Blog du grouik - On the webLe blog du grouik. Memos d'un Admin sys linux windows, logiciels libres, imprimante 3D2024-01-16T12:12:27+00:00Gniearkurn:md5:87c2396a7331cd5cd18f8751d216ec7bDotclearPourquoi je suis inactif sur facebookurn:md5:333657e43f51e7ad2a9a64aa90c5cf402009-08-20T19:27:00+02:002009-08-20T18:36:28+02:00gniearkOn the webkesktanahafaire <p>Comme beaucoup je pense.</p>
<p>Ça ne fait que quelques mois que j'ai un compte sur facebook. Je n'y voyais pas trop l'intéret jusqu'à présent, mais la curiosité l'a emporté.</p>
<p>Rapidement famille et amis en contact. Tout va bien.
Certaines demandes d<a href="http://www.journaldugeek.com/2009/08/12/perdre-son-job-grace-a-facebook/" hreflang="fr">'ajout en contact viennent de connaissances professionnelles</a>. Bien que les relations soient sympathiques, je trouve ça assez génant... Je pense que la pluspart auraient accepté un "Je préfère ne pas tout mélanger", mais c'est délicat quand ce sont des personnes qu'on a sollicité pour des services.</p>
<p>Et Pire, Facebook a son systeme de recherche des amis par l'adresse mail dans les contacts. J'ai donc reçu une invitation d'un joueur d'un MMO auquel je participe. Sauf que dans facebook il est d'usage de mettre son vrai nom et son prénom. grilled...</p>
<p>Le plus con, c'est que les adresses mail, ce n'est pas ça qui me manque.</p>
<p>Je vais devoir améliorer ma schizophrénie sur internet.</p>Big brother certificate malgré moiurn:md5:3925cd36fcae3618e342d3d8cb5696482009-03-24T23:32:00+01:002009-03-24T23:32:00+01:00gniearkOn the webBig-BrotherExpression <h2>tail - f /var/log/squid/access.log</h2>
<p>Je suis relativement jeune (25 ans). Pour moi, en 2009 la question ne se pose pas, mais pour les informaticiens moins jeunes (de 5 ans), elle a du se poser.</p>
<p>Doit-on filtrer dans un proxy d'entreprise les flux cryptés (https, ssl ssh etc...)?</p>
<p>Les flux passent en clair sur internet, et sont facilement "écoutables" par un tiers (enfin je ne sais pas le faire moi). Dans les protocoles cryptés, c'est le corps des paquets qu'on crypte.</p>
<p>A l'origine le protocole https ne servait qu'aux moments où on devait rentrer un mot de passe: un numéro de carte bleue ou ce genre de chose pour lesquelles ça peut être gênant que l'information passe en clair. De façon générale, la mise d'un site public entier en https n'a aucun sens, il suffit d'aller sur le site pour avoir les informations.</p>
<p>Comme tout administrateur réseau, je dois:</p>
<ul>
<li>Sécuriser mon réseau, donc interdire l'accès aux sites qui pourraient être dangereux (acte intentionnel ou malencontreux de l'utilisateur qui clique sur un lien contenu dans un mail par exemple)</li>
<li>Protéger les mineurs. C'est paradoxal, je travaille en gériatrie, mais il peut y avoir un stagiaire mineur, et en tirant la loi dans tous les sens: Laisser des flux contenant de la pornographie circuler dans nos infrastructures (les cables ethernet et les fibres) équivaut à sa diffusion, et c'est de tête 7 ans de prison et 40 000 € d'amende de le rendre accessible à un mineur. Je filtre donc ce qui est porno.</li>
<li>Pouvoir décharger la responsabilité de mon établissement sur la personne qui a commis une infraction via la connection internet. (propos racistes incitation à la haines toussa toussa) laissés sur un forum de discussion par exemple. J'archive donc pendant un an tous les logs, des activités sur internet (enfin là je les ai effacés lors de la réinstallation du serveur). et donc aussi les logs du serveur DHCP conjointement (pour pouvoir savoir à quelle machine correspondait telle IP à tel moment) <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2009/03/24/Big-brother-malgr%C3%A9-moi#pnote-48-1" id="rev-pnote-48-1">1</a>]</sup></li>
</ul>
<p>Je dois donc au moins filtrer et enregistrer les traces des flux (pas leur contenu). Le https ne serait que le temps de rentrer une donnée sensible (numéro de carte bancaire), je laisserai les portes grandes ouvertes pour les flux de ce genre: du forwarding direct sans passer par squid. <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2009/03/24/Big-brother-malgr%C3%A9-moi#pnote-48-2" id="rev-pnote-48-2">2</a>]</sup></p>
<p>La fonction de cache mise en cache est activée (ben oui, notre connexion supporterait mal la charge sinon)
Des sites entiers sont en https alors que rien ne le justifie. Pour les raisons cités ci dessus, je souhaite pouvoir si nécessaire en blacklister, et enregistrer les traces de ces connexions, et comme j'ai eu la flegme de paramétrer que ça ne soit pas en cache contrairement à l'HTTP. ben... le contenu est sauvegardé (pas longtemps, juste une semaine). Ce n'est pas dramatique, vous me direz c'est crypté.... Mais comment croyez vous qu'elles sont passés les clés de cryptage? par internet.
Boaf, de toutes façon, j'aurai plus vite fait de faire quelques requettes SQL dans la base de donnée du logiciel de paie si je veux vos numéros de compte en banque.</p>
<p>Rien de bien grave, mais ça m'ennerve de savoir que j'ai mis un truc en place qu'on peut facilement transformer en oeuil de big brother, ou réutiliser de manière malintentionnée.</p>
<p>La sécurité doit être proportionnelle au risque. Du moins c'est ce qui aurait du être appliqué. Les excès de zèle ont engendré les situations suivantes:
Un filtrage par le contenu dans certaines écoles... Nos tetes blondes ont encapsulés leurs requetes dans des connexion https (c'est crypté, donc on ne peut pas filtrer) ou via du ssh. La pratique s'est répandue, il existe maintenant des systèmes qui ouvrent les certificats et déchiffrent les clés à la volée pour filtrer quand même.
Bref, c'est la sécurité qui a permis d'en contourner une, et c'est donc sous prétexte de sécurité qu'on va casser cette dernière.... oO</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2009/03/24/Big-brother-malgr%C3%A9-moi#rev-pnote-48-1" id="pnote-48-1">1</a>] Les journaux de logs sont tous simplement compressés en tar.gz et placés dans un coin du serveur</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2009/03/24/Big-brother-malgr%C3%A9-moi#rev-pnote-48-2" id="pnote-48-2">2</a>] Et encore dans mon cas nous avons une démarche plutot laxiste, on se contente avec squid de filtrer et d'enregistrer des URL et pas à proprement parler le contenu ou les mots entrés par l'utilisateur. (Pour certains sites à adresse dynamique les mots entrés sont visibles dans l'URL suivante du coup. La saisie automatique de certains formulaires web génére une requête http à chaque caractere saisi, c'est donc enregistré par squid.) De plus, nous fonctionnons avec un systeme de Blacklist, ce qui est beaucoup moins contraignant qu'une liste blanche.</p></div>
Internet sans pub (ou presque), c'est tout simpleurn:md5:e2ca4d8959f2c6fb97067ac63412328e2009-03-16T23:46:00+01:002009-03-16T23:48:16+01:00gniearkOn the webExpression <img title="internet sans bub, mar. 2009" style="margin: 0 0 1em 1em; float: right; width: 343px; height: 249px;" alt="" src="https://blog-du-grouik.tinad.fr/public/.internetsanspub_m.jpg" />Il suffit de ne pas activer le flash par défaut... <br /><br />Il est presque utilisé uniquement pour la pub à présent de toutes façons. Il est lent et les site en flash sont moches....<br /><br />Bon j'avoue, je n'en ai pas fait exprès, c'est la débian Iceweasel et Swfdec qui donnent ça par défaut... mais comme ça m'arrange de ne plus voir toutes les pubs, je n'ai pas cherché à changer ça.... et apres quelques semaines d'utilisation, je peux confirmer que le click sur le "play" est plutot rare.<br />ESSAI : Un sujet à la mode, la protection des enfants sur internet.urn:md5:1e2e8a48cc2e01f21717f49c8ff516232009-02-27T00:32:00+01:002009-03-14T13:49:11+01:00gniearkOn the webExpression <img title="Site forbidden, mar. 2009" style="margin: 0 0 1em 1em; float: right;" alt="" src="https://blog-du-grouik.tinad.fr/public/nosite.jpg" /><br />
<div class="rss_chapo"><p>C'est le sujet à la mode, en ce moment. J'écris bien "mode", car c'est en fait du fait-divers bien médiatisé à la télé. Le risque internet est cependant loin tres loin derrière le risque suicide ou le risque accident de la route, ou dans la maison : le risque accident domestique, ou encore derrière le risque violence parentale.</p>
</div>
<div class="rss_texte"><h3 class="spip">Pov' parents</h3>
<p>Ils sont rares ceux qui ont suivi l'arrivée des nouvelles fonctions d'internet et le changement des comportements que ça engendre. surtout qu'il y a un décalage entre la technologie, le buzz (son effet "mode"), puis encore bien apres son existance pour la télé.</p>
<p><strong>Quels sont les dangers d'internet ?</strong></p>
<p><img src="http://blog-du-grouik.tinad.fr/local/cache-vignettes/L8xH11/puce-32883.gif" alt="-" style="height: 11px; width: 8px;" height="11" width="8" /> La rencontre d'un psychopathe, dixit la téloche. (quelques cas bien médiatisés)
C'est vrai que se faire aggrésser par un ordinateur, ça fait mal. N'espionnez pas les lubbies informatiques de votre larbin [<a href="http://blog-du-grouik.tinad.fr/#nb2-1" class="spip_note" rel="footnote" title="Ben quoi, vous êtes des parents modèles et équilibrés ? vous respectez (...)" id="nh2-1">1</a>]. De toute façon ce risque n'est pas devant l'ordinateur lorsqu'il est seul. Avoir des fréquentations dangereuses, il me semble que ça a un nom en psychologie, bien avant windows 3.1.1 (le début du réseau). je ne pense pas que la suppression d'un "moyen" parmis tant d'autres (internet) changera le comportement.</p>
<p>Cependant certains évènements sur internet beaucoup plus probables pourraient etre destabilisants... tant qu'à faire les choses bien, autant faire un peu de prévention de ce coté là :</p>
<p><img src="http://blog-du-grouik.tinad.fr/local/cache-vignettes/L8xH11/puce-32883.gif" alt="-" style="height: 11px; width: 8px;" height="11" width="8" /> Nuire à son image. Beaucoup moins grave mais beaucoup plus fréquent. Un exemple bien sympathique, le buzz autours de la chorégraphie, qui a été plus célèbre que celle du groupe O zone</p>
<object height="344" width="425"><param name="movie" value="http://www.youtube.com/v/60og9gwKh1o&hl=fr&fs=1" /><param name="allowFullScreen" value="true" /><param name="allowscriptaccess" value="always" />
<p>Rien de bien méchant là, c'est plutot sympa mais ça peut etre plus humiliant. Tapez "vomi youtube" dans un moteur de recherche par exemple.</p>
<p>Lorsqu'on a un nom de famille peu commun (c'est mon cas), une requette nom + prénom dans un moteur de recherche peut donner des résultats surprenant. Et si les DRH prenaient l'habitude de rechercher dans google ?. "Monsieur Gnieark, vous etes trop immature pour le poste"</p>
<p><img src="http://blog-du-grouik.tinad.fr/local/cache-vignettes/L8xH11/puce-32883.gif" alt="-" style="height: 11px; width: 8px;" height="11" width="8" /> Etaler sa vie privée. ça peut toujours être génant.</p>
<h3 class="spip">Les logiciels de controle parental</h3>
<p>Je vote contre !!!!
parce que c'est forcément chiant ou contournable.... Vous voulez pas que votre enfant aille sur èméssenne ? Il trouvera un site internet qui lui permet d'y aller sans le fameux programme. Si c'est trop contraignant, il trouvera un moyen de casser le controle parental (Il a un acces physique à la machine tout est faisable), Pire, ça pourrait avoir un effet néfaste sur son développement, fort de ce premier hackage, il pourrait devenir informaticien boutonneux.</p>
<h3 class="spip">Mais dis moi Gnieark, que faire ?</h3>
<p>Réponse digne de psychologie magasine :
Ne lui parlez pas d'internet, que ce soit vrai ou faux, vous êtes largués à son regard. Par contre c'est l'éducation en profondeur. L'exemple parental... savoir à qui on peut faire confiance et savoir se méfier de façon générale.
Savoir mentir (par ommission au moins). Rien n'oblige de répondre aux questions.
<br />t'es où ?
<br />devant un écran
<br />tu as quel âge ?
<br />Ma connexion actuelle est de 15 min</p>
<p>Apres tout internet c'est du virtuel !</p>
</div>
<hr />
<div class="rss_notes"><p>[<a href="http://blog-du-grouik.tinad.fr/#nh2-1" id="nb2-1" class="spip_note" title="Notes 2-1" rev="footnote">1</a>] Ben quoi, vous êtes des parents modèles et équilibrés ? vous respectez l'intimité de vos enfants, ne lisez pas son carnet intime, n'écoutez pas ses conversions téléphoniques</p>
</div>