PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

FirefoxOS 2.2 et Geolocalisation

jeudi 1 janvier 1970 à 01:00

Sous FirefoxOS, la Géolocalisation est activable /désactivable directement dans le paramétrage.

La version 2.2 apporte un certain nombre de fonctionnalités et de réglages plus avancées dans une optique de respect de la vie privée.

Pour un réglage plus fin, élaboré

Dans la Partie Paramètres, Section Vie privée et sécurité, Entrée Privacy Controls, on a un nouvel écran Privacy Controls.

On choisit l'entrée, Précision de la position

Dans l'écran Précision de la position "Location Accuracy", on peut à nouveau choisir d'activer ou de désativer la géolocalisation. Si active, l'option "Location adjusment" celle-ci Permet d'ajuster pour toutes les applications le niveau de précision global de votre position actuelle, de définir une position fixe permanente et d'ajouter des exceptions par applications

Les choix possibles ;
- Position précise,
- Aucune position,
- Position approximative,
- Position personnalisée : on définie une ville (choix de la région et de la ville) ou des coordonnées GPS.

Dans les exceptions, on ajuste la position pour chaque application selon l'un des choix possibles cités ci-dessus (cela remplace le type de position/le choix de la précision définie par défaut).

J'ai testé un peu. Quand on est en position précise, on est bien géolocalisé dans l'application Here Maps. En position approximative ou aucune position, l'application ne trouve pas où l'on se trouve. Reste à tester une position personnalisée. Le téléphone permet toujours via sa puce GSM d'indiqué où on se trouve (logique) mais les applications ne peuvent pas utiliser cette information. Cela peut être utile.

Café vie privée samedi 14 mars chez Mozilla

jeudi 1 janvier 1970 à 01:00

Comme indiqué sur la page de l'agenda du libre Le samedi 14 mars 2015 de 14h00 à 18h00 dans les locaux de Mozilla, au 16 bis bd Montmartre Paris Île-de-France (Métro ligne 8 Grands boulevards).

Sonner sur l'interphone (chercher Mozilla), entrée, deuxième porte à droite, monter à l'étage et se présenter à l'accueil sur la droite.

Un pseudonyme (pour compter le nombre de personnes présents pour des raisons de sécurité) sera demandé.

Au programme :
- une conférence sur le Modèle de Menace
- une présentation du projet peerstorage.org
- atelier d'initiation au système Tails (https://tails.boum.org/)
- Autres ateliers, selon intervenants présents

Une piratebox sera présente pour diffuser quelques documents sur un réseau wifi local dédié.

Pour toute question, contactez moi

FirefoxOS - Pas de caractères spéciaux pour la phrase de passe

jeudi 1 janvier 1970 à 01:00

Suite à mon article FirefoxOS Localisation, Verrouillage, Effacer à distance, j'ai étudié plus en détail la fonctionnalité de "Protection à distance - Remote Protection".

Dans le paramétrage, dans la partie "Privacy Controls, Remote Protection", les caractères spéciaux ne sont pas autorisés pour la phrase de passe. (C'est cette phrase de passe qui est utilisée pour certaines des fonctionnalités mentionnées dans ce billet).

Estimant qu'il s'agit là d'une erreur, j'ai donc saisi un bug que l'on peut consulter ici https://bugzilla.mozilla.org/show_bug.cgi?id=1137156

La première réponse a été "étonnante". It was a UX decision to not include special characters. It is because the passphrase is sent over the SMS and the special characters "take up" too much space. Or something like that que je traduirais par Cela a été une décision d'expérience utilisateur que ne de pas inclure de caractères spéciaux. C'est lié au fait que la phrase de passe est envoyé par SMS et que les caractères spéciaux "prennent de trop de place". Ou quelque chose comme ça.

Oui les caractères spéciaux dans un SMS ne comptent pas comme un caractère mais comme plusieurs. Mais même si cela nécessite d'envoyer plusieurs SMS (en découpant la phrase de passe en morceaux), il est, pour moi, important, voir obligatoire de pouvoir mettre des caractères spéciaux dans la phrase de passe.

Car même si celle-ci est d'une longueur acceptable ou suffisante, le fait que ce ne soit qu'une combinaison de caractères choisis parmi les 26 lettres de l'alphabet européen limite grandement le nombre de combinaisons possibles et rend une potentielle attaque par force brute réalisable dans un temps acceptable. (Il faudrait que j'étudie les possibilités d'une telle attaque d'ailleurs).

D'autres ont commencé à réagir en allant dans mon sens (la nécessité de pouvoir avoir des caractères spéciaux dans la phrase de passe), affaire à suivre donc (en s'abonnant par mail au bug par exemple).

Sur les phrases de passe et mots de passe, à lire également :
- Sur la sécurité des mots de passe
- Les phrases de passe

GPG Agent conserve votre clef privée en mémoire vive

jeudi 1 janvier 1970 à 01:00

GPG Agent

Un agent GPG est une application à part entière utilisée par GPG pour mettre en cache la phrase de passe de manière standard et sécurisée. Cela permet aux applications d'utiliser GPG de manière concurrente : si vous entrez votre phrase de passe alors que vous utilisez déjà une application, la seconde pourra travailler avec le GPG sans devoir demander de nouveau le mot de passe pour libérer la clé, si l'agent GPG est configuré pour permettre cela, bien sûr. Source de la définition sur Gentoo.org

Pour avoir plus de détails sur les options de Gpg Agent, il y a la page de man en anglais sur ubuntu.com

Quand on a plusieurs mails à envoyer chiffrer/ou signer, il peut être intéressant de ne pas avoir à saisir à chaque fois sa phrase de passe. Dans ce cas, Gpg Agent est intéressant. Il faut toutefois faire attention aux conditions dans lesquelles on utilise ce système car le fait que l'on ait pas à ressaisir la phrase de passe signifie que cette dernière est stockée temporairement en mémoire et est donc accessible. En particulier si on est sur une machine qui tourne en continue (24h sur 24 comme un serveur par exemple) ou sur des temps très long (la journée par exemple). Durant tout ce temps, la clef restera en mémoire... Et est donc susceptible d'être dérobée en cas de machine compromise...

GPG Agent et Enigmail

Dans le plugin Enigmail de Thunderbird, il y a une option "Use gpg-agent for passphrase handling" (dans l'onglet Advanced/avancé) cf www.enigmail.net, en anglais.

Par défaut, elle n'est pas cochée/activée, mais il faut faire attention si on souhaite activer cette option. Car une fois Thunderbird fermée, le démon de GPG Agent lui continuera de tourner, et on en revient au contexte de sécurité mentionné ci-dessus.

Construire la sécurité d'un système mobile dans l'écosystème web : Firefox OS par Stéphanie Ouillon

jeudi 1 janvier 1970 à 01:00

Construire la sécurité d'un système mobile dans l'écosystème web : Firefox OS par Stéphanie Ouillon est une présentation que je ne peux que recommander. Disponible en ligne ici https://arroway.github.io/mozilla-presentation-templates/html5/cours-ssr.html

Cette présentation est devenue pour moi UNE référence. J'ai appris plein de choses, conforter des connaissances que j'avais déjà et surtout trouvé des réponses concises et précises sur tout un tas de questions que je me posais sur l'architecture, la sécurité et la conception même de Firefox OS. Les possibilités, les limites, les risques de sécurité sont abordées... La construction, la gestion des applications et la sécurité associée, le sandboxing... Il y a des éléments sur ce qui est prévu pour le futur (chiffrement...), sur comment contribuer... Rien ne manque

Je ne sais pas si ce sera accessible à tous (je ne pense pas, vu qu'il y a des éléments qui nécessitent des connaissances en architecture logicielle et des prérequis techniques), mais si le sujet vous intéresse, je ne peux que vous conseiller de lire ce document. Ce sera une très bonne introduction, un très bon point de départ avant d'aller plus loin pour devenir un contributeur de Firefox OS !

Un grand MERCI à Stéphanie pour le travail de qualité qu'elle a accompli, un très grand travail de synthèse de nombreux documents existants (beaucoup de ce qui est abordé est documenté dans la documentation Mozilla, mais en anglais et en beaucoup plus toufu/fourni). Slides : http://arroway.github.io/mozilla-presentation-templates/html5/cours-ssr.html
- Github : arroway
- @steph_ouillon