Re: Authentification ssh et PAM

[Vincent Lefevre]

On 2023-07-19 09:05:05 +0200, Michel Verdier wrote:
> Le 18 juillet 2023 roger tarani a écrit :
> > Quel est le mécanisme détaillé conduisant à l'authentification de 
> > l'utilisateur par l'hôte distant ? 
> > (la clef privée reste sur l'hôte local ; comment la clef publique et la 
> > clef privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) 
> 
> La clef publique est indiquée au serveur lors de la demande de connexion.
> Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le
> client avec sa clef privée.

Le chiffrage se fait avec la clé *publique* du destinataire. Mais
c'est HS ici, car il ne s'agit pas de chiffrer, mais d'authentifier,
qui est l'équivalent de vérifier une signature. Et la signature se
fait avec sa propre clé privée (et se vérifie avec la clé publique
associée).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment modifier l'objet erroné d'un fil de discussion ?

[Vincent Lefevre]

On 2023-07-18 13:32:09 +0200, Étienne Mollier wrote:
> Txo, on 2023-07-18:
> > Le 18/07/2023 à 09:47, Étienne Mollier a écrit :
> > > La convention typique pour changer le sujet d'un fil de
> > > discussion est de mettre l'ancien nom dans un pseudo-champ Was :
> > > 
> > >   Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? 
> > > (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?)
> > > 
> > > Mais si c'est juste pour corriger une coquille, je pense que de
> > > juste la corriger dans le sujet entre deux courriels sera tout à
> > > fait tolérable.
> > Bonjour,
> > Puisqu'on est sur une liste francophone, peut-être mieux «était» que «was»…
> 
> Sûr, mais il me semblait qu'à une époque, certains logiciels
> comme Thunderbird étaient capable de réagir à la présence de ce
> format particulier pour enlever automatiquement le champ Was à
> la réponse suivante.  J'ignore si c'est toujours le cas, ni si
> un champ localisé Était serait proprement pris en compte dans
> une telle situation.

Le newsreader tin sait aussi le faire; c'est configurable, mais
le "(was:" est peut-être ce qui est considéré par défaut.

À noter que le RFC 1849 ("Son of 1036") dit

  NOTE: There is a semi-standard convention, often used, in which a
  subject change is flagged by making the new Subject-content of the
  form:

  new topic (was: old topic)

  possibly with "old topic" somewhat truncated.  Posters wishing to
  do something like this are urged to use this exact form, to
  simplify automated analysis.

Donc la forme "(was:" est fortement recommandée.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

Bonsoir,

On 2023-03-09 22:21:05 +0100, Étienne Mollier wrote:
> Dans un environnement sid minimal pur dans mention de bookworm
> dans le fichier sources.list, j'ai bien le message observé par
> Philippe après une commande de mise à jour :
> 
>   # apt --version
>   apt 2.6.0 (amd64)
>   # cat /etc/apt/sources.list
>   deb http://localhost:3142/deb.debian.org/debian sid main non-free
>   # apt update
>   Hit:1 http://localhost:3142/deb.debian.org/debian sid InRelease
>   Reading package lists... Done
>   Building dependency tree... Done
>   Reading state information... Done
>   All packages are up to date.
>   N: Repository 'Debian bookworm' changed its 'non-free component' value 
> from 'non-free' to 'non-free non-free-firmware'
>   N: More information about this can be found online in the Release notes 
> at: 
> https://www.debian.org/releases/bookworm/amd64/release-notes/ch-information.html#non-free-split
> 
> Ceci étant, ce message n'est effectivement pas indiqué à la fin
> de la mise à niveau vers apt 2.6.0 ; je n'ai pas immédiatement
> observé le message en faisant mes tests.  Si le message
> n'apparait pas de votre côté en suivant les même étapes que
> ci-dessus alors que vous avez des microprogrammes installés par
> paquet, ou que la section non-free activée dans le fichier
> sources.list, alors c'est sûrement un bogue.

Je n'utilise pas apt, mais aptitude pour faire les mises à jour,
et je ne trouve rien à propos d'un tel message dans les logs.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

On 2023-03-09 22:17:02 +0100, MERLIN Philippe wrote:
> Le jeudi 9 mars 2023, 22:04:56 CET Vincent Lefevre a écrit :
> > On 2023-03-09 15:04:34 +0100, MERLIN Philippe wrote:
> > > Bonjour,
> > > En Sid apt 2.6  j'ai le message suivant.
> > > N: Le dépôt « Debian bookworm » a modifié sa valeur « non-free component »
> > > de « non- free » à « non-free non-free-firmware »
> > 
> > Je n'utilise pas du tout le dépôt Debian bookworm.
> Moi non plus, j'utilise seulement testing et Sid comme dépot, le
> message n'est peut être pas très clair, mais il faut modifier pour
> ces deux dépots non-free component en non-free non-free-firmware.

Moi je n'ai jamais eu ce message.

-- 
Vincent Lefèvre  - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

On 2023-03-09 15:04:34 +0100, MERLIN Philippe wrote:
> Bonjour, 
> En Sid apt 2.6  j'ai le message suivant.
> N: Le dépôt « Debian bookworm » a modifié sa valeur « non-free component » de 
> « non-
> free » à « non-free non-free-firmware » 

Je n'utilise pas du tout le dépôt Debian bookworm.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

On 2023-03-08 19:47:27 +0100, Étienne Mollier wrote:
> > mais ce va être fait(?) par apt, spécialement modifié pour l'occasion, donc
> > un upgrade d'une Debian en version précédente vers la version 12 Bookworm
> > devrait aussi gérer cette transition sans problème?
> > (d'après https://www.phoronix.com/news/Debian-APT-2.6-Released)
> 
> Si j'en juge par le commit [9712edf6], apt 2.6.0 prend pour
> l'instant en charge la migration en affichant des alertes à la
> personne ayant lancé la commande de mise à jour, mais il ne
> semble pas y avoir davantage de modifications appliquées au
> système.

Quelle commande de mise à jour? Vers la version 12 Bookworm?
En tout cas, pour unstable, rien n'est fait.

Pour info, voici ce que j'ai obtenu avec l'upgrade de apt:

Log started: 2023-03-07  02:59:53
Preparing to unpack .../libapt-pkg6.0_2.6.0_amd64.deb ...
Unpacking libapt-pkg6.0:amd64 (2.6.0) over (2.5.6) ...
Setting up libapt-pkg6.0:amd64 (2.6.0) ...
Preparing to unpack .../archives/apt_2.6.0_amd64.deb ...
Unpacking apt (2.6.0) over (2.5.6) ...
Setting up apt (2.6.0) ...
Installing new version of config file /etc/apt/apt.conf.d/01autoremove ...
Preparing to unpack .../apt-utils_2.6.0_amd64.deb ...
Unpacking apt-utils (2.6.0) over (2.5.6) ...
Preparing to unpack .../archives/apt-doc_2.6.0_all.deb ...
Unpacking apt-doc (2.6.0) over (2.5.6) ...
Setting up apt-doc (2.6.0) ...
Setting up apt-utils (2.6.0) ...
Processing triggers for libc-bin (2.36-8) ...
Processing triggers for man-db (2.11.2-1) ...
Processing triggers for doc-base (0.11.1) ...
Processing 2 changed doc-base files...
Log ended: 2023-03-07  03:00:02

Le fichier /etc/apt/sources.list n'est pas modifié:

-rw-r--r-- 1 root root 1721 2021-08-23 03:00:11 /etc/apt/sources.list

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

On 2023-03-08 14:18:04 +0100, didier gaumet wrote:
> Le 08/03/2023 à 13:01, Vincent Lefevre a écrit :
> > 
> > Il faudrait que cela soit fait aussi pour Debian/unstable.
> > Je n'ai toujours pas de non-free-firmware ajouté, bien que
> > intel-microcode soit passé à non-free-firmware.
> 
> Tu es en apt 2.6?
> https://metadata.ftp-master.debian.org/changelogs//main/a/apt/apt_2.6.0_changelog

Oui, mais apparemment, rien n'est fait à part la documentation:

  * More support for non-free-firmware
- Have values in Section config trees refer to them in all components
- Add non-free-firmware component in documentation
- Suggest using non-free-firmware in update for Debian

C'est assez vague.

-- 
Vincent Lefèvre  - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bookworm sources.list et non-free firmware

[Vincent Lefevre]

On 2023-03-07 20:53:41 +0100, Étienne Mollier wrote:
> Bonsoir,
> 
> > Le 07/03/2023 à 14:55, Frédéric MASSOT a écrit :
> > > Bonjour,
> > > 
> > > Si vous utilisez une Debian Bookworm et avez besoin de firmware non
> > > libre, le nouveau composant "non-free-firmware" pour le fichier
> > > "sources.list" vient d'arriver. Ces firmware sont déplacés du dossier
> > > "non-free" à "non-free-firmware".
> > > 
> > > https://lists.debian.org/debian-boot/2023/02/msg00200.html
> > > 
> > > Le fichier "sources.list" devient :
> > > 
> > > deb https://deb.debian.org/debian bookworm main contrib non-free
> > > non-free-firmware
> > > 
> > > deb https://deb.debian.org/debian-security bookworm-security main
> > > contrib non-free non-free-firmware
> > > 
> > > deb https://deb.debian.org/debian bookworm-updates main contrib non-free
> > > non-free-firmware
> > > 
> > > deb https://deb.debian.org/debian bookworm-backports main contrib
> > > non-free non-free-firmware
> 
> Merci pour le message, l'un des problèmes intéressant à résoudre
> pour la sortie de Debian 12 serait de procéder de manière fiable
> à la bascule vers cette nouvelle section quand cela est estimé
> nécessaire.  C'est un problème plus compliqué qu'il n'en a l'air
> à première vue.  Il est important de procéder à la bascule, sans
> quoi les paquets ayant changé de section vont silencieusement
> arrêter de se mettre à jour, vu qu'ils ne sont plus maintenu du
> côté de la section non-free.

Il faudrait que cela soit fait aussi pour Debian/unstable.
Je n'ai toujours pas de non-free-firmware ajouté, bien que
intel-microcode soit passé à non-free-firmware.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment éviter la saisie de longs chemins avec /bin/bash ?

[Vincent Lefevre]

Bonjour,

On 2023-03-02 09:43:29 +0100, Olivier wrote:
> Sur mon PC sous Bullseye, j'utilise /bin/bash.
> J'aimerai bénéficier d'un mécanisme m'évitant au maximum la saisie de
> longs chemins vers lesquels je navigue souvent.
> 
> Plutôt que
> cd /Mon/très/long/chemin/vers/dossier1
> 
> J'aimerai configurer quelque part la variable M, y associer le chemin
> Mon/très/long/chemin/vers
> puis n'avoir qu'à saisir
> cd M/dossier1

Passer à zsh et utiliser une des méthodes suivantes?

Le "hash -d": de manière similaire à ~user comme signifiant /home/user,
cela permet de définir des répertoires sous un nom style ~m.

hash -d m=/Mon/très/long/chemin/vers
cd ~m/dossier1

(ou directement "hash -d m=/Mon/très/long/chemin/vers/dossier1" si
tu préfères), et c'est valable avec n'importe quelle commande, pas
seulement cd, et c'est évidemment compatible avec la complétion,
le globbing, etc.

C'est une solution quand on un a répertoire utilisé fréquemment.

En interactif, il y a aussi la possibilité de taper quelque chose
du genre

  cd /M/t/l/c/v/d

puis [Tab]. C'est utile pour de longs chemins utilisés peu fréquemment.

Il y a aussi la possibilité d'utiliser le globbing récursif:

  cd /Mon/**/dossier1

suivi éventuellement de [Tab] pour vérifier l'expansion. Mais s'il
y a beaucoup de possibilités dans la récursion, ça peut être lent.
C'est très utile quand on ne connaît pas le chemin exact vers un
répertoire ou fichier.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Des pilotes Nvidia officiels libres

[Vincent Lefevre]

On 2022-05-12 09:22:51 +0200, didier gaumet wrote:
> Source Phoronix:
> https://www.phoronix.com/scan.php?page=article=nvidia-open-kernel=1

Je lis:
"NVIDIA IS PUBLISHING THEIR LINUX GPU KERNEL MODULES AS OPEN-SOURCE!"

Pas libre, juste open-source. C'est cependant mieux que l'état actuel.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Pavé numérique bullseye

[Vincent Lefevre]

On 2021-08-18 23:57:57 +0200, Jean Bernon wrote:
> La pression de la touche numlock avec xev donne ceci :
> 
> KeyPress event, serial 34, synthetic NO, window 0x2a1,
> root 0x522, subw 0x0, time 1626327, (158,-18), root:(208,96),
> state 0x0, keycode 110 (keysym 0xff50, Home), same_screen YES,
> XLookupString gives 0 bytes: 
> XmbLookupString gives 0 bytes: 
> XFilterEvent returns: False
> 
> KeyRelease event, serial 37, synthetic NO, window 0x2a1,
> root 0x522, subw 0x0, time 1626536, (158,-18), root:(208,96),
> state 0x0, keycode 110 (keysym 0xff50, Home), same_screen YES,
> XLookupString gives 0 bytes: 
> XFilterEvent returns: False

Mapping du clavier mal configuré, donc. Ça, c'est le code de la
touche Home. Pour numlock, tu devrais obtenir:

state 0x10, keycode 77 (keysym 0xff7f, Num_Lock), same_screen YES,

ou similaire.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Re : Re: Problème avec pulseaudio

[Vincent Lefevre]

On 2021-06-24 08:55:25 +, Hugues Larrive wrote:
> Le mercredi 23 juin 2021 à 06:39, Haricophile  a écrit 
> :
> Chez moi il semble être lancé par systemd lors de l'exécution des tâches 
> cron.daily, et plus particulièrement du script /etc/cron.daily/locate qui 
> contient :
> # run find as this user
> LOCALUSER="nobody"
> Ça lance le script /usr/bin/updatedb.findutils qui fait un `su nobody` ... ce 
> qui provoque :
> Jun 23 06:55:12 pbp systemd[1]: Created slice User Slice of UID 65534.
> Jun 23 06:55:12 pbp systemd[1]: Starting User Runtime Directory 
> /run/user/65534...
> Jun 23 06:55:12 pbp systemd[1]: Finished User Runtime Directory 
> /run/user/65534.
> Jun 23 06:55:12 pbp systemd[1]: Starting User Manager for UID 65534...
> et une tentative de lancement de pulseaudio.service pour cet utilisateur.

C'est parce qu'avec systemd et son utilisation des CGroup, il ne
faut pas utiliser "su" dans un fichier crontab.

Si je comprends bien, le problème est que le service cron est dans
le system.slice, et que le su va alors créer un user.slice pour
l'utilisateur en question (ici, nobody). Et c'est ça qui va activer
divers trucs, dont une tentative de lancement de pulseaudio.

Par exemple, si j'ajoute un fichier dans /etc/cron.d avec une
ligne du genre

40 * * * * root su nobody -c true

alors quand la commande est lancée, j'obtiens:

Jun 24 15:40:01 zira CRON[186136]: pam_unix(cron:session): session opened for 
user root(uid=0) by (uid=0)
Jun 24 15:40:01 zira CRON[186137]: (root) CMD (su nobody -c true)
Jun 24 15:40:01 zira systemd[1]: Created slice User Slice of UID 65534.
Jun 24 15:40:01 zira su[186138]: (to nobody) root on none
Jun 24 15:40:01 zira systemd[1]: Starting User Runtime Directory 
/run/user/65534...
Jun 24 15:40:01 zira su[186138]: pam_unix(su:session): session opened for user 
nobody(uid=65534) by (uid=0)
Jun 24 15:40:01 zira systemd[1]: Finished User Runtime Directory 
/run/user/65534.
Jun 24 15:40:01 zira systemd[186140]: pam_unix(systemd-user:session): session 
opened for user nobody(uid=65534) by (uid=0)
Jun 24 15:40:01 zira systemd[1]: Starting User Manager for UID 65534...
[...]
Jun 24 15:40:01 zira systemd[186140]: Starting Sound Service...
Jun 24 15:40:01 zira nologin[186163]: Attempted login by root (UID: 65534) on 
UNKNOWN
Jun 24 15:40:01 zira su[186138]: pam_unix(su:session): session closed for user 
nobody
Jun 24 15:40:01 zira pipewire[186161]: could not set nice-level to -11: 
Permission denied
Jun 24 15:40:01 zira rtkit-daemon[730]: Supervising 5 threads of 1 processes of 
2 users.
Jun 24 15:40:01 zira rtkit-daemon[730]: Supervising 5 threads of 1 processes of 
2 users.
Jun 24 15:40:01 zira systemd[186140]: Started D-Bus User Message Bus.
Jun 24 15:40:01 zira pipewire[186161]: could not make thread realtime: 
Permission denied
Jun 24 15:40:01 zira systemd[1]: session-799.scope: Succeeded.
Jun 24 15:40:01 zira pipewire[186161]: Failed to receive portal pid: 
org.freedesktop.DBus.Error.NameHasNoOwner: Could not get PID of name 
'org.freedesktop.portal.Desktop': no such name
Jun 24 15:40:01 zira pipewire-media-session[186168]: could not set nice-level 
to -11: Permission denied
Jun 24 15:40:01 zira rtkit-daemon[730]: Supervising 5 threads of 1 processes of 
2 users.
Jun 24 15:40:01 zira rtkit-daemon[730]: Supervising 5 threads of 1 processes of 
2 users.
Jun 24 15:40:01 zira pipewire-media-session[186168]: could not make thread 
realtime: Permission denied
Jun 24 15:40:01 zira CRON[186136]: pam_unix(cron:session): session closed for 
user root
Jun 24 15:40:01 zira pulseaudio[186162]: Failed to create secure directory 
(/nonexistent/.config/pulse): No such file or directory
Jun 24 15:40:01 zira postfix/pickup[183192]: A54ACC23C25: uid=0 from=
Jun 24 15:40:01 zira systemd[186140]: pulseaudio.service: Main process exited, 
code=exited, status=1/FAILURE
Jun 24 15:40:01 zira systemd[186140]: pulseaudio.service: Failed with result 
'exit-code'.
Jun 24 15:40:01 zira systemd[186140]: Failed to start Sound Service.
[...]
Jun 24 15:40:01 zira systemd[186140]: pulseaudio.service: Scheduled restart 
job, restart counter is at 1.
Jun 24 15:40:01 zira systemd[186140]: Stopped Sound Service.
Jun 24 15:40:01 zira systemd[186140]: Starting Sound Service...
Jun 24 15:40:01 zira pulseaudio[186178]: Failed to create secure directory 
(/nonexistent/.config/pulse): No such file or directory
Jun 24 15:40:01 zira systemd[186140]: pulseaudio.service: Main process exited, 
code=exited, status=1/FAILURE
Jun 24 15:40:01 zira systemd[186140]: pulseaudio.service: Failed with result 
'exit-code'.
Jun 24 15:40:01 zira systemd[186140]: Failed to start Sound Service.
Jun 24 15:40:02 zira systemd[186140]: pulseaudio.service: Scheduled restart 
job, restart counter is at 2.
Jun 24 15:40:02 zira systemd[186140]: Stopped Sound Service.
Jun 24 15:40:02 zira systemd[186140]: Starting Sound Service...
Jun 24 15:40:02 zira pulseaudio[186179]: Failed to create secure directory 
(/nonexistent/.config/pulse): No such 

Re: Re : Re: Re : Re: Problème avec pulseaudio

[Vincent Lefevre]

On 2021-06-24 13:52:17 +, Hugues Larrive wrote:
> mais `su test` ne provoque pas la création d'une instance utilisateur,
> `su nobody -s /bin/sh` non plus.

Pas depuis un shell (je pense que la raison est qu'on est déjà dans
une instance utilisateur), mais depuis un service comme cron, il y
a bien une création d'une instance utilisateur.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: editer un pdf

[Vincent Lefevre]

On 2021-02-20 12:49:57 +0100, ajh-valmer wrote:
> Ça semble mieux marcher maintenant :
> "soffice --draw" => ouvrir => je choisis format PDF,
> le fichier PDF s'ouvre, je modifie,
> pour l'enregistrer,  mais le seul format proposé est ODG.

C'est "Export" qu'il faut utiliser. Mais dans la barre d'outils,
il y a déjà un bouton pour exporter en PDF directement.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: editer un pdf

[Vincent Lefevre]

On 2021-02-19 14:19:49 +, elguero eric wrote:
> Le vendredi 19 février 2021 à 14:12:46 UTC+1, Samy (Zaclys) 
>  a écrit : 
> 
> Vous avez quelle version de LibreOffice ? J'ai la 6.1.5-3+deb10u6.
> 
> la 5.2.7.2 

Utiliser une version à jour? Même pdftotext vois correctement les
caractères (donc ce n'est pas un problème d'encodage foireux qui
ne fonctionne plus dès que la fonte est remplacée par une autre).

Note: vous répondez n'importe comment. Il faut que le message auquel
vous répondez soit quoté avec ">".

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: editer un pdf

[Vincent Lefevre]

On 2021-02-16 13:01:14 +, elguero eric wrote:
> - xournal : c'est celui qui a été le plus utile pour moi.
> c'est un peu délicat de caler le texte au bon endroit
> puisqu'il ne reconnaît pas les lignes du document
> (j'ai l'impression qu'il le voit comme une image raster)

Le PDF est considéré par xournal comme un calque non modifiable,
et ce que tu ajoutes se fait "par dessus".

> mais ça marche. Je ne suis pas certain qu'ensuite
> le document reste un pdf éditable par mes collègues
> windowsistes... 

Quand on exporte en PDF, le contenu sous forme de texte est bien
préservé, et le texte que tu as ajouté éventuellement est bien
inscrit sous forme de texte. Tout ce texte est cherchable et
sélectionnable avec atril et xpdf, par exemple. Je suppose qu'il
peut donc être édité par les outils capables de le faire (il y a
LibreOffice qui sait le faire, mais en détruisant au passage la
mise en page d'origine lors du passage dans son format).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [HS] suite d'opérations arithmétiques en php

[Vincent Lefevre]

On 2021-02-15 19:16:02 +0100, Daniel Caillibaud wrote:
> Le 12/02/21 à 20:11, "ajh-valmer"  a écrit :
> > 
> > Entrer la suite d'opérations :  2+9*5-7
> > VALIDER :
> > echo 2+9*5-7; # code PHP
> > réponse : 2+9*5-7
> > 
> > Par contre, codes à remplacer / ajouter :
> > $opar=$suiteope;
> > echo suiteope. ' = ';
> > print("");
> > echo eval("return $opar ;" );
> 
> Il ne faut JAMAIS faire de eval sur du texte entré par un utilisateur !

Si c'est valide, gros bug de conception de PHP!

Par exemple en Perl:

$ echo 'print "OK\n"' | perl -Te 'eval '
Insecure dependency in eval while running with -T switch at -e line 1,  
line 1.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: editer un pdf

[Vincent Lefevre]

On 2021-02-12 17:08:12 +, elguero eric wrote:
> on m'a envoyé un formulaire à remplir
> au format pdf. Je sais qu'il est éditable
> parce qu'une collègue en a rempli une
> partie. Mais je ne sais pas avec quel
> outil je pourrais le faire.

Pour les PDF avec formulaires, j'utilise Atril.

> j'ai essayé Libreoffice draw comme
> recommandé ici ou là, mais si j'essaie
> d'ouvrir le fichier pdf avec draw, il
> appelle automatiquement writer et
> je suis coincé.
> 
> j'ai essayé inkscape mais il ne peut
> importer qu'une page et il y en a 9,

Libreoffice et Inkscape ne sont pas faits pour éditer des PDF: ils
modifient la mise en page, probablement à cause d'une conversion
dans leur format interne.

> et je ne sais pas comment les recoller
> ensuite (et puis c'est moche).

Si jamais tu as besoin de recoller pour une bonne raison, il y a
pdfjam.

Si tu veux ajouter des choses par dessus un PDF, il y a xournal
qui peut le faire.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: gestionnaire de fenêtres X11 pour grands écrans pour Debian

[Vincent Lefevre]

Salut,

C'est un peu vieux, mais je rattrape petit à petit...

On 2020-10-13 06:11:56 +0200, Basile Starynkevitch wrote:
> J'utilise Linux depuis 1993 et préfère la ligne de commandes. J'ai deux
> grand écrans sous Debian/Sid. La commande xdpyinfo | grep -i -4 screen donne
> notamment
> 
> > screen #0:
> >dimensions:5360x1440 pixels (1418x381 millimeters)

Moi:

screen #0:
  dimensions:7680x2160 pixels (814x229 millimeters)

(La taille en mm est complètement fausse, mais bon, c'est le nombre
de pixels qui compte.)

> Je cherche un gestionnaire de fenêtres X11 (X11 window manager) - ou
> probablement une configuration d'un tel gestionnaire de fenêtres (par
> exemple icewm, fvwm, ) qui:

J'utilise fvwm depuis 1995, et je n'ai pas changé avec ma nouvelle
config.

> 1. démarre aisément une commande que je tape, si possible via zsh et la
> complétion associée.

Euh... je ne vois pas le rapport avec le gestionnaire de fenêtres.

> 2. gère les touches volume son de mon clavier Corsair Gaming K66 (AZERTY)

Avec fvwm, on peut associer une commande à une touche. Par exemple,
j'ai ceci pour la luminosité de l'écran de mon portable (qui est
en fait éteint quand j'utilise mes 2 écrans 4K, mais peu importe,
c'est un exemple):

Key XF86MonBrightnessDown   A   A   Exec brightnessctl set 10-
Key XF86MonBrightnessUp A   A   Exec brightnessctl set +10

Évidemment, il faut que les touches soient supportées par le driver.
Mais cela n'a pas de rapport avec le gestionnaire de fenêtres.

> 3. limite dans tous les cas la taille maximale des fenêtres X11 à 3072x1024
> pixels.

Pourquoi?

En tout cas, fvwm semble pouvoir le faire:

  MaxWindowSize [ width [ p ] height [ p ] ] Tells fvwm the
  maximum width and height of a window. [...]

Mais je n'ai jamais testé (pas vraiment besoin en pratique, je crois
qu'il n'y a que xpdf qui a ouvert des fenêtres trop grandes sur certains
documents, peut-être à cause de ma config "Xpdf.initialZoom: 200").

> 4. démarre quelques logiciels au click droit menu (lxterminal, firefox,
> thunderbird)

On peut affecter un menu entièrement configurable à chacun des
boutons.

En fait, fvwm est bien configurable, avec une page man de 9000 lignes,
sans compter les 18 modules qui viennent avec.

> Je n'ai généralement pas besoin d'icônes desktop sur mon bureau. Je
> prefère très largement la ligne de commande.

Idem, surtout avec la puissance de zsh.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: problème de connexion avec Wicd

[Vincent Lefevre]

On 2020-04-25 20:57:53 +0200, ajh-valmer wrote:
> On Saturday 25 April 2020 02:15:56 Vincent Lefevre wrote:
> > Le premier est qu'il ne se connecte pas automatiquement quand
> > l'interface graphique est ouverte. J'ai écrit un patch pour
> > corriger ce problème, cf
> >   https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833929
> 
> Pourtant, il y a une case à cocher "Connexion automatique".
> Chez moi, Wicd me connecte bien au boot sans action manuelle.
> (Buster 32 bits).

sauf que comme indiqué, il y a des conditions "not self.gui_open"
qui font que quand l'interface graphique est ouverte, la connexion
automatique (en fait, reconnexion automatique) ne se fait pas.

-- 
Vincent Lefèvre  - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: problème de connexion avec Wicd

[Vincent Lefevre]

Bonjour,

On 2020-04-23 15:58:46 +0200, MERLIN Philippe wrote:
> Depuis quelque temps lors de mes connexions Wifi à un site j'ai ce
> phénomène suivant Wicd émet le message "connexion effectuée" suivi
> après un certain temps du message suivant "Non connecté" quand cela
> arrive inutile d'essayer de se reconnecter j'y arrive jamais. La
> seule solution que j'ai trouvé ce n'est pas très Linux c'est de
> rebooter.

Wicd a des problèmes de reconnexion connus. Même si certains sont
différents de ce que tu observes, j'en profite tout de même pour
les signaler.

Le premier est qu'il ne se connecte pas automatiquement quand
l'interface graphique est ouverte. J'ai écrit un patch pour
corriger ce problème, cf

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833929

Note: c'est corrigé, mais uniquement dans experimental.

Ceci dit, mon patch ne corrige pas tout, et c'est toute la logique
de l'autoconnexion qui devrait être révisée, comme je l'explique:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833929#40

Notamment, il y a ce bug que j'ai aussi rapporté:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=932042

Mais ces bugs, c'est pour la (re)connexion automatique, et ils
n'affectent pas une connexion manuelle.

Autre problème, quand on veut se connecter à un SSID qui a plusieurs
points d'accès (BSS), wicd sélectionne un BSS particulier, alors que
celui-ci n'est pas forcément dans un état stable:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=916348

> J'ai regardé les logs et on voit que le serveur attribue une adresse
> au client puis il semble que le dialogue se perd .

Est-ce que le BSSID est le même quand ça marche et quand ça ne marche
pas? Si le comportement dépend du BSSID, cf le bug 916348 que j'ai
mentionné ci-dessus.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

caractères illisibles (was: Mettre à jour la libc6)

[Vincent Lefevre]

On 2019-04-09 20:25:59 +0200, Yahoo wrote:
> Bon c'est bon,
> 
> pour une raison qui m'??chappe Thunderbird m'a configur?? l'envoi de mail en
> encodage Occidental(ISO-8859-1), mais c'est quand m??me mieux en UTF-8.
> 
> donc re re voici le texte :
[...]

Ce n'est en fait pas un problème d'encodage au niveau du mail,
c'est juste que tes caractères non ASCII sont tranformés en "??"
quelque part avant l'envoi du mail.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Emacs touche meta avec --no-window-system (dans un terminal graphique)

[Vincent Lefevre]

On 2019-01-21 11:19:09 +0100, Benoit B wrote:
> Il semblerait qu'il n'y a pas qu'emacs qui interprète Meta comme Esc,
> dans un terminal (en mode texte, pas un xterm), si à l'invite du login
> au lieu du login on tape Meta-touche et Esc (relâché suivit de) touche
> cela affiche la même chose.

Pour les consoles Linux (VT), cf page man setmetamode(1).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Emacs touche meta avec --no-window-system (dans un terminal graphique)

[Vincent Lefevre]

Bonjour,

On 2019-01-02 09:11:01 +0100, Benoit B wrote:
> J'ai indiqué ça dans mon .emacs pour que la touche «win» (l’affreux
> drapeau ;) ) soit utilisée comme touche Meta quand j'utilise emacs
> avec sa propre fenêtre (sans -nw)
> 
> ;;Utiliser la touche Win pour Meta
> (if (display-graphic-p)
> (progn
> ;; if graphic
> (setq x-super-keysym 'meta)
> (setq x-alt-keysym 'alt)
> (setq x-meta-keysym 'alt)
>   )
> 
> )
> 
> Comme rédiger le else pour que la touche drapeau qui normalement envoi
> Super_L soit utilisable dans un terminal graphique et soit interprété
> comme Meta par emacs ?

C'est essentiellement le terminal qui doit être configuré pour
que ce soit utilisable comme Meta par Emacs. Dans le passé, où
les caractères étaient sur 7 bits, il y avait la solution de
mettre le bit 8 à 1, mais ce n'est plus faisable. Donc la
solution alternative est ce faire en sorte que Meta + touche
renvoie le caractère ESC suivi du caractère associé à la touche.
Pour Emacs, ESC et Meta sont censés être équivalents, donc c'est
une solution qui marche bien.

Alternativement (notamment si le but est de pouvoir distinguer
ESC et Meta), se débrouiller pour que le terminal renvoie une
séquence d'échappement spécifique, qui serait alors interprétée
par Emacs comme correspondant à une combinaison Meta + touche
et non plus comme ESC + touche. Mais je crois qu'il n'y a rien
de standard, et c'est se compliquer la vie pour rien, puisque
ESC + touche est censé être équivalent.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [Postfix] Rejeter tous les mails sauf pour un expéditeurs précis

[Vincent Lefevre]

On 2018-10-12 12:22:39 +0200, JUPIN Alain wrote:
> Bonjour,
> 
> Sur une install postfix, j'ai une adresse purement interne dédié aux
> mail de retours technique de certaines (ex backup, cron etc...)
> 
> Sauf que cette adresse qui n'a jamais été diffusée vient d'être
> "découverte" ... comment j'avoue que j'en sais rien, mais je n'ai pas
> approfondi la chose.
> 
> Bref, sur cette adresse là particulièrement, je voudrais rejeter (par
> erreur de distribution) tous les mails dont l'expéditeur n'est pas une
> adresse mail bien précise !

J'utilise smtpd_restriction_classes pour avoir des règles propres
à des destinataires précis. Cf

  http://www.postfix.org/RESTRICTION_CLASS_README.html

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Lancer Emacs en Buster sous un terminal graphique

[Vincent Lefevre]

On 2018-08-16 11:34:45 +0200, MENGUAL Jean-Philippe wrote:
> Ah oui, j'avais pas compris le sens de nox. Maintenant que tu le dis
> c'est évident. Donc en effet, enlever emacs25 et emacs-lucid l'oblige à
> installer emacs25-nox, et alors enfin, on vire la partie graphique.
> Parfait en somme. Retenons que enlever emacs25 cherchera à le remplacer
> par une autre GUI, il faut bien purger les deux paquets, lucid et
> emacs25 pour que cela passe à emacs25-nox.

Ou alternativement, installer emacs25-nox, ce qui a pour effet de
désinstaller les autres, car il y a un conflit entre les 3 paquets.

Sur une machine multi-utilisateur, une solution pour utiliser
l'option -nw sans avoir à la taper explicitement est soit d'utiliser
un alias du style alias emacs='emacs -nw', soit d'écrire un wrapper
à mettre dans $HOME/bin:

#!/bin/sh
exec /usr/bin/emacs -nw "$@"

(Le exec permet d'éviter de laisser traîner un shell tant qu'emacs
tourne.)

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: user 1000

[Vincent Lefevre]

On 2018-07-11 14:01:37 +0200, Erwan David wrote:
> En plus un bon paquet de softs font la connerie de sauvegarder les
> chemins en absolu plutôt qu'en relatif du home.

Ah, oui:

cventin:~> grep -lr $HOME .config
.config/libreoffice/4/user/store/.templdir.cache
.config/libreoffice/4/user/registrymodifications.xcu
.config/dconf/user
.config/gthumb/history.xbel
.config/inkscape/preferences.xml
.config/gtk-3.0/bookmarks
.config/vlc/vlc-qt-interface.conf

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: user 1000

[Vincent Lefevre]

On 2018-07-11 12:30:33 +0200, G2PC wrote:
> Le 10/07/2018 à 09:34, Belaïd a écrit :
> > Pardon au faite il faudrait aussi rajouter une option si tu veux Que
> > le home change aussi de nom,  la commande exacte devient :
> >
> > usermod --login nouvel-identifiant --home /home/nouvel-identifiant
> > --move-home ancien-identifiant
> 
> Vous l'avez testé ? C'est fonctionnelle cette solution ? Je n'ose pas
> tester sur mon hôte mais si la commande est correcte, je vais la garder
> à disposition.

Pour les détails: man usermod

Mais ce n'est peut-être pas la bonne solution, car usermod semble
faire une copie des fichiers et non pas juste un renommage du nom
du répertoire:

  usermod will try to adapt the ownership of the files and to copy
  the modes, ACL and extended attributes, but manual changes might
  be needed afterwards.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: user 1000

[Vincent Lefevre]

On 2018-07-11 13:36:50 +0200, Vincent Lefevre wrote:
> On 2018-07-11 12:30:33 +0200, G2PC wrote:
> > Le 10/07/2018 à 09:34, Belaïd a écrit :
> > > Pardon au faite il faudrait aussi rajouter une option si tu veux Que
> > > le home change aussi de nom,  la commande exacte devient :
> > >
> > > usermod --login nouvel-identifiant --home /home/nouvel-identifiant
> > > --move-home ancien-identifiant
> > 
> > Vous l'avez testé ? C'est fonctionnelle cette solution ? Je n'ose pas
> > tester sur mon hôte mais si la commande est correcte, je vais la garder
> > à disposition.
> 
> Pour les détails: man usermod
> 
> Mais ce n'est peut-être pas la bonne solution, car usermod semble
> faire une copie des fichiers et non pas juste un renommage du nom
> du répertoire:
> 
>   usermod will try to adapt the ownership of the files and to copy
>   the modes, ACL and extended attributes, but manual changes might
>   be needed afterwards.

Dit autrement, je conseillerais plutôt a priori de modifier juste
le login avec usermod --login, puis de mettre à jour le nom du
répertoire home avec la commande "mv", et faire aussi la mise à
jour avec "mv" pour le mail, si celui-ci n'est pas reçu sous le
home de l'utilisateur.

-- 
Vincent Lefèvre  - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Désactiver touche d'extinction

[Vincent Lefevre]

On 2018-04-16 20:44:57 +0200, BERTRAND Joël wrote:
> Damien a écrit :
> > Le Mon, Apr 16, 2018 at 07:52:27PM +0200, BERTRAND Joël a écrit :
> >>Je ne vois pas qui traite l'interruption sauf si c'est une interruption
> >> matérielle directement traitée par le BIOS...
> > 
> > Si systemd tourne, il faut configurer dans '/etc/systemd/logind.conf' 
> > HandlePowerKey=ignore.
> > 
> 
>   Tiens, oui, ça pourrait encore être une systemderie. Je modifie. Mais
> je ne peux pas tester tout de suite.

Depuis systemd, c'est ce que je dois faire afin d'éviter l'extinction
de mon portable en appuyant sur la touche Power par erreur.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: problème de smtp avec exim

[Vincent Lefevre]

On 2018-04-07 14:28:12 +0200, Bernard Schoenacker wrote:
> bonjour,
> 
> je recherche un moyen de pouvoir envoyer des méls
> par le mua et je n'y arrive pas en employant exim4 ...
> 
> tous les courriels sont frozen
> 
> voici les élément dont je dispose :
> 
> cat /etc/mailname
> 
> hamiral.localdomain
> 
> 
> tail -14 /etc/exim4/update-exim4.conf.conf
> 
> dc_eximconfig_configtype='local'
^

Je crois que "local" signifie que le système n'est capable que
d'envoyer du mail pour la machine locale (e.g. pour "cron").

Sur ma machine à mon labo, j'ai

dc_eximconfig_configtype='internet'

Si le but est d'utiliser un port de soumission, je ne sais pas
faire avec exim (j'utilise postfix sur mes autres machines).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-07 13:33:15 +0200, daniel huhardeaux wrote:
> Le 06/04/2018 à 02:24, Vincent Lefevre a écrit :
> > [...]
> > > - DKIM (opendkim)
> > Certains le déconseillent. Je crois, à cause des mailing-lists qui
> > peuvent casser la signature. Du coup, ça ne sert plus à grand chose,
> > car certains spams ont des signatures DKIM valides.
> 
> Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le
> SPAM, j'ai du mal à suivre ton raisonnement.

Concernant DKIM, cf la discussion:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=689414

Et en pratique, je reçois plein de mail légitime avec signature DKIM
cassée (T_DKIM_INVALID). La plupart, en provenance de mailing-lists.
Mais aussi les mails de Samsung SHOP, donc des mails qui peuvent être
importants.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-07 11:13:19 +0200, BERTRAND Joël wrote:
>   Ne pas oublier le GREETING EHLO. Les spammeurs n'attendent
> généralement pas la bannière du SMTP avant de balancer le spam. Ils
> font un EHLO puis balancent directement le reste du message sans
> attendre la réponse. En mettant un GH à 1s, je vire une très grosse
> partie des importuns. Inconvénient : le SMTP n'écoute pas durant une
> seconde, donc une connexion est tenue jusqu'au timeout et s'achève par
> un "NO DATA AFTER EHLO" ou quelque chose du genre (donc ne pas oublier
> de gérer les timeouts finement pour les montées en charge).

À ce propos, j'ai ceci dans ma config de postfix:

postscreen_greet_action = enforce

et postscreen_greet_wait a sa valeur par défaut (de 2 à 6 secondes
suivant la charge).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-06 10:16:09 +0200, Daniel Caillibaud wrote:
> Le 06/04/18 à 02:15, Vincent Lefevre <vinc...@vinc17.net> a écrit :
> VL> En ce qui me concerne, j'en ai marre de recevoir du spam en provenance
> VL> de serveurs d'OVH. Les hébergeurs ont leur part de responsabilité. Et
> VL> ils ne devraient pas relouer des adresses utilisées pour spammer (en
> VL> particulier pendant plusieurs semaines ou mois).
> 
> Ils ne devraient peut-être pas mais le font, et même si c'est après
> plusieurs mois, avec du blacklist en dur qui sera jamais viré le pb se pose
> toujours.

L'utilisateur peut se plaindre à son hébergeur et/ou changer
d'hébergeur. Les blacklists en dur permettent aussi de mettre
la pression sur les hébergeurs.

> D'une manière générale, un blocage avec une liste en dur est pas terrible
> si y'a pas de purge automatique. Je le pratique pourtant, mais sur des
> domaines et jamais des ip,

Les spammeurs changent souvent de domaine, plus que d'IP.

Sinon, je blackliste aussi sur des NS. C'est ce que j'ai dû faire
pour me débarrasser définitivement d'un spammeur qui m'a spammé
pendant plusieurs mois. Il changeait à chaque fois de domaine (il
en avait plusieurs centaines, avec des noms semblant plus ou moins
aléatoires), et dans une moindre mesure d'IP.

> et plutôt pour tagger des mails qu'en rejeter.

Trier les mails taggés fait perdre du temps.

> VL> Les RBL ne détectent pas tout.
> 
> Non, mais en les choisissant correctement ça permet quand même d'en
> éliminer avant l'analyse (avec du reject s'ils sont plusieurs à lister
> telle ip comme spammeuse), et ensuite l'antispam doit faire son boulot pour
> tagger ce qui a été accepté à l'entrée.

Chez moi, la plupart du spam est éliminé par les RBL, mais il en reste
beaucoup qui passe au travers.

> VL> > - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il
> VL> > utilise  
> VL> 
> VL> Non, ce n'est pas toujours le cas. Notamment cela empêche d'envoyer
> VL> du mail directement depuis une machine derrière un NAT.
> 
> Non, car je parle de l'ip qui me cause, pas celle d'origine ni celles des
> relais précédents, et je maintiens que l'ip publique sortante qui veut
> m'envoyer des mails doit avoir un reverse qui doit résoudre vers cette ip
> publique.

Je parle bien d'envoyer un mail directement, sans relais. Dans le
passé, c'était ma config, car les relais de mon FAI étaient souvent
blacklistés (petit FAI, et de plus laxiste sur le spam).

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-05 22:01:34 +0200, daniel huhardeaux wrote:
> Le 05/04/2018 à 20:39, Daniel Caillibaud a écrit :
> > []
> > 
> > Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de
> > l'ip qui t'appelle, avec comme base
> > - obliger le smtp qui t'appelle à avoir une ip avec un reverse
> > - que le reverse soit dans les dns et qu'il pointe bien vers cette ip (même
> >si le reverse n'est pas le même que le domaine du helo)
> > - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il utilise
> > [...]
> 
> Je plussoie en y rajoutant
> 
> - postgrey

C'est ennuyeux, sauf s'il y a la possibilité de n'activer le
greylistage que pour les mails douteux, i.e. après d'autres
vérifications.

> - DKIM (opendkim)

Certains le déconseillent. Je crois, à cause des mailing-lists qui
peuvent casser la signature. Du coup, ça ne sert plus à grand chose,
car certains spams ont des signatures DKIM valides.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-05 20:39:18 +0200, Daniel Caillibaud wrote:
> Le 04/04/18 à 23:07, "Ph. Gras"  a écrit :
> PG> ayant été emmerdé aussi par ce voyou, j'ai constitué un système pour
> PG> récupérer toutes ses plages IP à bloquer (avec bash et ipcalc), et que
> PG> je vous livre dans un fichier à télécharger ici :
> PG> https://fichiers.enpret.com/top.txt
> 
> Je déconseille fortement ce genre de filtrage sauvage ;-)
> 
> Vu ta liste et les plages utilisées, tu interdis un paquet de serveurs ovh
> (16 par /28, 32 par /27, etc), et je parie que dans ta liste y'a déjà 90%
> des ips que ce "voyou" n'utilise plus et qui ont été relouées à d'autres
> (voire 100%), pour la plupart parfaitement innocents.

En ce qui me concerne, j'en ai marre de recevoir du spam en provenance
de serveurs d'OVH. Les hébergeurs ont leur part de responsabilité. Et
ils ne devraient pas relouer des adresses utilisées pour spammer (en
particulier pendant plusieurs semaines ou mois).

> Si tu as un script qui détecte que c'est du spam, il vaudrait mieux
> l'envoyer à un rbl sérieux [1], mais le faire automatiquement est risqué
> [2], et le faire après vérification par un humain chronophage :-/

Les RBL ne détectent pas tout.

> Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de
> l'ip qui t'appelle, avec comme base
> - obliger le smtp qui t'appelle à avoir une ip avec un reverse

Non! Il y a des endroits où ça bloquerait du mail légitime.
Quand j'avais considéré d'ajouter une telle restriction, j'avais
vu que dans le mail que je recevais, certains correspondants
n'avaient pas de reverse (vérification par la command host).

> - que le reverse soit dans les dns et qu'il pointe bien vers cette ip (même
>   si le reverse n'est pas le même que le domaine du helo)

Donc non également.

> - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il utilise

Non, ce n'est pas toujours le cas. Notamment cela empêche d'envoyer
du mail directement depuis une machine derrière un NAT.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

[Vincent Lefevre]

On 2018-04-04 15:57:43 +0200, Daniel Caillibaud wrote:
> check_client_access vérifie le host qui te cause, check_sender_access le
> domaine du from, mais faut pas les mettre dans smtpd_recipient_restrictions
> car ça c'est pas une restriction sur le destinataire, faut le mettre dans
> une restriction sur l'expéditeur (smtpd_sender_restrictions).

On peut très bien le mettre dans smtpd_recipient_restrictions.
Cf le "Other restrictions that are valid in this context:" dans
la page man postconf(5). Ça peut être utile si on veut utiliser
certaines règles dépendant du destinataire en priorité, voire un
"check_client_access" dépendant du destinataire.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: sighature électronoqie de documents

[Vincent Lefevre]

On 2018-03-14 13:01:29 +0100, daniel huhardeaux wrote:
> J'utilise CamScanner

La qualité n'est quand même pas aussi bonne qu'un scanner (la version
payante est peut-être meilleure?). Un scanner a aussi l'avantage
d'aplatir les feuilles. Enfin, c'est toujours utile quand on n'a pas
de scanner sous la main.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: sighature électronoqie de documents

[Vincent Lefevre]

On 2018-03-09 13:19:06 +0100, Daniel Huhardeaux wrote:
> Le 09/03/2018 à 13:11, Vincent Lefevre a écrit :
> > [..]
> > Encore faut-il avoir un scanner (dans mon cas, pas de problème avec
> > une imprimante et un scanner).
> 
> Il y a a belle lurette que je ne scanne plus avec un scanner ou une
> imprimante, j'utilise une application pour smartphone et tablette.

Je n'ai pas trouvé d'application qui le fasse sans déformer le
document.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: sighature électronoqie de documents

[Vincent Lefevre]

On 2018-03-09 09:50:55 +0100, Daniel Huhardeaux wrote:
> Le 09/03/2018 à 02:11, Bernard Schoenacker a écrit :
> > 
> > [...]
> > 
> > il s'agit de bête formulaires cerfa qui sont au format pdf et qu'il faut
> > remplir normalement
> > à la main, mais comme je n'ai pas d'imprimante je le fait avec xournal ...
> > 
> > je recherche le moyen de signer ce genre de documents
> 
> Ce n'est donc pas une signature électrique, tu cherches simplement à
> reproduire ta signature manuelle sur un document électronique.

Il y a quelques mois, j'étais dans ce cas, et le fichier fourni
par l'administration indiquait "signature électronique". J'avais
initialement renvoyé un fichier signé via PGP, mais on m'a dit
ensuite qu'il fallait une signature manuelle.

> Solution: tu signes sur papier, tu scannes, tu colles dans le
> document. GIMP sait faire.

Encore faut-il avoir un scanner (dans mon cas, pas de problème avec
une imprimante et un scanner).

Il y a des sites qui demandent de signer avec la souris, ce qui
n'est pas très pratique. Enfin, avec un touchpad, on s'en sort
un peu, mais le problème est l'accélération de la souris. Je me
demande s'il y a un moyen simple de la désactiver temporairement.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: sighature électronoqie de documents

[Vincent Lefevre]

On 2018-03-08 13:59:02 +0100, hamster wrote:
> Absolument. La clef publique est publique, et peut donc etre publiée
> largement. Mais comment etre sur que le fichier que l'autre recevra contiens
> bien ta clef a toi ?
> 
> Imagine qu'un petit malin arrive a pirater la connexion de ton correspondant
> (au hazard, un barbouze infiltré chez son fournisseur d'accès…). Alors quand
> ton correspondant téléchagera ta clef publique sur ton site, le petit malin
> pourra très bien l'intercepter et la remplacer par sa clef publique a lui.
> Ensuite, a chaque fois que tu enverra un document signé, il le déchiffrera
> avec ta clef publique, fera les modifications qu'il voudra, le signera avec
> sa clef privée et l'enverra a ton correspondant. Ton correspondant le
> déchiffrera avec ce qu'il croit etre ta clef publique et aura confiance dans
> le document falsifié. C'est une attaque qui s'appelle "man in the middle".

La mettre sur son propre serveur en https limite ce genre d'attaque.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Tuer un script après une durée fixe

[Vincent Lefevre]

On 2018-02-27 14:24:35 +0100, Francois Lafont wrote:
> Je pense que tu devrais mettre le timeout sur la commande à droite
> du pipe uniquement (ie ffmpeg). Normalement, la commande à gauche
> du pipe (raspivid) devrait se stopper d'elle-même car elle recevra
> le signal SIGPIPE.

Mais seulement si elle écrit des données, au cas où elle ne le ferait
pas en permanence.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment détecter le réseau local auquel on se connecte ?

[Vincent Lefevre]

Bonjour,

On 2018-01-19 11:08:12 +0100, Olivier wrote:
> - améliorer la reconnaissance du réseau local auquel on se connecte face
> aux milliers de réseau locaux en 192.168.1.0/24, par exemple ?

Dans le passé, j'utilisais guessnet et une reconnaissance par
l'adresse MAC de la passerelle:

mapping eth0
  script /usr/sbin/guessnet-ifupdown
  map syslog: true
  map default: eth0-dhcp
  map debug: true
  map timeout: 10

iface eth0-home inet static
  address 192.168.0.8
  netmask 255.255.255.0
  broadcast 192.168.0.255
  gateway 192.168.0.1
  test peer address 192.168.0.1 mac XX:XX:XX:XX:XX:XX
  dns-nameservers ...

etc.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [HS] Spoofing avis

[Vincent Lefevre]

On 2017-11-06 19:54:03 +0100, andre_deb...@numericable.fr wrote:
> Quelle est l'adresse du lien à cliquer ?
> (tu as bien fait de ne pas cliquer, car le lien possède une extension
> permettant de savoir que c'est toi qui a cliqué avec des conséquences).

Ça peut être aussi une page tentant d'exploiter des failles de
sécurité de certains navigateurs.

> Quel est le but d'un tel mail ? :
> Capter ton login + mot de passe ?  mais à quelle fin...

Voire d'autres informations personnelles en vue d'une usurpation
d'identité?

https://www.courdecassation.fr/jurisprudence_2/chambre_commerciale_574/1327_25_37926.html

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [HS] Spoofing avis

[Vincent Lefevre]

On 2017-11-06 20:32:10 +0100, Christophe wrote:
> Alors oui *Attention* , je tiens à mettre en garde également sur le fait que
> j'ai reçu des mails très surprenants sur une boite mail que j'utilise
> exclusivement pour les échanges administratifs avec Free
> (Jamais diffusée autre part qu'au service client de chez Free, sur un nom de
> domaine que je possède et donc pas une adresse @free.fr).

Idem pour moi avec mon adresse de contact SFR. Mails se présentant
comme "SFR Fidélité" et "SFR Cadeau" avec une adresse @orange.fr
et provenant des serveurs d'Orange. Outre cette adresse e-mail de
contact, ils connaissaient mon prénom et mon nom.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: De retour à MUTT

[Vincent Lefevre]

On 2017-10-06 10:02:28 +0200, David Martin wrote:
> Coté Strace, je ne connais pas. Comment est-ce que ça peut s'utiliser ?

Typiquement, au lieu de

  commande arguments ...

tu tapes

  strace -o file.out -f commande arguments ...

Le "-o file.out" permet de rediriger la sortie de strace dans un
fichier. C'est absolument nécessaire avec des applications curses
comme Mutt.

Le -f permet de tracer aussi les processus fils (et descendants).
Suivant les cas, ça peut être utile ou non. Pour ton problème,
probablement pas (quoique, sans connaître la cause du problème,
difficile de dire), mais ça ne devrait pas gêner.

Après, tu peux voir le fichier file.out avec un pager (comme "less").
Il y a beaucoup de choses, donc ne pas hésiter à faire des recherches,
par exemple sur "sent". C'est très utile en particulier pour voir les
fichiers qui sont lus, comme des fichiers de config dont on ne
soupçonnerait pas l'existence.

Il y a des options pour filtrer la sortie de strace (cf "Filtering"
dans la page man strace(1)). En général, je préfère tout avoir et
faire des recherches dans le pager.

L'option -r ou -t (-tt / -tt) est utile quand un truc semble prendre
du temps, pour avoir une idée de la cause.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: De retour à MUTT

[Vincent Lefevre]

On 2017-10-04 16:07:40 +0200, David Martin wrote:
> >> Je voulais savoir si des "muttant" sont dans la place, et quel soft
> >> pour la gestion d'adresse vous utilisez ;-)
> >
> >Je n'en utilise pas. Les alias de Mutt me suffisent jusqu'à présent.
> 
> Tu peux les classer ?

Je ne sais pas ce que tu entends par classer, mais...

> (jamais utiliser les alias) tu t'y retrouves ?

En choisissant le bon nom d'alias, oui. Astuce: si on veut regrouper
des alias sous le même thème, choisir un préfixe commun.

[...]
> ### Boîte Perso 
> 
> mailboxes +spool/INBOX
> folder-hook   =spool/INBOX"set record='=sent-mail-`date +%m-%Y`'"
> mbox-hook =spool/INBOX"=mbox-mail-`date +%m-%Y`"
> 
> mailboxes +spool/Debian-List
> 
>  Debian User
> folder-hook =spool/Debian-List "set nopgp_autosign"
> folder-hook =spool/Debian-List "my_hdr From: Marc Naon 
>  "
> mbox-hook   =spool/Debian-List "=mbox-Debian-List-`date +%m-%Y`"
> 
> 
> Quand j'ecris à la liste ça enregistre bien une copie du mail envoyé dans 
> Debian-List et au bon
> endroit mais pas pour un mails depuis ma inbox
> 
> J'ai testé de commenter le bloc  Boite Perso  et de rajouter 
> simplement 
> set record = +sent ou sent ou "+sent" rien ne s'enregistre

Bizarre.

Voir aussi la config de:

3.36. copy

   Type: quadoption
   Default: yes

   This variable controls whether or not copies of your outgoing messages
   will be saved for later references. Also see [1620]$record,
   [1621]$save_name, [1622]$force_name and "[1623]fcc-hook".

et autres variables qui sont liées à $record.

Tu peux aussi essayer de voir avec strace s'il y a une tentative
d'accès à "sent".

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Re : mail et reply (was: phishing en UTF8)

[Vincent Lefevre]

Bonjour,

On 2017-10-04 15:50:59 +0200, Thierry Bugier wrote:
> Le mercredi 04 octobre 2017 à 14:39 +0200, Vincent Lefevre a écrit :
> > Au passage, les clients mail pour Android, c'est une vraie
> > catastrophe.
> > Je n'ai pas réussi à en trouver un que l'on puisse configurer sans
> > avoir à définir un serveur POP ou IMAP qui fonctionne (e.g. juste
> > pour pouvoir envoyer du mail).
> 
> J'utilise K9 mail dispo sir F-Droid. JE croisd qu'il est aussi sur le
> play store (que je n'utilise pas malgré que j'ai gmail ;) )

Merci pour l'info. Effectivement, ça fonctionne. On est obligé de
choisir un serveur pour la réception du mail, même si on n'en a pas,
mais il suffit d'ignorer les erreurs (chose impossible maintenant
avec le client e-mail de Samsung, qui refuse de terminer la config
tant qu'il n'a pas réussi à se connecter avec succès à un serveur
POP ou IMAP).

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: De retour à MUTT

[Vincent Lefevre]

On 2017-10-04 15:31:58 +0200, Marc Naon wrote:
> Je voulais savoir si des "muttant" sont dans la place, et quel soft
> pour la gestion d'adresse vous utilisez ;-)

Je n'en utilise pas. Les alias de Mutt me suffisent jusqu'à présent.

> J'ai un soucis aussi avec 
> set record = ~/Mail/sent mon fichier qui stocke les mails envoyés, j'ai dans 
> tous les
> cas tout qui se met dans ma boite par defaut.

Je ne comprends pas trop la question. Est-ce que le problème est
que les mails envoyés apparaissent dans la BAL "par défaut" où
on reçoit les mails? Ça vient peut-être du Bcc. Voir aussi si
~/Mail/sent n'est pas un lien symbolique vers ta BAL.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: mail et reply (was: phishing en UTF8)

[Vincent Lefevre]

On 2017-10-04 12:02:09 +, Eric Degenetais wrote:
> Pour être précis, le coupable est le client gmail android. Je ne
> savais pas (vu que c'est caché) qu'il avait ce défaut. Je me
> souviendrai de laisser tomber les citations quand je répond rapido
> depuis mon smatphone ;)
> 
> Le client web, lui, m'offre un mode pur texte qui ne devrait - a
> priori - pas poser de problème.

Merci pour l'info. Effectivement, pas de problème avec ce mail
que tu viens d'envoyer.

Au passage, les clients mail pour Android, c'est une vraie catastrophe.
Je n'ai pas réussi à en trouver un que l'on puisse configurer sans
avoir à définir un serveur POP ou IMAP qui fonctionne (e.g. juste
pour pouvoir envoyer du mail).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: mail et reply

[Vincent Lefevre]

On 2017-10-03 20:34:40 +0200, Pierre L. wrote:
> Haha!
> Les gens qui prônent le libre et qui ne veulent pas voir que la liberté
> est justement de pouvoir utiliser ce que l'on veut !

... sous réserve que ça respecte les standards, ce qui n'est pas
le cas avec gmail.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: mail et reply (was: phishing en UTF8)

[Vincent Lefevre]

On 2017-10-03 15:31:33 +, Eric Degenetais wrote:
> Bonsoir, en fait je pense que le message visé était le mien.

Tout à fait. Le mail de David apparaît correctement. Ce sont
tes mails qui n'apparaissent pas correctement. Cf screenshot
en attachement: on ne sait plus qui écrit quoi.

> Quand au "conseil" sur gmail, je le prendrais tel quel, mais me permettrai
> de l'ignorer, ayant qd même le choix pour gérer mes emails, surtout qu'il
> fonctionne très bien depuis de nombreuses années avec des centaines de
> contacts tant personnels que professionnels. Et que je ne semble pas être
> le seul à en être très satisfait.
> 
> J'ai aussi la ferme intention de garder gmail, qui me convient.

Mais ça ne convient pas aux lecteurs. Ou alors, éviter d'alterner
citation / réponse avec gmail.

> Quand à l'affichage, en fait je viens de voir sur les archives officielles
> de la liste que mon message semble apparaître normalement :
> https://lists.debian.org/debian-user-french/2017/10/msg00019.html

Ah, mais c'est parce qu'il prend en compte la partie HTML.
C'est la partie text/plain qui est incorrecte.

> Avez-vous bien configuré votre client mail ou bien testé un autre client
> mail ? ( :o) )

Il suffit de regarder le "source" du mail pour voir que la partie
text/plain est incorrecte. Par exemple:


Le 3 oct. 2017 11:16 AM, "David - DCPC"  a =C3=A9crit :

Ha merci beaucoup pour l'explication.
Par contre du coup pour d=C3=A9tecter =C3=A7a, c'est plus compliqu=C3=A9 ..

Effectivement ! D'o=C3=B9 l'id=C3=A9e de la frappe manuelle ou du favori : =
comme on
n'utilise pas l'adresse du mail, on n'a pas besoin de d=C3=A9tecter le pi=
=C3=A8ge
pour l'=C3=A9viter.


Il n'y a pas de caractère de citation (">").

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: phishing en UTF8

[Vincent Lefevre]

On 2017-10-03 14:12:07 +0200, Dominique Asselineau wrote:
> Quand on clique, c'est déjà trop tard puisque l'un des objectifs est
> de vérifier si l'adresse électronique est bonne et si on clique, on
> accuse bonne réception.

Peut-être. Mais j'ai fini par avoir de gros doutes sur ça. Les
spammeurs continuent à envoyer leur spam, même en cas de rejet.
Bref, ils ne vérifient rien.

Le principal risque, c'est si la page tente d'exploiter des
vulnérabilités des navigateurs web.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: phishing en UTF8

[Vincent Lefevre]

On 2017-10-03 13:44:31 +0200, Yann Serre wrote:
> Non, ANSI
> https://fr.wikipedia.org/wiki/American_National_Standards_Institute
> 
> "Le jeu de caractères Windows-1252 est appelé par erreur « ANSI »"

Donc pas ANSI. Windows-1252 à la rigueur. Mais autant se restreindre
à l'ASCII. Et même là, il y a des confusions entre l, I et 1, surtout
avec certaines fontes.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [HS] Transformer image pixels en mode vectoriel

[Vincent Lefevre]

On 2017-10-03 14:03:11 +0200, Danilo Uccelli wrote:
> A mon avis, il n'y a pas de solution automatique.

Si, ça s'appelle la vectorisation, mais évidemment ça marche plus ou
moins bien suivant l'image bitmap.

> Si je devais faire ça, j'utiliserais inkscape et je redessinerais à la
> main, forme par forme, en plaçant l'image originale comme couche de fond.

Inkscape est capable de le faire automatiquement. Cf par exemple:

  http://goinkscape.com/how-to-vectorize-in-inkscape/

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: phishing en UTF8

[Vincent Lefevre]

On 2017-10-03 13:19:07 +0200, Yann Serre wrote:
> Dans ce cas copier le long lien dans le mail, le coller dans un fichier
> texte seul en UTF-8, convertir en ANSI et les éventuels caractères non
 ASCII?
> conformes sont démasqués ?

En gros, ça revient plus simplement à désactiver l'IDN dans son
navigateur. Avec Firefox, mettre network.IDN_show_punycode à true.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

mail et reply (was: phishing en UTF8)

[Vincent Lefevre]

On 2017-10-03 09:24:51 +, Eric Degenetais wrote:
> Le 3 oct. 2017 11:16 AM, "David - DCPC"  a écrit :
> 
> Ha merci beaucoup pour l'explication.
> Par contre du coup pour détecter ça, c'est plus compliqué ..
> 
> Effectivement ! D'où l'idée de la frappe manuelle ou du favori : comme on
> n'utilise pas l'adresse du mail, on n'a pas besoin de détecter le piège
> pour l'éviter.

Il faudrait apprendre à citer correctement, et éviter gmail par la
même occasion. Ci-dessus le texte cité et la réponse apparaissent
au même niveau.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: phishing en UTF8

[Vincent Lefevre]

On 2017-10-02 11:35:13 +0200, Haricophile wrote:
> J'ai reçu pour la première fois un spam de phishing avec un caractère
> en UTF8 pour induire en erreur. Je me demandais quand ça allait
> arriver, il va falloir redoubler de pédagogie et de prudence.

Pour ma part, j'ai désactivé l'IDN partout où je le pouvais.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: phishing en UTF8

[Vincent Lefevre]

On 2017-10-02 17:33:21 +, Eric Degenetais wrote:
> Bonjour, un caractère UTF-8 à quel niveau ? Une URL ?
> J'aurais du mal à faire confiance à un mail non sollicité qui me demande de
> cliquer sur un lien.

Certains mails non sollicités peuvent apparaître comme des mails
légitimes. C'est un peu le but du phishing.

> Est-il encore valable de conseiller de toujours entrer L'URL de connexion à
> la main ?

Certaines URL sont parfois trop longues pour être entrées à la main.
Mais si on suit ainsi un lien, ne pas soumettre d'informations
personnelles, tout du moins sans faire de grosses vérifications.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Diff : obtenir uniquement les lignes ajoutées

[Vincent Lefevre]

On 2017-09-20 16:48:43 +0200, Migrec wrote:
> Bonjour,
> 
> J'ai un fichier CSV avec des identifiants, des mots de passes et quelques
> autres données.
> J'aimerai extraire les lignes ajoutées au fichier ANCIEN.csv par rapport au
> fichier NOUVEAU.csv. Certains lignes ont été modifiées et celles-ci ne
> m'intéressent pas. À noter que j'ai une adresse mail dans chaque ligne qui
> pourrait servir d'identifiant unique...
> 
> Comment feriez-vous ?

Donc ce que tu veux, ce sont toutes les lignes qui ont un nouvel
identifiant. Je vois deux solutions:

1. Écrire un script dans un langage qui supporte les tableaux
   associatifs (e.g. les hash en Perl), et utiliser l'identifiant
   comme clé. D'abord, définir les clés existantes en lisant
   ANCIEN.csv; dans un second temps, lire NOUVEAU.csv et tester
   pour chaque ligne si la clé est déjà utilisée.

2. Avec un script shell utilisant grep -f. Dans un premier temps, en
   lisant ANCIEN.csv, stocker la liste des identifiants à rejeter dans
   un fichier FILE. Dans un second temps, un truc du style:

 grep -v -f FILE NOUVEAU.csv

   (pas testé). Dans la liste de rejet, il faut faire attention sur
   les regexp, au cas une adresse mail peut avoir des caractères
   spéciaux, si une adresse mail peut être une sous-chaîne d'une
   autre, ou si elle peut apparaître ailleurs dans la ligne (i.e.
   pas comme identifiant). Bref, la solution (1) me semble plus
   simple.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Lire des vidéos sur Vimeo avec Firefox?

[Vincent Lefevre]

On 2017-05-23 08:48:29 +0200, Stephane Ascoet wrote:
> Le 21/05/2017 à 02:17, Vincent Lefevre a écrit :
> > Au cas où ça marcherait pour certaines, voici un exemple qui ne
> > fonctionne pas: https://vimeo.com/183181894
> 
> Bonjour, chez moi ca fonctionne et j'utilise le greffon FlashStopper pour
> empecher les videos de demarrer toutes seules.

Merci pour l'info. FlashStopper semble fonctionner comme il faut:
les vidéos ne démarrent pas toutes seules, et il n'empêche pas les
vidéos Vimeo de fonctionner.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: [RESOLU (presque)] Lire des vidéos sur Vimeo avec Firefox?

[Vincent Lefevre]

Bonjour,

On 2017-05-21 14:11:54 +0200, maderios wrote:
> Concernant flash, on peut empêcher le lancement automatique des
> vidéo avec le réglage "ask to activate"

Ça fait longtemps que je n'ai plus Flash.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

[RESOLU (presque)] Lire des vidéos sur Vimeo avec Firefox?

[Vincent Lefevre]

On 2017-05-21 02:17:18 +0200, Vincent Lefevre wrote:
> Comment faire pour lire des vidéos sur Vimeo avec Firefox sous Debian
> (testing ou unstable)?
> 
> Au cas où ça marcherait pour certaines, voici un exemple qui ne
> fonctionne pas: https://vimeo.com/183181894

J'ai fini par trouver la cause du problème ici:

  https://askubuntu.com/questions/777489/vimeo-video-not-playing-in-firefox

J'avais media.autoplay.enabled à false. Le passer à true résout le
problème... en quelque sorte, parce que ça a aussi un inconvénient
de jouer les vidéos automatiquement sur les autres sites.

C'est un bug connu de Firefox (pas spécifique à Vimeo):

  https://bugzilla.mozilla.org/show_bug.cgi?id=1231886

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Lire des vidéos sur Vimeo avec Firefox?

[Vincent Lefevre]

Comment faire pour lire des vidéos sur Vimeo avec Firefox sous Debian
(testing ou unstable)?

Au cas où ça marcherait pour certaines, voici un exemple qui ne
fonctionne pas: https://vimeo.com/183181894

https://help.vimeo.com/hc/fr/articles/224821087-Pourquoi-ne-m-est-il-pas-possible-de-lire-des-vidéos-sous-Linux-Ubuntu-

indique d'installer:

  gstreamer0.10-plugins-good 
  streamer0.10-ffmpeg

mais ce n'est pas possible avec Debian.

J'ai rapporté un bug, car Firefox est censé recommander les paquets
nécessaires...

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=863058

(C'est firefox-esr, mais firefox 53.0.is.52.0.2-1 ne résout pas le
problème.)

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: alléger une image pdf

[Vincent Lefevre]

On 2017-03-21 23:46:35 +0100, Gilles Mocellin wrote:
> Le mardi 21 mars 2017, 23:14:17 CET Vincent Lefevre a écrit :
> [...]
> > Pourquoi exécuter pdftops suivi de ps2pdf, et non pas ps2pdf
> > directement?
> > 
> > D'autant plus que pdftops risque de supprimer des métainformations
> > spécifiques au format PDF...
> 
> Je ne sais plus, mais vu son nom "ps2pdf", je me disais surement que ça ne 
> savait lire que du postscript et pas du PDF.
> Ça sait lire du PDF ?

Oui (c'est en fait Ghostscript, qui sait lire PostScript et PDF).

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: alléger une image pdf

[Vincent Lefevre]

On 2017-03-21 10:36:40 +0100, Gilles Mocellin wrote:
> On lundi 20 mars 2017 20:27:48 CET Vincent Lefevre wrote:
> > ps2pdf (qui est en fait un wrapper à gs).
> 
> En effet, et ça me rappelle un script que j'avais fait :
> 
>  cat /usr/local/bin/pdfreduce  
> #!/bin/bash 
> PDF="$1" 
> TMPPDF=$(mktemp) 
> 
> if [ -z "$PDF" ]; then exit 1; fi 
> 
> pdftops \ 
>-paper match \ 
>-nocrop \ 
>-noshrink \ 
>-nocenter \ 
>-level3 \ 
>-q \ 
>"$PDF" - \ 
> | ps2pdf \ 
>-dUseFlateCompression=true \ 
>-dOptimize=true \ 
>-dPDFSETTINGS=/prepress \ 
>- $TMPPDF 

Pourquoi exécuter pdftops suivi de ps2pdf, et non pas ps2pdf
directement?

D'autant plus que pdftops risque de supprimer des métainformations
spécifiques au format PDF...

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: alléger une image pdf

[Vincent Lefevre]

On 2017-03-19 18:53:15 +0100, bernard.schoenac...@free.fr wrote:
> je souhaiterai alléger une image pdf, mais comment faire ?

ps2pdf (qui est en fait un wrapper à gs).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Questions de novice sur -dbgsym

[Vincent Lefevre]

On 2017-03-08 11:44:49 +0100, François TOURDE wrote:
> Le 17233ième jour après Epoch,
> Olivier écrivait:
> > 1. À quoi sert exactement un paquet -dbgsym ? Doit-on installer
> >  et -dbgsym ou -dbgsym à la place de 
> > ?
> 
> C'est un paquet qui va contenir des infos de débug, des symboles
> donc. Le paquet s'installe à la place de l'autre, et contient des
> binaires un peu (voire beaucoup) plus gros, à cause des infos de debug.

Non, les deux paquets coexistent. On peut même installer le -dbgsym
après le core dump, et il est automatiquement utilisé par gdb.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: wifi mystere Resolu

[Vincent Lefevre]

On 2017-03-02 11:54:36 +0100, andre_deb...@numericable.fr wrote:
> On peut aussi se dispenser wicd,
> en créant une connexion wlan(x) dans le fichier :
> "/etc/network/interfaces".
> 
> Au boot, le système se loggue automatiquement à la WiFi
> indiquée dans "interfaces".
> 
> Sans doute moins pratique que wicd,
> mais ça peut dépanner dans certains cas.

C'est peut-être bien pour des réseaux wifi auxquels on se connecte
habituellement, mais pour un wifi public, wicd est préférable.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: bifurcation routage_Re: wifi mystere Resolu

[Vincent Lefevre]

On 2017-03-01 16:22:47 +0100, maderios wrote:
> Précision, Wicd s'occupe aussi bien des connections wifi que filaires,
> connections statiques ou dhcp.

Oui, et on peut aussi désactiver la gestion des connexions filaires
par wicd. Je n'utilise wicd que pour le wifi.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: wifi mystere Resolu

[Vincent Lefevre]

On 2017-03-01 14:10:15 +0100, maderios wrote:
> On 03/01/2017 01:47 PM, G2PC wrote:
> 
> > Effectivement, je me suis dit qu'il était surement possible d'installer
> > les deux, wicd et network manager.
> > A tester, voir si utiliser wicd peut aider avec mes difficultés de
> > routage quand j'utilise un portable android comme relais pour le wifi.
> > J'ai bien une connexion au wifi, mais, pas d'internet.
> 
> Wicd ne s'occupe pas du routage

Wicd s'occupe de la connexion wifi, ce qui va normalement lancer
un client DHCP (e.g. dhclient), et c'est ce client DHCP qui
s'occupe du routage. Après, les paramètres de dhclient ne sont
pas les mêmes avec NetworkManager et avec wicd.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: wifi mystere Resolu

[Vincent Lefevre]

On 2017-02-28 10:18:10 +0100, VieuxGeek DuSystem wrote:
> Lol dsl
> 
> aptitude why network-manager
> 
>(1)
> i   gnome-shell-extensions Dépend gnome-shell (< 3.15)
> i A gnome-shellRecommande gnome-control-center
> i A gnome-control-center   Recommande network-manager-gnome (>= 0.9.8)
> i A network-manager-gnome  Dépend network-manager (>= 0.9.10)

Je me demande pourquoi un DE recommande un outil de connexion
particulier.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment empêcher Debian-Installer de configurer en IPv6 ?

[Vincent Lefevre]

On 2017-02-23 13:01:26 +0100, Olivier wrote:
> Ce que je voulais dire, c'est que si on veux une meilleure maîtrise du
> logiciel et de la configuration avec son propre routeur, il faut en retour
> accepter dans les faits de perdre
> la présence d'un modem intégré et/ou la téléphonie "illimitée" incluse.
> 
> Si on ne peut pas reprocher aux opérateurs l'absence de routeurs sexy avec
> ADSL dans les catalogues des constructeurs, on peut regretter que la
> fourniture du service téléphonique
> inclus soit si rigidement conditionnée à l'utilisation de box spécifiques.

Oui, mais là c'est un problème de FAI. Moi je suis chez SFR avec de la
fibre, et l'IPv6 fonctionne (c'es d'ailleurs pour ça que j'avais choisi
SFR, en plus de l'adresse IPv4 fixe). Je suppose que ça doit aussi
fonctionner avec de l'ADSL, mais à vérifier.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: GoodBye Microsoft - Bogue majuscule sur les mots de passe utilisateur

[Vincent Lefevre]

On 2017-02-23 12:24:44 +0100, Stephane Ascoet wrote:
> Le 23/02/2017 11:18, Vincent Lefevre a écrit :
> > et effectivement, j'arrive à le reproduire. Mais c'est juste un
> > problème de LED qui ne s'allume pas. Peut-être gênant, mais rien
> > de bien important.
> 
> Mais qui pourrait expliquer l'erreur sur le mot de passe de la personne a
> l'origine de ce fil...

Oui. Ceci dit, ce n'est pas uniquement lié à ce bug. Il m'est arrivé
de me demander pourquoi mon mot de passe ne fonctionnait plus certains
jours. Et je rebootais la machine pour résoudre le problème, jusqu'au
jour où je me suis aperçu un peu par hasard que la LED du Caps Lock
était allumée (comme la LED n'est pas au niveau des touches, je n'y
prête quasiment jamais attention). Voilà, il se trouve que quelqu'un
appuyait sur Caps Lock pendant que je ne suis pas là.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment empêcher Debian-Installer de configurer en IPv6 ?

[Vincent Lefevre]

On 2017-02-23 11:36:19 +0100, Olivier wrote:
> Le 23 février 2017 à 11:22, Vincent Lefevre <vinc...@vinc17.net> a écrit :
> > Sauf dans des endroits avec des routeurs pourris où les paquets IPv6
> > partent dans des trous noirs.
> 
> Le combo ADSL+port téléphonique analogique que l'on retrouve dans les box
> de nos contrées est particulièrement diabolique à cet égard.

Je ne vois pas bien le rapport avec l'ADSL.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment empêcher Debian-Installer de configurer en IPv6 ?

[Vincent Lefevre]

On 2017-02-23 11:25:01 +0100, Olivier wrote:
> N'est-il pas par ailleurs, dangereux, au niveau sécurité, de laisser le
> hasard configurer un service (IPv6 en l'occurrence) dont on a pas l'usage
> immédiat (à tord ou à raison, mais c'est une autre histoire) ?

Je dirais qu'il y a des risques que ce soit en IPv4 et en IPv6.
Je pense qu'il vaut mieux installer IPv6 quitte à désactiver
certaines fonctionnalités par la suite.

J'avais du faire ça pour une machine à mon labo:

# Disable SLAAC since some machines send fake RA advertising. See:
#   https://lists.debian.org/debian-user/2015/04/msg00388.html (thread)
#   https://lists.debian.org/debian-user/2015/04/msg00429.html
net.ipv6.conf.all.accept_ra = 0

dans le fichier "/etc/sysctl.conf".

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Comment empêcher Debian-Installer de configurer en IPv6 ?

[Vincent Lefevre]

On 2017-02-23 08:34:31 +0100, Alexandre GRIVEAUX wrote:
> > 1. Debian-Installer détecte dans mon environnement réseau IPv6
> > ("Tentative de configuration automatique IPv6"). Existe-t-il une
> > option d'exécution de Debian-Installer qui le conduit à ignorer
> > entièrement IPv6 ou à défaut à commencer d'abord en IPv4 ?
> Si il ne trouve pas d'IPv6 il ne se configure pas, ce n'est pas bloquant.

Sauf dans des endroits avec des routeurs pourris où les paquets IPv6
partent dans des trous noirs.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: GoodBye Microsoft - Bogue majuscule sur les mots de passe utilisateur

[Vincent Lefevre]

On 2017-02-23 09:39:55 +0100, Stephane Ascoet wrote:
> Bonjour, il n'y a rien de particulier, il suffit d'appuyer sur le
> verrouillage majuscule dans une TTY. Pour les details supplementaires, je ne
> sais rien de plus que ce qui est deja sur mon site avec les liens en cascade
> qu'il contient(mais effectivement certains ne sont plus valides, mais pas
> essentiels de toute facon), le plus important est le rapport de bug. Du coup
> je constate que les choses ont enfin bouge(au passage je remarque que je
> connais un des intervenants via un autre biais, le FAI FDN) apres tant
> d'annees de tergiversations, il faudra que je teste le code Udev fourni dans
> une VM quand j'aurais le temps de jouer a ce genre de choses...

Je ne vois qu'un seul bug non corrigé:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514464

et effectivement, j'arrive à le reproduire. Mais c'est juste un
problème de LED qui ne s'allume pas. Peut-être gênant, mais rien
de bien important.

Le bug plus important

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514212

a été corrigé en 2009.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Administrateurs réseaux et systèmes: que faîtes-vous en IPv6 ?

[Vincent Lefevre]

Bonjour,

On 2017-02-22 14:40:22 +0100, Olivier wrote:
> Pour faire simple, pour moi, en 2017, je ne fais rien en IPv6: partout où
> j'interviens je ne rencontre que des personnes qui (semblent) n'utiliser
> que l'IPv4.

Moi, j'utilise l'IPv6 sur mes machines perso (mais pas pour des
raisons spécifiques). C'est bien utile pour réparer quand l'IPv4
ne fonctionne pas suite à un problème de config DHCP. :)

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Routage - Route - wifi - wifi android

[Vincent Lefevre]

Bonjour,

On 2017-02-16 16:17:31 +0100, G2PC wrote:
> Sur certains points d'accès wifi ou wifi partagé depuis un téléphone
> android, la connexion s'établit mais le réseau internet ne fonctionne pas.
> 
> Sur d'autres wifi connectés le réseau internet fonctionne.

J'ai aussi remarqué ça dans le passé (mais je n'utilise pas beaucoup
le tethering, surtout sur du wifi).

Pour info:

  
http://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: droits dmesg

[Vincent Lefevre]

(C'est un peu vieux, mais j'ai du retard sur la liste...)

On 2017-01-10 03:04:41 +0100, Haricophile wrote:
> Le Mon, 9 Jan 2017 12:15:29 +0100,
> Jean-Michel OLTRA  a écrit :
> 
> > Même noyau chez moi (testing), mais je ne peux lire dmesg en
> > utilisateur.
> 
> Ça dépend peut-être si l'utilisateur est membre de adm ? une idée comme
> ça, vu qu'il y a un groupe staff qui permet d'accéder par exemple
> à /usr/local/bin et un groupe adm qui traîne dans les permissions des
> logs...

Oui, ça serait bien, et j'avais d'ailleurs rapporté ce bug en wishlist:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=847198

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Mesures techniques comme le téléchargement illégal

[Vincent Lefevre]

On 2016-11-05 00:02:37 +0100, Pierre Malard wrote:
> Ola,
> 
> > Le 3 nov. 2016 à 22:36, Olivier  a écrit :
> > 
> > Bonjour,
> > 
> > Je gère des réseaux qu'utilisent des étudiants.
> > 
> > 1. Indépendamment des aspects sociaux (charte d'utilisation, ...),
> > quelles mesures techniques préventives ou non, me conseillez-vous
> > contre le téléchargement illégal ?
> 
> Comme déjà dit, le tout est de définir ce qu’est … un téléchargement illégal.

Et encore faut-il d'abord savoir ce qui est téléchargé.
Si c'est le téléchargement se fait en https, aucune chance...

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Connexion internet qui lâche avec Postfix

[Vincent Lefevre]

On 2016-11-04 22:43:34 +0100, Pascal Hambourg wrote:
> Le 04/11/2016 à 18:58, andre_deb...@numericable.fr a écrit :
> > 
> > Que la connexion est coupée :
> > status=deferred (Host or domain name not found. Name service error for
> > name= type=MX: Host not found, try again)
> 
> Ce message ne dit pas que la connexion est coupée mais que la résolution DNS
> a échoué. Peut-être parce que la connexion est coupée, mais peut-être pour
> une autre raison comme le serveur DNS déraille.

Ou bien que le réseau est surchargé si bien que la résolution DNS
échoue. J'avais ce problème dans le passé quand je relançais Firefox,
qui essayait de recharger la centaine d'onglets simultanément.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: restart après poweroff

[Vincent Lefevre]

Bonjour,

On 2016-10-15 13:16:30 +0200, Jean-Michel OLTRA wrote:
> Le samedi 15 octobre 2016, Vincent Lefevre a écrit...
> > > Depuis une mise à jour d'une testing sur le portable de ma fille (il y a
> > > quelques semaines), sa machine redémarre après l'arrêt. Il y a bien
> > > arrêt, puis, une à deux secondes après, la machine redémarre.
> 
> > Idem sur mon portable, mais de façon aléatoire. La première fois,
> > je n'étais pas au courant, et mon portable est donc resté deux
> > heures dans mon sac, sans aération. Il était brûlant...
> 
> Et ? Tu as trouvé une solution ? Je n'ai pas vu ni ma fille, ni son
> portable, donc je n'ai pas pu encore tester la solution proposée.

J'avais cherché sur Google et pas trouvé de solution. Je ne sais pas
non plus si c'est un problème matériel ou logiciel.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Emacs Alt et Meta avec l'option --nw sous X et en mode terminal

[Vincent Lefevre]

On 2016-10-17 15:45:10 +, Benoit B wrote:
> En mode terminal, n'y a-t-il pas un moyen d'afficher la touche ou
> (combinaison de) qui est pressée(genre xev pour le mode terminal) ?

J'utilise: cat > /dev/null

Ou mieux: tack
puis: n f n

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: restart après poweroff

[Vincent Lefevre]

On 2016-10-09 21:16:09 +0200, Jean-Michel OLTRA wrote:
> Depuis une mise à jour d'une testing sur le portable de ma fille (il y a
> quelques semaines), sa machine redémarre après l'arrêt. Il y a bien
> arrêt, puis, une à deux secondes après, la machine redémarre.

Idem sur mon portable, mais de façon aléatoire. La première fois,
je n'étais pas au courant, et mon portable est donc resté deux
heures dans mon sac, sans aération. Il était brûlant...

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: restart après poweroff

[Vincent Lefevre]

On 2016-10-15 12:01:31 +0200, Vincent Lefevre wrote:
> On 2016-10-09 21:16:09 +0200, Jean-Michel OLTRA wrote:
> > Depuis une mise à jour d'une testing sur le portable de ma fille (il y a
> > quelques semaines), sa machine redémarre après l'arrêt. Il y a bien
> > arrêt, puis, une à deux secondes après, la machine redémarre.
> 
> Idem sur mon portable, mais de façon aléatoire. La première fois,
> je n'étais pas au courant, et mon portable est donc resté deux
  ^
resté allumé

> heures dans mon sac, sans aération. Il était brûlant...

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Connexion WiFi public

[Vincent Lefevre]

On 2016-10-07 15:06:02 +0200, andre_deb...@numericable.fr wrote:
> On Friday 07 October 2016 12:36:38 you wrote:
> > Oui. Uniquement les accès vers les ports 80 et 443 
> > doivent être autorisés. 
> 
> Effectivement, 
> mais pourquoi à la Défense, il n'y a pas du tout cette limitation ?
> (alors qu'il y a des milliers de connectés).

Parce que tout le monde n'a pas la même politique de filtrage.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: soucis avec ffmpeg et youtube-dl et certificats ssl

[Vincent Lefevre]

On 2016-08-18 16:14:26 +0200, Erwan David wrote:
> On Thu, Aug 18, 2016 at 03:56:42PM CEST, Vincent Lefevre <vinc...@vinc17.net> 
> said:
> > On 2016-08-17 20:23:13 +0200, Bernard Schoenacker wrote:
> > > bonjour,
> > > 
> > > sur un ordi fraichelment mis à jour je n'arrive pas à télécharger un
> > > morceau de musique :
> > > 
> > >  youtube-dl  -x  "http://www.youtube.com/watch?v=dvWxoYULWrw;
> > > [youtube] dvWxoYULWrw: Downloading webpage
> > > ERROR: Unable to download webpage:  > > CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)>
> > > (caused by URLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAILED]
> > > certificate verify failed (_ssl.c:590)'),))
> > 
> > Une erreur SSL pour une URL qui n'est même pas https???
> > Ça mérite un rapport de bug.
> 
> http -> 301 vers l'URL en https
> ultracourant.

Le message d'erreur n'indique pas une telle redirection.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: soucis avec ffmpeg et youtube-dl et certificats ssl

[Vincent Lefevre]

On 2016-08-17 20:23:13 +0200, Bernard Schoenacker wrote:
> bonjour,
> 
> sur un ordi fraichelment mis à jour je n'arrive pas à télécharger un
> morceau de musique :
> 
>  youtube-dl  -x  "http://www.youtube.com/watch?v=dvWxoYULWrw;
> [youtube] dvWxoYULWrw: Downloading webpage
> ERROR: Unable to download webpage:  CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)>
> (caused by URLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAILED]
> certificate verify failed (_ssl.c:590)'),))

Une erreur SSL pour une URL qui n'est même pas https???
Ça mérite un rapport de bug.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Compteur de temps d'utilisation

[Vincent Lefevre]

On 2016-06-02 21:21:55 +0200, Mic Grentz wrote:
> Non car l'utilisateur peut être connecté mais pas forcement devant son écran.
> En gros je veux savoir combien de temps un utilisateur passe devant son écran 
> (mes enfants en l'occurence et moi par la même occasion). 
> 
> Un script qui vérifie toute les minutes l'heure d'utilisation de la souris ou 
> du clavier ? 

Dans le passé, c'était facile, et j'avais écrit ce script Perl:

  https://www.vinc17.net/unix/index.fr.html#idle

(voir aussi idlexec juste en dessous), mais avec les systèmes pas
trop vieux, ça ne fonctionne plus.

On peut aussi être devant l'écran sans utiliser la souris ou le
clavier, e.g. lire un texte ou regarder une vidéo.

Il y a des écrans qui ont un capteur de présence (le but étant de
passer en veille quand on n'est plus devant l'écran), mais je ne
sais pas si l'info est récupérable.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-16 02:27:09 +0200, Gabriel Philippe wrote:
> 2016-04-14 11:18 GMT+02:00 Vincent Lefevre <vinc...@vinc17.net>:
> > Pour ma part, ça arrive tellement souvent, que je choisis juste
> > de bannir (pendant plusieurs semaines). Après, il y a toujours
> > les logs de fail2ban pour voir les adresses IP bannies.
> 
> Mais pourquoi s'embêter à bannir? Si les mots de passe sont fiables,
> ce ne sont pas quelques tentatives par seconde qui vont les trouver.
> Si les mots de passe ne sont pas fiables, c'est un problème qui doit
> être résolu de toute façon et on retourne au point précédent.

Par principe, mais aussi en cas de trou de sécurité éventuel.

> L'utilisation de bande passante est négligeable. Quelques Mo de plus
> dans les logs ne changent pas grand chose non plus.

Ça permet de les rendre plus lisibles. Aussi, concernant le mail, mon
fichier de log a augmenté de 100 Mo en 15 heures parce qu'un individu
a fait 10 connexions. C'est pour une partition de 3 Go, donc pas
négligeable.

> Et puis d'ailleurs, les cas où l'on doit autoriser la connexion par
> mot de passe ne sont pas très nombreux, et je crois bien que si on
> exige une authentification par clé il n'y a même pas de demande de
> mot de passe. Et donc sûrement pas de bruteforce.

sauf qu'on n'a aucune garantie que les protocoles soient fiables ou
qu'il n'y ait pas de bug à exploiter.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-14 14:04:59 +0200, Eric wrote:
> J'ai eu il y à quelques années un serveur qui subissait des centaines de
> tentatives d'intrustion par ssh, et
> j'ai résolu le problème avec trois ligne d'iptables qui banissait pour 15
> minutes toutes ip qui échouait 3 fois à une tentative de connection.

C'est exactement le genre de chose que fait fail2ban, sauf que...

> 15 minutes, parce que ça suffit à empécher toute attaque de type "force
> brute" et qu'il m'arrive de planter trois fois de suite la saisie de mon mot
> de passe

fail2ban peut whitelister des adresses IP (ce que j'ai évidemment
fait). Pour ma part, je n'ai habituellement pas de mot de passe à
taper car j'utilise des clés RSA, mais en cas de problème réseau,
ça peut aussi provoquer des échecs de connexion (ce qui arrivait
il y a quelques années avec mon FAI 3G qui avait mal configuré les
règles de filtrage de son réseau).

fail2ban peut aussi s'occuper des autres services. Malheureusement
il ne supporte pas postscreen (ce qui serait bien utile, car un gros
lourd a fait plus de 10 connexions à mon serveur de mail en
15 heures la nuit dernière). Mais on peut aussi écrire ses propres
règles. Je vais tenter d'en ajouter une pour postscreen.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-13 15:38:17 +0200, Bertrand Orvoine wrote:
> j'avais commencé comme ça aussi, mais les listes devenaient très longues ...
> Maintenant, je n'autorise que quelques pays a se connecter en ssh sur mes
> machines, en plus de fail2ban;
> 
> cf http://www.axllent.org/docs/view/ssh-geoip/

OK pour cette solution, mais leur implémentation est crade (2 awk + head
au lieu d'un simple sed, adresses IPv6 qui donnent un DENY, mise à jour
avec wget au lieu du geoipupdate recommandé...).

J'avais eu l'intention d'opter pour une solution de ce genre dans le
passé, et j'avais même répondu à une question à ce propos:

http://unix.stackexchange.com/questions/149009/reject-ssh-connections-from-unlisted-countries-using-hosts-allow-hosts-deny-on

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-13 14:39:53 +0200, Grégory Reinbold wrote:
> Là on a une piste intéressante quant à la question d'alerter sur des
> tentatives d'intrusion ou sur une intrusion.
> 
> Un mail avec l'IP de l'assaillant et un ban temporaire de quelques heures.
> Je pense opter pour cette solution.

Pour ma part, ça arrive tellement souvent, que je choisis juste
de bannir (pendant plusieurs semaines). Après, il y a toujours
les logs de fail2ban pour voir les adresses IP bannies.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-11 17:05:19 +0200, Vincent wrote:
> - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host

Compliqué! Je ne vois pas à quoi sert netcat.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-11 16:07:10 +0200, afrinc wrote:
> Le 11/avril - 15:14, honeyshell a écrit :
> > Un script qui avertirait par mail en cas d'une connexion via une IP
> > non connue serait aussi intéressant? (bien sûr brider les IP serait la
> > solution idéale)
> 
> Brider les IPs…
> 
> Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un :
> from="123.45.67.89"
> 
> cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT 
> 
> Cette méthode fonctionne bien sûre que sur les IPs fixe, et donc ne sert
> à rien dans le cas d'un besoin d'accès "nomade" au serveur SSH.

On peut imaginer d'avoir une clé pour telle adresse IP fixe, qui donne
un accès direct à la machine, et une autre pour les accès nomades,
avec une vérification supplémentaire dans ce cas-là, par exemple
demandant un mot de passe supplémentaire.

En ce qui me concerne, j'ai banni de manière permanente un certain
nombre de blocs IP, principalement de Chine, qui passaient leur temps
à faire des échecs une fois le temps de bannissement écoulé. Dans mon
/etc/hosts.deny:

# SEXinSEX (HK)
sshd: 43.255.190.0/24
sshd: 43.255.191.0/24
# CHINANET-JS (CN)
sshd: 58.218.192.0/19
# CHINANET-JS (CN)
sshd: 61.160.192.0/18
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# NL-SERVERIUS-20080530 (NL)
sshd: 93.158.200.0/20
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# MENA-CORE-2 (BH)
sshd: 109.63.64.0/18
# UNICOM-JX (CN)
sshd: 113.195.145.0/25
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# MOVEINTERNET-NETWORK (CN)
sshd: 115.239.228.0/24
sshd: 115.239.248.0/24
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JX (CN)
sshd: 182.100.67.0/24
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# CHINANET-JX (CN)
sshd: 218.65.30.0/24
sshd: 218.87.0.0/16
# CHINANET-JS (CN)
sshd: 221.229.160.0/24
sshd: 221.229.166.0/24
# CTTNET (CN)
sshd: 222.48.110.0/24
# UNICOM-JL (CN)
sshd: 222.160.0.0/14
# CHINANET-JS (CN)
sshd: 222.186.0.0/16

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-11 15:14:42 +0200, honeyshell wrote:
> Je ne sais pas si il existe un script qui avertit par mail en cas
> d'échec répétitifs détectés par Fail2ban sur la passphrase?

Avec fail2ban, on peut normalement choisir l'action à effectuer en
cas d'échecs répétitifs. Par défaut, l'IP est bannie. Mais on peut
aussi envoyer un mail, ou peut-être les deux.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-11 14:08:52 +0200, Sébastien NOBILI wrote:
> Le lundi 11 avril 2016 à 12:38, Vincent Lefevre a écrit :
> > On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
> > > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
> > 
> > Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est
> > déjà chiffrée en standard (de manière optionnelle, mais je suppose
> > que l'utilisateur a choisi une passphrase non vide)?
> 
> Présenté comme ça, ça n’a en effet aucun intérêt, mais ça peut en prendre si :
> — pas de passphrase (ok, pas forcément top, mais tellement pratique),

Oui, mais si c'est pour les mettre sur une clé USB chiffrée, ce n'est
plus trop pratique.

> — la clé contient d’autres données en clair (ce qui est mon cas, d’où ma
>   remarque, mais on sort un peu du sujet initial).

Oui, mais cela accroît le risque de divulguer ses données.
Personnellement je fournirais le minimum d'info à une machine
sous Windows.

-- 
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Conseils sur la sécurisation de ses accès par SSH

[Vincent Lefevre]

On 2016-04-11 00:10:21 +0200, Francois Lafont wrote:
> À partir du moment où on se fait piquer sa clé privée, comment un
> serveur pourrait-il détecter qu'une connexion ssh est illicite alors
> que justement le contrat est "seul le détenteur de la clé privée
> pourra se connecter" ? Je serais curieux d'avoir des infos sur tout
> ça.

La seule chose que je peux voir est la connexion depuis une nouvelle
adresse IP ou une adresse IP n'appartenant pas à un ensemble de blocs
prédéterminés par l'utilisateur. Ce n'est pas forcément illicite, mais
cela permet à l'utilisateur de vérifier.

Après, je n'ai pas cherché comment mettre cela en place.

Si la crainte est une attaque consistant à deviner la clé privée par
une succession limitée d'essais (e.g. à cause d'un trou de sécurité
pas encore connu par les développeurs), alors fail2ban est une
première protection.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)