Au final les certificats non-tor seront (malheuresement) signé par Let’s Encrypt un peu avant le 2017-05-26, les certificats tor seront auto-signé
Soutenons La Quadrature Du Net

All Communities Are Broken

Ceci est une sorte de réponse à « Bienveillant et safe ? Mon cul ! » d’aeris@imirhil.fr. Et sans doute une deuxième partie suite à « Bienveillance mon cul » d’OpenPony à PSES 2017.

Donc, ACAB dans le titre et chier sur la notion de communautée. Voilà, ça c’est fait, maintenant on peut parler de confédération, de personne en tant que personne et non en tant que truc dans un groupe. (Parceque c’est le genre de trucs qui m’emmerdent, d’autant plus que j’ai aussi le même genre de problème groupe-individu au Lycée Expérimental assez fréquement)

Sinon un truc que je vois pas mal dans l’article d’aeris@imirhil.fr, la personne trans’ dont aeris parle à aucun moment est autre chose que juste trans’. Voilà aussi pourquoi j’ai envoyé chier la notion de groupe (identitaire) dès l’intro. Surtout que je voudrais pas dire mais je ne pense pas connaître de personnes qui aiment bien qu’on les considèrent juste comme trans, geek alias service-après-vente, libriste alias terroriste. (remarquerez que j’ai pas mis d’alias pour trans, y’en à trop et contrairement à geek/libriste cet alias est relativement mortel).

Sinon pour ce qui est de ma non-neutralité de point de vue :

Ah et pour les personnes qui se demandent, j’ai mute/block la plupart des personnes qui étaient dans le thread en question, non pas juste à cause du thread mais de contenu blessant et/ou p0rn répété en public et en ayant déjà grogné sur le sujet. Pour ce qui est de PSES : Je ne pense plus y aller, en tout cas pas sans avoir au moins une personne de confiance qui y serat et dont ça ne dérangera pas de potentiellement m’aider à être bien, vu que y’a apparement pas de safe-space (chose que j’ai découvert·e au p∞p du l∞p, sans y être présent·e physiquement).

Bon ensuite, sérieusement aeris. Chouiner à max en mode : Bouuh nan mais je suis safe regardez, vous être que de la merde, et à coté ne pas écouter l’avis des concernées 30 secondes… Franchement ça manque de non-binaritée là… euh pardon, de nuance et de quelque chose de complet. C’est un truc que je n’aime pas, et appparement ça fait partie de la Justice française, de prendre uniquement ce qui appuie nos propos et exprimer uniquement son point de vue et la personne trans’ dont tu parle n’a pas forcément envie d’être forcément out pour pouvoir répondre, surveille tes privilèges! (et à peu près tout le monde en à, par example mon père ne m’a pas balancé dehors en sachant que j’allais à la Marche des Fiertés, et c’est pas forcément mauvais, faut juste faire attention).

Pour ce qui est de l’histoire perso, j’en ai pas rien à foutre, mais là moi je/on parle de ce que tu fais, même si ce que tu est à une importance, mais pour moi c’est moindre. (en passant juger sur les fait et non sur l’identitée c’est quelque chose présent dans The Conscience of a Hacker surnommé pour moi à tort Hacker Manifesto, sans non plus que ça parte uniquement sur les faits, cf This is a court of fact dans Star Treak: The Next Generation, épisode 1)

Un libriste un balle, un LUG une rafalle. Faudrait savoir qu’un Groupe d’Utilisateur·rice·s Linux(LUG) n’est pas MOGAI-safe par défault, tout comme le reste du monde, en sachant que bon les milieux techniques/scientifique c’est souvent toxique (et remplis de mec, donc presque un espace, pas forcément safe, pour eux). Voir même bien souvent assez malveillant sur les personnes MOGAI. (Et GNU/FSF étant très post-actif sur le sujet de bienveillance envers les personnes MOGAI, et LKML très toxique, de souvenir une personne s’en est baré pour sexisme). Ça ne veut pas dire que tous les LUG sont des endroits se composant à 100 % de personnes toxiques, mais que par example, tout comme les flics (en tant que fonction) sont toxique, les LUGs en général peuvent être/sont souvent toxique. Sauf par example, Le Reset ou Le L∞p, hackerspaces qui justement ont la particularitée d’être safe sur ces sujets et donc essayent de changer ceci par rapport aux autres.

La bienveillance

J’espère avoir été compréhensible là dessus, pour moi toute phrase type « Je suis bienveillant·e »/« Nous sommes bienveillant·e·s » ou équivalent doit sérieusement être remise en question tant que ce n’est pas quelque chose qui est explicitement exprimé par tou·te·s (les concerné·e·s).

Pour vous dire je ne pense pas être bienveillant·e, y compris avec d’autres personnes où on partage une partie d’identitée/une caractéristique sur le sujet de cette caractéristique. Ça ne veut pas dire que on doit être conscienment non-bienveillant·e, c’est bien d’être bienveillant·e (sans déconner !) et ça doit donc être un objectif.

Harcèlement Scolaire (auto-TW)

Si vous voulez un example de communautée/groupe/… qui est pour moi carrément malveillant c’est les établissements scolaires (note : mon safe-space c’était le CDI, en y réfléchissant espace peu masculin-cis-hétéro-valide…, même si ce qui est disponible est pas toujours safe, un safe-space étant utile quand ce qui est autour est toxique). Si vous voulez un example j’ai même pas besoin de raconter(surtout que j’ai un peu un syndrome de l’imposteur·euse), y’a loser et alors

Pourtant dans la loi, si je ne me trompe pas c’est juste totalement illégal et pourtant y’a environ rien de concret de fait, en tout cas en 2013 y’avais rien, 2014 une pauvre vidéo. Et on va pas me dire qu’un Ministère est pas capable par example de s’inspirer des interventions de l’association Le MAG Jeunes. Et pourtant j’ai entendu de nombreuses fois des fonctionnaires scolaires dire littéralement qu’illes sont bienveillants, que ça soit elleux-même en individu, en groupe ou pour tout l’établissement.

Je crois que je vais modifier cette citation de Bruce Schneier(Security isn’t a product, it’s a process) pour complèter cette partie, décidément la consomation ça apporte pas grand chose…

La bienveillance n’est pas un produit ou une identitée, c’est un processus

Politique de CW

Donc pour que les choses soient plus claires et que je n’ai pas à me répéter trop souvent (ça fait genre un mois que y’a ça et que ça s’enflamme de temps en temps, pourquoi pas mais c’est chiant à la longue)

Mes avis sur les CWs sont assez fixé et depuis pas mal de temps (je les utilisais déjà sur twitter, IRC, …), c’est à vous de vous faire votre propre avis, je ne partage que mes avis, et on peut en débattre (pas se taper dessus sinon je pense que je bloque direct).

Je suis pour les CWs au maximum, c’est-à-dire qu’on relit son message (de toute façon ça évite au passage de faire des fautes et d’être mal compris·e) et on dit au préalable ce qui pourrait être perçu négativement par les personnes qui vont vous lire/écouter/…. Et non y’a pas besoin de boule de cristal pour ça, au pire tu ne penses pas/ne connais pas une oppression tu auras peut-être des réponses ou des messages dans ta timeline à propos justement de cette oppression.

Le CW n’est pas de la censure mais un avertissement, une censure c’est quand on ne peut pas poster quelque chose, au contraire un CW peut permettre de poster des choses potentiellement polémiques en avertissant les gens, ce qui fait des réactions négatives moins fortes voire pas de réactions. Mais oui, en gros ça veut dire que tu dois faire attention à ce que tu dis et surtout comment tu le dis, mais franchement ça on le voit plus ou moins partout. Si tu ne vois pas trop en quoi quand quelqu’un·e te dit : Nope là je ne veux pas t’écouter/te laisser dire ça, ce n’est pas une censure, juste la personne qui te montre la porte, merci XKCD pour le message. ☺

planche de XKCD sur la liberté d’expression, résumée à la phrase précédente
I can't remember where I heard this, but someone once said that defending a position by citing free speech is sort of the ultimate concession; you're saying that the most compelling thing you can say for your position is that it's not literally illegal to express.
Je ne me souvient plus quand j’ai entendu ça, mais une personne a dit une fois que défendre sa position en citant la liberté d’expression est en quelque sorte la dernière chose; c’est dire que le plus gros argument que vous pouvez dire est que ce n’est pas littéralement illégal à exprimer.

La plupart des formes prises pour… “débattre” ne me plaisent pas du tout, au début du mois d’avril y’a eu une grosse engueulade bien toxique sur ce sujet, franchement même avec les inits standards vs systemd y’avais pas autant de comportement toxique et avec tellement de non-écoute des personnes qui s’expriment sur des oppressions.

La plupart des formes prises pour… “militer” ne me plaisent pas vraiment, y’a eu l’idée de faire une petite liste à titre d’example, assez utile pour dire à quoi servent les CW, sauf que j’ai l’impression que des personnes sont parties en mode « vas-y on liste tout ce qu’on voit comme potentiel CW », sauf que je pense pas que des gens vont lire ça et se dire que les CW c’est utile, plus se dire que c’est chiant et donc sans doute quelque chose de franchement négatif derrière. Et en vrai ce qu’on a d’encore pire c’est les gens qui grognent dessus en adoptant une position complètement anti-CW.

Ah et j’en profite pour vous re-partager : l’humour est une chose trop sérieuse…

Paramétrage de mon serveur git

Après avoir eu plusieurs problèmes avec gitlab.com (impossibilitée de git push sur mon propre dépot, par example). J’ai décidé de faire un truc simple, inspiré de git.linkmauve.fr. J’ai mis tout mes dépots git dans le /git

Démarrage avec juste nginx et ssh

Celui-là est trivial quand on connais le truc, suffit de mettre git update-server-info dans hooks/post-update du dépot git (qui doit être un --bare)

Ajout de git-daemon

Celui-là fût encore plus simple, j’ai juste eu à dire où sont les dépots git

Une meilleure interface

En cherchant des alternatives au GNU je suis tombé sur stagit, un générateur static pour git (je n’aime pas les CGI, surtout quand ça peut avoir un accès sur mon dépot git), pour l’utiliser j’ai rajouté ces lines au post-update-hook :

repo=$(pwd)
cd "$(pwd | sed s/.git$//)" && stagit -c "$repo.cache" "$repo"
cd /git && stagit-index *.git > /git/index.html

Déployement vers blog

Celui-là sort une erreur(probablement parceque GIT_INDEX_FILE est pas censé être vide) mais ça fonctionne :P

GIT_INDEX_FILE='' git --work-tree=/srv/web/hacktivis.me --git-dir=/git/blog.git checkout -f

Garbage Collector

Ce n’est pas comme si mes dépots étaient gros, git est censé faire ça tout-seul mais apparement non, donc je fait un git gc à chaque fois, ce qui n’est pas très optimisé.

post-update hook final


#!/bin/sh
repo=$(pwd)
update_f=' * Updating %s…'
is_ok(){ echo ' [OK]'; }

printf "$update_f" 'Garbage Collector'
git gc && is_ok

printf "$update_f" info
git update-server-info && is_ok

printf "$update_f" stagit
cd "$(pwd | sed s/.git$//)" && stagit -c "$repo.cache" "$repo" && is_ok

printf "$update_f" stagit-index
cd /git && stagit-index *.git > /git/index.html && is_ok

# Erreurs mais fonctionnel
grep blog <<<$repo && printf "$update_f" blog && GIT_INDEX_FILE='' git --work-tree=/srv/web/hacktivis.me --git-dir=/git/blog.git checkout -f && is_ok
404 not found
Actually non-tor certificates will (sadly) be signed with Let’s Encrypt a bit before 2017-05-26, tor will be self-signed
Support La Quadrature Du Net
Oops you found a Dead Link !

Demande des USA de mot de passe des réseaux sociaux

En gros : C’est stupide, c’est le pire « je n’ai rien à cacher », et les États dés-Unis veulent faire cette betise. Un mot de passe c’est fait pour être caché, même/surtout aux gouvernements.

Autres questions

Qu’est-ce qu’un réseau social, les communications entre-humains, ou un truc plus spécifique comme Twitter/Facebook et équivalent

Comment peut-on vérifier que l’on à donner tous les comptes qui nous appartiennent, où même un faux compte qui pourrais servir juste pour ça (genre tu donne ton robot _ebook)

L’HTML dans les courriels

Ce billet type geulante est pas contre l’HTML sinon je rédigerais ceci dans un autre format, ceci est contre l’HTML « généré » et plus particulièrement dans les courriels et encore plus quand celui-ci n’a pas de version texte.

J’ai donc fait une petite comparaison, l’HTML dans un courriel fait souvent environ la taille de la license GPL-3(35 147 charactères). Je vous invite donc à lire cette license en entier et à vous dire que c’est un texte COURT. (je ne recois pas de truc très sophistiqué, juste des gens qui on mal configuré·e leurs client de messagerie, imaginez les trucs avec du javascript et autres crasses)

Example d’un courriel HTML-seul :

Type de fichiercharactèresCommentaire
HTML21 563taille de la GPL-3
Texte (lynx --dump)1 155on vire 20 408 charactères
Texte (manuellement)921on vire 20 642 charactères

Pour la comparaison, la CC-BY-SA 4.0 juridique en texte brut fait 20 131 charactères. Mettez une partie de cette license ou un texte similaire en début et le reste en fin de vos message, je pense que des personnes voudront vous tabasser avec votre propre matériel informatique.

Ceci est particulièrement chiant dans le cadre du courriel. Je reçois souvent du HTML avec tous mes courriels (Alors qu’on pourrait transiter du chaton à la place), que les plus grosses crasses que je voit sont dans des courriels automatiques(DeviantArt, Paypal, Steam, niouzletteur, …) un gâchis encore plus énorme et dans des listes de discutions… (le courriel pris en example vennait d’une liste de hackerspace…)

À la limite je pourrait geuler sur les attachement de 2 Mo (10~20 secondes à charger sur un hotspot) mais ça encore c’est compréhensible et n’est pas une pure mauvaise volontée des logiciels et en partie ses utilisateurices (quoique).

Notes :

La neutralitée du Net sur un wifi Orange™, deuxième mensonge

Vut que je n’ai pas de vraie connection internet chez moi autre qu’un forfait à 50MB de 4G, j’utilise le réseau de orange… qui en plus de bloquer l’envoit des courriels par un client classique(mutt, thunderbird, …) (j’ai un tunnel SSH pour ceci et je pense mettre mutt sur mon serveur) fait aussi de la merde sur des nom-de-domaine inexistant·e, c’est à dire me rediriger(merci chromium, firefox a une option pour contrer ça) vers http://instantfwding.com/?dn=cet.abruti.de.nom.de.domaine.com&pid=7PO2UM87 Heuresement que j’ai uMatrix pour bloquer ces conneries. Sauf que ce n’est pas un comportement normal de mon réseau j’ai donc voulut voir ça de plus près.


haelwenn@NightmareMoon:~$ cat /etc/resolv.conf.head
nameserver 127.0.0.1
nameserver 80.67.169.12
nameserver 80.67.169.40
domain hacktivis.me
search hacktivis.me
haelwenn@NightmareMoon:~$ cat /etc/resolv.conf
# Generated by dhcpcd from wlp0s22f2u3.dhcp
nameserver 127.0.0.1
nameserver 80.67.169.12
nameserver 80.67.169.40
domain hacktivis.me
search hacktivis.me
domain orange-hotspot.com
nameserver 80.10.46.232
# /etc/resolv.conf.tail can replace this line
haelwenn@NightmareMoon:~$ dig nxdomain.tld
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 27819
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nxdomain.tld.			IN	A

;; AUTHORITY SECTION:
.			10800	IN	SOA	a.root-servers.net. nstld.verisign-grs.com. 2016100900 1800 900 604800 86400

;; Query time: 47 msec
;; SERVER: 80.67.169.12#53(80.67.169.12)
;; WHEN: Sun Oct 09 16:34:01 CEST 2016
;; MSG SIZE  rcvd: 116

haelwenn@NightmareMoon:~$ dig nxdomain.tld @80.10.46.232
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld @80.10.46.232
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26873
;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;nxdomain.tld.			IN	A

;; ANSWER SECTION:
nxdomain.tld.		3600	IN	A	10.10.10.10

;; Query time: 43 msec
;; SERVER: 80.10.46.232#53(80.10.46.232)
;; WHEN: Sun Oct 09 16:36:26 CEST 2016
;; MSG SIZE  rcvd: 58
On commence déjà à avoir du DNS menteur, mais n’oubliont pas domain orange-hotspot.com (J’ai modifié ma config dhcpcd juste après avoir rédigé·e ce billet)

haelwenn@NightmareMoon:~$ dig nxdomain.tld.orange-hotspot.com
; <<>> DiG 9.10.3-P2 <<>> nxdomain.tld.orange-hotspot.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54935
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nxdomain.tld.orange-hotspot.com. IN	A

;; ANSWER SECTION:
nxdomain.tld.orange-hotspot.com. 3600 IN A	103.224.212.222

;; AUTHORITY SECTION:
orange-hotspot.com.	171919	IN	NS	ns16.above.com.
orange-hotspot.com.	171919	IN	NS	ns15.above.com.

;; ADDITIONAL SECTION:
ns15.above.com.		171919	IN	A	103.224.182.5
ns15.above.com.		171919	IN	A	103.224.212.5
ns16.above.com.		171919	IN	A	103.224.212.6
ns16.above.com.		171919	IN	A	103.224.182.6

;; Query time: 180 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Oct 09 16:39:12 CEST 2016
;; MSG SIZE  rcvd: 184

Bon génial, on à deux addresses… je me suis dit que un nmap pourrait être sympa, aller hop zou !


haelwenn@NightmareMoon:~$ nmap -A 10.10.10.10
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-10-09 16:42 CEST
Nmap scan report for 10.10.10.10
Host is up (0.044s latency).
Not shown: 999 filtered ports
PORT   STATE  SERVICE VERSION
80/tcp closed http

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.40 seconds

haelwenn@NightmareMoon:~$ nmap -A 103.224.212.222
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-10-09 16:43 CEST
Nmap scan report for lb-212-222.above.com (103.224.212.222)
Host is up (0.20s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
25/tcp open  smtp
|_smtp-commands: SMTP EHLO lb-212-222.above.com: failed to receive data: connection closed
|_smtp-ntlm-info: ERROR: Script execution failed (use -d to debug)
80/tcp open  http    Apache httpd (PHP/5.4.45-0+deb7u5)
| http-robots.txt: 5 disallowed entries 
| /cpx.php /medios1.php /toolbar.php /check_image.php 
|_/check_popunder.php
|_http-server-header: Apache
|_http-title: Did not follow redirect to http://www.qfind.net?_inv
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port25-TCP:V=7.25BETA1%I=7%D=10/9%Time=57FA57A5%P=x86_64-pc-linux-gnu%r
SF:(NULL,25,"220\x20mwinf5d62\x20ME\x20ESMTP\x20server\x20ready\r\n")%r(He
SF:llo,46,"220\x20mwinf5d62\x20ME\x20ESMTP\x20server\x20ready\r\n501\x20EH
SF:LO\x20requires\x20valid\x20address\r\n");

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.60 seconds
Et un HTTP… voyons voir si c’est celui qui ment.

haelwenn@NightmareMoon:~$ curl -v -H 'Host: nxdomain.tld' 103.224.212.222
* Rebuilt URL to: 103.224.212.222/
*   Trying 103.224.212.222...
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed

  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0* Connected to 103.224.212.222 (103.224.212.222) port 80 (#0)
> GET / HTTP/1.1
> Host: nxdomain.tld
> User-Agent: curl/7.50.1
> Accept: */*
> 
< HTTP/1.1 200 OK
< Date: Sun, 09 Oct 2016 14:45:05 GMT
< Server: Apache
< X-Powered-By: PHP/5.4.45-0+deb7u5
< Content-Length: 371
< Connection: close
< Content-Type: text/html; charset=UTF-8
< 
{ [371 bytes data]

100   371  100   371    0     0    866      0 --:--:-- --:--:-- --:--:--   868
* Closing connection 0
<html>
<head>
<title>nxdomain.tld</title>
</head>
<frameset rows="100%,*" frameborder="no" border="0" framespacing="0">
<frame src="http://instantfwding.com/?dn=nxdomain.tld&pid=7PO2UM885">
<noframes>
<body bgcolor="#ffffff" text="#000000">
<a href="http://instantfwding.com/?dn=nxdomain.tld&pid=7PO2UM885">Click here to enter</a>.
</body>
</noframes>
</frameset>
</html>

Trouvé !
Si vous avez encore des personnes qui ne vous croient pas sur une connection non-neutre, mettez-les sur un wifi orange semi-public y’aurat des trucs pas habituels :P

Ah et orange à l’air d’utiliser une bonne grosse masse de Debian(cf. le deb dans la version du Serveur apache menteur ainsi que pour PHP) donc ouais le libre ça marche pas avec orange™

Democrate(ch|d)

Je ne sais même pas par où commencer mais bon je vais dire le bon coté, ça sera rapide, ;D

L’idée est de faire une vraie démocratie ou les influent·e·s ne décident pas entre elleux.

C’est une bonne idée malheureusement :

Vous n’êtes pas du tout apolitique(« affiliés à aucun parti ») car vous dites clairement que vous ne voterez pas pour les influent·e·s, c’est déjà de la politique. Ensuite, comme je l’ai dit sur GnuSocial(que je peut dire sans problème car ce n’est pas lucratif, commercial, …) vous utilisez des outils capitalistes(twitter, facebook, linkedin, google, OVH, GoDaddy, Online SAS, github), non-Libre et égalitaire(un moyen de le faire aurait été d’utiliser quelque chose comme wikipédia) et vous dites être « candidats à rien ». Pardon !? Dans ce cas vous ne voulez pas de gouvernement, donc sans doute l’anarchie, je ne suis pas contre mais c’est fortement politique car contre le totalitarisme naissant. Ah et mauvaise couleur politique, le bleu c’est de droite ou conservateur, le blanc c’est pacifiste ou monarchiste. Vous n’êtes pas apolitique, vous êtes ambiguë.

Je n’aime pas(plus ?) dire ça mais je ne vais pas y aller par 4 chemins : votre site est dégueulasse. Beau certes, mais dégueulasse.
Vous ne respectez pas la vie privée(traçage), le code et vos commits(« atome de code ») sont obèses, c’est plein de Javascript(au moins on peut observer sans), vous utilisez un PDF pour faire de l’HTML brut.

Ensuite, utiliser un maximum de mots français serait pas mal, j’en ait assez de notre novlangue. Et si le mot ou l’expression n’existe pas en français ou n’est pas traduisible correctement, ne traduisez pas !

Réponse à « Mise en place d’un firewall sous debian »

C’est peut-être du à l’anciennetée du billet(7 novembre 2011) mais sudo apt-get update met à jour la liste des paquets, et install, installe des pauets, pour mettre à jour c’est upgrade. Mettre pare-feu (open-office ;3) serait mieux que firewall.

Bon ensuite je ne sais pas si c’est à cause de ton moteur de blog, mais il n’y à pas de majuscules en début de commande. Et un fichier texte aurait été bien mieux qu’une image pour donner un script. Surtout que le paquet iptables-persistent existe pour cette fonctionalitée. Et dire au lecteur·trice d’utiliser un éditeur de texte plutôt que d’utiliser touch et nano. Ensuite je ne recommande pas l’utilisation d’un DMZ(machine·s où tout les ports sont ouvert dessus).

Règles IPtables

Vut qu’il n’y a aucune explication, pour faire du NAT c’est avec l’option masquerade(exemple : iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o wlan0 -j MASQUERADE -A pour Ajouter, 102.168.0.0/24 est une notation CIDR qui indique un block de 256 addresses IPs commencant à 192.168.0.0, -o pour indiquer l’interface de sortie, ici wlan0 la carte wifi) qui évite de s’emmerder a configurer l’IP de sortie/remplacement/publique/… utile quand il y a plusieurs sorties ou une addresse de sortie non-fixe (cf. Partage de connexion - ArchwikiFR).

Ensuite il manque la redirection des paquets pour une autre destination. echo 1 > /proc/sys/net/ipv4/ip_forward Ah et y’a pas que le web donc iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT permet de pouvoir établir une connexion.
iptables -A INPUT -p icmp -j ACCEPT active les paquets icmp, ne pas activer car permet de passer par un chemin détourné au niveau du pare-feu.
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT Ne rendez pas CUPS accessible, tout le monde pourrait imprimer !

Ensuite fail2ban, n’est pas un pare-feu, c’est un anti-spam (bloque au bout d’un certain quota), utile contre les attaques type bruteforce. Il ne permet pas d’empecher les attaques lentes et les services non-sécurisé ou mal-configuré(id : admin, mpd : admin), par exemple le CUPS public. Je vous conseille de bien configurer avant vos services et éventuellement de l’utiliser ensuite(pour un réseau difficile à surveiller, avec beaucoup de personnes dedans et/ou un service merdique).

En gros pour faire un pare-feu (sous linux) c’est :

Pourquoi je n’utiliserais pas ghostery

Ghostery est une extension connue pour son anti-traçage facile, malheuresement comme beaucoup de solutions de facilité, elle n’est pas libre, un peu idiot pour un extension qui revendique que la transparence + sécurité = contrôle. De son site qui utilise des formulaire au lieu d’utiliser une balise a, surement pour limiter le click droit. Voici donc les liens (bien que je ne recommande pas de l’utiliser vous verrez pourquoi plus tard) : Firefox, Chrome, Opera, Safari, Internet Explorer(Oui, un .exe), Android(Google Play,Amazon Apps), iOS, Firefox OS.

Et si j’inspectait ces paquets ? Vut que y’a presque toutes les plateformes je vais faire seulement Firefox.

Extension firefox

$ wget https://addons.mozilla.org/firefox/downloads/latest/ghostery
$ mv ghostery ghostery-5.4.3-an+sm+fx.xpi # Je le renomme pour le nom du fichier chez mozilla
$ unar ghostery-5.4.3-an+sm+fx.xpi # Décompression du paquet
$ cd ghostery-5.4.3-an+sm+fx/resources/ghostery/data # Allons voir les données
$ vim databases/click2play.json # Tient un gros truc de copyright
{"copyright":"This proprietary database is protected by copyright, and is owned exclusively by Ghostery and all rights to it are expressly reserved. If you are interested in using this database for any purpose outside of the Ghostery application, contact Ghostery at info@ghostery.com. Ghostery may grant permission to use our proprietary database as determined in our sole discretion. Unauthorized use of this proprietary database, or any portion of it, may result in legal proceedings against you, seeking monetary damages and an injunction against you, including the payment of legal fees and costs."[…]

Ça fait plaisir, je préfère encore ®M$(Richard Matthew Stallman, le fondateur de la Free Software Foundation et du GNU is Not Unix) et ses CC-*-ND qui empeche la modification de ses travaux. De toute façon ce fichier ne contient pas grand chose à par du code minable pour twitter/facebook/g+/pinterest/disqus/…. J’espère ne pas découvrir que Goshtery se base massivement dessus pour éviter le traçage des réseaux sociaux, car pour l’instant c’est principalement des éléments que le navigateur a déjà chargé que ghostery vous cache.

Tient y’a un README.md

Data Resources
==============

Packages may optionally contain a directory called data into which arbitrary files may be placed, such as images or text files.

The URL for these resources may be reached using the self module.

Okay, c’est très utile… je sais faire un ls -R

Bon au tour de js/tracker.js bon bah pas de surprise droite d’auteur, tient si on aime pas ceci, illes nous dise carrément de ne pas utiliser cette extension… “You may not disassemble or reverse engineer Ghostery for any purpose, other than for reviewing the code for personal review, and at all times are bound by the terms of this EULA.” HAHA FUCK YOU this is a personal web log ;) Uh fucking law. I lost the other "borderline" (un)?-legit part.

Libre Alternatives

Légifrance ne respecte pas ses propres Délibérations

Je remarque en allant sur Légifrance(D’ailleurs de l’HTTPS serait pas mal pour garantir l’autenticitée du contenu) que l’on me donne un cookie, route=6bba97b9cd0deb1fc254548caef9f1cc; Path=/, je le refuse, le site s’affiche et fonctionne correctement mais aucune indication ne m’est donnée concernant les cookies, je navigue donc vers la page Délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978 et on me donne un autre cookie, cette fois un cookie de session javascript(JSESSIONID=519C0B912D8F857CBAB38F194BC2D1CD.tpdila20v_2; Path=/) alors que javascript n’est pas activé pour ce site.