barmic 🦦 a écrit 5998 commentaires

C’est faux, ils le font car ils veulent pas casser le réseau. SS7 c’est vraiment de la merde et tu as un paquet d’équipements qui ne supportent pas les techniques anti spoofing. Donc soit tu dis à tes clients qu’ils ont un paquet de trucs qui ne marcheront pas. Contacter une ligne de certains autres opérateurs par exemple possiblement pas dépendant de l’opérateur mais aussi de la localisation géographique, soit tu accepte tout et n’importe quoi.

SS7 c’est de la merde ça doit crever. Ceux qui fantasme que c’est mieux qu’IP (par exemple en disant que RCS est fondamentalement mauvais par rapport à ce bon vieux MAP) n’y ont jamais mis les doigts.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et c'est vrai que si on veut être bon citoyen numérique et distribuer une application portable et pas limitée à Linux, ça fait pas de mal de rester sur du posix, une norme c'est fait pour ça même si c'est limitant.

D'une part ça dépend de ce que tu entends par distribue. Si je veux faire comme toi et pousser les contraintes, je dirais que si tu veux être un bon citoyen numérique tu paquage ce que tu distribue donc tu t'adapte a tes plate-forme cible. C'est mieux pour tes utilisateurs Mac que tu ai distribué via brew (même si tu as ajouté la dépendance bash 5 qui sera géré par brew) que de s'être limité à POSIX (dans la syntaxe et dans les utilitaires) mais que tu fournisse qu'un gist jamais mis à jour pas versionné.

Ensuite il faut pas s'ajouter du travail pour le principe. L'énorme majorité des scripts qu'on écrit ne sortiront jamais de nos machines

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

T'as pas le choix quand tu fais un script awk.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

bash 4 avait apporté des trucs cool.

• le globstar pour utiliser ** dans les expansions en interactif c’est très aggréable
• les tableaux associatifs et ça c’est vraiment confortable par rapport à avoir un tableau de clefs et un tableau de valeurs
• les braces expansions qui gèrent le 0 padding donc {02..24} c’est très agréable quand tu manipules des fichiers qui correspondent ou des heures

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Est-ce que mylib est disponible si je change de distributions ?
Est-ce que mylib est disponible sous MSYS2,macos ?
Est-ce qu'elle est disponible en wasm ?

Rien de tout cela n’ajoute de la sécurité. C’est des questions liées à la portabilité est beaucoup de dev s’en foutent.

Si-non, comment je l'inclus dans mon projet ? je la build moi-même ?

C’est ce que fait cargo donc.

Est-ce que j'ai vraiment besoins de mylib ?

En vrai tu as même pleins de développeurs qui ne font pas vraiment attention à s’ils utilisent une bibliothèque qui est hors de leur projet. Il n’y a pas d’endroit où documenter la version des dépendances qu’ils utilisent.

Croire qu’on gère mieux les dépendances parce qu’on ne les gère pas c’est un leurre. Des dépendances ça doit être cloisonné, ça doit être versionné etc. Sans ça tu fait bon gré malgré comme tu peut (généralement avec d’autres outils). Ce n’est pas pour rien que make est souvent utilisé avec cmake ou les autotools.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Make bizarrement lui quand tu rajoutes une dépendance, tu forces à te poser la question du besoin de cette dépendance. Même si contrairement à Rust, c'est un effet de bord de son manque de fonctionnalités.

De quel question tu parle ? Quelle est la question qui te vient à l’esprit quand tu fais

LDFLAGS += -lmylib

que tu n’a pas quand tu fais

[dependencies]
mylib = "1.0"

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Alors dans le libre […]

Alors je n’ai pas dis que personne n’en parlait, j’ai dit que je n’étais exposé qu’ici. Je n’ai par exemple jamais suivi les communications ni de framasoft, ni de mozilla, ni de l’OSI, ni de la FSF, ni de la Quadrature, ni de l’EFF, l’EDRi je ne connais même pas tu vois. Boulet je vais de temps en temps sur ses streams probablement pas assez pour avoir vu ce genre de choses. David Revoy récement il a posté ça https://www.davidrevoy.com/article1099/keeper-of-forbidden-knowledge, mais je ne dirais pas que c’est même un sujet récurent sur le flux RSS que je vois de lui. Pour ce qui est des « pin’s IA » pour avoir des financements c’est des trucs que je ne suis pas particulièrement.

Je ne dit pas que j’en entends jamais parlé ailleurs, mais que linuxfr est ma source qui en parle le plus (et de loin de manière la plus négative).

Et LinuxFr.org n'échappe pas à cette lame de fond, dont les médias et les GAFAM et les monceaux de thunes investies et le lobbying sur les politiques et les leaders ne sont sans doute pas innocents dans cette omniprésence dans une jolie spirale à la Debian.

Moi j’ai l’impression que ce n’est pas vraiment un phénomène de tendance mais d’inquiétudes à disons 3 niveaux : l’écologie, la société et la philosophie (sur la question de l’intelligence).

Après on peut comprendre qu'il soit plus « facile » de discuter / argumenter autour d'une techno qui promet tout et plus en se parant de quasi magie et en demandant toutes les ressources pour un futur parfait éventuel, que de savoir si « A implique B » veut bien dire que « non B implique non A » ou « faut-il ou pas vacciner ? » ou « c'est quoi le mieux entre solution 1 qui a comme critères a) bien b) bof c) nulle et solution 2 qui a critères a) nulle b) bien c) bof » ou « au fait comment on change la société pour décarboner ? ».

Je ne suis pas sûr de comprendre.

Avant il y a très très longtemps dans les années COVID on était tous spécialistes en logistique, épidémiologie, virologie, communication, gestion de foule et réindustrialisation[…]

Je suis un peu déçu je ne retrouve pas un journal complotiste qui m’avait assez profondément marqué. Je voulais au moins pour moi, faire une sorte de bilan de ce que sont devenus les divers éléments de l’époque. Je ne l’ai pas gardé et j’ai l’impression que le journal a était supprimé (je suis probablement mauvais pour chercher sur wayback machine aussi).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Impossible de réagir intelligemment face au harcèlement des fanboys de l'IA (synonyme aujourd'hui de LLM enshi, hanshi…

Je suis surtout exposé à des trucs sur l’IA ici personnellement et c’est vraiment entrain de devenir l’un des grands sujets de linuxfr dont la communauté semble majoritairement semble globalement contre. Je sais pas si l’arrivée d’intelligence artificielle est une bonne occasion pour devenir bête.

Je présume que ce ne sera qu’une passade comme linuxfr en à déjà connu.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Sauf que les attaques mémoire concernent aussi Rust…

De quoi parle tu ?

Aussi, entre une erreur mémoire dans un programme comme ls, qui de toutes manières demande d'avoir accès à ton ordi en physique pour être exploité, et un bout de code ajouté par une dépendance derrière ton dos, qui va te modifier sshd_config à l'init de ls si tu es en root.

On peut très bien imaginer te faire télécharger un fichier qui si tu le donne à ls va lui faire exécuter du code arbitraire. ls est assez simple pour que ça n’arrive pas, mais c’est un type d’attaque relativement classique d’avoir un fichier empoisonné qui une fois donné à un programme va faire n’importe quoi.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Une lib dynamique packager par APT donc un mainteneur de ta distro (donc fix sur un apt update), c'est la même chose qu'une lib static tirer par une autre dépendance que tu as utilisé, et maintenue par 1/4 de personnes qui sait même pas que ça lib est utilisé sur ta distro ?

Pas forcément un mainteneur de ta distro, tu peut avoir de multiples sources, tu peut aussi avoir une bibliothèque qui arrive par ailleurs en soit c’est la sécurité de ton système de fichier qui est en jeu.

Parce que en Rust la majorité de tes dépendances sont statiques, et tu peux avoir plusieurs fois la même, mais a des versions diférents dans le même projet. (ce qui arrive à peu près jamais en C).

Dans le même projet ? Tu veut dire qu’une crate aurait linké statiquement une dépendance que tu récupère par ailleurs ? Les crates étant non compilées je ne vois pas comment ça pourrait arriver.

Et si ta dépendance casse, bah, tu gardes la faille tant que ton binaire n'a pas étais packager.

Les usines de build sont la norme, ça n’est plus un si gros problème. Le linkage dynamique élève d’un cran la complexité des problèmes qui peuvent arriver comme l’a très bien montré CVE-2024-3094 sur xz l’an dernier.

Donc cargo est meilleur pour te prendre pleins de dépendances que tu sais même pas que tu les utilises, et qui sont maintenus par personnes.

Je trouve en soit toujours très surprenant quand dans une communauté autour du libre on pointe de doigt le fait de réutiliser du code comme un problème.

L’approche consistant à avoir peu de dépendances et ne pas trop gérer leurs versions en délégant ça aux distributions n’est pas sans conséquence. Il est mathématiquement largement plus simple de sécuriser une supply chain que l’ensemble des machines des utilisateurs.

Mais tout ça pour dire que c’est un problème indépendant du langage et qu’ils sont plus système que des problèmes de programmation. Ils apparaîtront plus si un jour on arrive à supprimer tous les problèmes mémoire, mais on sera bien content de voir ça arriver (tout comme tu es content de ne plus voir d’erreur de collision de hash arriver quand tu passe à une bonne fonction de hash).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

il y aurait surement moins d'erreurs mémoire, mais c'est aussi possible qu'il y ait plus d'erreurs par supply chaines.

Les supply chaines ne sont pas des erreurs mes des attaques. C’est tout de même bien différent.

Parce que cargo ressemble beaucoup plus à npm qu'à make.

Ça ne me parait pas très pertinent, tu va récupérer tes dépendances par apt, dnf, pkgsrc ou autre ça revient au même. Tu peut même avoir écrit un logiciel sans la moindre faille et tes utilisateurs et utilisatrices se font avoir parce qu’une lib dynamique qu’ils utilisent s’est fait péter. Ça n’est vraiment pas à observer de la même manière.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Bref c'est moins facile que parcourir l'IPv4 mais c'est pratiqué par des pénibles quand ils sont un peu motivés.

C’est drastiquement plus compliqué ça ne veut pas dire que ça n’existe pas.

Aujourd’hui le premier énergumène qui se croit malin scanne en boucle IPv4. Je bloque des milliers d’IP qui tentent de faire des trucs pour un serveur qui pour le moment n’héberge rien. En IPv6 j’ai les même protections mais j’ai aucune IP bloquée.

Le volume de noms de domaine est tel qu’il devient bien moins probable qu’on vienne te trouver.

Et il y a des moteurs dédiés à la recherche de failles connues ou d'équipements à problèmes.

Là ça devient de l’attaque ciblée ce qui n’a, il me semble pas grand chose à voir.

Se protéger des scripts kiddies qui balancent leur sauce à l’aveugle sur tout ce qu’ils peuvent trouver n’est pas la même chose que de se protéger d’un attaquant motivé qui t’en veut.

Mon serveur SSH est sur IPv6 pour éviter que les premiers ne saturent ma bande passante avec des tentatives de connexion, il n’accepte des connexions que par clef pour bloquer les second.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 404 27 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 404 27 "-" "-"

Tu peut tracker les débits de requêtes et ban l’IP un certain temps, non ?

Je suis pas encore passé à la partie WAF, mais mon serveur perso j’ai fais en sorte que si tu envoi un paquet n’importe où de bizarre (c’est dire ailleurs que sur les services que j’expose), tu prends un ban de 31 jours (et j’ai ban de manière statique les /24 dont beaucoup d’IP génèrent du trafic. J’ai aussi mis mon serveur SSH uniquement sur IPv6 et si tu envoi un paquet en IPv4 sur le port 22, tu prends le ban de 31 jours.

Je me demande si passer en IPv6 ne réglerais pas le problème. Est-ce que tu pense qu’ils sont venu à toi par ta notoriété ou parce qu’ils scannent tout IPv4 ? Scanner les noms de domaines me parait « un peu » compliqué.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

déclenche une alarme tonitruante

c’est le genre de choses qui endommages les objets.

plus des vrais barreaux aux fenêtres

C’est interdit, tu n’a pas le droit de changer la façade du palais.

Tout le reste n’aurais pas fais grand chose dans le cas présent. Ils n’ont pas cherché la discrétion. Leur faire perdre 1 minutes sur 7 c’est juste sauver peut être un bijou.

Sauf les gardes armés… Mais sur linuxfr on est pour la prolifération d’arme ? Pour 3 bijoux d’empereurs ? Avec comme explication « c’est comme ça que ça se passe lol » ?

On peut aussi ne montrer que des reproduction et garder les objets dans des lieux sûrs, non ? Ça me parait préférable à faire de nos musées des lieux de fusillades.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il manque un objectif à ce benchmark. Très clairement il est fait pour le fun, mais on ne peut pas dire tel language est plus formant que tel autre aussi facilement. Il faut un contexte. Est-ce qu'on doit prendre en compte le temps de démarrage, le démarrage à froid, la consommation mémoire doit-elle être prise en compte, est-ce qu'on regarde des programmes écrits par les gens les plus techniques de chaque langages, quel usages (beaucoup de mathématiques, beaucoup de manipulation de chaînes de caractères, des I/O,…), qu'est ce que c'est la performance ? Un temps d'exécution ? Une capacité à traiter des volumes plus grands ? Une capacité à s'exécuter sur du matériel petit ?

Si on regarde le programme le mieux écrit possible. Aucun langage compilé statiquement ne peut faire mieux que l'assembleur car si un language compilé statiquement fait mieux il suffit de le décompiler pour obtenir le programme assembleur équivalent. Est-ce que c'est une raison d'utiliser de l'assembleur certainement pas puisqu'il y a d'autres facteurs que la performance à prendre en compte

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

surtout qu'avant que ce soit dans des vitrine blindé actuel , un système de descente automatique ou de repli des objets dans un coffre sécurisé existait

ce qui a été modifié pour rendre l’expérience utilisateur plus spectaculaire ! par l'actuel directeur du Louvre, car cette technologie nécessite une surface vitré plus faible

Tu vois c’est l’exemple de l’hystérie. Tu n’en sais rien, tu as entendu, tu répète avec aplomb, mais les intéressés expliquent que ça ne fonctionnait tout simplement plus et que ça posait des problèmes de conservation.

Faut se détendre un peu avant de s’emporter comme ça. Ce ne sont que des bijoux produit grâce à l’exploitation de colonies et qui ont servi à couronner des personnes qui ont mis à mort notre démocratie.

sur une simple visite de la sécurité cela aurait du choquer le directeur que c'etait d'un autre temps, les tubes cathodiques et la qualité désastreuse des images.

Il peut être chokbar de bz comme dise certains, ça ne fait pas apparaître de l’argent pour autant. Ça fait des années que les professionnels du patrimoine le disent : ils n’ont même pas les moyens de maintenir en état les choses. Le vol de 3 dorures fait de grands bruit, mais la simple incapacité que l’on a maintenir notre patrimoine détruit bien plus que ce simple vol.

Encore une fois, si tu veut que les choses soit bien faites elles ne doivent pas être la responsabilité d’une personne, mais cela demande des moyens (financiers, humains et organisationnel). On ne peut pas passer 2 décennies à chercher à réduire les effectifs et les coûts et être surpris que ça ne marche plus ensuite. Question rhétorique : quand ça devient concret quel choix fais-tu ? De combien on augmente ton impôt pour améliorer la sécurité de nos musés ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Boarf même une phrase de passe de 6 million de caractères ne protègera pas de la disqueuse qui est passé au travers de la fenêtre. Au lieu de s’acharner tout azimute, il faut d’une part regarder les dangers les plus immédiats/effectif puis se poser des questions à plusieurs niveaux. Moi les joyaux de nobles ou bourgeois, je m’en fou un peu, mais si c’est important on devrait se demander pourquoi l’ANSI n’est pas impliqué. Le directeur de l’époque c’est bien beau, mais en quoi c’est une bonne idée que la sécu repose sur une personne ? Si je me souviens bien la tour de Londres (qui contient les joyaux de la couronne) la salle d’exposition est sans fenêtre, les portes sont blindée à outrance (type porte ronde de coffre de banques), tu n’y a pas accès depuis la rue et il y a des hommes en arme.

Je ne dis pas que l’informatique n’est pas importante, juste qu’en sécurité il me semble qu’ici il y a des problèmes plus sensibles et qu’il faut savoir garder la tête froide plutôt que de demander la tête de tel ou tel personne.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je comprends pas comment quelqu’un a pus cliquer sur pertinent. Même si tu ne confondait pas examen et concours, ce que tu dit n’a aucun sens dans une discussion qui parle d’une certification professionnelle qui coûte 300 balles (ce qui est très bas pour une certification pro).

Tu t’es perdu parce que j’ai parlé du bac ? Il 90% des candidats l’obtiennent (et 80% d’une classe d’age l’obtiens). Tu es sûr que ça sert ton propos ?

Non je pense que le pertinent est un miss click, ça arrive.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'ai utilisé txt2tags pour saisir mes cours dans la seconde moitié des années 2000. J'aimais bien l'idée d'avoir mes propres macro dans le document. Je m'étais posé la question de contribuer à l'époque, mais j'ai trouvé trop con l'idée qu'il faille à tout prix que ça reste un seul fichier que j'ai préféré passer mon chemin

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ACL n'est pas lié au réseau. En tant que dev ça vaudrait le coup d'y jeter un œil.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ben déjà le réseau, ce n'est pas Cisco.

L'autre nom de CCNA sur le site de Cisco c'est quand même "Implementing and Administering Cisco Solutions". Ton assertion est vraie dans le cas général mais pas ici. CCNA est littéralement faite pour que tu apprenne à utiliser leurs produits.

Le problème vient peut-être de là, j'ai l'impression d'après ta description que tu découvres des concepts via une préparation à un examen alors qu'un examen et une certification, c'est fait pour valider et certifier des acquis.

C'est une belle idée mais c'est globalement faux sinon il n'existerait pas de préparations aux examens. D'autant que c'est pas simple de faire la distinction. Un lycéen est-il entrain d'avoir des acquis et il va juste sanctionner cet acquis grâce au bac ou est-ce qu'il achète des annales pour préparer son exam ? Si ça peut être subtile dans le plupart des cas, pour la philosophie d'expérience c'est exclusivement de la préparation à l'examen, parce que tu ne fais pas de dissertation correct en ayant simplement compris des concepts philosophiques.

On avait eu un autre retour d'expérience, je crois que c'était pour préparer OSCP qui montrait les même choses.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

• CCNA Cisco Certified Network Associate et CCNP Cisco Certified Network Professional sont 2 certifications Cisco CCNP est encore plus exigeante que CCNA
• OSPF Open Shortest Path First : un protocole de routage réseau
• ACL Access Control List : une manière de gérer les autorisations
• GNS3 Graphical Network Simulator 3 C'est un logiciel pour tester des réseaux que tu simule. Tu crée des machines dans GNS et tu les connecte et tu test les quels peuvent se parler ou non par exemple
• VLAN (tu l'avais oublié) Virtual Local Area Network C'est me fait de configurer des réseaux différents sans avoir à toucher au câblage. Le routeur peut par exemple s'il a 4 ports considérer les 2 premiers dans un même réseau et les deux autres dans un autre
• QCM (tu l'avais aussi oublié) Questionnaire à Choix Multiple, c'est une façon de tester des connaissances où au lieu de laisser le candidat écrire la réponse qu'il veut, il doit choisir entre plusieurs propositions

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dingue d'avoir à expliquer des évidences pareilles.

Je suis certain que le commentaire auquel tu répond sait très bien tout ça et dit simplement que tu peut faire plus léger avec juste SSH et ton urxvt en local et qu’il n’avait pas besoin de ton fiel.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

On nous a vendu plein de supers applications

Tu as un exemple ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je persiste à penser que SFTP pourrait en bénéficier

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll