D'abord, rien ne permet jusqu'à présent d'affirmer que l'URL est aléatoire — si ça se trouve, c'est juste un hash MD5 de mon numéro de client, ce qui ne m'étonnerait pas du tout!
Et si ça se trouve ils stockent les mots de passe en clair dans leur base de donnée. Il faut absolument que tu fasses un journal pour dénoncer ce scandale.
Sérieusement, c’est quoi cette idée de présupposer sans preuve qu’ils ont fait quelque chose de pas sécurisé pour ensuite s’en scandaliser ?
Tu devrais pouvoir faire la même chose facilement en C++ avec une solution de CI/CD type gitlab-ci/drone/sourcehut : il suffit d’automatiser la compilation d’un .exe et sa publication au push sur master.
Le second principe de la thermodynamique implique qu'on ne peut pas améliorer le degré d'information d'une photographie. On peut jouer sur des paramètres mais globalement, on ne peut pas «améliorer» sa définition avec un simple automate.
Non, le second principe dit qu’un système fermé ne peut voir son entropie qu’augmenter. En principe, tu peux apporter de l’information/négentropie de "l’extérieur" avec des "informatives priors" (désolé, je connais pas le terme en français). C’est d’ailleurs ce que font les outils genre letsenhance, même s’ils ne sont pas explicitement développés autour de la notion de distribution de probabilités.
Pour creuser un peu: dans une série temporelle, si tu as un point f(0) = 5 et f(1) = 10 le second principe de la thermodynamique te dit "que tu ne peux pas améliorer la définition à l’aide d’un simple automate", c’est à dire que 7.5, -epi et gogolplex sont équiprobables pour f(0.5). Mais si tu sais que t=0 et t=1 sont suffisamment proches et que le processus sous-jacent est "suffisament continu", alors tu peux raisonnablement interpoler f(0.5) ~ 7.5 (interpolation que tu peux affiner si tu as f(-1) et f(2)). Tu as "créé de l’information à l’aide d’un automate" (tu as transformé la probabilité de distribution de P(f(0.5)) de la distrubtion uniforme vers un dirac). Si tu regardes ce que tu as fait par cette interpolation d’un point de vue théorique, ça ne viole pas le second principe de la thermodynamique parce que tu as apporté de l’information de "l’extérieur" (ie ce n’est plus un système fermé) de par tes présupposés "t=0 et t=1 sont suffisament proches et le processus sous-jacent est suffisament continu" (= informative priors : tes priors "crééent" de l’information).
C’est exactement la même chose pour les systèmes type letsenchance. Ils ont le droit de créer de l’information, parce qu’ils partent du présupposé correct que la distribution de probabilités sur les photographies n’est pas la distribution uniforme sur l’ensemble des images possibles (qu’il est par exemple totalement déraisonnable d’interpoler un pixel jaune fluo entre deux pixels gris-sombres adjacents d’une photographie, et qu’éliminer la possibilité "jaune fluo" réduit l’entropie/apporte de l’information).
Le vélo est bien plus efficace pour une raison très bête : l’inertie.
Théoriquement, sur du plat et sans frottements, tu as juste à fournir un effort pour accélérer à une certaine vitesse puis tu as à fournir 0 effort pour parcourir autant de distance que tu veux. Ce que ça signifie en pratique, c’est que tu dois fournir un effort pour accélérer, puis un effort tout juste suffisant pour compenser la perte due aux frottements, la première loi de newton faisant le reste du travail.
À pieds, si tu t’arrêtes de fournir un effort, tu t’arrêtes immédiatement ; tu es beaucoup moins aidé par ta propre inertie.
Je veux dire, un programme go, c’est un exécutable statique sans dépendance. Pourquoi s’embêter à l’embarquer dans du docker au lieu de le lancer directement ?
Quand tu utilises le 4g est que ta parcouru une longue distance ou après un certain temps, ton ip change ?
Aucune idée, je parlais d’un switch Wifi/4G.
ton utilisateur (que tu t'étais connecté) reste connecté sur les sites
Dans l’extrême majorité des cas, oui, je reste connecté.
Et si je pouvais arriver à vraiment distinguer les utilisateurs du même réseaux, même ayant l'ip identique
Tu peux. Pour mitiger un attaquant passif (écoute) tu as juste à générer une paire de clé côté client en Javascript et signer (cookie + nonce). Pour un attaquant actif (MitM), Diffie-Hellman et signature symétrique de (cookie + nonce).
Posté par Moonz .
En réponse au message http session sécurité.
Évalué à 2.
Dernière modification le 25 juin 2018 à 14:55.
L’attaquant peut très bien avoir la même adresse IP qu’un client légitime. Un client légitime peut très bien changer d’adresse IP d’une page à l’autre (smartphone: je passe du Wifi à la 4G parce que je sors de chez moi par exemple).
La solution triviale et de bon sens à ton problème s’appelle HTTPS.
Si pour une raison étrange tu ne peux vraiment pas faire de HTTPS, tu n’as plus qu’à faire du DH à la main pour dériver un secret partagé et l’utiliser comme MAC pour authentifier ton cookie d’identifiant de session. Voir https://nacl.cr.yp.to/scalarmult.html et https://github.com/tonyg/js-nacl.
Pour un bug, ton patch a de grande chances de venir de l’upstream, intégré dans la branche de dev pour la prochaine version, et tu veux juste l’appliquer en local parce que le bug en question est critique pour ton usage (ça m’est arrivé avec Gitlab)
Pour une fonctionnalité plus complexe, tu peux toujours balancer upstream pour pas avoir à maintenir.
Et cc’est sans compter que beaucoup de projets ont un système de plugins (Jenkins/Redmine me viennent en tête). Dans ma boite actuelle on a des plugins redmine développés en interne, bonne chance pour faire la même chose avec un tracker en mode SAAS.
Et sans compter que tout reste à l’intérieur de ton réseau. Je ne comprend toujours pas comment certains arrivent à tolérer qu’un service externe, sur un réseau externe, puisse se connecter sur leurs serveurs de production pour le déploiement (dans le cas où le déploiement se fait par un système de CI/CD externe).
C’est justement quand tu commences à devoir debugger et intégrer que tu es content d’avoir internalisé un outil Open-Source plutot que d’être à la merci d’un presta externe bien plus gros que toi (c’est à dire pour qui ton bug/ta fonctionnalité est un ticket parmi des milliers qui sera prévu pour "dans une version ou deux, au mieux")
Je pense que beaucoup prennent mal les choses lorsque ce sont des assertions
Je vais pas parler pour les autres, mais je prend mal Zenitram parce qu’il fait énormément de procès d’intention (« tu défends X parce qu’au plus profond de toi tu penses Y ». Avec Y régulièrement insultant et à côté de la plaque. Pour caricaturer un poil (mais à peine): « Tu défends Brendan Eich parce que en fait tu es homophobe »)
Quand il se contente d’assertions pragmatiques, c’est probablement un des contributeurs les plus agréables à lire.
Si tu es prêt à installer calibre, c’est que tu as un minimum confiance dans les devs de calibre pour pas mettre de la merde dans leur code. Confiance qu’il est tout à fait raisonnable d’étendre à linux-installer.py écrit par les même personnes.
[^] # Re: Pas de sous, pas de résultats
Posté par Moonz . En réponse au journal Dégradation de la France. Évalué à 10. Dernière modification le 03 décembre 2019 à 11:16.
Pourquoi parler en points de PIB plutôt qu’en euros (ajusté de l’inflation) et par élève ?
L’INSEE, comme toujours, a les chiffres : https://www.insee.fr/fr/statistiques/fichier/2492222/FPORSOC16m6_F5.6_depenses-education.pdf
1990: 5840€ par élève (en euros de 2015)
2015: 8440€ par élève (en euros de 2015)
[^] # Re: Utilisation
Posté par Moonz . En réponse au journal Serveurs S3 sous linux : une comparaison parmi tant d'autres. Évalué à 2.
En terme de simplicité c’est très très difficile de battre ssh + sshfs.
[^] # Re: Objectivité
Posté par Moonz . En réponse au journal Les cons? ça ose tout!. Évalué à 2.
Et si ça se trouve ils stockent les mots de passe en clair dans leur base de donnée. Il faut absolument que tu fasses un journal pour dénoncer ce scandale.
Sérieusement, c’est quoi cette idée de présupposer sans preuve qu’ils ont fait quelque chose de pas sécurisé pour ensuite s’en scandaliser ?
[^] # Re: Z80, le meilleur processeur post-apo ?
Posté par Moonz . En réponse au journal Collapse OS : un système d’exploitation pour rebâtir la civilisation. Évalué à 2.
Les lego
https://www.randomwraith.com/logic.html
[^] # Re: Cloudflare fait de l'url rewriting
Posté par Moonz . En réponse au journal Mozilla pense-t-il vraiment à notre vie privée comme priorité?. Évalué à 10.
Source ?
[^] # Re: keycloak ?
Posté par Moonz . En réponse au journal Glewlwyd 2.0, serveur SSO, est maintenant en RC1. Évalué à 2.
Dans ce domaine, il y a également dex qui est sympa.
[^] # Re: Anecdote
Posté par Moonz . En réponse au journal Sortie de "The Art of PostgreSQL" de Dimitri Fontaine. Évalué à 3.
En tant qu’admin sys, je suis absolument de
mariabackup --incremental-basedir.# CI/CD
Posté par Moonz . En réponse au journal Moi, expert C++, j'abandonne le C++. Évalué à 10. Dernière modification le 03 juin 2019 à 08:55.
Tu devrais pouvoir faire la même chose facilement en C++ avec une solution de CI/CD type gitlab-ci/drone/sourcehut : il suffit d’automatiser la compilation d’un .exe et sa publication au push sur master.
[^] # Re: Entropie
Posté par Moonz . En réponse au message Améliorer la définition d'une photographie.. Évalué à 4.
Non, le second principe dit qu’un système fermé ne peut voir son entropie qu’augmenter. En principe, tu peux apporter de l’information/négentropie de "l’extérieur" avec des "informatives priors" (désolé, je connais pas le terme en français). C’est d’ailleurs ce que font les outils genre letsenhance, même s’ils ne sont pas explicitement développés autour de la notion de distribution de probabilités.
Pour creuser un peu: dans une série temporelle, si tu as un point f(0) = 5 et f(1) = 10 le second principe de la thermodynamique te dit "que tu ne peux pas améliorer la définition à l’aide d’un simple automate", c’est à dire que 7.5, -epi et gogolplex sont équiprobables pour f(0.5). Mais si tu sais que t=0 et t=1 sont suffisamment proches et que le processus sous-jacent est "suffisament continu", alors tu peux raisonnablement interpoler f(0.5) ~ 7.5 (interpolation que tu peux affiner si tu as f(-1) et f(2)). Tu as "créé de l’information à l’aide d’un automate" (tu as transformé la probabilité de distribution de P(f(0.5)) de la distrubtion uniforme vers un dirac). Si tu regardes ce que tu as fait par cette interpolation d’un point de vue théorique, ça ne viole pas le second principe de la thermodynamique parce que tu as apporté de l’information de "l’extérieur" (ie ce n’est plus un système fermé) de par tes présupposés "t=0 et t=1 sont suffisament proches et le processus sous-jacent est suffisament continu" (= informative priors : tes priors "crééent" de l’information).
C’est exactement la même chose pour les systèmes type letsenchance. Ils ont le droit de créer de l’information, parce qu’ils partent du présupposé correct que la distribution de probabilités sur les photographies n’est pas la distribution uniforme sur l’ensemble des images possibles (qu’il est par exemple totalement déraisonnable d’interpoler un pixel jaune fluo entre deux pixels gris-sombres adjacents d’une photographie, et qu’éliminer la possibilité "jaune fluo" réduit l’entropie/apporte de l’information).
# Si tu n’as pas besoin de stdin
Posté par Moonz . En réponse au message Introduire un script python dans un script shell. Évalué à 2. Dernière modification le 03 avril 2019 à 13:55.
[^] # Re: drone.io
Posté par Moonz . En réponse au journal Mettre en place des build automatiques avec jenkins et docker. Évalué à 3.
C’est ce que j’utilise. S’intègre bien avec gitea.
Il y a aussi : https://sourcehut.org/
[^] # Re: systemd32.exe
Posté par Moonz . En réponse au journal [HS] Microsoft ♥ Linux - Episode IV L'attaque des clones. Évalué à 5.
?
Tu as l’option
User=dans les units systemd. systemd n’empêche pas de mettre sudo et su dans la commande exécutée. Etsystemd-runa l’option--uid[^] # Re: Vélo
Posté par Moonz . En réponse au journal Le VAE n'est PAS un truc de fainéant. Évalué à 10.
Le vélo est bien plus efficace pour une raison très bête : l’inertie.
Théoriquement, sur du plat et sans frottements, tu as juste à fournir un effort pour accélérer à une certaine vitesse puis tu as à fournir 0 effort pour parcourir autant de distance que tu veux. Ce que ça signifie en pratique, c’est que tu dois fournir un effort pour accélérer, puis un effort tout juste suffisant pour compenser la perte due aux frottements, la première loi de newton faisant le reste du travail.
À pieds, si tu t’arrêtes de fournir un effort, tu t’arrêtes immédiatement ; tu es beaucoup moins aidé par ta propre inertie.
# Passe la bonne entête host ?
Posté par Moonz . En réponse au message Wordpress et Docker . Évalué à 4.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_set_header
# sed est ton ami
Posté par Moonz . En réponse au message Modification de texte. Évalué à 7.
[^] # Re: Image from scratch + Go = 🎉
Posté par Moonz . En réponse au journal Une image de base docker. Évalué à 3.
Et docker sert à quoi là dedans ?
Je veux dire, un programme go, c’est un exécutable statique sans dépendance. Pourquoi s’embêter à l’embarquer dans du docker au lieu de le lancer directement ?
[^] # Re: HTTPS ou DH
Posté par Moonz . En réponse au message http session sécurité. Évalué à 2.
Aucune idée, je parlais d’un switch Wifi/4G.
Dans l’extrême majorité des cas, oui, je reste connecté.
Tu peux. Pour mitiger un attaquant passif (écoute) tu as juste à générer une paire de clé côté client en Javascript et signer (cookie + nonce). Pour un attaquant actif (MitM), Diffie-Hellman et signature symétrique de (cookie + nonce).
# HTTPS ou DH
Posté par Moonz . En réponse au message http session sécurité. Évalué à 2. Dernière modification le 25 juin 2018 à 14:55.
L’attaquant peut très bien avoir la même adresse IP qu’un client légitime. Un client légitime peut très bien changer d’adresse IP d’une page à l’autre (smartphone: je passe du Wifi à la 4G parce que je sors de chez moi par exemple).
La solution triviale et de bon sens à ton problème s’appelle HTTPS.
Si pour une raison étrange tu ne peux vraiment pas faire de HTTPS, tu n’as plus qu’à faire du DH à la main pour dériver un secret partagé et l’utiliser comme MAC pour authentifier ton cookie d’identifiant de session. Voir https://nacl.cr.yp.to/scalarmult.html et https://github.com/tonyg/js-nacl.
[^] # Re: Pourquoi le feraient-ils ?
Posté par Moonz . En réponse au journal Microsoft rachète Github. Évalué à 5.
Pour un bug, ton patch a de grande chances de venir de l’upstream, intégré dans la branche de dev pour la prochaine version, et tu veux juste l’appliquer en local parce que le bug en question est critique pour ton usage (ça m’est arrivé avec Gitlab)
Pour une fonctionnalité plus complexe, tu peux toujours balancer upstream pour pas avoir à maintenir.
Et cc’est sans compter que beaucoup de projets ont un système de plugins (Jenkins/Redmine me viennent en tête). Dans ma boite actuelle on a des plugins redmine développés en interne, bonne chance pour faire la même chose avec un tracker en mode SAAS.
Et sans compter que tout reste à l’intérieur de ton réseau. Je ne comprend toujours pas comment certains arrivent à tolérer qu’un service externe, sur un réseau externe, puisse se connecter sur leurs serveurs de production pour le déploiement (dans le cas où le déploiement se fait par un système de CI/CD externe).
[^] # Re: Pourquoi le feraient-ils ?
Posté par Moonz . En réponse au journal Microsoft rachète Github. Évalué à 4.
C’est justement quand tu commences à devoir debugger et intégrer que tu es content d’avoir internalisé un outil Open-Source plutot que d’être à la merci d’un presta externe bien plus gros que toi (c’est à dire pour qui ton bug/ta fonctionnalité est un ticket parmi des milliers qui sera prévu pour "dans une version ou deux, au mieux")
[^] # Re: Désinformation
Posté par Moonz . En réponse au journal Et numworks tu connais ?. Évalué à 7.
Le terme que vous cherchez est Shared Source
[^] # Re: Désinformation
Posté par Moonz . En réponse au journal Et numworks tu connais ?. Évalué à 9.
Je vais pas parler pour les autres, mais je prend mal Zenitram parce qu’il fait énormément de procès d’intention (« tu défends X parce qu’au plus profond de toi tu penses Y ». Avec Y régulièrement insultant et à côté de la plaque. Pour caricaturer un poil (mais à peine): « Tu défends Brendan Eich parce que en fait tu es homophobe »)
Quand il se contente d’assertions pragmatiques, c’est probablement un des contributeurs les plus agréables à lire.
[^] # Re: Les UUID, l'idéal... pour rendre illisible un fstab.
Posté par Moonz . En réponse au journal Monter une partition - Merci Gnome !. Évalué à 1.
Pourquoi s’embêter à sortir LVM si tu peux te contenter de partitions GPT ? LVM c'est spécifique Linux et ça nécessite des trucs en userland.
[^] # Re: Pourquoi se donner tant de mal ?
Posté par Moonz . En réponse au journal [bookmark] terminaux et protection contre la copie. Évalué à 3.
Si tu es prêt à installer calibre, c’est que tu as un minimum confiance dans les devs de calibre pour pas mettre de la merde dans leur code. Confiance qu’il est tout à fait raisonnable d’étendre à
linux-installer.pyécrit par les même personnes.[^] # Re: bitwarden ?
Posté par Moonz . En réponse à la dépêche Gestionnaires de mots de passe. Évalué à 2.
https://github.com/jcs/bitwarden-ruby/