GuiGui's Show

=> https://pbs.twimg.com/media/GUW2UWvXAAAIP1k?format=jpg&name=large

Sionisme pour un occidental = déportation des Juifs pour ne pas les intégrer = antisémitisme. Comme quoi, tout concept peut être tourné comme on veut…

+ Documentaire Prier pour l'Apocalypse. Les chrétiens évangélistes états-uniens (30 % des électeurs ricains) sont sionistes et voient la guerre en Israël-Palestine comme le début de l'Apocalypse et de la réalisation de la prophétie selon laquelle seule l'existence de l'État d'Israël ramènera Jésus sur terre, et que les juifs se convertiront ou disparaîtront. Forte connexion avec les politiques, y compris Trump. Je ne pensais pas qu'on est à cette intensité de folie, les propos des zozos sont sidérants…

Today we turned off our Online Certificate Status Protocol (OCSP) service, as announced in December of last year. […] Going forward, we will publish revocation information exclusively via Certificate Revocation Lists (CRLs).
We ended support for OCSP primarily because it represents a considerable risk to privacy on the Internet. When someone visits a website using a browser or other software that checks for certificate revocation via OCSP, the Certificate Authority (CA) operating the OCSP responder immediately becomes aware of which website is being visited from that visitor’s particular IP address. Even when a CA intentionally does not retain this information, as is the case with Let’s Encrypt, it could accidentally be retained or CAs could be legally compelled to collect it. CRLs do not have this issue.
[…]
For every year that we have existed, operating OCSP services has taken up considerable resources that can soon be better spent on other aspects of our operations. […] That’s more than 140,000 requests per second handled by our CDN, with 15,000 requests per second handled by our origin. […]

\o/

Un de mes deux griefs majeurs envers LE est donc caduque.

Dilemme Internet :

Chaque personne qui regarde cette vidéo choisit entre la pilule bleue et la pilule rouge.
Si plus de 50 % des personnes choisissent la pilule bleue, tout le monde vit.
Sinon, ceux qui ont pris la pilule rouge vivent et ceux qui ont pris la bleue meurent.

Dilemme reformulé par Monsieur Phi :

Des aliens chopent 100 humains. Ils vont les mettre chacun dans un salle face à un bouton.
Si la majorité des participants appuient sur le bouton A, tout le monde continuera de vivre.
Si la majorité des participants appuient sur le bouton B, ceux aqui ont appuyé sur le bouton A meurent, ceux qui ont appuyé sur B vivent.
Faire un choix est obligatoire, sinon tout le monde meurt.
Avant de choisir, les aliens s'assurent que les participants ont compris les règles avec des questions de compréhension.

Il constate un biais de cadrage très significatif (la première présentation du problème influence grandement la manière dont on le perçoit).

Ce n'est pas un dilemme du prisonnier car la solution égoïste (rouge / B) produit le même résultat que si tout le monde avait choisi la solution coopérative (bleue / A). La solution égoïste (B / rouge) ne nécessite pas de prendre de risque personnel pour parvenir au même résultat. Le choix A est circulaire : on sauve uniquement ceux qui feront ce choix-là pour sauver ceux qui feront ce choix-là, ce qui permet d'afficher notre vertu à vouloir sauver tout le monde. Mais ça ne marche que si une majorité fait également ce choix-là d'afficher sa vertu (on est moral, on n'est pas un égoïste, etc. mais que pour ceux qui en font pareil).

En passant, on révise l'impératif catégorique de Kant, l'une des approches de la philosophie morale : on désire faire quelque chose que l'on ne souhaite pas voir généralisé (= faites ce que je dis, pas ce que je fais). A contrario, une action est conforme au devoir moral si on peut vouloir universaliser la règle de conduite que l'on a suivi pour la mener. Inefficace avec le dilemme supra, puisque les deux choix passent le test d'universalisation. Autre approche de la philo morale : le conséquentialisme, c'est-à-dire évaluer une action (bonne ou mauvaise) en fonction de ses conséquences (bonnes ou mauvaises). La manière d'évaluer les conséquences varie en fonction des courants de pensée.

Depuis 2019 une discussion est actuellement ouverte à l’IETF afin de pouvoir étendre la RPKI à la vérification de l’AS path au lieu d’uniquement l’AS source, c’est l’ASPA (Autonomous System Provider Authorization). L’idée est qu’un AS va publier quels sont ses fournisseurs, et si un préfixe (signé en ROA évidemment) est vu avec un chemin qui n’a rien à voir avec la choucroute, l’annonce sera rejetée. C’est un peu à voir comme la version 2 des IRRs que l’on trouve dans les whois d’AS.

+ https://datatracker.ietf.org/doc/draft-ietf-sidrops-aspa-verification/

Autonomous System Relationship Authorization (ASRA) est déjà en projet pour gérer plus de cas que ne le peut ASPA. Cf. https://conference.apnic.net/56/assets/files/APJS642/autonomous-system-re_1694481446.pdf.

Le tout constitue des étapes vers BGPSec aka PathSec (ici et là) c'est-à-dire la sécurisation du chemin d'AS (AS_PATH) complet en s'assurant qu'il est bien celui par lequel une annonce BGP est effectivement passée (et non pas juste un chemin possible / déclaratif, comme ASPA / ASRA). Plus précisément :

The BGPsec [RFC8205] protocol was designed to solve the problem of AS_PATH verification by including cryptographic signatures in BGP Update messages. It offers protection against unauthorized path modifications and assures that the BGPsec Update traveled the path shown in the BGPsec_PATH Attribute. However, it does not detect route leaks (valley-free violations). Thus, BGPsec and ASPA are complementary technologies.

#sécurité #internet

Explication des taxes douanières avec des pizzas versus des études de terrain. :D (Bon, en vrai, il n'y a pas qu'un produit / service par pays, et on recherche un équilibre global.)

Désigner des monstres = éviter de regarder la part monstrueuse qui vit en chacun de nous + ne pas s'interroger sur le système qui produit lesdites parts monstrueuses.

DuckDuckGo permet d’accéder gratuitement et sans compte à certains agents conversationnels basés sur des LLM. Évidemment, il ne s'agit pas des modèles les plus performants de chaque marque.

Via https://www.la-pub-dans-les-films.fr/shaarli/?YVnCUw.

Voici un RFC assez futuriste qui explore à quoi pourrait ressembler un futur « Internet » quantique. Je divulgâche tout de suite : ce ne sera pas de si tôt.

+ https://blog.cloudflare.com/black-lies/

Intéressante différence entre les « white lies » et les « black lies » DNSSEC. Les white lies sont normalisés, les black lies, invention de Cloudflare, sont en cours de normalisation.

Avec DNSSEC, pour signifier qu'un nom DNS n'existe pas, un serveur DNS qui fait autorité répond, dans des enregistrements de type NSEC ou NSEC3, une plage signée de noms situés lexicalement avant et après le nom demandé (+ NXDOMAIN). Ces plages, chaînées les unes aux autres, sont générées en amont (enregistrements de type NSEC ou NSEC3). Détails.

Deux problèmes : 1) ça empêche la mise à jour dynamique d'une zone DNS (ajout/retrait de noms) puisqu'on peut ignorer les noms qui viennent avant ou après ; 2) ça permet l'énumération de tous les noms d'une zone DNS (il suffit de suivre la chaîne de NSEC ou de NSEC3, et NSEC3, qui est un condensé cryptographique, ne protège que les zones contenant des noms imprédictibles). Détails.

White lies : le serveur DNS qui fait autorité répond, en sus de NXDOMAIN, dans des enregistrements NSEC, des noms lexicalement très proches de celui demandé (un avant, un après, comme d'hab), mais qui n'existent pas. Ainsi, ces enregistrements NSEC couvrent une plus petite plage, donc ils ne divulguent pas le prochain enregistrement DNS réel dans l'ordre lexical. Pas besoin de chercher en base les noms les plus proches qui existent réellement. Mais il faut encore beaucoup de calculs cryptographiques (à l'échelle d'un très gros fournisseur, comme Cloudflare). On a donc : SOA, RRSIG SOA, NSEC nom précédent et nom suivant, RRSIG de ce NSEC, NSEC joker, RRSIG de ce NSEC.

Black lies (aka Compact Denial of Existence) : le serveur qui fait autorité répond uniquement NOERROR avec, de type NSEC, le nom demandé et ce nom préfixé par « \000. » (permettant de prouver qu'il n'y a pas de joker). En gros, la réponse se lit comme : ce nom existe, mais uniquement pour les types NSEC, RRSIG et TYPE128. Moins de calculs cryptos, réponses plus courtes, et aucune recherche en base des noms qui existent vraiment. On a donc : SOA, RRSIG SOA, NSEC, RRSIG NSEC. (TYPE128, futur NXNAME : permet de dire aux serveurs DNS récursifs que le nom demandé n'existe vraiment pas, afin qu'ils puissent mieux informer leurs clients. Ce type n'est pas encore normalisé.)

Même principe pour un nom qui existe mais pas dans le type demandé : au lieu de répondre les types qui existent réellement, ce qui implique une recherche en base, on peut répondre que tous les types existent sauf celui demandé (même si c'est faux).

Dans les deux cas, black ou white lies, le serveur qui fait autorité doit avoir accès aux clés privées, puisque signature à la volée (= online signing).