Catégorie : Geek

BetterTouchTool

S’il y a Bartdender sur mon mac, il y a aussi BetterTouchTool.

Premier usage pour moi, ça me permet de déplacer une fenêtre sur un bord pour qu’elle se positionne automatiquement sur la moitié de l’écran. Si je la mets sur un coin elle prend le quart d’écran correspondant.

Le petit utilitaire ne se limite pas à ça. On peut définir ou redéfinir à peu près tout ce qu’on peut espérer comme raccourcis : gestures ou formes sur le touchpad ou via la souris, des combinaisons ou séquences de touches au clavier, redéfinition des boutons de manipulation des fenêtres, ou des séquences de touches magiques, et même gestion de la touchbar pour ceux qui en ont une. Le tout peut être personnalisable par application et en fonction des touches modificatrices appuyées. Un vrai couteau suisse

C’est un peu l’histoire du canon et du moustique que d’utiliser ça principalement pour agencer les fenêtres sur l’espace de travail.

Spectacle le fait gratuitement mais ne gère que des raccourcis clavier pour déplacer les fenêtres par moitié ou quart d’écran. Il n’y a pas d’aide automatique lors des déplacements au touchpad (et j’ai l’habitude de gérer les fenêtres en glisser-déposer plutôt qu’au clavier).

Si vous n’avez vraiment que faire des autres fonctions de BetterTouchTool, BetterSnapTool ne gère que les partages d’écran mais pour 2 € au lieu de 7 €. La différence de prix est assez faible pour que ça vaille à mon avis le coup de s’offrir la version complète.

2 juin 2018
Bartender

Je ne vous ai pas parlé de Bartender ? Ce logiciel a sauvé ma vie. Bon, pas vraiment, mais il a bien simplifié par mal de choses sur mon Mac.

En ce moment j’ai quand même 15 items différents à droite de ma barre de menu. Certains ne sont lancés qu’au besoin. Parfois j’en ai plus, parfois j’en ai moins, mais en général ceux qui sont là ont une bonne raison d’y être.

Il suffit qu’une application comme Firefox ait pas mal de menus pour que telle ou telle icône se retrouve masquée. Loi de Murphy oblige, c’était toujours celle qui me permettait d’avoir des notifications importantes qui se retrouvait hors de la vue. Je me retrouvais trop souvent à basculer vers une application comportant peu de menus uniquement pour pouvoir accéder à certaines icônes.

Bartender répond à ça. Je décide des quelques rares icônes que je laisse visible en permanence. Les autres sont masquées derrière un sous menu. C’est bête comme chou mais juste indispensable.

Encore mieux, je suis capable de dire « masque l’icône de Dropbox par défaut mais montre là si quelque chose a changé depuis moins de 10 minutes ». Du coup je vois les notifications mais elle n’encombre pas les menus le reste du temps.

C’est payant, moins de 15 €, autant dire pas grand chose vu le confort gagné. Il y a une version d’essai et de de jolies animations sur le site de l’éditeur si vous voulez voir comment ça fonctionne.

1 juin 2018
Trois écrans

Je regarde encore principalement l’écran du portable même quand les autres sont branchés mais, après plusieurs mois, je valide la configuration à trois écrans.

Un 24″ en portrait sur le côté et un 24″ en paysage au dessus de l’écran du portable

À gauche j’ai ce qui est annexe. Ça peut être une vidéo, un réseau social, une discussion asynchrone ou quelque chose que je surveille, comme le Mattermost du boulot. Exceptionnellement j’y affiche un document A4 pour en prévisualiser l’apparence générale.

Le principal se passe sur un des deux écrans paysage. C’est étonnant parce que finalement je n’utilise pas toute largeur de l’écran. Rationnellement tout ce que je fais ou presque serait mieux avec plus de hauteur disponible. Je ne m’explique pas la contradiction mais passer l’écran principal en portrait a été un échec à chaque essai.

Sur ces deux écrans en paysage j’ai ce qui est en cours. Généralement un pour le travail (rédaction, code) et l’autre pour le contexte (documentation, discussion, tests, etc.). Ça a l’air organisé comme ça mais j’ai plein de fenêtres et je les déplace fréquemment entre les deux écrans en fonction de ce sur quoi je me concentre… et je ne les replace pas forcément sur le premier écran quand je me reconcentre dessus. Au final les fenêtres en arrière plan sont à peu près n’importe où.

Le second truc qui me gêne c’est que je continue à utiliser l’écran du portable comme écran principal la plupart du temps. Il est plus petit, il m’oblige à baisser un peu la tête pour être à l’aise, mais je reviens souvent dessus quand je n’y fais pas attention. J’imagine que c’est qu’il est plus flatteur en terme de luminosité et de définition mais l’habitude ne change pas malgré mes tentatives d’en baisser artificiellement la luminosité pour que celui du dessus soit plus attirant.

Dernière chose à laquelle je ne m’attendais pas : J’ai beau avoir un clavier et un trackpad externes à bonne hauteur au dessus de mes genoux sur une tiroir ouvert, je continue à utiliser le clavier et le trackpad du portable. Je peux me forcer à faire autrement, je reviens sur le portable si mes mains quittent à un moment le clavier. Je n’essaye même plus.

Au final ça fonctionne. Deux écrans c’est confortable, le troisième me permet d’avoir quelque chose à côté sans avoir à prendre la place sur les deux premiers. Ma vrai difficulté c’est dès qu’une application se met en plein écran. Certaines fenêtres restent derrière et deviennent inaccessibles alors que moi je continue de travailler sur les autres écrans. J’adorerais qu’elles se déplacent seules sur les autres écrans, un peu comme si je débranchais celui qui est occupé.

Et vous ? Vous utilisez quoi ?

31 mai 2018

Netatalk 3 et Debian 9

Debian semble bloqué à Netatalk 2, même dans SID. Il y a quelques PPA Ubuntu qu’on pourrait réutiliser mais aucun ne semble suivi donc autant compiler soi à la main.

La procédure est détaillée sur le Wiki Netatalk. J’ai divergé très légèrement alors je note pour plus tard :

sudo apt install \
                 avahi-daemon \
                 build-essential \
                 libevent-dev \
                 libssl-dev \
                 libgcrypt-dev \
                 libkrb5-dev \
                 libpam0g-dev \
                 cracklib-runtime \
                 db-util \
                 libcrack2 \
                 libpam-cracklib \
                 libwrap0-dev \
                 libdb-dev \
                 libtdb-dev \
                 libavahi-client-dev \
                 libacl1-dev \
                 libcrack2-dev \
                 libdbus-1-dev \
                 libdbus-glib-1-dev \
                 libdbus-glib2.0-cil-dev \
                 libio-socket-inet6-perl \
                 libglib2.0-dev tracker \
                 libtracker-sparql-1.0-dev \
                 libtracker-miner-1.0-dev

./configure \
            --enable-debian \
            --with-init-style=debian-systemd \
            --without-libevent \
            --without-tdb \
            --with-cracklib \
            --with-acls \
            --enable-krbV-uam \
            --with-pam-confdir=/etc/pam.d \
            --with-dbus-daemon=/usr/bin/dbus-daemon \
            --with-dbus-sysconf-dir=/etc/dbus-1/system.d \
            --with-tracker-pkgconfig-version=1.0 \
            --with-afs \
            --with-zeroconf
make
sudo make install
sudo ln -s /usr/local/etc/afp.conf /etc
sudo systemctl enable avahi-daemon
sudo systemctl enable netatalk
sudo systemctl start avahi-daemon
sudo systemctl start netatalk

29 avril 2018

SSH et mosh

Je résiste à tmux, screen et tous les trucs à la mode. Je n’ai pas de bonnes raisons, juste que j’ai appris sur le tas il y a longtemps et que les habitudes ont la vie dure quand il n’y a pas vraiment de besoin de changer.

Il reste que mes sessions ssh étaient pénibles. Je suis sur laptop et j’ai l’habitude d’en refermer le capot ou de le passer en veille dès que je m’éloigne, même 30 secondes. Et là c’est le désastre. La connexion SSH se ferme, le travail en cours est perdu.

Screen et tmux peuvent aider mais mosh semble correspondre parfaitement à mes besoins. On ne créé pas un multiplexeur, on se contente de laisser le shell ouvert et de se reconnecter dessus sans relancer un tunnel ssh complet.

C’est transparent et ça ne change rien aux habitudes. Que du bénéfice.

16 avril 2018
Mes données dans une partition chiffrée sous Linux
Je cherche essentiellement à me protéger de quelqu’un qui volerait mon disque après s’être introduit chez moi. Je garde donc une partition en clair pour le système principal et je mettrai les données sur une partition chiffrée que je monte manuellement.

Certaines documentations proposent de mettre la clef de chiffrement sur un petit stockage USB mais ça ne me semble pas pertinent pour la menace dont je cherche à me protéger.

J’ai une passphrase dans mon gestionnaire de mots de passe et ça me suffira. Je ne compte pas m’en servir souvent de toutes façons. Avantage supplementaire par rapport à la version sur USB : Je peux me connecter en SSH et monter la partition à distance pour peu que je ne craigne pas que quelqu’un se soit introduit sur ma partition système entre temps.

Des documentations je retiens le chiffrement de blocs avec luks, et le fait de bien passer par cryptsetup plutôt que de tout gérer à la main.

Je recopie ici mes quelques commandes mais c’est tout bien expliqué sur la documentation cryptsetup du wiki Ubuntu.

Création
```
sudo apt install cryptsetup
sudo cryptsetup luksFormat -c aes -h sha256 /dev/sda4
sudo cryptsetup luksOpen /dev/sda4 data
sudo mkfs.ext4 -L data /dev/mapper/data
sudo mkdir /mnt/data
sudo echo "data /dev/sda4 none luks,noauto,quiet" >> /etc/crypttab
sudo echo "/dev/mapper/data /mnt/data ext4 rw,nosuid,exec,noauto,async,user,noatime,nodiratime 0 0" >> /etc/fstab
sudo mount /mnt/data
```
La passphrase vient du générateur aléatoire de mon gestionnaire de mot de passe. J’ai cherché un intermédiaire entre « le plus long possible » et « si ça se trouve j’aurais à la taper à la main un jour ». En temps normal ce ne sera que des copier/coller donc ça ira.

Script de montage
```
#!/bin/bash
# /usr/local/sbin/mount.data
cryptsetup luksOpen /dev/sda4 data
mount /mnt/data
```
Script de démontage
```
#!/bin/bash
# /usr/local/sbin/umount.data
umount /mnt/data
cryptsetup luksClose data
```
Je l’ai créé mais j’avoue que je vois mal dans quel cas je vais avoir envie de démonter ma partition sans arrêter totalement le système (et dans ce cas ça sera fait tout seul sans mon intervention de toutes façons).
15 avril 2018
Un espace de publication chiffré côté client

Je ne veux plus gérer de serveur en ligne. Je me sens de moins en moins capable d’assurer la sécurité d’un tel environnement 24/7 seul et sur mon temps personnel. Je n’en ai pas la motivation, ne souhaite pas y investir le temps nécessaire. Ne parlons même pas de la possibilité de prendre des congés deux semaines hors de France sans connexion Internet ni veille sécurité. Rien qu’avoir ce blog sous wordpress me gêne.

Je vais déplacer mes services sur un environnement mutualisé, géré par des professionnels qui ont les moyens, le temps et les compétences. Je vais en profiter pour passer à peu près tout en fichiers HTML statiques. Publier des fichiers html, css et images sur un espace à 2€, ça limite pas mal la maintenance.

* * *

Mon problème c’est que j’ai aussi des parties de site à accès restreint, avec des documents qui ne doivent pas sortir n’importe où.

Je peux facilement trouver un hébergement mutualisé qui me permet de faire des accès restreints par authentification HTTP ou avec un bout de PHP en façade, mais j’ai une confiance limitée dans la confidentialité des fichiers que je peux poser sur un hébergeur mutualisé.

Du coup j’imagine utiliser du chiffrement côté client, avec un croisement entre Jekyll/Pelican et 0bin/cryptopad. Je chiffre les contenus lors de la génération et je les envoie chiffrés sur l’hébergement. Les contenus sont déchiffrés dans le navigateur du client avec un gros bout de JS, en utilisant un dérivé de mot de passe ou une clef cachée dans l’URL.

Le seul défaut que je vois c’est interdire l’accès à ceux qui désactivent volontairement Javascript, et imposer un peu d’attente aux autres pour déverrouiller les contenus : Pas idéal, pas pertinent pour tous les usages, mais ici ça me semble acceptable.

* * *

Il y a 0bin et Cryptopad (ainsi que d’autres) qui fonctionnent un peu sur ce principe, mais brancher ça dans Jekyll ou Pelican me semble nécessiter un peu de travail, surtout si je veux avoir plus que du texte et que je veux présenter à l’utilisateur uniquement les liens auxquels il a accès.

Si vous connaissez un CMS à publication statique qui a envisagé quelque chose du genre, je suis preneur.

12 avril 2018
La base de travail pour 2018

Une progressive web app prévue d’abord pour mobile, fonctionnant totalement hors ligne avec une synchro à la prochaine reconnexion et des données chiffrées côté client.

Oui, votre besoin a peut-être des usages ou des contraintes qui ne cadrent pas avec ce stéréotype mais ça mérite probablement d’y réfléchir deux fois avant d’écarter un des éléments.

Quand je vois nombre de projets sans chiffrement des données ou quasiment inutiles une fois hors ligne, j’ai l’impression de retrouver les projets d’il y a quelques années qui considéraient le mobile comme accessoire.

3 avril 2018
NAS chiffré, saisie de passphrase à distance

J’ai un petite UC sous Linux qui me sert de NAS. Je vais y stocker toutes mes données, certaines confidentielles et j’aimerais y chiffrer mes disques pour éviter que ces données partent dans la nature en cas de cambriolage.

Logiquement ça va me demander une passphrase au démarrage mais je n’ai ni clavier ni écran (et je risque de devoir relancer le NAS assez souvent pour ne pas avoir envie de trimballer les périphériques juste pour ça).

Je me dis que je ne dois pas être le premier. Qu’existe-t-il comme mécanisme dans Grub ou UEFI pour permettre de saisir la passphrase à distance via un portable sur le même réseau ?

3 avril 2018
Reprendre contrôle de mes données : point d’étape

Merci à ceux qui m’ont aidé dans les épisodes précédents. Je commence à avoir un plan qui tient la route.

Idéalement je veux reprendre le contrôle sur mes données, c’est à dire assurer leur confidentialité et leur pérennité.

Par sécurité, tout ce qui est hébergé sur un service directement accessible d’Internet doit être chiffré côté client. Par manque de temps et de motivation, idéalement j’aimerais ne pas auto-héberger moi-même (mais je veux bien payer des tiers sérieux pour cela). Pour assurer la pérennité, j’aimerais garder le contrôle de tous les identifiants et de toutes les adresses, en les liant à mon nom de domaine personnel. Enfin, tout ce que je gère doit être sauvegardé pour résister en cas d’erreur de manipulation, de casse matérielle, de vol ou d’incendie. À vue de nez j’ai entre 1 et 1,5 To de données.

Je cherchais à me baser d’abord sur le laptop en considérant le NAS uniquement comme un gros disque pour étendre mon stockage. Basculer pour considérer le NAS comme système principal et le laptop comme une simple dépendance de travail a débloqué pas mal de choses.

Le NAS

Il a un gros disque de 2 To et c’est sur lui que je compte pour avoir une copie de tout. Vraiment tout.

J’ai abandonné l’idée de tout chiffrer côté client à partir du laptop, faute de trouver des solutions satisfaisantes. Du coup, comme j’y stocke toute ma vie en clair, ce NAS ne sera *pas* directement accessible depuis Internet. Je ne me sens nullement de garantir la sécurité et ma réactivité à ce point. Je vais juste chiffrer les disques au cas où quelqu’un débarque chez moi et embarque le boitier lors d’un cambriolage.

Par contre je compte bien récupérer sur le NAS tout ce qui traine ou qui est produit à mon nom sur le web, donc lui pourra accéder à Internet. Il y a un risque si j’ai une faille sur ma box *et* une faille sur mon NAS, mais ce ne sera jamais parfait de toutes façons.

Aujourd’hui j’ai juste un getmail qui tourne pour synchroniser mes emails. Je vise à ajouter pas mal de connecteurs pour tout le reste (les données des réseaux sociaux, mon agenda, mes contacts, les factures disponibles en ligne, pourquoi pas des relevés bancaires, etc.) mais ça va probablement prendre du temps.

Ce NAS c’est un petit XS35 sous Debian et un disque de 2 To. Si ça sature j’y enlèverai les quelques films et séries pour gagner de la place. J’avoue ne pas envier les Synology et autres boitiers tout intégré : J’aime la liberté que me donne un Linux x86 non bridé, et le confort sonore d’un boitier sans ventilateur.

Pour tout ça j’ai juste besoin d’un backup chiffré qui supporte Linux et un gros quota disque. Par défaut ce sera probablement un Crashplan à 10 € par mois. Je suis preneur d’autres alternatives mais j’ai envie d’éviter les bricolages trop custom (je veux par exemple éviter le « oh mais le backup ne tournait plus depuis des mois et je n’ai eu aucune alerte ») et les prix de stockage explosent vite dès qu’on parle en To.

Le laptop

C’est l’espace de travail. L’idée c’est de considérer que tout ce qui est dessus est à priori volatile. Je synchronise avec le NAS dès que je suis à la maison.

La synchro elle-même ce sera probablement Nextcloud ou Cozy Cloud. Pas besoin de chiffrement vu que ça se passera en local hors d’Internet. Je suis preneur d’autres suggestions mais il me faut une synchronisation transparente (pas besoin de la lancer manuellement ou de le laisser allumé à une certaine heure programmée), progressive (pas besoin de le laisser ouvert assez longtemps pour finir un snapshot complet) et sélective (je veux pouvoir choisir quels répertoires synchroniser, et changer régulièrement).

J’hésite à y mettre une sauvegarde vu que tout ce que j’y fais est amené à être synchronisé sur le NAS, et sauvegardé à partir de là. Un serveur Time Machine sur le NAS ne m’apportera par exemple strictement aucune garantie supplémentaire.

Tout au plus je peux perdre une semaine de travail si je suis en déplacement, ou quelques semaines si je suis l’été hors de chez moi. Rien de grave vu que je fais quasi tout en ligne de toutes façons.

Les photos de la semaine sont les seules données dont je craindrais vraiment la perte. Si je veux me protéger contre ça il me faut une sauvegarde en ligne. Si j’ai du Crashplan sur le NAS, ce sera probablement aussi du Crashplan sur le laptop, quitte à ce que ça coûte un peu cher. Pour l’instant j’hésite, je ferai peut-être sans.

Les emails

Je n’ai pas trouvé de solution parfaite. J’aurais adoré une solution qui chiffre d’office avec une clef publique tous les emails reçus en entrée, et des clients qui déchiffrent puis indexent tout ça côté client pour que ce soit utilisable au jour le jour.

C’est ProtonMail qui s’en rapproche le plus mais ils ne chiffre pas le sujet de l’email, les dates et les participants. Je comprends pourquoi mais au final ça laisse beaucoup de choses utiles en clair. Ajouté à ça, les clients officiels ne font pas de recherche dans le contenu des messages et le quota serveur n’est pas énorme.

Si je pars là dessus je vais peut-être utiliser leur pont IMAP/SMTP avec Thunderbird ou le Mail.app d’Apple pour les emails récents, et une archive locale pour les mails plus vieux. C’est un peu bancal mais je n’ai pas mieux.

L’alternative c’est utiliser Fastmail. Là j’ai un quota qui me permet d’y importer et gérer tout mon historique et je peux y accéder depuis n’importe où avec une recherche complète. Par contre je fais une croix sur le chiffrement. J’hésite encore.

Dans tous les cas il y aura une récupération locale sur le NAS, pour archive.

Calendrier et contacts

Je ne peux pas imaginer baser contacts et calendrier sur un Nextcloud ou une solution perso sur le NAS. Je vais avoir besoin de la synchronisation entre le laptop et le smartphone lors des déplacements.

Ça veut à priori dire utiliser une plateforme en ligne, et je n’en connais aucune qui propose un système avec chiffrement côté client. Je vais devoir laisser trainer ces données en clair et ça m’agace parce que ce sont des données sensibles.

ProtonMail propose bien un système de contacts chiffrés mais il ne chiffre ni le nom ni l’email, et si je ne devais chiffrer que deux éléments se sont bien ces deux là. Pire, vu qu’il n’y a pas de pont carddav, je ne pourrai pas utiliser mes contacts ProtonMail depuis Mail.app ou Thunderbird. Si je les édite depuis mon smartphone je perds les données chiffrées (ignorées par leur synchro Android). Bref, pas une solution.

Fastmail propose calendrier et contacts. À défaut de mieux, j’irai peut-être là bas… et ça me décidera peut-être à le faire pour les emails aussi (sinon je n’y aurai pas accès depuis les applications ProtonMail).

Sérieusement ProtonMail, il y a là quelque chose à travailler. C’est un vrai gros point faible incompréhensible.

Partages

Autrefois j’utilisais pas mal Dropbox et Google Drive. Je n’ai pas trouvé de solution alternative gratuite (et rappel: Il est exclu d’exposer le NAS sur Internet avec un service type Nextcloud).

Ce sera probablement toujours Dropbox et Google Drive. Faire autrement demanderait de toutes façons aux tiers d’installer des logiciels prévus pour, et ils ne le feront pas.

Si je craque, je prendrai peut-être la version premium de Tresorit, qui sait gérer partage et chiffrement côté client. Pour le même prix ça peut gérer la pérennité de mes données en cas de perte du laptop et faire solution de sauvegarde de fortune à ce niveau.

Édition collaborative en ligne

Le second point faible du plan : Les documents en édition partagée en ligne. Il y a quelques trucs qui gèrent le chiffrement côté client mais en général c’est du texte simple au kilomètre.

Si on accepte de tout laisser en clair sur des plateformes tierces il y a OnlyOffice et Collabora. Les deux sont assez lourds, sans client mobile, et pas vraiment au niveau de Google docs, Google spreasheets et Dropbox Paper côté simplicité. Vu qu’en plus c’est vite cher si on veut collaborer en lecture/écriture avec des tiers, je n’imagine pas vraiment réussir à embarquer mes connaissances là dessus.

Bref, quitte à tout laisser en clair, je vais peut-être garder aussi tout ce qui demande de l’édition évoluée chez Google et Dropbox. Ça me fait mal mais je n’ai rien de mieux à proposer.

Tout au plus je vais faire attention à tout exporter régulièrement sur mon NAS pour en garder des archives locales.

Dépôt de code

La seule solution de dépôt git chiffré que je connaisse est celle de Keybase.

Cela dit les seuls codes sources privés que je gère sont liés au contexte professionnel (et là non seulement je n’ai pas le choix du prestataire, mais les pull request et autres systèmes de revue de code me semblent trop essentiels pour que j’imagine utiliser la solution de Keybase) ou sont purement privés (et là je peux très bien pousser mes codes sur le NAS une fois de temps en temps, puis voir le tout sauvegardé à partir de là).

Bref, je n’ai personnellement pas vraiment de cas d’usage pour un dépôt de code chiffré.

Blogs et photo

Tout ce qui est dans cette catégorie est public, ou semi-public.

Tout ce que je faisais sur mon serveur en ligne est déjà couvert par une solution ci-dessus. Il ne reste que le wordpress.

Je vais donc à priori le remplacer et passer vers de la publication statique à quelques euros par an (juste de quoi mettre mon domaine perso).

À terme peut-être que je ferai des systèmes évolués avec chiffrement pour les sections et publications privées, mais je ne suis même pas certain d’avoir envie d’aller jusque là.

Adresse, domaine et identifiants

J’ai mon nom de domaine et donc le contrôle de mes identifiants pour l’email et les publications en ligne.

Il me manque le contrôle d’un xmpp et celui de l’identifiant mastodon. Je ne veux pas monter et maintenir moi-même des serveurs en ligne pour ça. Si quelqu’un sait qui offre un service avec nom de domaine personnalisé pour ça, je suis preneur.

Vidéo

Je fais des vidéo-conférences essentiellement au niveau professionnel mais j’avoue que ça passe toujours par zoom, skype, hangout et autres appear.in. Il y a-t-il des solutions chiffrées de bout en bout ? qui permettent de contrôler son identifiant ?

3 avril 2018

Catégorie : Geek

Créa­tion

Script de montage

Script de démon­tage

Le NAS

Le laptop

Les emails

Calen­drier et contacts

Partages

Édition colla­bo­ra­tive en ligne

Dépôt de code

Blogs et photo

Adresse, domaine et iden­ti­fiants

Vidéo

Création

Script de démontage

Calendrier et contacts

Édition collaborative en ligne

Adresse, domaine et identifiants