PROJET AUTOBLOG

Planet-Libre

source: Planet-Libre

⇐ retour index

Planet Libre : Brèves du Planet Libre - lundi 30, mars 2015

lundi 30 mars 2015 à 00:00

Pourquoi Numerama intente un recours contre la censure d'Islamic-News - Numerama

censure institution internet internet DNS FAI


antistress : "Une semaine après le blocage d'Islamic-News.info mis en oeuvre par les FAI français sur ordre du ministère de l'intérieur sans contrôle judiciaire, et alors que l'éditeur conteste les accusations qui lui valent cette censure, Numerama a décidé d'introduire un recours pour faire retirer l'ordre de blocage."
Bravo les gars !

[Audio] 56Kast #52 : On a tous des choses à cacher... et des points à relier - Libération

podcast pistage


antistress : Dans ce podcast, Tristant Nitot "explique en 10 minutes (à partir de la 9eme minute) pourquoi la surveillance de masse, c’est mal et dire “je n’ai rien à cacher” est une foutaise !". Ici la version vidéo [1]

[1] http://ecrans.liberation.fr/ecrans/2015/03/27/56kast-52-on-a-tous-des-choses-a-cacher-et-des-points-a-relier_1229477

L’Etat s’ouvre davantage aux logiciels open source - L'usine digitale

logiciel libre format institution


antistress : "Avec le nouveau socle interministériel de logiciels libres, l’Etat confirme sa volonté d’accroiîre l’utilisation de l’open source dans ses services. Au menu : non seulement les postes de travail, mais aussi les serveurs, les bases de données et les outils de développement."

Neutralité du Net : les FAI contestent l'avis de la FCC en justice - Numerama

neutralité internet états-unis FAI droit


antistress : "Des opérateurs américains lancent une action en justice pour contester la décision rendue par la FCC en faveur de la neutralité du net."

Nouvelles révélations sur les pratiques de Google - LesEchos.fr

Google concurrence états-unis


antistress : "La FTC a diffusé par erreur un rapport de 2012 montrant que Google avait faussé ses résultats de recherche. L’autorité avait pourtant classé son enquête sans suite"

Les Etats-Unis ont menacé l'Allemagne de sanctions si elle accueillait Edward Snowden - LeMonde.fr

institution pistage NSA états-unis


antistress : "Les Etats-Unis ont menacé de suspendre leur collaboration avec les services allemands en matière d'antiterrorisme si le pays accueillait le lanceur d'alerte Edward Snowden, révèle Glenn Greenwald, auteur des premiers articles sur le système de surveillance de masse de la NSA"

Loi Renseignement : une revue de presse - Standblog

pistage droit institution


antistress : "Le moins qu’on puisse dire, c’est que le projet de loi Renseignement fait l’unanimité contre lui… Pour le prouver, voici une rapide compilation de quelques articles et communiqués de presse compilés ces derniers jours."

Gravatar de Planet Libre
Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Articles similaires

Julien L : Recherche par mot-clé intelligent dans Mozilla Firefox

dimanche 29 mars 2015 à 23:28

Cet article fait suite aux commentaires laissés sur un article du blog d’Olivier Delort au sujet de la recherche de paquets Debian.

Dans ces commentaires, certains suggéraient d’utiliser DuckDuckGo et le bang !dpkg.

Je retrouve souvent cette solution de bang de DuckDuckGo dans les commentaires des blogs que je lis. Je trouve que c’est un peu ridicule de passer par un site pour faire la recherche dans un autre site. Cela me fait un peu penser à ceux qui passent systématiquement par une recherche Google pour aller vers la page d’acceuil de sites Web bien connus (du genre Facebook).

Sous Mozilla Firefox, il existe pourtant une solution équivalente, appelée « mots clés intelligents », qui permet de faire des recherches ciblées sur la base d’un mot-clé. La fonctionnalité est expliquée dans un article du site d’assistance de Mozilla.

La fonctionnalité est aussi simple qu’efficace. Après avoir associé une recherche à un mot-clé de son choix (« dpkg » pour une recherche de paquets Debian par exemple), on peut taper ce mot-clé dans la barre d’adresse suivi des mots-clés à rechercher effectivement et de la touche Entrée. Mozilla Firefox va alors directement soumettre la recherche au site Web concerné (le site de recherche des paquets Debian dans notre exemple), qui va afficher les résultats.

recherche_par_motcle

L’association d’une recherche à un mot-clé se fait de façon très simple. Il suffit de se rendre dans le formulaire de recherche du site, de cliquer avec le bouton droit dans la zone d’entrée, et de choisir l’option « Ajouter un mot-clé pour cette recherche… ». Une fenêtre pop-up s’ouvre alors, dans laquelle on peut entrer le mot-clé souhaité puis cliquer sur le bouton « Enregistrer ». Mozilla Firefox va en fait conserver la recherche en tant que marque-page. Il est à noter que, si les options connexes à la recherche sont modifiées (distribution « testing » au lieu de « stable », section « contrib » seulement… dans l’exemple de la recherche de paquets Debian), les choix seront conservés par Mozilla Firefox.

ajout_motcle_recherche

Nous avons donc une solution complètement personnalisée (choix du mot-clé, choix des options de la recherche), efficace (recherche directe sur le site) et légère (aucun module supplémentaire à installer). C’est, selon moi, la méthode à privilégier pour une recherche sur un site Web précis.

Gravatar de Julien L
Original post of Julien L.Votez pour ce billet sur Planet Libre.

Articles similaires

Tuxicoman : Google Chrome : Économiseur de données. Refusez de donner le contenu de vos visites !

dimanche 29 mars 2015 à 21:03

J’ai été très surpris par l’article de NextInpact nommé « Google : une extension Chrome pour réduire la quantité de données consommées »

L’article est plutôt complaisant alors que l’extension ne fait ni plus ni moins que d’utiliser les serveurs de Google comme proxy pour acheminer vos communications avec tous les sites web que vous consultez. Sauf que Google n’a pas le statut d’un FAI et n’a aucune obligation de ne pas lire et analyser le contenu de vos communications personnelles. Et c’est d’ailleurs pour avoir à l’intégralité de vos communications qu’il vous propose ce service.

Google avait déjà :

Et avec ce plugin installé volontairement par l’utilisateut il pourra lire le contenu complet de vos échanges y compris mot de passes, commentaires, contenu des pages web, etc… C’est horrible ! Il faut refuser ça ! On ne doit pas faire d’article complaisant tel que l’a fait NextInpact sans sensibiliser fortement les utilisateurs sur ce qui se passe réellement derrière la publicité de Google. Quand je vois les commentaires tous gentils sur la page de l’extension je prends peur…

google economiseur

Si Google et les webmasters voulaient honnêtement accélérer le web, ils enlèveraient tout leurs codes de tracking, les publicités et les redirections sur chaque lien !

Par exemple, j’ai fait moi aussi un proxy qui nettoie la page de résultats de Google, résultat : 13ko pour afficher les résultats de la première page. La même page de résultat sur le site officiel de Google c’est 1000ko!

Faites vous plaisir le code source de mon proxy est libre.

J'aime(9)Ferme-la !(0)

Related Posts:

Gravatar de Tuxicoman
Original post of Tuxicoman.Votez pour ce billet sur Planet Libre.

Articles similaires

Okki : Sortie de Rhythmbox 3.2

dimanche 29 mars 2015 à 19:56
Rhythmbox 3.2

Six mois après la précédente version, nous avons droit à une nouvelle mouture de Rhythmbox, qui n’apporte finalement pas grand chose de nouveau :

On notera également la correction de quelques de bugs gênants, comme le fait que les mêmes chansons pouvaient être lues après lecture d’une playlist, le fait que Rhythmbox pouvait sauter un ou deux morceaux après lecture de certaines chansons, ou le fait de planter lors d’un clic droit sur la liste des morceaux dans la bibliothèque.

Gravatar de Okki
Original post of Okki.Votez pour ce billet sur Planet Libre.

Articles similaires

Frédéric Perrin : Tunnels IPv6 pour la maison

samedi 28 mars 2015 à 21:34

Table of Contents

J'ai voulu avoir de l'IPv6 à la maison. Mon opérateur Internet ne fournit que de l'IPv4, il faut donc tunneller d'une façon ou d'une autre. J'ai une Kimsufi à disposition, avec un accès IPv6 natif, j'ai donc voulu l'utiliser comme point de sortie.

Bien sûr, une solution est d'utiliser un fournisseur de tunnel comme HE ou SixXS, mais où est l'intérêt de ne pas faire les choses soi-même ?

1 Creusage de tunnels

Beaucoup de technologies qui permettent de faire des tunnels IPv6 à travers un réseau IPv4 :

Nom Type Usage
6in4 Routeur - Routeur Un lien IPv6 (typiquement entre routeurs) explicitement configuré entre les deux extrémités
GRE Routeur - Routeur Une technique d'encapsulation générique Cisco (depuis normalisée) avec quelques fonctionnalités en plus
6to4 Routeur - Internet Un lien IPv6, les adresses sont dans 2002::⁄32 et on inclut dans l'adresse IPv6 l'adresse IPv4 (publique !) du routeur. Il y a besoin de relais sur l'Internet (pour le sens Internet -> Routeur)
ISATAP Hôte - Hôte Deux hôtes (éventuellement routeurs pour leurs réseaux respectifs) qui peuvent se parler en IPv4, avec quelques options d'autoconfiguration. Prévu pour un réseau local.
6over4 Hôte - Hôte Comme ISATAP, mais les hôtes doivent se parler en IPv4 multicast (typiquement, ils sont sur le même LAN). Pas intéressant par rapport à ISATAP, mais historiquement le premier.
Teredo Hôte - Internet Un hôte (éventuellement derrière un NAT) qui accède à l'Internetv6
IPsec Routeur - Routeur Initialement prévu pour créer un tunnel sécurisé entre deux réseaux

Quand on a un point de sortie, la technique idéale est 6in4, ou éventuellement IPsec en mode authentification (le chiffrement est peu intéressant, puisque couvrant uniquement la partie du trafic de la maison au point de sortie, et uniquement pour l'IPv6…).

2 Plan du réseau

Le serveur / point de sortie utilise lui-même des adresses IPv6. Le réseau côté maison a besoin d'au moins deux préfixes, pour le Wifi et pour le filaire. Or, OVH ne fournit aux kimsufi qu'un seul /64… Il va donc falloir découper en plusieurs morceaux. J'ai choisi /80, attribué comme suit :

tunnel-ip6.png

Figure 1: Schéma réseau

Où :

  • 2001:db8:a:b::/64 est le préfixe attribué au point de sortie ;
  • le premier /80 est attribué aux différents services qui tournent sur la machine ;
  • les /80 suivants pour la maison ;
  • en vert le tunnel entre le routeur Wifi à la maison et le point de sortie ;

J'ai utilisé des adresses ULA pour les extrémités du tunnels, mais en fait il n'y en a pas vraiment besoin : une fois qu'on a commencé à découper notre /64, autant aller jusqu'au bout. Ça permet juste de bien reconnaître les adresses dans les fichiers de configuration et dans les tcpdump.

3 Problèmes

Il y a deux problèmes avec cette façon de faire. Le premier est évident : on utilise des préfixes qui font plus que /64. Cela nous fait essentiellement perdre les mécanismes d'auto-configuration sur les réseaux de la maison.

Le deuxième est un peu plus subtile. Le /64 fournit par OVH n'est pas vraiment routé jusqu'à nous. Si c'était le cas, tous les paquets à destination du /64 seraient livrés à 2001:db8:a:b::1 (par exemple), et notre routage interne avec les /80 lui serait transparent. À la place, le dernier routeur s'attend à être directement connecté à ce /64, et à pouvoir faire directement un NS et recevoir une réponse pour chaque adresse. Il va donc falloir mettre en place sur l'interface externe un proxy NDP, qui fera croire au routeur que toutes les adresses sont directement connectées.

4 Implémentation

4.1 Routage sur le point de sortie

On va configurer les adresses que l'on utilise sur la machine comme des /128 (ou éventuellement comme des /80, enfin bref), créer le tunnel, et ajouter les routes statiques vers la maison.

Quelques lignes dans rc.conf : 

                ifconfig_nfe0=
                "inet 203.0.113.197/24"

                defaultrouter=
                "203.0.113.254"

                ifconfig_nfe0_ipv6=
                "inet6 auto_linklocal"

                # 
                entree statique pour le routeur :

                # 
                http://travaux.ovh.net/?do=details&id=6819

                #
                rtsold_enable="YES"

                ipv6_defaultrouter=
                "fe80::5:73ff:fea0:0%nfe0"

                ifconfig_nfe0_alias0=
                "inet6 2001:db8:a:b::1/128"

                ifconfig_nfe0_alias1=
                "inet6 2001:db8:a:b::22/128"

                ifconfig_nfe0_alias2=
                "inet6 2001:db8:a:b::25/128"

                ifconfig_nfe0_alias3=
                "inet6 2001:db8:a:b::80/128"


                # 
                tunnel vers la maison

                gif_interfaces=
                "gif0"

                gifconfig_gif0=
                "203.0.113.197 198.51.100.56"

                ifconfig_gif0=
                "mtu 1480"

                ifconfig_gif0_ipv6=
                "inet6 -auto_linklocal"

                ifconfig_gif0_alias0=
                "fd93:1:2:3::1/127"


                ipv6_gateway_enable=
                "YES"

                ipv6_static_routes=
                "home_wifi home_wired"

                ipv6_route_home_wifi=
                "2001:db8:a:b:1:: -prefixlen 80 fd93:1:2:3::"

                ipv6_route_home_wired=
                "2001:db8:a:b:2:: -prefixlen 80 fd93:1:2:3::"

Si pf(4) tourne, on ajoutera : 

                table <
                home_nets>  
                const 
                persist {
                 2001:db8:a:b:1::/80 2001:db8:a:b:2::/80 }

                extif = 
                "nfe0"

                tunif = 
                "gif0"

                # Tunnel 6in4 vers maison

                pass 
                on $
                extif 
                proto ipv6

                pass 
                from <
                home_nets> 
                to 
                any

                pass 
                from 
                any 
                to <
                home_nets>


                # Éventuellement des règles plus restrictives pour contrôler ce qui

                # arrive à la maison

4.2 Configuration du routeur wifi

Le routeur est un Cisco 877W qui fait tourner 15.1(3)T4. En 12.2, j'ai vu que parfois, le routeur décide de ne pas répondre aux NS, ce qui est un peu gênant. On utilise DHCPv6 pour distribuer les adresses. L'interface Wi-Fi ne peut pas être configurée en IPv6, mais on peut la placer dans un bridge qui, lui, peut être configuré avec IPv6. 

ipv6 unicast-routing
ipv6 cef
!
interface Dot11Radio0
 description wireless
 bridge-group 1
 ssid Coloc
!
interface BVI 1
 description bridge pour wireless
 ipv6 mtu 1480
 ipv6 address 2001:DB8:A:B:1::1/80
 ipv6 nd autoconfig default-route
 ipv6 nd managed-config-flag
 ipv6 dhcp server HOME_WLANv6
!
interface Vlan20
 description vlan wired
 ipv6 mtu 1480
 ipv6 address 2001:DB8:A:B:2::1/80
 ipv6 nd managed-config-flag
 ipv6 dhcp server HOME_WIREDv6
!
interface range FastEthernet 0 - 2
 switchport mode access
 switchport access vlan 20
 description wired (vlan 20)
 spanning-tree portfast
!
interface Vlan10
 description vlan internet
 ip address dhcp
!
interface FastEthernet3
 description internet (vlan 10)
 switchport access vlan 10
!
interface Tunnel0
 description tunnel vers serveur
 no ip address
 ipv6 address FD93:1:2:3::/127
 tunnel source Vlan10
 tunnel destination 203.0.113.197
 tunnel mode ipv6ip
!
ipv6 dhcp pool HOME_WIREDv6
 address prefix 2001:DB8:A:B:2::/80
 dns-server 2001:DB8:A:B::53
!
ipv6 dhcp pool HOME_WLANv6
 address prefix 2001:DB8:A:B:1::/80
 dns-server 2001:DB8:A:B::53
!
ipv6 route ::/0 FD93:1:2:3::1/127

Les interfaces Fa 0 - 2, utilisées pour le LAN filaire, sont mises en portfast. Sans le portfast, il faut ≈45 secondes à STP pour accepter que je n'ai pas créé de boucle en branchant mon portable. NetworkManager envoie n RS avec un timeout de t secondes pour la réponse RA. Avec n = 3, t = 1 seconde (RFC2461), NetworkManager a le temps d'abandonner plusieurs fois… Donc on passe en portfast.

4.3 Proxy NDP

Comme mentionné plus haut, l'un des soucis est que le routeur devant la KS s'attend à voir le /64 complètement à plat. Il faut donc un proxy NDP qui réponde à la place des machines qui sont à la maison.

Ça fait environ 300 lignes pour un programme qui écoute avec libpcap les NS sur l'interface externe et qui envoie les NA correspondants. Le code est dans un dépôt git (ou interface gitweb). Avec le réseau montré plus haut, j'appelle ndp6 avec les options : 

ndp6 -i nfe0 -p 2001:db8:a:b:1::/80 -p 2001:db8:a:b:2::/80

Les gens qui utilisent Linux sur le point de sortie seront intéressés par ndppd. Parmi les linuxeries, il y a la lecture de /proc/net/ipv6_route pour mettre à jour les réseaux proxifiés, l'utilisation d'une socket AF_PACKET pour écouter les paquets qui ne nous sont pas destinés.

5 Soucis rencontrés

5.1 Clients DHCP

Avec ISC dhclient, lorsqu'une adresse est configurée par DHCPv6, elle est installée avec un préfixe en /64. C'est un bug dans le client DHCP (les annonces DHCP ne contiennent qu'une adresse, pas d'informations sur le lien local). La RFC 5942, section 5 explique le problème, disant que c'est ce qui arrive quand « the IPv6 subnet model is not understood by the implementers of several popular host operating systems ».

Le bug Debian #684009 contient un patch pour ISC dhclient (apparemment remonté upstream). De son côté, Network Manager ne fait ples confiance aux préfixes annoncé par les clients DHCPv6.

Le client WIDE dhcp6c a le bon comportement (à condition de lui dire de demander une adresse…), je n'ai pas testé son intégration avec Network Manager.

Le Windows 7 du boulot semble avoir le bon comportement.

5.2 Bizarrerie sur le DHCP côte WAN

Les serveurs DHCP de chez Virgin Media se comportent bizarrement. En particulier, après une coupure de courant, le routeur ne reçoit pas d'adresse jusqu'à ce que le modem câble se fasse rebooter. Pas quelque chose que je peux corriger de mon côté…

Gravatar de Frédéric Perrin
Original post of Frédéric Perrin.Votez pour ce billet sur Planet Libre.

Articles similaires