Parmi les changements apportés par Android 6 M, il y a le nouveau système de permissions.

Si l’application est compilée pour Android 6, il n’y aura plus aucune demande de permission à l’utilisateur lors de son installation.

Pour les permissions « qui peuvent avoir un impact sur la vie privée » (contacts, localisation, etc…), une demande sera faite auprès de l’utilisateur au moment ou l’utilisateur active une fonction de l’application qui requiert une des ces permissions. Ca c’est cool, car ça permet par exemple de donner l’accès à sa localisation à une application qui a juste une fonction permettant d’afficher les magasins les plus proches. Si on n’a pas besoin de cette fonction, on n’a pas besoin de d’ouvrir son carnet de contacts.

Mais pour les permissions qui « qui sont déclarées par Google non intrusives pour la vie privée », il n’y aura désormais plus de demande ni de notification auprès de l’utilisateur. Il ne sera d’ailleurs pas possible pour l’utilisateur de refuser une des ces permissions (sauf à ne pas installer l’application).

Et parmi celles-ci il y a android.permission.INTERNET qui donne accès l’envoi/réception de données sur un serveur distant.

Pourquoi cette permission n’est pas désactivable par l’utilisateur?

Tout simplement car la majorité des applications se rémunèrent par l’affichage de publicité et que couper Internet, c’est supprimer les publicités ! On ne touche pas au grisbi !

Mais le problème de cette entorse, c’est qu’une application qui a l’accès aux contacts à l’utilisateur pourra désormais exfiltrer tout votre carnet d’adresse sur un serveur externe sans éveiller la conscience de l’utilisateur.

On ne pourra donc pas forcer à fonctionner hors ligne une application qui disposerait d’une fonctionnalité en ligne, ce qui aurait permis de s’assurer définitivement qu’elle ne puisse pas nous espionner.

D’autre part, j’ai peur que l’utilisateur ne puisse plus savoir facilement quelles sont les applications qui n’ont demandé pas demandé l’accès à Internet dans leur Manifest et donc qui sont vraiment hors ligne.

Comme d’habitude, seuls les utilisateurs ayant un accès « administrateur » (« root » en anglais) sur leur téléphone pourront contourner ces limitations en installant :

• AdAway qui supprime les publicités de toutes les applications. (Je l’ai installé depuis longtemps et j’avais oublié que les pubs existaient….)
• AFWall+ qui décidera quelle application a le droit d’accéder à Internet et donc de forcer les applications à fonctionner hors ligne.

Malheureusement, sur la quasi totalité des téléphones vendus, ce sont le constructeur et Google qui en sont les administrateurs exclusifs bien que ce soit l’acheteur qui possède le matériel. De fait, celui-ci n’est donc que l’utilisateur d’un service dont les conditions d’utilisations sont édictées son constructeur (prends toutes mes applications maisons que tu ne peux désinstaller, obsolescence du produit par la simple impossibilité de mise à jour logicielle) et Google (compte obligatoire pour utiliser le téléphone, espionnage jour et nuit, aucun moyen de supprimer la publicité).

C’est pourquoi je refuse d’acheter de téléphone sur lequel je n’ai pas d’accès administrateur (« root »).

Related Posts:

• Comment Google verrouille Android
• Messagerie sécurisée, attention à votre carnet de contact !
• Etat des lieux de la messagerie chiffrée
• Android KitKat : en route vers BigBrother
• Est ce que Cyanogen contribue aux tracking de ses utilisateurs?

Original post of Tuxicoman.Votez pour ce billet sur Planet Libre.

Insatisfait par rss2email qui prenait toute la charge cpu de mon serveur à chaque fois qu'il relevait les nouveautés dans les flux rss que je consulte, j'ai voulu tenter de bricoler un outil à ma sauce. C'est alors qu'est né srss.

L'idée était de suivre un maximum la philosophie UNIX. srss est donc composé de plusieurs petits scripts qui ont chacun une tâche spécifique.

- srss_update : ce script télécharge les flux et ne garde que les plus récents.
- srss2mail : ce script prend chaque nouveau flux et envoie un courriel pour pouvoir lire les articles de n'importe où.

Les adresses des flux sont simplement enregistrées dans un fichier (~/.srss/feedlist) avec une adresse par ligne. Très peu de dépendances sont nécessaires : xmlstarlet, wget et html2text.

On pourrait donc facilement imaginer d'autres scripts qui fabriquent une page html pour lire les flux ou n'importe quelle autre fantaisie.

Et afin de relever les nouveaux flux régulièrement, il suffit de passer par une tâche cron, qui s'occupe très bien ce ça.

Pour l'installer, il faut récupérer les scripts avec git par exemple :

git clone http://git.yeuxdelibad.net/srss

Et ensuite, un simple make install se chargera d'installer les scripts.
Notez qu'un script "exemple" est disponible (srss), qu'il vous suffit d'adapter à vos besoins.
— (permalink)

Original post of Thuban.Votez pour ce billet sur Planet Libre.

L'Harmattan fait ses adieux à la DRM Adobe - Aldus

DRM ebook tatouage TEA L'Harmattan Mozilla

antistress : "Les Editions L'Harmattan lâchent le DRM Adobe sur leurs livres numériques. Ils se tournent désormais vers une solution de tatouage qui n'est pas contrayante pour les lecteurs. C'est la solution proposée par TEA qui a été retenue".
Pour rappel, la plateforme de distribution de livres numériques The ebook Alternative (TEA) a été lancée début 2012 avec les catalogues de La Martinière, Flammarion, Gallimard et Editis pour commencer (lire : http://www.lemonde.fr/economie/article/2012/03/08/la-librairie-decitre-veut-resister-a-la-domination-d-amazon-sur-le-livre-numerique_1654278_3234.html) ; elle affiche un manifeste des droits du lecteur numérique (http://www.tea-ebook.com/manifeste) parmi lesquels figurent la portabilité et l'interopérabilité. Ce que le tatouage permet, à la différence des DRM. C'est aussi cette solution que Mozilla tente de pousser pour la vidéo (lire : https://hacks.mozilla.org/2014/05/reconciling-mozillas-mission-and-w3c-eme/), en vain pour l'instant.

---

Un rapport de l'ONU demande à nouveau de garantir le droit au chiffrement - Numerama

chiffrement institution ONU pistage

antistress : "Le Rapporteur spécial Pablo De Greiff a communiqué ce mois-ci un rapport dans lequel il demande aux Etats de garantir la possibilité pour les citoyens de chiffrer efficacement leurs communications, et de protéger leur anonymat."

---

Steam passe la barre des 1500 jeux vidéo sous Linux - Numerama

linux steam valve jeu

antistress : "La plateforme Steam affiche désormais 1 500 jeux dématérialisés compatibles avec Linux, et donc avec le système SteamOS développé par l'éditeur"

---

Retour sur les RMLL 2015 - LinuxFR.org

vidéo libre

La liste de toutes les vidéos des conférences données aux dernières RMLL, sur plein de sujets différents (avec de vrais trésors dedans) :
   Art, Culture, Média
   Développement logiciel
   Entreprises et Administrations
   Infrastructure
   Matériel libre, hacking, making
   Santé
   Sciences et formation
   Sécurité
   Société
   Systèmes embarqués
Faites votre choix !

---

Quelques migrations récentes dans le domaine de la bureautique - LinuxFR.org

LibreOffice format interopérabilité administration bureautique

antistress : "En vrac et en bref, petite liste récapitulative des dernières annonces de migrations vers du logiciel libre et/ou des formats ouverts"

---

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Je suis tombé par hasard sur le site suivant : http://www.watchshop.fr/

Si ça vous dit, visitez ce site et si vous le faites, je pourrai vous classer dans deux catégories distinctes :

• Celle de ceux qui n'en penseront pas grand chose, hormis que c'est un site où on vend des montres.
• Celle de ceux qui vont voir un truc flou.

Si comme moi, cher visiteur, tu penses que ta vue a très sérieusement baissé depuis le dernier site que tu as visité, saches que tu l'as bien cherché. Oui, car tu as osé naviguer sur le web sans activer javascript...

Le procédé est assez simple : si javascript est désactivé, une css est activée et floute la page, laissant simplement deviner ce qu'on rate (flou, mais pas trop). Si vous voulez voir comment c'est fait, affichez la source de la page en question et regardez ce qui se trouve après cette balise

Donc en gros, d'un côté javascript peut poser des problèmes de sécurité et un internaute a le droit de décider de le désactiver, quitte à perdre en fonctionnalités sur certains sites visités. De l'autre, un site qui, volontairement, devient totalement inopérant pour les visiteurs qui osent désactiver javascript. C'est potentiellement incompatible tout ça.

Pourquoi est-ce un problème ?

Je suis le seul à même de décider si j'active ou non telle ou telle fonctionnalité sur ma machine. J'ai fait le choix de désactiver javascript par défaut et de l'activer au cas par cas. Si Mme Michu désire naviguer avec javascript ou n'importe quoi d'autre d'activé en permanence, c'est son problème.

Parce que c'est totalement volontaire. Je me fout des raisons qui ont poussé à mettre un truc pareil en place. Des personnes ont dépensé de l'énergie et du temps à coder cette petite cochonnerie.

Je me met à la place de l'internaute lambda qui aura tout de même pris soin de désactiver l'exécution de javascript dans son navigateur. Comment il fait l'internaute rien que pour savoir que ce site "requiert" javascript pour simplement être lisible ? Il n'y a pas un seul message d'alerte ou quoi que ce soit d'autre à se mettre sous la dent.

Quand on y est arrivé (mettons qu'on affiche un truc lisible en désactivant la feuille de style), ce n'est écrit nul part bordel. D'ailleurs, ce n'est pas non plus écrit clairement dans la source de la page.

En bonus, c'est pas comme si appliquer un flou gaussien comme ça à la volée ça ne consommait pas un peu de ressources. Sur ma machine, Firefox utilise 100% du CPU dès que je scroll un peu sur la page floutée.

A quoi ça sert ?

J'imagine que l'amélioration de l'expérience utilisateur, encore elle, permet de justifier le procédé. J'imagine surtout que ça permet de s'assurer que le comportement de chaque visiteur sera traçable. C'est désagréable les visiteurs qui ne laissent pas autant de données que prévu lorsqu'ils visitent une boutique, n'est-ce pas ?

Original post of Frédéric Micout.Votez pour ce billet sur Planet Libre.

L’équipe Mozilla a activé, en date du 22 Juillet 2015, le support de GTK3 dans ses versions Nighty. Ceci permet à Firefox de disposer, entre autre, d’une meilleure intégration au sein de notre système d’exploitation.

Toutefois, tout n’est pas forcément rose depuis la version 41b0.3 (semblerait-il), cette version apporte un bug d’affichage qui rend l’utilisation de Firefox plutôt difficile :

Autant dire que Firefox n’est plus utilisable en l’état; un bug est ouvert sur le bugzilla de l’équipe : 1195002. Il semblerait qu’il y ait eu une régression dans le code source du Panda roux :

Tout n’est pas perdu pour autant, il est possible d’utiliser 2 moyens de contournement pour contrer ce bug gênant :

1. Soit en utilisant un paramètre supplémentaire lors du lancement de Firefox.
2. En installant un package complémentaire.

 

Concernant la première méthode, elle a le mérite de ne nécessiter aucune installation et permet d’utiliser Firefox avec son ancien habillage; hélas tout n’est pas rose pour autant puisque les zones de texte sont blanches (oui-oui texte y compris) :

Si vous souhaitez tenter le coup, voici comment faire : il vous faut éditer le lanceur de Firefox (il se trouve ici : /usr/share/applications/firefox.desktop). La première ligne donnée est celle à chercher et la deuxième est le résultat à remplacer

Exec=firefox %u
Exec=env GTK_CSD=0 firefox %u

Exec=firefox -new-window
Exec=env GTK_CSD=0 firefox -new-window

Exec=firefox -private-window
Exec=env GTK_CSD=0 firefox -private-window

La deuxième solution nécessite l’ajout d’un PPA complémentaire puis l’installation d’un package complémentaire (source : Webupd8). Il est à précisé que le résultat sera le même que dans l’astuce plus haut : à savoir les zones de texte en blanc… A vous de voir :

sudo add-apt-repository ppa:nilarimogard/webupd8
sudo apt-get update
sudo apt-get install gtk3-nocsd

Puis dans notre cas, il vous faut éditer le lanceur de Firefox (il se trouve ici : /usr/share/applications/firefox.desktop) en recherchant les lignes suivantes et remplaçant ces lignes par les lignes communiquées en dessous :

Exec=firefox %u
Exec=env LD_PRELOAD=/usr/lib/gtk3-nocsd/gtk3-nocsd.so firefox %u

Exec=firefox -new-window
Exec=env LD_PRELOAD=/usr/lib/gtk3-nocsd/gtk3-nocsd.so firefox -new-window

Exec=firefox -private-window
Exec=env LD_PRELOAD=/usr/lib/gtk3-nocsd/gtk3-nocsd.so firefox -private-window

Ces deux moyens de contournement sont temporaires en attendant un correctif officiel de la part de l’équipe Mozilla

Le billet Quand Firefox perd sa superbe robe a été publié sur le site de la elementary OS -

Original post of elementary OS.Votez pour ce billet sur Planet Libre.