[F] iPad (Informatique et high-tech) - Page 387

+9000

bof : sur OS X on peut tout installer et ça ne gêne pas plus que ça

crayon, la plupart des gens passeront toujours par le store d'apple plutôt que d'aller dans les réglages configurer des dépôts supplémentaires à la main.

Sinon abandonner la liberté pour une prétendue sécurité (qui est une censure monopolistique privée, en l’occurrence ), c'est un principe tout à fait répugnant en informatique.

Le compromis actuel sur OS X est plutôt pas mal. Par défaut, seul l'AppStore est autorisé, mais on peut également autoriser n'importe quelle appli *signée* téléchargée (avec des exceptions possibles au cas par cas), et pour finir on peut tout autoriser.

Signée par qui et pour combien ?

Signé par le développeur ayant un compte Apple (99€/an).

Mouais, ça reste quand même totalement contrôlé par Apple, tant qu'il reste cette contrainte je trouve que l'endroit d'où on télécharge les applications est accessoire.

Pourquoi ? Ils ne contrôlent pas ce que tu signes.

Encore heureux ! Mais je suis quand même contraint de passer par eux et de payer 99€, pourquoi ne pas pouvoir choisir ? C'est comme si tu devais acheter tes certificats SSL chez un unique fournisseur.

Les $99 ne te donne que le certificat tu signe ce que bon te semble avec.

Et il y a toujours moyen (mais pas direct) de lancer des trucs non signé.

L'interet est le meme que pour les certificats SSL, Apple joue le role d'autorité de certification rien de plus.

Godzil (./11590) :
Les $99 ne te donne que le certificat tu signe ce que bon te semble avec.

Exactement comme un certificat classique non ? Pourquoi n'avoir qu'un seul fournisseur qui peut imposer le prix qu'il veut ? (ou plutôt : en quoi peut-on considérer que ce mode de distribution est ouvert ?)

Deja va regarder le prix des certificat SSL, il y a beau avoir une foultitude de fournisseur, les prix sont absolument démentiels. Le seul gratuit est let's encrypt mais les certificats sont très limité (non nominatif et a durée de vie tres courte)

Les $99 demandé par apple ne couvrent pas que les certificats, mais tu as accès a d'autres chose avec, mais ce n'est pas le sujet.

Si n'importe qui pouvais générer son certificat, l'intérêt de signer serait absolument nul, il faut un tier de confiance pour que ca serve a quelque chose, sinon aucune signature reviens a faire la meme chose.

Ce n'est pas comme le HTTPS ou au moins ca permet d'envoyé les information en crypté, signer un app avec un certificat sans tier de confiance ne change rien l'app et surtout ne permet pas d'en valider l'origine.

Il reste quoi? Faire un système de certificats racines comme pour le SSL avec des tiers de confiances qui te vendent un certificat pour que tu puisse signer ton app? Ok alors il va falloir que ces gens fournissent de manière sécurisé un moyen d'identifier leur certificats, en gros des certificats racines, donc ce qu'on fait pour le SSL, estime toi heureux si en faisant ca le prix d'un certificat double, mais a mon avis ca va etre encore pire, sans compter le bordel (coté apple, mais meme si ce n'était pas apple hein) pour gérer la situation..


Je ne vois pas le rapport entre le certificat et le mode de distribution. Le certificat ne sert que a prouver "l'app viens de moi et n'a pas été modifié par un virus, personne malintentionné" etc.. ca n'a rien a voir avec le mode de distribution.
Sans compter que Mac OS X permet toujours d'executer des applications non signé (et je vois mal supprimer cette fonctionnalité)

Tu sais que microsoft fourni un tel service depuis tres longtemps? Ils n'ont jamais forcé la signature des apps avant peu, et encore ce n'est pas forcer, ca t'affiche juste un message que tout le monde valide par "oui" "cette application viens d'un editeur inconnu blablabla", ca coute bien plus cher que chez apple pour pouvoir signer et, personne ne s'est plaint jusqu'a maintenant..

Godzil (./11592) :

Si n'importe qui pouvais générer son certificat, l'intérêt de signer serait absolument nul, il faut un tier de confiance pour que ca serve a quelque chose, sinon aucune signature reviens a faire la meme chose.

c'est pourtant le principe de PGP et ça marche plutôt bien...

Ce n'est pas la meme echelle c'est du point a point, les applications tout comme les domaines tu n'a que tres rarement un canal sécurisé et connu pour echanger les clefs.

C'est a ca que sert un tier de confiance, echanger les clef en confiance

Godzil (./11592) :
Deja va regarder le prix des certificat SSL, il y a beau avoir une foultitude de fournisseur, les prix sont absolument démentiels. Le seul gratuit est let's encrypt mais les certificats sont très limité (non nominatif et a durée de vie tres courte)

Il y a plein de fournisseurs beaucoup moins chers que 99€/an, j'espère que tu ne vas pas me demander de faire la recherche Google pour te le prouver. Et ça n'est pas le sujet : je veux simplement avoir le choix, pas seulement pour une question de prix.

Si n'importe qui pouvais générer son certificat, l'intérêt de signer serait absolument nul, il faut un tier de confiance pour que ca serve a quelque chose, sinon aucune signature reviens a faire la meme chose.

Je n'ai jamais parlé de retirer le tier de confiance.

Je ne vois pas le rapport entre le certificat et le mode de distribution. Le certificat ne sert que a prouver "l'app viens de moi et n'a pas été modifié par un virus, personne malintentionné" etc.. ca n'a rien a voir avec le mode de distribution.

Ben si : si je veux distribuer une application iOS je suis obligé de la faire signer par Apple. J'aimerais avoir le choix de l'organisme auquel je fais appel pour accorder cette confiance, et ça fait partie de la distribution de mon application visiblement puisqu'il faut que mon appli soit signée pour être installable (ou alors je me limite à 1% de bidouilleurs qui savent comment bypasser cette contrainte).

Tu sais que microsoft fourni un tel service depuis tres longtemps?

Quel est le rapport avec ma remarque sur Apple ? Quand tu fais une connerie, si jamais quelqu'un d'autre la fait également ça la rend moins grave ?

Sous GNU/Linux, c'est simple, si tu veux utiliser un dépôt tiers, à toi d'importer la clé publique GPG du dépôt. Les dépôts bien sécurisés distribuent cette clé par HTTPS, donc tu peux être sûr que la clé vient du dépôt. Quant à l'automatisation, il y a 2 manières:

• si le dépôt propose un paquetage *-release, ce paquetage peut contenir la clé GPG,
• le fichier *.repo qui configure le dépôt peut le référencer directement avec gpgkey=https://….

L'utilisateur est normalement demandé s'il veut vraiment importer la clé (sauf si le paquetage appelle un rpm --import dans les scriptlets, mais un paquetage peut faire pire s'il est malicieux). Dans le premier cas, en tant qu'utilisateur, tu récupères le paquetage *-release par HTTPS et tu l'installes sans vérification de la signature, et c'est bon. À la première utilisation du dépôt, RPM te proposera d'importer la clé GPG depuis un fichier local. Dans le deuxième cas, tu récupères le fichier *.repo par HTTPS, tu l'installes (ou alors tu installes un paquetage qui le contient comme dans le premier cas), et à la première utilisation du dépôt, RPM te proposera d'aller récupérer automatiquement la clé GPG par HTTPS et de l'importer.

Zeph (./11589) :
Encore heureux ! Mais je suis quand même contraint de passer par eux et de payer 99€, pourquoi ne pas pouvoir choisir ? C'est comme si tu devais acheter tes certificats SSL chez un unique fournisseur.

je dis simplement que pour moi qu'entre « pouvoir choisir son autorité racine » et « pouvoir faire signer ce qu'on veut » le premier est secondaire, alors que pour toi c'est l'inverse ^^

Le problème est que la situation de monopole permet à Apple de demander un prix exorbitant, alors que dans les systèmes ouverts (cf. GNU/Linux), c'est totalement gratuit.

prix exorbitant ? pourquoi ?

Si tu veux distribuer un logiciel gratuit (comme la quasi-totalité des logiciels libres, mais il y a aussi pas mal de freewares propriétaires), tu sors les 99€ par an d'où? De ton c*l? (Ou alors tu vas passer le coût à tes utilisateurs et vendre ton application à la place, sachant qu'Apple va se faire une part là-dessus aussi, ainsi que les systèmes de paiement. )

Kevin Kofler (./11596) :
L'utilisateur est normalement demandé s'il veut vraiment [...]

Joli anglicisme ^^
On demande à l'utilisateur s'il veut vraiment [...]

Kevin Kofler (./11600) :
tu sors les 99€ par an d'où? De ton c*l?

Bien sûr, t'as jamais essayé ?!? Essaye, tu vas voir ça marche à tous les coups !!!

J'ai lu dans un conte que si ça marche, c'est que tu es un âne.

Zeph (./11595) :

Godzil (./11592) :
Deja va regarder le prix des certificat SSL, il y a beau avoir une foultitude de fournisseur, les prix sont absolument démentiels. Le seul gratuit est let's encrypt mais les certificats sont très limité (non nominatif et a durée de vie tres courte)

Il y a plein de fournisseurs beaucoup moins chers que 99€/an, j'espère que tu ne vas pas me demander de faire la recherche Google pour te le prouver. Et ça n'est pas le sujet : je veux simplement avoir le choix, pas seulement pour une question de prix.

Moi j'aimerais bien que tu fasses la recherche sur Google, parce que si je veux un vrai certificat SSL qui garantit "qui je suis" et pas juste "comment s'apelle mon application" (cf. argument de Godzil), ben ça a quand même l'air sacrément cher:
https://www.sslshopper.com/cheapest-ev-ssl-certificates.html
https://www.namecheap.com/security/ssl-certificates/extended-validation.aspx (Note qu'ici l'offre est "un peu moins chère" que 99€)
https://www.quora.com/Which-certification-authority-issues-the-cheapest-Extended-Validation-X-509-certificate
https://www.thesslstore.com/extended-validation-ssl-certificates.aspx
…
Bref, globalement, ce qui ressort c'est que le moins cher c'est Comodo EV SSL, qui est le seul en dessous de 100€+, et encore pour avoir le meilleur prix (74€), il faut raquer 2+ ans d'un coup. (148€)

Donc merci de ridiculiser l'argument de Godzil juste pour le plaisir
Le fait est que la sécurité a un prix, et la question est de savoir si c'est important la personne chez qui tu payes le prix de la sécurité.
Personnellement, je pense que non.

Kevin > De mémoire, tu n'est pas obligé de payer 99€ tous les ans (si tu ne mets pas à jour l'application, elle devrait continuer d'exister). Et si tu distribues une application open-source, rien ne t'empêche de faire un bouton "Make a Donation" sur la page de ton projet Github et/ou dans ton application, ou de te cotiser avec tes collègues Open-Source pour payer la license au nom du projet. Tes utilisateurs t'en remercieront.

./11600 > Tu sais, mettre une étoile ne rend pas moins vulgaire…
Bin oui, c'est toi qui paie les 99€/an, et en échange tu as un accès à toute l'infrastructure, pas seulement à un certificat.

Pour moi le prix de la certification n'est pas un vrai problème. Je ne vois rien de mal a ce que garantir l’identité d'une personne ait un prix, même si le prix reste cher au vu du niveau de contrôle réellement fourni.

Le vrai soucis c'est que Apple contrôle tout et qu'il est ainsi capable de procéder a une censure privée. Ce n'est pas normal qu'un fabricant puisse interdire d'utiliser le navigateur que je veux, utiliser les technos de dev que je veux, ...

flanker (./11604) :
Bin oui, c'est toi qui paie les 99€/an, et en échange tu as un accès à toute l'infrastructure, pas seulement à un certificat.

Et si je n'ai rien à battre de leur chaîne d'outils et du reste de leur "infrastructure" et veux cross-compiler mon application avec un cross-GCC? Apple devrait promouvoir cela (ça donnerait plus d'applications pour leur système d'exploitation), mais au contraire, les chaînes d'outils cross pour OS X ne se trouvent pas dans les dépôts des distributions GNU/Linux à cause de problèmes de licence, les applications compilées avec des chaînes d'outils non-officielles sont aussi refusées dans l'App Store (aussi pour iOS d'ailleurs!), etc. Ils veulent absolument racketer des achats de licences OS X et, à cause de leur vente liée, de matériel de la part de tous les développeurs (même des développeurs pour iPhone/iPad, matériel qui n'a rien à voir avec les Macs!).

Ce racket de vente liée devrait être interdit.

Apple devrait promouvoir cela (ça donnerait plus d'applications pour leur système d'exploitation)

Ils ne veulent pas d'applis qui n'utilisent pas leur framework, et ça leur réussit plutôt bien

Ils veulent absolument racketer des achats de licences OS X

C'est que c'est grâce au prix astronomique d'OS X (0€ ) qu'ils gagnent de l'argent

(et comme d'hab, ce n'est pas du racket, tu le sais très bien mais tu continues à mentir…)

flanker (./11607) :

Ils veulent absolument racketer des achats de licences OS X

C'est que c'est grâce au prix astronomique d'OS X (0€ ) qu'ils gagnent de l'argent

Tu sais très bien qu'OS X n'est pas gratuit, mais que le coût est facturé avec le matériel en vente liée (tu ne peux pas acheter l'un sans l'autre → racketiciel).

(et comme d'hab, ce n'est pas du racket, tu le sais très bien mais tu continues à mentir…)

Tu ne peux pas développer pour iOS sans acheter un Mac / OS X (en vente liée, cf. ci-dessus), pour moi, c'est clairement une forme d'extorsion, même si ça passe dans un vide législatif.

[EDIT: anglicisme corrigé]

GoldenCrystal (./11603) :
Bref, globalement, ce qui ressort c'est que le moins cher c'est Comodo EV SSL, qui est le seul en dessous de 100€+, et encore pour avoir le meilleur prix (74€), il faut raquer 2+ ans d'un coup. (148€)

Donc merci de ridiculiser l'argument de Godzil juste pour le plaisir

Qu'est-ce que j'ai "ridiculisé" exactement ? Je ne suis pas d'accord avec lui, ni avec toi visiblement, mais le but n'était pas de ridiculiser l'un ou l'autre. Si ça vous blesse de constater que je n'ai pas le même avis que vous j'en suis désolé, mais je pense que vous n'avez pas compris deux choses : qu'il s'agit d'un point de vue (le mien en l'occurrence) et pourquoi je le défends.

Je me répète donc : je souhaite avoir le choix du prestataire et du niveau de la prestation, et l'un comme l'autre m'est interdit ici. Je suis obligé de passer par Apple, et je suis obligé d'accepter leur offre. Si je veux payer un certificat EV SSL je veux pouvoir le faire soit chez Comodo parce que 83€ ça me fait plus de 15% de réduction (je ne sais pas combien il te fallait pour que l'argument soit valable, moi j'aimerais bien avoir de telles réductions plus souvent), soit le faire chez quelqu'un d'autre et payer plus cher parce que j'apprécie davantage leurs services. Si je ne veux pas ça et que je veux uniquement un certificat pour signer une application, je veux pouvoir le faire aussi.

Le fait est que la sécurité a un prix, et la question est de savoir si c'est important la personne chez qui tu payes le prix de la sécurité. Personnellement, je pense que non.

J'ai bien compris ça, et ce que j'essaie de dire depuis plusieurs messages déjà c'est que personnellement je pense que oui. Ça rejoint ce que dit Flanker en ./11597 : je comprends qu'on puisse privilégier la liberté de signer ce qu'on veut, le choix de son tier de confiance, aucun ou les deux. Pour moi les deux sont indispensables, pour qu'un tier de "confiance" le soit réellement il ne peut pas m'imposer de passer par lui.

Kevin Kofler (./11608) :

flanker (./11607) :

Ils veulent absolument racketer des achats de licences OS X

C'est que c'est grâce au prix astronomique d'OS X (0€ ) qu'ils gagnent de l'argent

Tu sais très bien qu'OS X n'est pas gratuit, mais que le coût est facturé avec le matériel en vente liée (tu ne peux pas acheter l'un sans l'autre → racketiciel).

Bin si, OS X est gratuit. À aucun moment il ne t'est facturé. Encore une fois, ce n'est pas à toi de choisir le sens des mots.

(et comme d'hab, ce n'est pas du racket, tu le sais très bien mais tu continues à mentir…)

Tu ne peux pas développer pour iOS sans acheter un Mac / OS X (en vente liée, cf. ci-dessus), pour moi, c'est clairement une forme d'extorsion, même si ça passe dans un vide législatif.

À nouveau, ce n'est pas à toi de changer le sens des mots pour que ça rende bien.