Catégorie : Geek

Aujourd’hui c’est de nouveau backup-day !

Crashplan Home c’est fini. Bon, c’est fini depuis déjà un an mais j’avais renouvelé juste avant leur annonce, alors j’ai tenu plus longtemps que les autres.

J’ai eu beau chercher, je n’ai rien trouvé d’aussi simple et efficace dans cette gamme de prix pour sauvegarder mes deux postes de travail et mon NAS. Je vais reconduire avec leur offre small business. C’est trop cher mais comme ils font une réduction de 75% la première année, ça va me donner encore un an pour réfléchir à autre chose.

Il reste que tout est basé sur un vieux disque plateau chez moi et cet outil en ligne. Il suffit qu’un des deux tombe et que je fasse une mauvaise manip pour que…

Je me sentirais plus confiant avec une troisième patte, quitte à ce qu’elle ne soit pas tenue à jour aussi fréquemment que pertinent.

On trouve des disques de 4 To à 120 €, et on doit même trouver du 12 To à un prix au Go pas si différent. J’ai toutefois du mal à me dire qu’il faut une grosse boite, une alimentation externe, et un stockage avec des pièces mécaniques fragiles.

En SSD on passe très rapidement à 250 € le To. Ouch. Quitte à aller par là, je me pose très sérieusement la question d’une collection de cartes microSD de 128 Go. Si le prix n’était pas délirant (il faut encore doubler par rapport au SSD), j’avoue que ce serait tentant : Durabilité correcte, stockage super facile, ne prend pas de place, ne craint pas grand chose. On peut même assez facilement les mettre à la cave dans un petit caisson étanche et ne plus rien craindre. Hum… ça me tente.

Et vous, vous utilisez quoi ?

14 octobre 2018
Firefox, « anonyme par défaut »
J’aimerais avoir un Firefox configuré en « anonyme par défaut ». Ça veut dire deux choses :
1. Un site ne doit pas pouvoir partager ou croiser les données avec un autre ;
2. Un site ne doit pas pouvoir faire persister des données plus longtemps que la session en cours.
Si je veux garder une authentification permanente ou autoriser des croisements (par exemple pour des SSO), c’est à moi de le demander explicitement.

Ça pourrait être fait par une double préférence liée à chaque domaine, quelque chose du type « autoriser le domaine X à stocker des données persistantes dans ce contexte » et « ne pas isoler le domaine X en fonction de l’origine de la page principale ».

Un site ne doit pas pouvoir partager ou croiser les données avec un autre

Ce premier point est relativement bien couvert. L’extension first party isolation fait exactement ça. En gros tout le stockage (cookies, localstorage, indexeddb) est segmenté par l’origine de la page principale dans l’onglet.

Le composant Facebook inclut dans les pages de LeMonde ne partagera aucune données avec celui inclut dans les pages du Figaro. Il restera l’adresse IP et diverses techniques de fingerprinting, mais ça va un peu limiter.

Je navigue avec depuis des mois, plutôt avec succès. Il y a encore du boulot. Il faut le désactiver temporairement pour faire la configuration initiale de Pocket dans Firefox, ou pour le SSO « se connecter avec google » de quelques sites (pas tous, d’autres fontionnent bien) mais globalement ça passe très bien.

Une fois corrigées les anomalies et ajoutée une façon de désactiver l’isolation site par site, ça sera parfait.

Un site ne doit pas pouvoir faire persister des données plus longtemps que la session en cours

Ce second point est plus compliqué.

J’ai tenté initialement d’utiliser les conteneurs de Firefox pour ça mais tout ce que je peux faire c’est isoler des sites les uns des autres. Au final je me retrouve avec un conteneur par défaut qui contient la majorité du trafic et qui continue à garder mes traces de session en session.

Il y a peu j’ai trouvé l’extension temporary containers. L’idée c’est que, par défaut, le navigateur charge un nouveau conteneur temporaire dédié à chaque fois qu’on navigue vers un nouveau domaine. Ce conteneur et ses données sont détruits dès qu’on ferme l’onglet.

Globalement ça fonctionne mais il y a quelques soucis de performance ressentie (au moins des fermeture/réouverture visibles d’onglet lors des navigations) et si on affecte un site à un conteneur fixe pour éviter de se retrouver à chaque fois sur une page non authentifiée, on perd la capacité de l’utiliser en parallèle dans plusieurs conteneurs différents.

J’ai globalement l’impression d’abuser des conteneurs pour quelque chose qui n’est pas fait pour.

L’extension cookie autodelete a une autre approche. On garde le fonctionnement normal des conteneurs mais, par défaut, l’extension supprime les cookies d’un site dès qu’on ferme tous les onglets qui y mènent. Charge à l’utilisateur de faire des exceptions explicites site par site. Globalement ça fait le job mais ça n’efface ni le localstorage ni l’indexeddb, ne parlons même pas du tracking par cache HTTP.

Je trouve ça dommage. Intuitivement j’aurais pensé que supprimer des données était plus facile à faire pour le navigateur que créer une isolation supplémentaire entre les sites.

Suis-je le seul à chercher un tel niveau d’isolation ?
23 juillet 2018
7 milliards et demi

Github est un concentré de technologies. On ne refera pas Github de zéro avec juste une poignée de développeurs dans un garage.

Mais… 7 milliards et demi de dollars. Vous comptez comme vous voulez mais la technologie seule en vaut difficilement un centième. Multipliez par 10 parce que c’est prêt et qu’on évite du risque et du délai, il y aura encore au moins un zéro de trop. Les dividendes à venir ne valent pas cette différence.

Ce que Microsoft achète ce n’est pas Github, le logiciel et les équipes, c’est vous, clients. Vous et vos projets. On vient de vous vendre comme une marchandise. Vous n’en avez même pas touché des miettes.

Moi non plus.

4 juin 2018
Gérer son potager

Proposer de l’auto-hébergement c’est comme recommander aux gens de faire leur propre potager quand ils te parlent des problèmes de la chaîne de distribution alimentaire (*).

Oui l’auto-suffisance alimentaire est un énorme pas dans le bon sens. Non tout le monde n’a pas les connaissances ou les compétences pour maintenir son potager, les moyens financiers d’avoir un terrain et le matériel pertinent, ou simplement le temps à y consacrer.

Même quand on a tout ça, on peut vite se retrouver avec une récolte à vide, ou obligé de déverser plus de pesticide et plus d’eau que ne le ferait une culture intensive.

Bref, c’est super, mais ce n’est pas la solution magique à tout et pour tout le monde. Pas ainsi.

Certains feront leur potager, mais plus par plaisir ou conviction que comme source d’approvisionnement. D’autres iront dans des AMAP, dans des circuits courts, au supermaché bio ou solidaire, à la supérette du coin, ou même au supermarché en faisant attention à ce qu’ils achètent, en fonction de leurs moyens, de leurs contraintes et de leurs besoins.

L’auto-hébergement c’est pareil. Il vous faut un matériel adapté, une connexion Internet stable et suffisante, des compétences non négligeables, et surtout pas mal de temps et d’attention.

Maintenir un service en fonctionnement n’est qu’une petite partie du problème. Combien de ceux à qui on aura conseillé l’auto-hébergement vont se retrouver sans sauvegarde fonctionnelle au premier incident ? Combien vont faire une erreur et perdre leurs données ? Combien auront une qualité de service acceptable ? Et surtout, combien vont gérer correctement la sécurité ?

Genma parle d’élitisme. C’est un peu vrai mais il n’y a pas que ça. Même pour quelqu’un du métier, qui a les moyens financiers et du temps à y consacrer, une sécurité correcte demande désormais un investissement démesuré pour la plupart des besoins personnels.

Je ne dis pas que c’est forcément une mauvaise idée. La centralisation et la dépendance sont de vrais enjeux, la vie privée aussi, mais ne résumons pas ça à l’auto-hébergement.

Faites-le pour vous amuser, pour apprendre, pour tester, pour bidouiller. Faites-le si vous en avez envie, tout simplement. Aidez ceux qui veulent le faire.

Arrêtez par contre d’asséner ça comme une solution facile et universelle. Arrêtez de faire culpabiliser ceux qui délèguent et font confiance à un prestataire. Vous ne rendez service à personne, pas même à vos amis et votre famille à qui vous êtes en train de dire « mais si, sois dépendant de moi et mets-moi administrateur sur toutes tes données, tu verras ce sera génial ».

(*) L’analogie n’est pas de moi, je l’ai croisée récemment chez Clochix, merci à lui.

Mise à jour : Depuis, l’excellent Aeris a parlé de ça en détail et avec bien plus de brio que moi. Allez lire.

4 juin 2018
BetterTouchTool

S’il y a Bartdender sur mon mac, il y a aussi BetterTouchTool.

Premier usage pour moi, ça me permet de déplacer une fenêtre sur un bord pour qu’elle se positionne automatiquement sur la moitié de l’écran. Si je la mets sur un coin elle prend le quart d’écran correspondant.

Le petit utilitaire ne se limite pas à ça. On peut définir ou redéfinir à peu près tout ce qu’on peut espérer comme raccourcis : gestures ou formes sur le touchpad ou via la souris, des combinaisons ou séquences de touches au clavier, redéfinition des boutons de manipulation des fenêtres, ou des séquences de touches magiques, et même gestion de la touchbar pour ceux qui en ont une. Le tout peut être personnalisable par application et en fonction des touches modificatrices appuyées. Un vrai couteau suisse

C’est un peu l’histoire du canon et du moustique que d’utiliser ça principalement pour agencer les fenêtres sur l’espace de travail.

Spectacle le fait gratuitement mais ne gère que des raccourcis clavier pour déplacer les fenêtres par moitié ou quart d’écran. Il n’y a pas d’aide automatique lors des déplacements au touchpad (et j’ai l’habitude de gérer les fenêtres en glisser-déposer plutôt qu’au clavier).

Si vous n’avez vraiment que faire des autres fonctions de BetterTouchTool, BetterSnapTool ne gère que les partages d’écran mais pour 2 € au lieu de 7 €. La différence de prix est assez faible pour que ça vaille à mon avis le coup de s’offrir la version complète.

2 juin 2018
Bartender

Je ne vous ai pas parlé de Bartender ? Ce logiciel a sauvé ma vie. Bon, pas vraiment, mais il a bien simplifié par mal de choses sur mon Mac.

En ce moment j’ai quand même 15 items différents à droite de ma barre de menu. Certains ne sont lancés qu’au besoin. Parfois j’en ai plus, parfois j’en ai moins, mais en général ceux qui sont là ont une bonne raison d’y être.

Il suffit qu’une application comme Firefox ait pas mal de menus pour que telle ou telle icône se retrouve masquée. Loi de Murphy oblige, c’était toujours celle qui me permettait d’avoir des notifications importantes qui se retrouvait hors de la vue. Je me retrouvais trop souvent à basculer vers une application comportant peu de menus uniquement pour pouvoir accéder à certaines icônes.

Bartender répond à ça. Je décide des quelques rares icônes que je laisse visible en permanence. Les autres sont masquées derrière un sous menu. C’est bête comme chou mais juste indispensable.

Encore mieux, je suis capable de dire « masque l’icône de Dropbox par défaut mais montre là si quelque chose a changé depuis moins de 10 minutes ». Du coup je vois les notifications mais elle n’encombre pas les menus le reste du temps.

C’est payant, moins de 15 €, autant dire pas grand chose vu le confort gagné. Il y a une version d’essai et de de jolies animations sur le site de l’éditeur si vous voulez voir comment ça fonctionne.

1 juin 2018
Trois écrans

Je regarde encore principalement l’écran du portable même quand les autres sont branchés mais, après plusieurs mois, je valide la configuration à trois écrans.

Un 24″ en portrait sur le côté et un 24″ en paysage au dessus de l’écran du portable

À gauche j’ai ce qui est annexe. Ça peut être une vidéo, un réseau social, une discussion asynchrone ou quelque chose que je surveille, comme le Mattermost du boulot. Exceptionnellement j’y affiche un document A4 pour en prévisualiser l’apparence générale.

Le principal se passe sur un des deux écrans paysage. C’est étonnant parce que finalement je n’utilise pas toute largeur de l’écran. Rationnellement tout ce que je fais ou presque serait mieux avec plus de hauteur disponible. Je ne m’explique pas la contradiction mais passer l’écran principal en portrait a été un échec à chaque essai.

Sur ces deux écrans en paysage j’ai ce qui est en cours. Généralement un pour le travail (rédaction, code) et l’autre pour le contexte (documentation, discussion, tests, etc.). Ça a l’air organisé comme ça mais j’ai plein de fenêtres et je les déplace fréquemment entre les deux écrans en fonction de ce sur quoi je me concentre… et je ne les replace pas forcément sur le premier écran quand je me reconcentre dessus. Au final les fenêtres en arrière plan sont à peu près n’importe où.

Le second truc qui me gêne c’est que je continue à utiliser l’écran du portable comme écran principal la plupart du temps. Il est plus petit, il m’oblige à baisser un peu la tête pour être à l’aise, mais je reviens souvent dessus quand je n’y fais pas attention. J’imagine que c’est qu’il est plus flatteur en terme de luminosité et de définition mais l’habitude ne change pas malgré mes tentatives d’en baisser artificiellement la luminosité pour que celui du dessus soit plus attirant.

Dernière chose à laquelle je ne m’attendais pas : J’ai beau avoir un clavier et un trackpad externes à bonne hauteur au dessus de mes genoux sur une tiroir ouvert, je continue à utiliser le clavier et le trackpad du portable. Je peux me forcer à faire autrement, je reviens sur le portable si mes mains quittent à un moment le clavier. Je n’essaye même plus.

Au final ça fonctionne. Deux écrans c’est confortable, le troisième me permet d’avoir quelque chose à côté sans avoir à prendre la place sur les deux premiers. Ma vrai difficulté c’est dès qu’une application se met en plein écran. Certaines fenêtres restent derrière et deviennent inaccessibles alors que moi je continue de travailler sur les autres écrans. J’adorerais qu’elles se déplacent seules sur les autres écrans, un peu comme si je débranchais celui qui est occupé.

Et vous ? Vous utilisez quoi ?

31 mai 2018

Netatalk 3 et Debian 9

Debian semble bloqué à Netatalk 2, même dans SID. Il y a quelques PPA Ubuntu qu’on pourrait réutiliser mais aucun ne semble suivi donc autant compiler soi à la main.

La procédure est détaillée sur le Wiki Netatalk. J’ai divergé très légèrement alors je note pour plus tard :

sudo apt install \
                 avahi-daemon \
                 build-essential \
                 libevent-dev \
                 libssl-dev \
                 libgcrypt-dev \
                 libkrb5-dev \
                 libpam0g-dev \
                 cracklib-runtime \
                 db-util \
                 libcrack2 \
                 libpam-cracklib \
                 libwrap0-dev \
                 libdb-dev \
                 libtdb-dev \
                 libavahi-client-dev \
                 libacl1-dev \
                 libcrack2-dev \
                 libdbus-1-dev \
                 libdbus-glib-1-dev \
                 libdbus-glib2.0-cil-dev \
                 libio-socket-inet6-perl \
                 libglib2.0-dev tracker \
                 libtracker-sparql-1.0-dev \
                 libtracker-miner-1.0-dev

./configure \
            --enable-debian \
            --with-init-style=debian-systemd \
            --without-libevent \
            --without-tdb \
            --with-cracklib \
            --with-acls \
            --enable-krbV-uam \
            --with-pam-confdir=/etc/pam.d \
            --with-dbus-daemon=/usr/bin/dbus-daemon \
            --with-dbus-sysconf-dir=/etc/dbus-1/system.d \
            --with-tracker-pkgconfig-version=1.0 \
            --with-afs \
            --with-zeroconf
make
sudo make install
sudo ln -s /usr/local/etc/afp.conf /etc
sudo systemctl enable avahi-daemon
sudo systemctl enable netatalk
sudo systemctl start avahi-daemon
sudo systemctl start netatalk

29 avril 2018

SSH et mosh

Je résiste à tmux, screen et tous les trucs à la mode. Je n’ai pas de bonnes raisons, juste que j’ai appris sur le tas il y a longtemps et que les habitudes ont la vie dure quand il n’y a pas vraiment de besoin de changer.

Il reste que mes sessions ssh étaient pénibles. Je suis sur laptop et j’ai l’habitude d’en refermer le capot ou de le passer en veille dès que je m’éloigne, même 30 secondes. Et là c’est le désastre. La connexion SSH se ferme, le travail en cours est perdu.

Screen et tmux peuvent aider mais mosh semble correspondre parfaitement à mes besoins. On ne créé pas un multiplexeur, on se contente de laisser le shell ouvert et de se reconnecter dessus sans relancer un tunnel ssh complet.

C’est transparent et ça ne change rien aux habitudes. Que du bénéfice.

16 avril 2018
Mes données dans une partition chiffrée sous Linux
Je cherche essentiellement à me protéger de quelqu’un qui volerait mon disque après s’être introduit chez moi. Je garde donc une partition en clair pour le système principal et je mettrai les données sur une partition chiffrée que je monte manuellement.

Certaines documentations proposent de mettre la clef de chiffrement sur un petit stockage USB mais ça ne me semble pas pertinent pour la menace dont je cherche à me protéger.

J’ai une passphrase dans mon gestionnaire de mots de passe et ça me suffira. Je ne compte pas m’en servir souvent de toutes façons. Avantage supplementaire par rapport à la version sur USB : Je peux me connecter en SSH et monter la partition à distance pour peu que je ne craigne pas que quelqu’un se soit introduit sur ma partition système entre temps.

Des documentations je retiens le chiffrement de blocs avec luks, et le fait de bien passer par cryptsetup plutôt que de tout gérer à la main.

Je recopie ici mes quelques commandes mais c’est tout bien expliqué sur la documentation cryptsetup du wiki Ubuntu.

Création
```
sudo apt install cryptsetup
sudo cryptsetup luksFormat -c aes -h sha256 /dev/sda4
sudo cryptsetup luksOpen /dev/sda4 data
sudo mkfs.ext4 -L data /dev/mapper/data
sudo mkdir /mnt/data
sudo echo "data /dev/sda4 none luks,noauto,quiet" >> /etc/crypttab
sudo echo "/dev/mapper/data /mnt/data ext4 rw,nosuid,exec,noauto,async,user,noatime,nodiratime 0 0" >> /etc/fstab
sudo mount /mnt/data
```
La passphrase vient du générateur aléatoire de mon gestionnaire de mot de passe. J’ai cherché un intermédiaire entre « le plus long possible » et « si ça se trouve j’aurais à la taper à la main un jour ». En temps normal ce ne sera que des copier/coller donc ça ira.

Script de montage
```
#!/bin/bash
# /usr/local/sbin/mount.data
cryptsetup luksOpen /dev/sda4 data
mount /mnt/data
```
Script de démontage
```
#!/bin/bash
# /usr/local/sbin/umount.data
umount /mnt/data
cryptsetup luksClose data
```
Je l’ai créé mais j’avoue que je vois mal dans quel cas je vais avoir envie de démonter ma partition sans arrêter totalement le système (et dans ce cas ça sera fait tout seul sans mon intervention de toutes façons).
15 avril 2018

Catégorie : Geek

Un site ne doit pas pouvoir parta­ger ou croi­ser les données avec un autre

Un site ne doit pas pouvoir faire persis­ter des données plus long­temps que la session en cours

Créa­tion

Script de montage

Script de démon­tage

Un site ne doit pas pouvoir partager ou croiser les données avec un autre

Un site ne doit pas pouvoir faire persister des données plus longtemps que la session en cours

Création

Script de démontage