Shaft Inc.


Blog de Shaft

Billets

Un blog RGPD compliant -

Chez Shaft Inc, votre vie privée est au centre de nos préoccupations. Afin d'être transparents sur les données que nous traitons, nous vous présentons une nouvelle version de nos conditions d'utilisation, entrants en vigueur le 25 mai 2018...

Nettoyage d'entêtes sous Postfix -

Rapide billet pour présenter (et documenter) une petite astuce de configuration destinée aux personnes administrant un serveur Postfix. Par défaut, nombre de clients mail et de serveurs ajoutent, dans les entêtes du mail, plusieurs informations pouvant être sensible pour la vie privée. Voici par exemple un mail envoyé depuis Thunderbird et traité par Postfix :

Monter un répertoire Nextcloud sous Debian avec davfs2 -

Continuons dans la documentation de choses pratiques que j'utilise. Je fais tourner une petite instance Nextcloud sur un serveur dédié, voyons aujourd'hui comment monter le répertoire d'un utilisateur Nextcloud dans le système de fichiers de Debian via davfs2, un utilitaire permettant d'accéder à des ressources WebDAV et de les monter comme une partition classique.

Bloquer la publicité grâce au DNS -

Je râlais précédemment contre Pi-hole™ qui, partant d’une bonne idée, oubliait en chemin quelques considérations liées à la vie privée, notamment en essayant d’une part d’envoyer par défaut toutes vos requêtes DNS vers des silos étasuniens et d’autre part en laissant fuiter pas mal de requêtes DNS pour des domaines liés à la publicité et/ou à votre traque en ligne. Voyons aujourd’hui comment faire un blocage efficace grâce à Unbound et un peu d’huile de coude (un script rustique en bash en l’occurrence).

Rediriger le trafic vers le port 443 sous Apache -

Continuons dans la série documentons un peu la configuration du serveur sur le blog. Voyons désormais comment rediriger simplement le trafic de http à https dans Apache.

Remplacer le noyau d'un Kimsufi sous Debian -

Ce serveur est hébergé sur un Kimsufi d'OVH. Ces machines viennent avec un noyau personnalisé d'OVH en théorie compilé pour le matériel et embarquant GRSecurity. Problème, la mise à jour est pour le moins fastidieuse, étant donné qu'il faut aller récupérer la version souhaitée sur un FTP OVH (voir ce billet de blog si cela vous intéresse). Afin de profiter d'un noyau récent, mis à jour de manière normale via apt et donc bénéficiant des dernières mises à jour de sécurité, voyons comment enlever le noyau OVH pour installer le noyau standard. Attention, ce genre de manipulations réclament une sauvegarde à jour du système si jamais l'opération échoue et les compétences nécessaires pour le retour arrière en cas d'échec ! Il y a plein de billets expliquant comment faire sur le Web, celui-ci me permet de documenter proprement l'opération pour moi-même.

Mozilla, vie privée (air connu) -

Zdnet se fait aujourd'hui l'écho d'une discussion sur Google Groups (sic) entre les développeurs de Firefox et la communauté sur le thème de la collecte de données. Si j'ai bien compris de quoi il s'agit, Mozilla aimerait bien collecter par défaut plus de données via la télémétrie de son navigateur :

La vie privée made in Mozilla (suite) -

Suite à mon billet de la semaine dernière pas mal de choses ont bougés, plutôt en bien, même si comme on va le voir ce n'est pas encore idéal. Je ne sais pas si c'est lié à la publication de ce billet (il a beaucoup circulé sur Mastodon, moins sur Twitter, mais dans tout les cas et au vu du trafic en direction de ce blog ces derniers jours, mon cyber-ego digital me dit que oui), mais dans les jours qui ont suivis, pas mal d'utilisateurs de Firefox ont sortis piques et fourches pour aller dire à Mozilla tout le bien qu'ils pensaient de l'inclusion du traqueur de Google sur l'onglet Discovery de la page about:addons des logiciels de la Fondation (ça a notamment commencé sur Github puis sur Hacker News).

Privacy made in Mozilla -

Mozilla, the well-known foundation publishing - among other things - Firefox, pretends to be quite concerned about your privacy. Today I will question this noble intention as facts sometimes show a different reality. This matter was first shown to me by Aeris on Twitter and after discussing this problem one more time, I decided a blog post shoud be useful. This post is an adaptation from a first post I made in French (I clarified some elements and add a few more). Some screenshots remain in French, but it should not be a big deal :)

La vie privée made in Mozilla -

Mozilla, la bien connue fondation éditant notamment Firefox, prétend être plutôt soucieux de votre vie privée. Je me permets aujourd’hui de remettre en partie en cause cette louable intention, les faits sont parfois un peu têtus. Le problème en question m’a été originellement signalé par Aeris sur Twitter et c’est en rediscutant récemment que je me suis dit qu’en faire un billet serait sans doute utile.

Pi-hole™, le blocage de pubs facile mais... -

Traditionnellement, pour bloquer la publicité sur le Web on utilise un logiciel complémentaire pour son navigateur favori du type uBlock Origin. Ceci dit la méthode, quoique très efficace pour un navigateur, n'est pas accessible pour les autres logiciels pouvant être amené à afficher des pages Web (un client Steam par exemple). Par ailleurs, cela impose une installation et configuration sur chaque machine, quand cela est possible (pas de blocages de pubs sur votre Nintendo Switch flambant neuve).

Nom de domaine échange résolveurs ouverts -

Je parlais dans mon précédent billet de la possibilité - pour les flemmards - de configurer ses machines pour utiliser les résolveurs de FDN. Manu, membre de cette asso, a mis en place un nom de domaine qui, quand il est interrogé, donne les adresses IP (v4 et v6) de l'ensemble des résolveurs ouverts opérés par les associations membres de la Fédération FDN. A l'utilisateur de choisir l'IP qu'il veut utiliser en fonction de ces crièteres personnels. Voici la marche à suivre.

Arrêtez (de conseiller) d'utiliser Google Public DNS -

Une nouvelle panne semble avoir touchée les serveurs DNS d'Orange ce mercredi (quelques semaines après l'erreur humaine qui a touché quelques - gros - sites). Encore une fois, les réseaux sociaux (mais pas que) ont répandus l'idée d'arrêter d'utiliser les résolveurs de son FAI pour passer sur ceux de Google, de Cisco (OpenDNS) ou autres OpenNIC fumeux (quelques examples).

Le DNS, parent pauvre d'Internet ? -

La récente attaque DDoS dirigée vers Dyn qui a rendu de nombreux services populaires inaccessibles (Twitter, Spotify, GitHub...) pour beaucoup d'utilisateurs nord-américains et européens a encore une fois mis le DNS sur le devant de la scène. Ce dernier est devenu assez rapidement un service central de l'Internet pour l'internaute moyen (ie. qui ne passe pas sa journée à faire du BGP) tant les noms de domaine sont omniprésents. Or comme nous allons le voir, la gestion de ce dernier et en particulier des serveurs autorités laisse quelque peu à désirer. Pour ce faire, étudions ce qu'il en est sur les domaines les plus populaires.

Licence Publique IV -

Licence libre non-copyleft, inspirée par la WTFPL, adaptée aux us et coutumes de Bretagne.

Star Wars 7 : La critique -

Fin 2012, George Lucas vendait pour quelques milliards de dollars sa compagnie Lucasfilm à Disney. Cette vente, particulèrement symbolique, a très vite été suivie de l'annonce de la mise en chantier d'une nouvelle trilogie dans l'univers de la Guerre des Étoiles. Si le nom de Brad Bird a un temps circulé, c'est J.J. Abrams (déjà célèbre pour n'avoir rien compris à une autre licence mythique de la SF) qui devra s'acquitter de la lourde tâche de réaliser cette première suite au Retour du Jedi et de faire oublier la très mauvaise prélogie lucasienne dans le coeur des fans.

Résolveurs DNS FAI vs. local : Quid des performances ? -

La justice a recémment étendu le blocage du site t411.io. Comme d'habitude, la méthode choisie par les FAI concernés par ce jugement (les sempiternels Free, Orange, Bouygues Télécom et Numéricable/SFR - les autres FAI, qu'ils soient associatifs, réservés aux entreprises ou uniquement trop petits, passant à travers les mailles du filet) est celle du DNS menteur. Les utilisateurs de ces services se verront donc redirigé vers le localhost de leur machine en lieu et place du site demandé.