l'option --full-resolver, aptitude
> me propose une solution, mais qui ne met pas grand chose à jour, des
> centaines de paquets à conserver dans leur situation actuelle, d'autres à
> downgrader, etc...
>
> J'ai lu ici même que c'était sans doute dû à l'arrivée de gcc5...
>
> Avez-vous une idée ou dois-je attendre encore que tout se stabilise ?
>
> Merci à vous,
>
> Franck.
>

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet juke 
On Mon, Sep 14, 2015 at 04:02:55PM +0200, andre_deb...@numericable.fr wrote:
> Comment se fait-il que mon serveur de mails officiel
> accepte les certificats TLS et SSL qui n'émane pas 
> d'une autorité reconnue, sauf que ce certificat
> a été accrédité par "cacert.org".

je n'ai pas compris cette phrase. 

Tu dis que ton serveur accepte *les* certificat*s* sauf que le certif de ton 
serveur à été accrédité CACert ?! 

> Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
> outlook...

LES MUA utilisent generalement la meme chaine/keytrust que les agents https, en
tout cas pour thunderbird/firefox et outlook/windows. 



signature.asc
Description: Digital signature

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet Eric Degenetais 
>
> Pour les certificats de mails, comme déjà indiqué, pour être
> sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> signés par l'autorité de certification "cacert.org", gratuitement :
> https://fr.wikipedia.org/wiki/CAcert.org
> CAcert.org est une autorité de certification communautaire qui émet des
> certificats à clés publiques gratuits. CAcert a plus de 260 000
> utilisateurs
> vérifiés, et a émis plus d'un million de certificats.


OK, donc on en reste au même principe que les navigateurs: on n'accepte pas
les auto-signés, et il faut se faire signer par une autorité reconnue. Que
CAcert.org soit reconnue par les clients mail, mais pas par les navigateurs
ne change rien au principe: concrètement un navigateur ou un client e-mail
est fourni avec un truststore pré-rempli avec des autorités reconnues de
confiance. Les utilisateurs font confiance à leur source de logiciel pour
vous fournir des clients qui acceptent uniquement des autorités de
certification dignes de confiance...
Que cacert.org signe gratuitement n'est pas le plus important. Ce qui
compte c'est que ce soit une autorité qui est reconnue comme sérieuse. La
solidité d'une certificat (AKA choix d'un bon algorithme + longeur de clef)
est un problème important mais c'est un AUTRE problème.

Pas très différent d'acheter une porte: vous faites confiance au fabriquant
pour ne pas vendre des copies de clefs aux autres derrière votre dos. Avoir
une porte blindée de 20 cm ne protège en rien si tout le monde peut avoir
une copie de la clef.

__
Éric Dégenètais
Henix


http://www.henix.com
http://www.squashtest.org


Le 14 septembre 2015 18:39,  a écrit :

> On Monday 14 September 2015 18:02:06 Belaïd wrote:
> > Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a
> > râlé sur un certificat auto-signé.
>
> On Monday 14 September 2015 18:20:45 Eric Degenetais wrote:
> > En quoi des certificats officiels à 5€ / an seraient-ils plus
> > crédibles que les certificats auto-signés ?
>
> > Ça dépend pour qui.
> > Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est,
> > franchement, le meilleur comportement pour la sécurité, j'avais un peu
> > naïvement pris mon cas pour une généralité...
> > Attention, ne pas confondre certificat signé bénévolement par une
> autorité
> > qui ne fait pas payer et certificats auto-signés ou signés par une
> autorité
> > installé dans son garage, c'est fort différent.
> > Quand vous vous connectez sur un serveur, c'est la signature de son
> > certificat par une autorité publiquement connue (et à laquelle on fait
> > confiance par un processus social et non technique pour ne pas délivrer
> > n'importe quel certificat à n'importe qui) qui permet à l'utilisateur
> final
> > d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il
> > croit contacter.
> > Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte
> > c'est que vous ayez confiance dans l'autorité en question (et confiance
> > dans le fait que c'est bien son certificat qui est dans votre truststore,
> > ce qui implique de faire confiance à l'éditeur du client mail ou u
> > navigateur, et dans votre moyen de distribution des paquets logiciels).
> > Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat
> est
> > bidon ou non (je certifie moi-même que je suis authentique...)
>
> Pour les certificats https, il n'y a pas de demi-mesure,
> soit on, le crée et signe soi même => ça couine,
> soit on le, crée et fait signer par une autorité de certification,
> la résistance du certificat est liée à son prix qui peut monter très haut.
> Pour ceux à 5€/an, humm, résistance assez faible pas meilleure
> que ceux auto-signés.
> Les certificats signés par "cacert.org" ne sont pas acceptés par
> les navigateurs (https).
> D'où l'idée de "let's encrypt" déjà signalée, sponsorisé par
> Mozilla, Cisco et d'autres... Enfin des certificats opensource !
>
> Pour les certificats de mails, comme déjà indiqué, pour être
> sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> signés par l'autorité de certification "cacert.org", gratuitement :
> https://fr.wikipedia.org/wiki/CAcert.org
> CAcert.org est une autorité de certification communautaire qui émet des
> certificats à clés publiques gratuits. CAcert a plus de 260 000
> utilisateurs
> vérifiés, et a émis plus d'un million de certificats.
>
> André
>
>

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet juke 
> la résistance du certificat est liée à son prix qui peut monter très haut. 
> Pour ceux à 5€/an, humm, résistance assez faible pas meilleure que ceux 
> auto-signés.

La résistance ?! 


signature.asc
Description: Digital signature

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet andre_debian 
On Tuesday 15 September 2015 10:19:32 Eric Degenetais wrote:
> >
> > Pour les certificats de mails, comme déjà indiqué, pour être
> > sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> > signés par l'autorité de certification "cacert.org", gratuitement :
> > https://fr.wikipedia.org/wiki/CAcert.org
> > CAcert.org est une autorité de certification communautaire qui émet des
> > certificats à clés publiques gratuits. CAcert a plus de 260 000
> > utilisateurs
> > vérifiés, et a émis plus d'un million de certificats.

> OK, donc on en reste au même principe que les navigateurs: on n'accepte pas
> les auto-signés, et il faut se faire signer par une autorité reconnue. Que
> CAcert.org soit reconnue par les clients mail, mais pas par les navigateurs
> ne change rien au principe: concrètement un navigateur ou un client e-mail
> est fourni avec un truststore pré-rempli avec des autorités reconnues de
> confiance. Les utilisateurs font confiance à leur source de logiciel pour
> vous fournir des clients qui acceptent uniquement des autorités de
> certification dignes de confiance...
> Que cacert.org signe gratuitement n'est pas le plus important. Ce qui
> compte c'est que ce soit une autorité qui est reconnue comme sérieuse. La
> solidité d'une certificat (AKA choix d'un bon algorithme + longeur de clef)
> est un problème important mais c'est un AUTRE problème.
> Pas très différent d'acheter une porte: vous faites confiance au fabriquant
> pour ne pas vendre des copies de clefs aux autres derrière votre dos. Avoir
> une porte blindée de 20 cm ne protège en rien si tout le monde peut avoir
> une copie de la clef.

Il y a quand même une nuance :
je suis loin d'être spécialiste,
"cacert.org", ne signe pas des certificats,
il vérifie des certificats à clés publiques.
Ceux ci sont acceptés par les MUA,
mais pas par les navigateurs pour les https.

On Tuesday 15 September 2015 11:24:18 j...@free.fr wrote:
> > la résistance du certificat est liée à son prix :
> La résistance ?! :
Comme Papy,
quelle est la différence entre un certificat à 5€ et 3000€ / an ?

André

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet andre_debian 
On Tuesday 15 September 2015 11:30:48 j...@free.fr wrote:
> On Mon, Sep 14, 2015 at 04:02:55PM +0200, andre_deb...@numericable.fr wrote:
> > Comment se fait-il que mon serveur de mails officiel
> > accepte les certificats TLS et SSL qui n'émane pas 
> > d'une autorité reconnue, sauf que ce certificat
> > a été accrédité par "cacert.org".

> je n'ai pas compris cette phrase. 
> Tu dis que ton serveur accepte *les* certificat*s* sauf que le certif 
> de ton serveur à été accrédité CACert ?!  

> > Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
> > outlook...

> LES MUA utilisent generalement la meme chaine/keytrust que 
> les agents https, en tout cas pour thunderbird/firefox et 
> outlook/windows. 

C'est un constat que je ne peux expliquer,
les certificats simplement accrédités par CACert
sont acceptés par les MUA et pas par les navigateurs.

André

Rép : Jessie : erreurs au démarrage. EFI ?

2015-09-15 Par sujet mi . demur 


vous pourrez lire les avantages et difficultés de l'EFI.

https://fr.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface

Re: Rép : Jessie : erreurs au démarrage. EFI ?

2015-09-15 Par sujet maderios 

Le 15/09/2015 16:58, mi.de...@tinet.cat a écrit :




Bonjour

vous pourrez lire les avantages et difficultés de l'EFI.


Dans le monde du logiciel libre, dont Linux, uefi n'est pas un 
"avantage" mais un un truc complètement inutile qui mérite le nom de 
boulet (pour rester poli). Concernant son usage avec windows, véritable 
passoire en matière de sécurité, il y a peut-être une explication...

--
Maderios

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet Sylvain L. Sauvage 
Le mardi 15 septembre 2015, 11:47:21 andre_deb...@numericable.fr 
a écrit :
>[…]
> On Tuesday 15 September 2015 11:24:18 j...@free.fr wrote:
> > > la résistance du certificat est liée à son prix :
> > La résistance ?! :
> Comme Papy,
> quelle est la différence entre un certificat à 5€ et 3000€ /
> an ?

2995€ ?

« Fourchette-piège aimantée, permettant de manger les petits 
pois proprement et avec distinction : 10 F.
Le même, mais plus cher : 12,90. »
— Pierre Dac & Francis Blanche

-- 
 Sylvain Sauvage

Re: VendrEFI ?

2015-09-15 Par sujet Alexandre Hoïde 
On Tue, Sep 15, 2015 at 06:35:21PM +0200, maderios wrote:
> Le 15/09/2015 16:58, mi.de...@tinet.cat a écrit :
> >
> >
> Bonjour
> >vous pourrez lire les avantages et difficultés de l'EFI.
> 
> Dans le monde du logiciel libre, dont Linux, uefi n'est pas un "avantage"
> mais un un truc complètement inutile qui mérite le nom de boulet (pour
> rester poli). Concernant son usage avec windows, véritable passoire en
> matière de sécurité, il y a peut-être une explication...

  On est même pas mercrefi, ventrebleu !

  Si ce n'est que je préfèrerais un 'coreboot' sur mon système, et qu'on
sera certainement bien d'accords à propos du «secure»-boot de l'UEFI, je
me pose une question (non polémique) : un système BIOS est-il vraiment
préférable pour l'utilisateur en termes de
sécurité/intégrité/confidentialité/contrôle… de Liberté, qu'un système
EFI ?

  Sinon, à l'usage (de base) je le trouve confortable, clair et robuste.

-- 
 ___
| $ post_tenebras ↲ |   waouh !
| GNU\ /|  /
|  -- * --  | o
| $ who ↲/ \|_-- ~_|
| Alexandre Hoïde   |  _/| |
 ---

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet andre_debian 
On Tuesday 15 September 2015 14:48:54 Sébastien NOBILI wrote:
> Le mardi 15 septembre 2015 à 11:53, andre_deb...@numericable.fr a écrit :
> > C'est un constat que je ne peux expliquer,
> > les certificats simplement accrédités par CACert
> > sont acceptés par les MUA et pas par les navigateurs.

> Les navigateurs peuvent accepter les certificats provenant de CACert, 
> mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine 
> de CACert dans leur base d'autorités de confiance 
> (pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
> On peut très bien ajouter le certificat racine dans la base et alors, ils
> accepteront sans problème les certificats émis par CACert.
> http://www.cacert.org/index.php?id=3
> Sébastien

Info bien intéressante, concernant les navigateurs (https),
mais la technique me dépasse.

Si tu pouvais me donner un petit tuto... :-)

Bonne nuit.

André

Re: Modifier la durée de validité d'un certificat TLS...

2015-09-15 Par sujet Sébastien NOBILI 
Bonjour,

Le mardi 15 septembre 2015 à 11:53, andre_deb...@numericable.fr a écrit :
> C'est un constat que je ne peux expliquer,
> les certificats simplement accrédités par CACert
> sont acceptés par les MUA et pas par les navigateurs.

Les navigateurs peuvent accepter les certificats provenant de CACert, mais (du
moins pour ceux que j'utilise) n'ont pas le certificat racine de CACert dans
leur base d'autorités de confiance (pourquoi, je ne sais pas mais ça doit
pouvoir se trouver).

On peut très bien ajouter le certificat racine dans la base et alors, ils
accepteront sans problème les certificats émis par CACert.

http://www.cacert.org/index.php?id=3

Sébastien