informatique et high-tech (les meilleures news) %) - Page 556

huhu ^^

suffit aussi que n'importe qui t'ai dans ses contacts google, et ait enregistré ton numéro de téléphone (genre n'importe qui autour de toi qui a un téléphone sous android, et qui a enregistré ton numéro)

je suis content de m'être séparé d'eux pour les mails, finalement.

j'en dépendais trop.

Android communique systématiquement tout à Google ? Tu ne peux pas utiliser des ressources propres pour les sauvegardes et les synchros ? x_x

si c'est le cas, ça me ferait chier, parce que je dois changer de tel et de netbook, et que j'étais très tenté par http://www.theverge.com/2012/6/6/3064317/asus-padfone-review

squalyl (./16653) :
je suis content de m'être séparé d'eux pour les mails, finalement.

tu es passé à quoi ?

postfix+courier-imap

quand t'as compris les utilisateurs virtuels avec mysql, ça rox. Mais c'est pas facile a mettre en place, j'avoue.

Et le client, c'est quoi ? Le webmail gmail ne te manque pas ?

squalyl (./16653) :
je suis content de m'être séparé d'eux pour les mails, finalement.

je n'ai jamais été chez eux pour les mails ^^
j'ai mon compte gmail, comme tout le monde ; mais il ne me sert très peu pour les mails. Il sert pour reader, principalement, et android depuis que j'ai un teléphone android ; et un tout petit peu de docs et de gtalk.

Nil (./16654) :
Android communique systématiquement tout à Google ? Tu ne peux pas utiliser des ressources propres pour les sauvegardes et les synchros ? x_x

Tu n'es pas obligé de synchroniser avec un compte google (l'étape de saisie du compte google est facultative, je crois, quand tu lance ton téléphone pour la première fois).
Et, de mémoire aussi, quand tu ajoutes un contact depuis le téléphone, tu as le choix de le stocker sur le téléphone, ou sur ton compte google.
Cela dit, avoir un android et ne pas synchroniser avec un compte google, ça doit pas mal perdre de son intérêt, si tu considéres ton téléphone plus comme un mini-ordinateur que comme un simple téléphone.

Nil (./16654) :
Android communique systématiquement tout à Google ? Tu ne peux pas utiliser des ressources propres pour les sauvegardes et les synchros ? x_x

Sous Android 1.x c'était (volontairement ?) très obscur, maintenant on peut choisir mais par défaut tu es fortement invité à synchroniser tes contacts "sur le cloud" ©. La dernière fois que j'ai voulu changer la rom de mon téléphone, je me suis retrouvé avec tous mes contacts mails gmail sur mon téléphone, et ma liste de contacts téléphoniques sur gmail, en ayant demandé ni l'un ni l'autre (et bien sûr avec autant de doublons que possible, histoire de faire les choses jusqu'au bout).

J'espère que cette tendance va finir par s'inverser, parce que ça devient vraiment pénible de devoir faire systématiquement attention à ne pas voir ses données s'échapper n'importe où...

Zeph (./16644) :
Pour moi la meilleure alternative disponible actuellement, c'est OpenID avec un mot de passe fort, éventuellement une authentification two-step (mais certainement pas à durée de vie limitée)

Ah moi je serais prêt à m'embêter avec un système par sms où il faut s'enregistrer régulièrement, si ça remplaçait la plupart de mes mdp (les trucs critiques du boulot je fais confiance à personne de tiers).

Zeph (./16646) :
Chacun son utilisation ; tant que ça reste une option (comme pour gmail par exemple) tant mieux, mais un site qui décide d'en faire son seul moyen d'authentification risque de voir partir pas mal d'utilisateurs je pense, et je serai parmi les premiers ^^

Idem, c'est chiant.

squalyl (./16648) :
google ils peuvent toujours se brosser pour avoir mon tel!

Idem, ils cassent les couilles à le demander régulièrement.

Je retiens que comme technique alternative d'authentification vous parlez du sms et de l'authenticateur. Y'a rien d'autre?ko<a href='javascript:;' onclick='getPost(event,111699,16659)'>./16660</a>

Erf je n'aurais pas cru pour androids

melbou (./16661) :
Je retiens que comme technique alternative d'authentification vous parlez du sms et de l'authenticateur.

Pas "alternative" : complémentaire.

En somme, plutôt que d'avoir une identification qui dépend uniquement de ton mot de passe (qui peut être deviné, qui peut être volé, ...), ou d'avoir une identification qui dépend uniquement d'un élément physique (ton téléphone, par exemple) qui peut aussi être volé, l'idée est d'avoir une identification qui dépend des deux : quelque chose que tu sais, et quelque chose que tu as.
Ca diminue fortement la probabilité que "n'importe qui" arrive à se logguer avec ton compte : il faudrait qu'il connaisse ton mot de passe (pas forcément "facile", mais pas bien difficile non plus) ; mais en plus qu'il ait le token physique (probabilité relativement élevée pour ton voisin de bureau, mais extrêmement faible pour le chinois ou russe qui essaye de piquer des comptes en masse)

Oui, certes. Mais ça me gêne fondamentalement d'avoir à donner mon numéro de portable à des sites tiers. Que faire alors?

./16658 thunderbird et horde quand je veux du web.

Les systèmes d'authentification à double facteur reposent rarement sur les n° de téléphones : en général, tu as un petit module avec écran (ça peut être une appli sur ton téléphone), qui a un secret initialement partagé avec un serveur. Les deux génèrent en même temps un nombre pseudo-aléatoire, qui sert de deuxième facteur d'authentification.

./16665 > horde

1- j'ai plus de smartphone donc pas d'applis.
2- Ca revient au même, tu donnes ta confiance à une entreprise. Ok c'est pas Google, mais je vois pas pourquoi je ferais plus confiance.

./16667: oué... c'est d'une lenteur monstrueuse... mais relativement simple à installer via pear, et j'aimais bien l'idée que les contacts et les calendriers soient sychronisables... sur un téléphone normal

t'as mieux en pas trop chiant à installer?

genre pas du ruby on rails quoi

SquirrelMail peut-être?

melbou (./16661) :
Je retiens que comme technique alternative d'authentification vous parlez du sms et de l'authenticateur.

Il y a des Time-synchronized OTP. Mais ça nécessite que le serveur sur lequel on se connecte soit synchrone à quelques millisecondes près avec la clé physique personnelle : http://en.wikipedia.org/wiki/One-time_password#Time-synchronized
Il est prévu à plus ou moins long terme d'avoir des dispositifs synchronisables dans les smartphones pour éviter de multiplier les clés physiques, mais ça pose certains problèmes de sécurité et de coordination des sources sécurisées.

squalyl (./16665) :

./16658 thunderbird et horde quand je veux du web.

Zimbra ftw

Nil : ça nécessite aussi que ça se fasse pas hacker la tete comme les bidules vendus par RSA, Inc récemment.

Zimbra ça fait aussi calendrier et contacts?

et quand on a déja importé plein de contacts et d'évènements dans horde, on se fait chier combien de temps a tout migrer dans zimbra?

melbou (./16668) :
1- j'ai plus de smartphone donc pas d'applis.
2- Ca revient au même, tu donnes ta confiance à une entreprise. Ok c'est pas Google, mais je vois pas pourquoi je ferais plus confiance.

1. ça peut être des tokens physiques http://www.gooze.eu/catalog/otp-tokens-oath-0
2. y a des serveurs open-source ^^ mais surtout, tu ne mets aucune info particulière, ce sont des mots de passe jetables

Nil (./16671) :

melbou (./16661) :
Je retiens que comme technique alternative d'authentification vous parlez du sms et de l'authenticateur.

Il y a des Time-synchronized OTP. Mais ça nécessite que le serveur sur lequel on se connecte soit synchrone à quelques millisecondes près avec la clé physique personnelle : http://en.wikipedia.org/wiki/One-time_password#Time-synchronized
Il est prévu à plus ou moins long terme d'avoir des dispositifs synchronisables dans les smartphones pour éviter de multiplier les clés physiques, mais ça pose certains problèmes de sécurité et de coordination des sources sécurisées.

basé sur le temps, ou sur le nombre d'événement (il doit y avoir autant de « clics » sur le serveur que sur le token)

squalyl (./16673) :
Nil : ça nécessite aussi que ça se fasse pas hacker la tete comme les bidules vendus par RSA, Inc récemment.

Zimbra ça fait aussi calendrier et contacts?

et quand on a déja importé plein de contacts et d'évènements dans horde, on se fait chier combien de temps a tout migrer dans zimbra?

D'où l'intérêt d'utiliser des protocoles ouverts comme carddav et caldav

Zimbra fait tout ça, oui (par contre, je n'ai utilisé que la démo, mais c'est la solution qu'on envisage de prendre au boulot).
Sinon il y a toujours une possibilité que ça se fasse hacker, oui, mais c'est normalement utilisé en supplément d'une authentification classique, donc c'est une sécurité en plus.
Au boulot, on utilise une telle clé synchrone pour communiquer avec certains services ministériels... il faut monter un vpn (avec authentification), se connecter au service (avec Authentification+OTP), et on échange des fichiers cryptés... et quand ça ne marche pas parce qu'il y a un problème dans la chaine de sécurité, en envoie les données en clair sans cryptage par mail

Et Zimbra supporte normalement les format ical, vcard - et probablement les extensions caldav et carddav.
Sinon, Funambol a l'air pas mal, mais je l'utilise en mode cloud (et uniquement pour mon agenda), j'ai eu la flemme de voir si c'était déployable sur mon Synology.

melbou (./16668) :
1- j'ai plus de smartphone donc pas d'applis.

oué bon ben voila aussi ^^
(à un niveau professionnel, des trucs qui générent des tokens, ça doit exister ; me demande si c'est pas un truc que faisait RSA ou verisign à une époque, avec des sortes de porte-clefs qui généraient des nombres valables uniquement une courte durée -- exactement ce que fait l'appli android que j'utilise comme générateur de token "chose que j'ai" pour me connecter à mon compte google)

melbou (./16668) :
2- Ca revient au même, tu donnes ta confiance à une entreprise

Bah, si tu fais confiance à une entreprise en ayant un compte chez elle, où tu t'identifie par un couple login/password, je vois pas pourquoi tu ne lui ferais pas aussi confiance si elle rajoutait une seconde étape d'identification (au contraire)
D'ailleurs, de mémoire, l'appli que j'ai sur mon android (qui est éditée par google) doit pouvoir servir pour générer des tokens pour un peu n'importe quoi -- suffit de mettre en place l'algo sur ton site, et l'appli génératrice de token doit marcher aussi ; faudrait que j'essaye.

Et comme le dit Flan plus bas : tu ne fournis pas d'info à google (ou autre) : tu as juste un algo qui va bien d'un côté pour générer le token, et algo qui va bien de l'autre côté pour le valider.

Comme webmail : horde ergh, squirelmail ergh ; roundcube à la limite, c'était le moins repoussant, il y a quelques années ?

Le webmail d'Exchange est pas mal du tout

c'est payant zimbra??