Ce soir, #seenthis doit changer d’hébergement. On va essayer de faire au mieux pour que ça se passe sans accroc, mais il est possible qu’il y ait quelques coupures du signal à certains moments.
Horaire prévu : entre 22h et minuit (heure française)
Ce soir, #seenthis doit changer d’hébergement. On va essayer de faire au mieux pour que ça se passe sans accroc, mais il est possible qu’il y ait quelques coupures du signal à certains moments.
Horaire prévu : entre 22h et minuit (heure française)
Ouf... généralement, à cette heure-là, je dors #heureux_les_couche-tôt !
C’est une montée en charge, un truc de maintenance… ?
Arf ! Pour moi c’est l’heure de pointe... du coup si vous avez besoin d’aide pour tester des trucs, n’hésitez pas à frapper à la lucarne hein !
Cf. ►http://seenthis.net/messages/420961
C’est essentiellement un choix politique, de savoir s’il y a une communauté pour s’occuper de ça, ou si ça échoit toujours au même (en l’occurrence c’était @arno depuis le début, puis moi depuis le crash il y a une grosse année). Maintenant c’est (censé) devenir collectif.
Et aussi un peu ▻http://seenthis.net/messages/490093 (#https)
\o/ ça semble bien touner
ah, apparemment, c’est fait !
(je dois me reconnecter)
BRAVO !
Et les fameuses 2 minutes de #merdrecestquoimonmotdepasse !
Bravo tout le monde !
Et 2 minute de sueur devant un message intempestif :
La page n’est pas redirigée correctement
Firefox a détecté que le serveur redirige la demande pour cette adresse d’une manière qui n’aboutira pas.
La cause de ce problème peut être la désactivation ou le refus des cookies.
Mais c’est bon c’est revenu à la normale sans rien changer.
merci @seenthis . Depuis la migration, mon poil est plus doux.
Merci :)
Y a pas des boutons à la facebook dans la v2 ?
C’est pas une V2 :) Yeah ! Super le passage de relais ! Beaucoup de choses obscures dans les échanges sur la liste, mais super intéressant.
Ce serait bien d’ajouter dans les pages #seenthis, une page sur le fonctionnement collaboratif du nouvel hébergement et sur les différentes manières de participer avec les liens.
J’ai l’impression d’un petit problème ce matin : pour les contenus externes du genre vidéo Youtube chargée par oEmbed en javascript après avoir cliqué sur l’image de prévisu :
La console de Firefox me dit « Blocage du chargement du contenu mixte actif ». Et du coup impossible de lire les vidéos à l’intérieur de Seenthis.
▻https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content
@rastapopoulos Ah oui, pareil avec Safari, contenu Youtube bloqué :
[blocked] The page at about:blank was not allowed to display insecure content from ▻http://www.youtube.com/embed/aH_FP67cLP0?rel=0&autoplay=1.
Si je comprends bien, c’est parce que désormais Seenthis est en https
, et les navigateurs refusent d’y charger du contenu externe en http
.
Un souci avec https. J’ai dû changer d’ordi pour arriver ici.
Sous MacOS X 10.5, je n’arrive pas à avoir les certificats SSL
Je suspecte que dans oembed
, à la fabrication du lien d’embed vers l’extérieur, au lieu de http://youtube.com
, il faut mettre juste //youtube.com
.
pour les embed https voir patch ici ►https://github.com/seenthis/seenthis/commit/d389754065eff70d1ea29882374ed4b0959f3672
@nidal mettre // c’est la première chose que j’ai essayée, mais ça plantait, car spip applique un filtre url_absolue qui n’est pas au courant de l’existence de cette notation. En fait pour nous ça revient au même que mettre https, et pour d’autres instances de seenthis qui ne sont pas https, ça marchera quand même.
Mais @fil comment tu peux être sûr que le service en question supporte HTTPS ? Évidemment la plupart sont des gros services qui l’ont, mais ya quand même aucun test, aucun assurance que la vidéo, le son, la playlist, etc, fonctionnent aussi en HTTPS, non ?
Oui, ok comme le dit le log de commit « on fait l’hypothèse que… » :)
@rastapopoulos Le plugin autoembed ne travaille qu’avec un nombre limité de sources.
Au fait, @fil, au passage, il faudrait en profiter pour ajouter un allowFullScreen
dans les iframe, de façon à ce que ça autorise le plein écran pour les vidéos jouées dans Seenthis.
allowFullScreen
fait et appliqué
▻http://zone.spip.org/trac/spip-zone/changeset/98620
Grand #merci l’équipe pour cette migration, https et le fullscreen possible sur les vidéos ! Vous êtes géniaux :)
Ah tiens, mes flux RSS sont silencieux. Je les passe en HTTPS et là : « connection closed by peer ». C’est grave ? Par exemple ▻https://seenthis.net/people/suske/follow/feed mais en fait c’est dans l’application que cela cale, pas dans le navigateur. Hum. I feel alone :-)
Édit : ça maaaaarche maintenant ! Youpie !! #merciiii
Ça y est, c’est bon sur ma vieille casserole.
Encore merci. Pour TOUT ! et aussi pour la réactivité. Bravo !
Merci et bravoooooo ! Longue vie à @seenthis !
même si je ne comprends pas bien ce qui s’est passé (c’est-à-dire qu’on est partis, mais où ? (et quel est donc ce « s » à l’http qui à l’air tout changer ?)) merci oui.
Cool, HTTPS. Supervision changée pour se connecter en HTTPS. Rendez-vous le 13 septembre pour l’expiration du certificat :-)
@tintin Le S de HTTPS signifie Secure (Sûr). Cela indique que la communication entre ton navigateur et SeenThis est chiffrée (rendue illisible par la cryptographie), ce qui 1) est indispensable pour protéger ton compte (autrement, lire le mot de passe serait trop facile) 2) perturber le travail des surveillants (genre NSA, Beauveau, etc).
Je sais pas si c’est une « bonne pratique », mais chez moi j’ai ajouté un job cron hebdomadaire :/etc/letsencrypt/letsencrypt-auto renew
Si le certificat est proche de l’expiration mais n’est pas expiré il est automatiquement renouvelé selon une procédure allégée (automatique).
@Fil Icinga préviendra 15 jours avant :-)
Ah, l’API a un problème ? Je ne peux plus soumettre de nouveaux seens par l’API, « HTTP Error 405 : No message found »
@stephane peux-tu nous filer une url qui pose problème ?
Je viens de tester seenthis.net/api/messages/341663
et ça semble bien fonctionner.
@b_b Réparé (cf. le rapport de bogues sur Github)
Félicitations et merci pour la proposition de transformer la gestion de #seenthis dans un projet collectif !
J’y vois quelques question de caractère recurrent :
– Quand est-ce qu’on écrira la doc nécessaire pour monter et gérer des instances #seenthis sous SPIP 3.n.n ?
– La doc utilisateurs me semble être un peu éparpillée, comment y remédier ? (Contrairement à #SPIP ceci me semble facilement faisable por #seenthis)
– des patchs du genre ►https://github.com/seenthis/seenthis/commit/d389754065eff70d1ea29882374ed4b0959f3672 risquent d’emmener le projet à un point où une documentation une fois écrite marchera à un moment donné mais sera invalidée par les changements postérieurs.
– Où en est l’idée de faire communiquer entre eux des installations de #seenthis (Il a été question d’utiliser XMPP pour connecter les bdd etc.) ?
– Est-ce qu’on se voit cet été pour travailler sur les aspects techniques et politiques du projet #seenthis ?
– Un exemple : qui fera partie du collectif et quelle règles y seront appliquées ?
P.S. bon anniverversaire #SPIP :-)
Certbot
▻https://certbot.eff.org
Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.
Un utilitaire en python pour l’installation et le renouvellement des certificats Let’s Encrypt.
Disponible sous forme du paquet debian : python-certbot-apache
#letsencrypt #python #serveur #certificat #automatisation #https
We’re Going HTTPS: Here’s How WIRED Is Tackling a Huge Security Upgrade
▻https://www.wired.com/2016/04/wired-launching-https-security-upgrade
“enabling HTTPS on a media site isn’t easy. Many have discussed the importance of HTTPS on news and media sites, and a few notable sites have already achieved it.”
Moving the Washington Post to HTTPS
▻https://developer.washingtonpost.com/pb/blog/post/2015/12/10/moving-the-washington-post-to-https
“The challenges we faced in this migration weren’t strictly technical in nature. We knew exactly what we had to do at each step but we faced challenges in the following areas: infrastructure, advertising, and newsroom.”
#Certificat_SSL Let’s Encrypt sur #Fedora 23
▻http://www.dsfc.net/logiciel-libre/apache-logiciel-libre/certificat-ssl-letsencrypt-fedora-23
La création et le renouvellement d’un certificat #SSL #Let's_Encrypt pour #Apache sous Fedora sont loin d’être une sinécure !
#apache #Certificat_Let's_Encrypt #Fedora_23 #Formateur_Apache #Formateur_Fedora #Formateur_LAMP #Formateur_Linux #Https #Lamp #Linux #OpenSSL
#Google_Chrome / #Chromium et les #Certificats_auto-signés
▻http://www.dsfc.net/internet/navigateurs/google-chrome-chromium-certificats-auto-signes
Empêcher l’accès à un site en mode #Https, parce que le #Certificat_SSL utilisé est auto-signé, est éminemment contestable !
Setting up #CloudFront and #TLS (HTTPS) with #Jekyll – Oliver Pattison
▻https://olivermak.es/2016/01/aws-tls-certificate-with-jekyll
This is a guide to getting set up quickly and cheaply to host a static website on #Amazon Web Services with a TLS certificate. Tags: Jekyll #HTTPS TLS #AWS Amazon CloudFront #S3 #Route53
Pourquoi Next INpact arrête la publicité classique et passe au #HTTPS pour tous
▻http://m.nextinpact.com/news/97835-pourquoi-next-inpact-arrete-publicite-classique-et-passe-au-http
alors que toute une partie du marché pense que l’avenir de la publicité est dans la vidéo (même dans du contenu texte), dans le mélange des genres entre le contenu et le sponsoring des marques, et que le display est mort, nous misons sur le contraire Tags : #clevermarks #tracking HTTPS #presse publicité #financement
Install, configure and automatically renew Let’s Encrypt #ssl certificate (English) - Blog - Vincent Composieux, Développeur PHP Symfony, Golang, Python, NodeJS
▻https://vincent.composieux.fr/article/install-configure-and-automatically-renew-let-s-encrypt-ssl-certi
Un tuto avec un script pour renouveler les certificats let’s encrypt pour plusieurs domaines avec la méthode webroot et nginx. (Donc la méthode à utiliser pour ne pas couper sa prod lors du renouvellement de certificats)(Permalink)
Caddy 0.8 Released with Let’s Encrypt Integration
▻https://caddyserver.com/blog/caddy-0_8-released
#Caddy is the first general-purpose web server to default to #HTTPS, fully manage all relevant cryptographic assets for you, and configure itself to redirect HTTP to HTTPS. Check it out, with real footage of a real site in real time
#letsencrypt #web #serveur avec des extensions #hugo (site statique) #git (synchro) #fastcgi (pour #php) et une indexation native des contenus via #bleve
à tester avec #SPIP !
J’ai des problèmes d’OCSP stapling, voici le message que j’obtiens sur Firefox en visitant le site:
Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à caddyserver.com. La réponse OCSP contient des informations obsolètes. (Code d’erreur : sec_error_ocsp_old_response)
La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
Veuillez contacter les propriétaires du site web pour les informer de ce problème.
Google opte pour l’indexation des versions HTTPS de pages, si tel existe.
Ce qui devrait augmenter la sécurité sur le web en nous envoyant d’avantage sur des sites plus sécurisés, par défaut.
▻https://googlewebmastercentral.blogspot.ch/2015/12/indexing-https-pages-by-default.html
we’d like to announce that we’re adjusting our indexing system to look for more HTTPS pages. Specifically, we’ll start crawling HTTPS equivalents of HTTP pages, even when the former are not linked to from any page. When two URLs from the same domain appear to have the same content but are served over different protocol schemes, we’ll typically choose to index the HTTPS URL if:
• It doesn’t contain insecure dependencies.
• It isn’t blocked from crawling by robots.txt.
• It doesn’t redirect users to or through an insecure HTTP page.
• It doesn’t have a rel="canonical" link to the HTTP page.
• It doesn’t contain a noindex robots meta tag.
• It doesn’t have on-host outlinks to HTTP URLs.
• The sitemaps lists the HTTPS URL, or doesn’t list the HTTP version of the URL
• The server has a valid TLS certificate.
Il est probable aussi que cela permettra à google de mettre plus de choses sous le tapis.
Je m’explique à l’aide d’un exemple.
Sur le site de #Radio_Campus_Lille, il y a un témoignage de salariés sur Chronodrive.
Chronodrive est un client de google pour sa publicité (intense).
L’émission : Le titre « #Jobs TRAVAILLER CHEZ CHRONODRIVE - Témoignage audio »
Lien : ►http://www.campuslille.com/index.php/entry/jobs-travailler-chez-chronodrive
On recherche sur #google avec les mots clefs : « Job travailler chez chronodrive témoignage » , rien.
Si vous relancez la recherche afin d’inclure les résultats omis, on la trouve.
Mais non, ce n’est pas de la censure !
La censure sur le web, ce n’est qu’en #Chine.
En France, c’est tout simplement sous le tapis.
Bon, cela prendra du temps, mais la solution est de mettre le lien vers cette émission sur tous les blogs parlant du travail à #Chronodrive.
Let’s Encrypt
►https://letsencrypt.org
►https://letsencrypt.org/howitworks/technology
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the Internet Security Research Group (#ISRG). ISRG is a California public benefit corporation, and is recognized by the IRS as a tax-exempt organization under Section 501(c)(3) of the Internal Revenue Code.
The objective of Let’s Encrypt and the ACME protocol is to make it possible to set up an #HTTPS server and have it automatically obtain a browser-trusted #certificate, without any human intervention. This is accomplished by running a certificate management agent on the web server.
NTP - Network Time Protocol - can be abused for attacks on HTTPS, DNSSEC, and Bitcoin.
Researchers at University of Boston describe how unencrypted NTP traffic can be intercepted and then used to change the time of clients. For example, the clock can be turned back to a point where the host would accept a fraudulent digital certificate that has been revoked.
Or by advancing the time on a DNS resolver the DNSSEC validation can be made to fail.
The researches also give advice on how to protect yourself against these various attacks.
Attacking the Network Time Protocol
Abstract—We explore the risk that network attackers can
exploit unauthenticated Network Time Protocol (NTP) traffic to
alter the time on client systems. We first discuss how an onpath
attacker, that hijacks traffic to an NTP server, can quickly
shift time on the server’s clients. Then, we present a extremely
low-rate (single packet) denial-of-service attack that an off-path
attacker, located anywhere on the network, can use to disable NTP
clock synchronization on a client. Next, we show how an off-path
attacker can exploit IPv4 packet fragmentation to dramatically
shift time on a client. We discuss the implications on these
attacks on other core Internet protocols, quantify their attack
surface using Internet measurements, and suggest a few simple
countermeasures that can improve the security of NTP.
▻http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf
backup: ▻http://docdro.id/Cf0QqBD
Deprecating Powerful Features on Insecure Origins - The Chromium Projects
▻https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins
We want to start by requiring secure origins for these existing features: Device motion / #orientation, EME, #fullscreen, Geolocation, getUserMedia() Tags: #API #Web #Chrome #HTTPS fullscreen orientation #clevermarks
Pourquoi passer à #HTTPS - JeVeuxHTTPS
▻https://www.jeveuxhttps.fr/Pourquoi_passer_%C3%A0_HTTPS
Tags : HTTPS #explication #raison #clevermarks
Network Impacts of HTTPS Transport Encryption
A very good (and technical) presentation of #HTTPS/#TLS/#SSL and its impact on network traffic, and reasons for breaking the encryption.
This is a presentation from Cisco Live 2015 in Milan.
Transport encryption, such as HTTPS, reduces network traffic visibility. This has a negative impact on network features such as QoS and security, which means applications can’t be identified and prioritized and means malware can’t be detected and blocked. This talk discusses those impacts and explains how visibility can be regained with TLS proxies and, in the future, with new protocols and new approaches that improve on today’s state of the art. This presentation contains no product-specific information, and is not a “how to” presentation.
• Background on how network security is performed on plain-text traffic
• Why network traffic is moving towards more encryption
• Decryption using TLS proxies
• Future protocols and solutions
PDF of the presentation:
▻http://d2zmdbbm9feqrf.cloudfront.net/2015/eur/pdf/BRKSEC-2525.pdf
The 90 minutes video of the presentation:
▻http://d2zmdbbm9feqrf.cloudfront.net/2015/eur/BRKSEC-2525.mp4
We’re deprecating #HTTP, and it’s going to be okay
►https://konklone.com/post/were-deprecating-http-and-its-going-to-be-okay #HTTPS #surveillance #MITM #encryption
#GSMA guide to #mobile #network operators on how to “manage” encrypted traffic - disgusting attitude
▻http://www.gsma.com/newsroom/wp-content/uploads/WWG-04-v1-0.pdf
#cryptography #HTTPS #TLS #MPTCP #QOS #telco #Net_Neutrality
Filières « djihadistes » : pour une réponse globale et sans faiblesse — Rapport de M. Jean-Pierre Sueur
►http://www.senat.fr/rap/r14-388/r14-388.html
Rapport n° 388 (2014-2015) de M. Jean-Pierre SUEUR, fait au nom de la CE moyens de la lutte contre les réseaux djihadistes, déposé le 1er avril 2015
la partie concernant le "cyber jihadisme" développe pas mal de proposition ahurissantes
Proposition n° 39 : Imposer aux acteurs d’Internet soumis à des obligations de transmission ou de coopération la fourniture de données décryptées.
Remarque, pour SeenThis, ce sera facile :-) #HTTPS
HTTPS : the end of an era — by Ben Klemens
►https://medium.com/@b_k/https-the-end-of-an-era-c106acded474
the Mozilla foundation’s #HTTPS requirement is, to me, the real end of the DIY era. This is not a closed-source corporation, or a startup pushing its new tool, or the arrogant guy at the hackathon, but the Mozilla Foundation — “Our mission is to promote openness, innovation & opportunity on the Web” — saying that if you are building web pages using tools from your desert island, without first filling in registration forms, then you are doing it wrong.
…
The dissident test
Consider a dissident in a totalitarian state who wishes to share a modified bit of software with fellow dissidents, but does not wish to reveal the identity of the modifier, or directly reveal the modifications themselves, or even possession of the program, to the government.
BK served as director of the FSF’s End Software Patents campaign, and is the lead author of Apophenia (►http://apophenia.info), a statistics library.
Je l’appelle "MOZILLA GO HOME", car c’est presque mot pour mot la version anti-https de la diatribe anti-XHTML d’@arno, “W3C go home" ►http://www.uzine.net/article1979.html (2003 !) (Heureusement depuis, XHTML est mort noyé dans son vomi, et on a à la place HTML5, une version très tolérante.)
Attention, ça va faire mal à SeenThis :
▻https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http
« 1) Setting a date after which all new features will be available only to secure websites 2) Gradually phasing out access to browser features for non-secure websites, especially features that pose risks to users’ security and privacy. »
“this site is best viewed with Internet Eplorer”
Mmmh, c’est violent quand même tout ça.
Sur l’idée, au départ, de loin, ok.
mais DON’T BREAK THE WEB !
Le web c’est pas que des applis et des sites e-commerce, sacrebleu !
Et la FAQ de Mozilla ▻https://blog.mozilla.org/security/files/2015/05/HTTPS-FAQ.pdf qui répond très bien à toutes les questions soulevées ici.
Q. Isn’t this making life harder for small websites and reducing free speech?
(...) the general trend in the industry is that HTTPS is getting easier to deploy. Even for legacy content, there’s HSTS and upgrade-insecure-requests to make the migration smoother.
(...)
Q. If you like security so much, why are you so hard on self-signed certificates?
Self-signed certificates aren’t inherently bad. If you go to the effort of manually checking that it’s the right certificate, it can be more secure than a CA-issued certificate.
So why does the browser present such a scary warning? The problem is that browser doesn’t know when it’s supposed to be getting a self-signed certificate, and when it’s supposed to be getting a CA-issued certificate. In practice, only a few legitimate sites present self-signed certificates, since manual checking is hard.
/me continue à se gratter la tête
▻http://alistapart.com/blog/post/on-our-radar-what-engineers-look-like
Last week Mozilla announced that it is “setting a date after which all new features [in Firefox] will be available only to secure websites”—that is, those that use https instead of http. Mozilla’s heart is in the right place: it wants to minimize security threats to users and the web. But we wonder what impact this will have on sites that can’t, won’t, or don’t know to convert to https—especially if other browsers follow suit. A low barrier is what keeps the open web open. —Jeffrey Zeldman, founder and publisher
via
▻http://mozillazine-fr.org/jeffrey-zeldman-sinterroge-sur-la-volonte-de-mozilla-de-deprecier-ht
On vous a répété plein de fois que, si vous voyez un petit cadenas à gauche de la barre d’adresse de votre navigateur Web, c’est que vous êtes en sécurité ? C’est faux. Il existe plusieurs techniques pour contourner cette sécurité (surtout si vous n’avez pas un complet contrôle de votre ordinateur et que quelqu’un peut, par exemple, ajouter une autorité de certification) et en plus elles sont légales.
La décision de la #CNIL : ▻http://www.cnil.fr/linstitution/actualite/article/article/analyse-de-flux-https-bonnes-pratiques-et-questions
Une explication simplifiée : ▻http://www.01net.com/editorial/651057/votre-employeur-peut-espionner-vos-communications-chiffrees-et-la-cnil-est-d-
Les détails techniques : ▻http://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https
D’ailleurs, le salarié est une menace (article du Parisien) ▻http://www.leparisien.fr/espace-premium/actu/les-salaries-connectes-une-menace-pour-la-securite-des-entreprises-23-04-
Une opinion « Que penseront donc les fournisseurs de services sensibles – tels que les banques – lorsqu’ils découvriront que les mesures de protection qu’ils déploient à grand frais sont contournées par les entreprises où travaillent leurs clients, remplacées par des mécanismes internes plus ou moins sûrs, sur lesquels ils n’ont aucune prise ? » ▻http://cestpasmonidee.blogspot.fr/2015/04/la-cnil-cree-une-faille-dans-la.html
Et un point de vue favorable à la décision de la CNIL d’autoriser explicitement cette interception : ▻http://cabusar.fr/https-la-cnil-et-les-cons
Et les conséquences techniques (graves) de cette interception. ►http://www.bortzmeyer.org/https-interception.html
Leur étude montre que plus de 10 % des sessions HTTPS vers Cloudflare (6 % pour des sites divers de commerce en ligne) sont interceptées, ce qui est assez inquiétant.
Ça mériterait pas un seen de plein rang ?
(avec liens réciproques)
RFC 7469 : Public Key Pinning Extension for HTTP
Depuis que les piratages de Comodo et DigiNotar ont fait prendre conscience du peu de sécurité qu’apportent les certificats #X509, plusieurs solutions ont été proposées pour combler les failles des autorités de certification. La proposition de ce #RFC consiste à permettre à un client d’épingler (to pin) les clés cryptographiques d’un serveur HTTP utilisant #TLS, c’est-à-dire à s’en souvenir pendant une durée spécifiée par le serveur. Ainsi, même si un faux certificat est émis par une AC, il ne sera pas accepté.
« Un utilisateur finlandais a pu, à l’aide d’un simple alias créé depuis Outlook.com, faire une demande de certificat de sécurité auprès du fournisseur Comodo. Non seulement il a pu l’obtenir, mais il n’a dû répondre à aucune question pour y parvenir. »
▻http://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
This proposed initiative, “The HTTPS-Only Standard,” would require the use of #HTTPS on all publicly accessible Federal websites and web services.
▻https://https.cio.gov
#USA