Je suis surpris par le mot "faille". Ce n'est pas une faille, c'est un détournement malveillant d'un service légitime. Parler de faille, c'est un peu pompeux?
Comme si je disais "des hackers profitent d'une faille technique de Peugeot pour aller braquer une banque" (oui, ils sont allés en voiture à la banque).
La backdoor était sous la forme de code binaire caché dans les données de test, donc il n'y a que le .o pour le moment. Je ne doute pas que dans quelque jours, quelqu'un va coller le dump en assembleur avec une analyse. Il y a 87 ko de code compilé, avec du code existant, donc ça doit pas être non plus trop gros.
Alors. Avoir le dump assembleur, c'est très simple. On fait un coup de objdump -d et hop.
Ou pas.
Ca démarre pas très bien :(
liblzma_la_crc64_fast_o: format de fichier elf64-x86-64
Déassemblage de la section .text.x86_codd :
0000000000000000 <.Lx86_code.part.0>:
0: f3 0f 1e fa endbr64
4: 41 54 push %r12
6: b9 02 00 00 00 mov $0x2,%ecx
b: 49 89 f4 mov %rsi,%r12
e: be 12 00 00 00 mov $0x12,%esi
13: 55 push %rbp
14: 48 89 d5 mov %rdx,%rbp
17: ba 46 00 00 00 mov $0x46,%edx
1c: 53 push %rbx
1d: 48 89 fb mov %rdi,%rbx
20: 31 ff xor %edi,%edi
22: 48 83 ec 20 sub $0x20,%rsp
26: e8 00 00 00 00 call 2b <.Lx86_code.part.0+0x2b>
2b: 85 c0 test %eax,%eax
code à l'adresse 0. Et toutes les fonctions sont comme ça:
Déassemblage de la section .text.lzma_block_buffer_encoda :
0000000000000000 <.Llzma_block_buffer_encode.0>:
0: f3 0f 1e fa endbr64
4: 48 29 fe sub %rdi,%rsi
7: c7 44 24 f8 e2 05 00 movl $0x5e2,-0x8(%rsp)
e: 00
f: 89 d0 mov %edx,%eax
(...)
Déassemblage de la section .text.lzma_raw_coder_memusaga :
0000000000000000 <.text.lzma_raw_coder_memusaga>:
0: 55 push %rbp
1: 49 89 f8 mov %rdi,%r8
(...)
Déassemblage de la section .text.lzma2_encoder_inia :
0000000000000000 <.Llzma2_encoder_init.1>:
0: f3 0f 1e fa endbr64
4: 41 57 push %r15
(vous avez noté que toutes les fonctions ont remplacé leur dernière lettre par un 'a' ?)
Bref. Allons voir du côté des relocations du coup.
$ readelf -rW infected_lib.so
Section de réadressage '.rela.text.x86_codd' à l'adresse de décalage 0xe2e8 contient 7 entrées :
Décalage Info Type Valeurs symbols Noms symboles + Addenda
0000000000000027 0000007900000004 R_X86_64_PLT32 0000000000000000 .Llzma2_decoder_end.1 - 4
000000000000020a 0000001c00000002 R_X86_64_PC32 0000000000000000 .rodata.BRANCH_TABLE0 + 1c
000000000000032f 0000001c00000002 R_X86_64_PC32 0000000000000000 .rodata.BRANCH_TABLE0 - 4
00000000000003ee 0000001b00000002 R_X86_64_PC32 0000000000000000 .rodata.MASK_TO_BIT_NUMBER0 + 5c
0000000000000494 0000001b00000002 R_X86_64_PC32 0000000000000000 .rodata.MASK_TO_BIT_NUMBER0 + 3c
0000000000000515 0000001b00000002 R_X86_64_PC32 0000000000000000 .rodata.MASK_TO_BIT_NUMBER0 + 1c
000000000000053c 0000001b00000002 R_X86_64_PC32 0000000000000000 .rodata.MASK_TO_BIT_NUMBER0 - 4
Section de réadressage '.rela.text.lzma_raw_coder_memusaga' à l'adresse de décalage 0xe390 contient 2 entrées :
Décalage Info Type Valeurs symbols Noms symboles + Addenda
0000000000000016 0000003800000004 R_X86_64_PLT32 0000000000000000 .Llzma_block_buffer_encode.0 - 4
000000000000004a 0000008600000004 R_X86_64_PLT32 0000000000000000 .Lx86_code.part.0 - 4
Section de réadressage '.rela.text.lzma2_encoder_inia' à l'adresse de décalage 0xe3c0 contient 4 entrées :
Décalage Info Type Valeurs symbols Noms symboles + Addenda
0000000000000060 0000000100000002 R_X86_64_PC32 0000000000000000 .text.lzma_raw_coder_memusaga - 4
LOL PTDR! C'est un véritable challenge, là. Juste à comprendre ce que tu reloges ou pas. J'ai jamais vu ça. Du coup, je comprends mieux les gens qui ne donnent pas une analyse. Rien que reconstruire le vrai binaire, c'est un truc de gueudin. Je préfère aller boire un coup et attendre que quelqu'un le fasse, haha
Nulle part je ne trouve une analyse du code de la backdoor?
Alors on, ça cible les fonctions RSA de sshd donc on se doute que la backdoor permet un bypass de l'authentification, mais est-ce que quelqu'un a extrait le code et fait une analyse complète ?
À moins que tes jeux de données ne comportent que des données numériques (et suivant la représentation tu vas t'emmerder), ton one-liner où ton script va se mettre en PLS au premier retour à la ligne dans une colonne, et c'est pas le genre de truc rare de nos jours.
ouais, je plussoie vigoureusement. Le problème c'est pas tant de faire csv -> sql, c'est d'avoir des données correctes dans le csv.
Genre: "plat, patate" en titre de colonne, et bimbamboum tout est pété car le nom de la colonne devient " patate" (eh ui, un espace ça casse tout après). Et je passe sur les blagues de "nom,prenom,ville" avec une ligne "octane,silicon graphics,"sous le bureau\nétage 2, batiment 5".
Eh bin bon courage pour formatter ça proprement avant de le pipe dans un convertisseur de données :-(
Posté par octane .
En réponse au message ChatGPT.
Évalué à 2 (+1/-1).
J'ai copié collé ton texte, voilà la réponse:
ChatGPT est en effet bien plus qu'un simple chatbot. Il s'agit d'un modèle de langage avancé développé par OpenAI, conçu pour comprendre et générer du texte dans une grande variété de contextes et de domaines. Grâce à son entraînement sur une vaste quantité de données provenant d'Internet, ChatGPT est capable d'effectuer un large éventail de tâches, telles que la rédaction de textes, la réponse à des questions, la génération de code informatique et bien plus encore.
En ce qui concerne la rédaction de textes, ChatGPT peut aider à la rédaction de documents, de courriels, d'articles, voire même de créations littéraires. Il peut également aider dans la résolution de problèmes en proposant des idées, des solutions et des explications.
ChatGPT est conçu pour s'adapter à différents styles de communication et de langage, ce qui signifie qu'il peut interagir de manière plus naturelle avec les utilisateurs. En outre, il peut faire preuve de créativité dans la résolution de problèmes en proposant des approches innovantes ou des perspectives nouvelles.
Dans l'ensemble, si vous êtes curieux de découvrir les capacités de ChatGPT et que vous avez des tâches complexes à accomplir dans le domaine de la rédaction, de la programmation ou même dans d'autres domaines, il vaut certainement la peine de le tester. Vous pourriez être surpris par ses compétences et sa polyvalence.
Alors j'ai déjà importé des csv dans sqlite super facilement. J'ai fait pareil avec mysql (tu crées une table vide avec le schéma, tu met CSV comme backend, puis tu substitue le fichier csv vide avec le tien).
et avec sqlite3, c'est turbo simple (il prend la première ligne comme nom de colonnes):
$ cat recette.csv
plat,patate
tartiflette,oui
salade,oui
gateau,non
smoothie,non
gratin dauphinois,oui
$ sqlite3
SQLite version 3.40.1 2022-12-28 14:03:47
Enter ".help" for usage hints.
Connected to a transient in-memory database.
Use ".open FILENAME" to reopen on a persistent database.
sqlite> .mode csv
sqlite> .import recette.csv miam
sqlite> select plat from miam where patate="oui";
tartiflette
salade
"gratin dauphinois"
sqlite> .quit
$ Après, il faut que le fichier soit bien formatté, ce genre de truc, mais c'est vraiment bien :-)
Posté par octane .
En réponse au message Kali Linux .
Évalué à 4 (+2/-0).
Dans le monde numérique d'aujourd'hui, la sécurité informatique est une préoccupation majeure pour les entreprises, les gouvernements et les particuliers. Avec l'augmentation des cyberattaques et des vulnérabilités potentielles, la nécessité de tester et de renforcer la sécurité des systèmes informatiques est devenue primordiale. C'est là que des outils tels que Kali Linux entrent en jeu. Kali Linux est une distribution Linux spécialisée dans le domaine de la sécurité informatique, offrant une gamme d'outils pour la réalisation de tests de pénétration et de piratage éthique.
Plan :
I. Comment cela fonctionne ?
A. Les principes de base de la sécurité informatique
B. Les techniques de test de pénétration
C. Le rôle de Kali Linux dans ce processus
II. Comment c'est fait ?
A. Développement et évolution de Kali Linux
B. Les caractéristiques principales de Kali Linux
C. Les outils et programmes intégrés à Kali Linux pour le piratage éthique
III. Comment l'utiliser ?
A. Installation et configuration de Kali Linux
B. Principaux scénarios d'utilisation de Kali Linux
C. Bonnes pratiques et éthique dans l'utilisation de Kali Linux
Dans cette présentation, nous explorerons en détail le fonctionnement de Kali Linux, en examinant ses composants essentiels, son utilisation pratique et les considérations éthiques entourant son utilisation pour le test de pénétration et le piratage éthique.
Je ne me fais pas d'illusion, beaucoup continueront à utiliser du bordel pas mis à jour un moment et d'autres rachèteront la première merde obtenu un black friday sous windows 11.
Je réagissais à l'argument: "windows 11 supporte pas les vieux PC -> le gens migrent sous linux"
Tu vas dans mon sens: les gens ne migrent pas à cause de windows 11, ils utilisent un windows obsolète ou achètent un PC neuf.
Le problème n'est pas la qualité de Windows 11 mais le fait qu'il a mis au rebut des tonnes d'ordinateurs tout à fait performants et fonctionnels.
j'ai souvent entendu cette affirmation, et j'en suis pas si convaincu.
J'achète mon PC avec windows 10.
Windows 11 sort.
Mon PC n'est pas compatible avec windows11. Je met mon PC au rebut Je continue d'utiliser mon PC avec windows 10.
donc en gros, la mise au rebut ça concerne qui? Peut-être un vieux machin sous windows 7 qui prend la rouille? Mais du coup, on va pas installer linux.
Allez, je suis optimiste, il fait beau, c'est le printemps, je pense que la popularité de linux est réelle \o/ We are the 1% !! 4% !!
Que le mec derrière haveIbeenPwned est un gars sérieux. OK, l'argument est un peu du style "trust me bro", mais il n'y a rien de shady derrière Troy.
Ensuite, tu peux toujours vérifier par toi même. Pour le mot de passe, le mode était intéressant:
Tu n'envoyais jamais le mot de passe. Le browser prenait ton mot de passe, le hashait et envoyait le premier caractère du hash à hipb -> S'il y avait correspondance, alors il envoyait le second, puis le 3e, etc.. Dès que le hash était inconnu -> On signalait à l'auteur que son mdp était fiable. Si tu allais au bout du hash, alors on considérait que ton mot de passe avait fuité.
Ca reste quand même super safe -> ton mdp ne circule jamais, au pire il y a un hash incomplet qui a circulé.
Ca m'a l'air super safe.
Précision très importante: je parle du site haveIbeenPwned. Il existe moultes autres sites qui proposent des vérifs de mots de passe et qui sont bidons. N'y allez pas. Sachez reconnaître les bons sites, quand il y en a.
Quand tu cherches du boulot, je veux dire. Tu envoies un CV de 8 pages que tu sais qu'ils vont pas lire? Ou tu fais différemment?
Après, savoir se vendre comme un commercial (pouah!) c'est un autre domaine. Le commercial, il vendrait sa mère et serait capable de te mentir ouvertement pour faire sa marge.
Mais en tech, comment faire, je sais pas trop. Pour moi, y'a qques profils:
l'expert. Connu, reconnu, il a publié plein de trucs. Trouver du boulot, c'est pas son problème, il est directement appelé par les boites/ recruteurs/ tech lead des autres boîtes. Là, aucun souci. souvent t'as même pas besoin de CV ou de lettre de motivation. C'est la boîte qui va faire des efforts. Malheureusement, des experts y'en a très très peu, et c'est pas toi (je parle de manière générale, j'en suis pas un)
la grande masse des devs. Là, bin les boîtes vont pas te courir après. Que ce soit toi, marcel, jean-paul, abdul, ou ranish, ils veulent quelqu'un qui va pisser du code. Bin, c'est compliqué, faut fatalement attirer l'oeil du recruteur, appeler au téléphone, relancer, se faire ch***r à rédiger un CV et mettre une chemise le jour de l'entretien /o\ Après quelques années, on espère avoir réussi à se faire un réseau, et avoir des contacts directs dans les autres boîtes pour changer de poste (et on peut bypass la case lettre de motiv). Un proverbe dit: "If you desire the great tranquillity, prepare to sweat", ouais, le poste payé à 65k il tombera pas du ciel.
les mauvais. Bah là, il vaut mieux jamais changer de boîte haha. Ou finir manager. Ou commercial.
Mais c'est une vraie question: pour changer de poste, tu fais comment? j'ai ptet tout faux et des trucs à apprendre :)
Pourquoi c'est pas l'employeur potentiel qui écrit une lettre pour me motiver ?
C'est l'annonce d'offre d'emploi. Ensuite, tu as souvent le site web de la boîte. Un peu comme un profil tinder. Tu vois l'accroche, tu peux aller voir l'insta de la personne ensuite.
Pourquoi des RH dont c'est censé être le métier ne savent pas lire un CV,
et
Mon CV ne tient pas sur un timbre poste, désolé.
c'est contradictoire quand même: Les RH ne savent pas lire un CV, qui ne tient pas dans un timbre poste. J'ose émettre une hypothèse audacieuse: fais un CV court, percutant, et ajoute une petite lettre qui afficherait ta motivation.
…lire un CV, surtout si ça leur prend plus de 30 secondes ?
c'est un subtil équilibre. Tu cherches 1 emploi, l'entreprise reçoit des candidatures. Le tri est rapide, c'est donc à toi de faire un effort.
Alors en vrai je n'en ai aucune idée, mais comme cette après midi l'ennui se marie avec mon désoeuvrement, donc j'ai googlé comme un gros sale le site linuxfr.
et un autre qu'il faut que je retrouve, qu'étais bien, il est dans un de mes signets, je met là
y'a pas jean-roger qu'avait fait un truc similaire?
Sinon, il faut pas oublier que l'écriture d'une dépêche revêt une importance capitale dans notre société moderne, où les opinions et les journaux guident souvent nos choix. Exprimer ses impressions sur un logiciel, un service ou une expérience permet non seulement d'aider les autres informaticiens, mais aussi d'influencer les décisions des entreprises. C'est un acte de responsabilité sociale et de contribution à l'amélioration constante de la qualité. Chaque mot choisi reflète une expérience personnelle et peut avoir un impact significatif sur le destinataire. Les avis éclairés favorisent une meilleure transparence et une confiance accrue entre les consommateurs et les fournisseurs. Leur rédaction nécessite donc une réflexion approfondie et une expression claire des sentiments ressentis. Par conséquent, prendre le temps d'écrire un (<- penser à sinthétiser, et après on peut poster)
"ce qu'on doit dire, il faut le dire et puis se taire"
oui, ça a été un peu une réaction épidermique. Je me suis dit, il y a 97,3% de chance que ce soit d'une nullité abyssale. j'ai cliqué, j'ai alt-f4, et j'ai ragé contre moi qui savait que ça allait être pourri. J'aurais du inutiler ce lien épicétout.
désolé, mais tu dis de la merde, débunkée 1 million de fois, c'est lassant à force.
Tu nous sers une assiette de merde, désolé de te le dire en 1 mot, plutôt que de tergiverser pendant des heures à t'expliquer que ça pue. Libre à toi de la bouffer, moi je m'en vais.
parceque des centaines de connards leur disent qu'elles sont bonnes qu'à faire des gosses/ du social/ rester à la maison, et que si par malheur leur prend l'envie de faire une école d'ingé, des centaines de connards leur disent qu'elles sont là que grâce à des quotas.
Être majoritairement cadres et avoir un salaire à plus de 40 K
forcément, c'est un premier point.
S’il est vrai qu’actuellement la conjoncture est plutôt bonne dans notre industrie
et avec le second, ça dessine une tendance. Au lieu de me syndiquer et de faire changer les choses dans ma boite "kipu", je vais vite aller chez la boite "cépluvert" savoir si par hasard, ça irait pas mieux.
Ajoute à ça que plein de devs finissent chefs de projet et vaguement manager (au moment où tu veux vraiment une augment' et où les problèmes avec les congés enfants malades, télétravail se posent concrètement), bin le chemin vers le syndicat semble compromis (difficile d'être à la fois le manager qui doit imposer des trucs de la direction et qui râle contre les trucs imposés par la direction…).
Un utilisateur peut installer ce qu'il veut sans polluer le reste des utilisateurs.
mais?
./configure --prefix=/home/chezmoi ça marche depuis pfioooooou longtemps. pour les rpms et deb, bah ça ne sont que des formats d'archives. Donc au pire, ça se dépaquette quelque part. Ensuite, c'est l'ennui du précompiél, des fois ça va chercher les fichiers aux bons endroits (ou ça se surcharge) des fois le programme veut absolument un fichier ou des ressources à 1 seul endroit précis. Du coup, retour à la figure1, ./configure etc..
La majeure parti de ce dont tu parle ne consiste pas en des changements pour les utilisateurs
euh, bin si (?)
ou alors passer de xfce4 à xfce-4.18, firefox 114 à 115, quand tu surfes, DNS (en udp) + HTTP (en TCP) sur de l'ipv4, à DoH (en TCP) et HTTPS (en quic) sur de l'ipv6, de debian 11 à debian 12, etc…
Y'a des changements, tout le temps. Et certains passent nickel. D'autres sont plus pénibles, c'est le sujet de ce journal. Et les changements qui sont imposés (ou qui paraissent l'être) sont encore plus pénibles.
(je parle pour moi, mais la question m'interpelle)
Bon allez, on va dire en vrac.
La stack non exécutable, ASLR/kASLR, les amélios de la glibc pour la détection des corruptions mémoires, les canairs.
Ou alors, l'autodétection du matériel à l'installation, le passage à rust, l'accélération 3D, la gestion du nouveau matos qui sort.
Ou encore l'utilisation de linux sur les smartphones, les supercalculateurs, l'embarqué.
Ah oui, et bien évidemment, systemd (HAHAHAHAHA, non).
En gros, ta question est quand même mal posée.. Quand tout se passe bien, les gens râlent moins. Quand il y a une friction, bin tu râles et c'est pas étonnant. Et souvent il y a un râlage plus gros quant tu penses qu'on t'impose le changement. Tu veux un gestionnaire de paquet? Bin y'a qu'a choisir. Tu veux un navigateur web, y'en a quinze millions. Une environnement de bureau? pareil! Un unix mais pas linux, bah vazy-mon-gars! Un autre système d'empaquetage que flatpak/snap? eh bah là, tu te rends compte que c'est compliqué de s'en passer (j'ai le même problème avec des softs sous docker). Tu as soit le choix de bouffer le gâteau, soit de tout faire toi même (oui, LL, sors toi les doigts du fiak, tout ça, je sais), et tout faire soi même, eh bin c'est long. Donc tu as deux solutions pénibles. Alors râler sur linuxfr ça détend.
# faille?
Posté par octane . En réponse au lien Des hackers profitent d'une faille technique de GitHub pour diffuser leur malware. Évalué à 7 (+6/-1).
Je suis surpris par le mot "faille". Ce n'est pas une faille, c'est un détournement malveillant d'un service légitime. Parler de faille, c'est un peu pompeux?
Comme si je disais "des hackers profitent d'une faille technique de Peugeot pour aller braquer une banque" (oui, ils sont allés en voiture à la banque).
[^] # Re: Le code de la backdoor?
Posté par octane . En réponse au lien Backdoor in upstream xz/liblzma leading to ssh server compromise. Évalué à 4 (+2/-0).
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
donne plus d'infos.
Eeeeet globalement, on s'en fiche de ces reloc. Un outil comme IDA râle un peu, mais finit par ouvrir le binaire, donc c'est bon.
[^] # Re: Le code de la backdoor?
Posté par octane . En réponse au lien Backdoor in upstream xz/liblzma leading to ssh server compromise. Évalué à 5 (+3/-0).
Alors. Avoir le dump assembleur, c'est très simple. On fait un coup de objdump -d et hop.
Ou pas.
Ca démarre pas très bien :(
code à l'adresse 0. Et toutes les fonctions sont comme ça:
(vous avez noté que toutes les fonctions ont remplacé leur dernière lettre par un 'a' ?)
Bref. Allons voir du côté des relocations du coup.
LOL PTDR! C'est un véritable challenge, là. Juste à comprendre ce que tu reloges ou pas. J'ai jamais vu ça. Du coup, je comprends mieux les gens qui ne donnent pas une analyse. Rien que reconstruire le vrai binaire, c'est un truc de gueudin. Je préfère aller boire un coup et attendre que quelqu'un le fasse, haha
# Le code de la backdoor?
Posté par octane . En réponse au lien Backdoor in upstream xz/liblzma leading to ssh server compromise. Évalué à 5 (+3/-0).
Nulle part je ne trouve une analyse du code de la backdoor?
Alors on, ça cible les fonctions RSA de sshd donc on se doute que la backdoor permet un bypass de l'authentification, mais est-ce que quelqu'un a extrait le code et fait une analyse complète ?
# eh bah ça marche
Posté par octane . En réponse au journal [HS] 3 Gigas par semaine .... Évalué à 10 (+11/-0).
Je me suis dit en lisant l'annonce, tiens Najat veut qu'on parle d'elle.
Eh bin ça marche dis donc.
Moralité: tout le monde parle de Najat, elle a réussi son coup, elle est contente, elle a buzzé, tout va bien msieur dame, continuez comme ça.
[^] # Re: Alternative
Posté par octane . En réponse au journal autocsv2sql : un utilitaire pour convertir ses CSV sans se poser de question, "écris" en OCaml. Évalué à 5 (+3/-0).
ouais, je plussoie vigoureusement. Le problème c'est pas tant de faire csv -> sql, c'est d'avoir des données correctes dans le csv.
Genre: "plat, patate" en titre de colonne, et bimbamboum tout est pété car le nom de la colonne devient " patate" (eh ui, un espace ça casse tout après). Et je passe sur les blagues de "nom,prenom,ville" avec une ligne "octane,silicon graphics,"sous le bureau\nétage 2, batiment 5".
Eh bin bon courage pour formatter ça proprement avant de le pipe dans un convertisseur de données :-(
Un bon lien : https://sebsauvage.net/wiki/doku.php?id=csv
[^] # Re: sqlite? mysql?
Posté par octane . En réponse au journal autocsv2sql : un utilitaire pour convertir ses CSV sans se poser de question, "écris" en OCaml. Évalué à 10 (+10/-0).
# eh bah on va lui demande à chatGPT
Posté par octane . En réponse au message ChatGPT. Évalué à 2 (+1/-1).
J'ai copié collé ton texte, voilà la réponse:
ChatGPT est en effet bien plus qu'un simple chatbot. Il s'agit d'un modèle de langage avancé développé par OpenAI, conçu pour comprendre et générer du texte dans une grande variété de contextes et de domaines. Grâce à son entraînement sur une vaste quantité de données provenant d'Internet, ChatGPT est capable d'effectuer un large éventail de tâches, telles que la rédaction de textes, la réponse à des questions, la génération de code informatique et bien plus encore.
En ce qui concerne la rédaction de textes, ChatGPT peut aider à la rédaction de documents, de courriels, d'articles, voire même de créations littéraires. Il peut également aider dans la résolution de problèmes en proposant des idées, des solutions et des explications.
ChatGPT est conçu pour s'adapter à différents styles de communication et de langage, ce qui signifie qu'il peut interagir de manière plus naturelle avec les utilisateurs. En outre, il peut faire preuve de créativité dans la résolution de problèmes en proposant des approches innovantes ou des perspectives nouvelles.
Dans l'ensemble, si vous êtes curieux de découvrir les capacités de ChatGPT et que vous avez des tâches complexes à accomplir dans le domaine de la rédaction, de la programmation ou même dans d'autres domaines, il vaut certainement la peine de le tester. Vous pourriez être surpris par ses compétences et sa polyvalence.
# sqlite? mysql?
Posté par octane . En réponse au journal autocsv2sql : un utilitaire pour convertir ses CSV sans se poser de question, "écris" en OCaml. Évalué à 10 (+10/-0).
Alors j'ai déjà importé des csv dans sqlite super facilement. J'ai fait pareil avec mysql (tu crées une table vide avec le schéma, tu met CSV comme backend, puis tu substitue le fichier csv vide avec le tien).
et avec sqlite3, c'est turbo simple (il prend la première ligne comme nom de colonnes):
Après, il faut que le fichier soit bien formatté, ce genre de truc, mais c'est vraiment bien :-)$ cat recette.csv
plat,patate
tartiflette,oui
salade,oui
gateau,non
smoothie,non
gratin dauphinois,oui
$ sqlite3
SQLite version 3.40.1 2022-12-28 14:03:47
Enter ".help" for usage hints.
Connected to a transient in-memory database.
Use ".open FILENAME" to reopen on a persistent database.
sqlite> .mode csv
sqlite> .import recette.csv miam
sqlite> select plat from miam where patate="oui";
tartiflette
salade
"gratin dauphinois"
sqlite> .quit
$
# voilà en gros l'intro et ton plan
Posté par octane . En réponse au message Kali Linux . Évalué à 4 (+2/-0).
Dans le monde numérique d'aujourd'hui, la sécurité informatique est une préoccupation majeure pour les entreprises, les gouvernements et les particuliers. Avec l'augmentation des cyberattaques et des vulnérabilités potentielles, la nécessité de tester et de renforcer la sécurité des systèmes informatiques est devenue primordiale. C'est là que des outils tels que Kali Linux entrent en jeu. Kali Linux est une distribution Linux spécialisée dans le domaine de la sécurité informatique, offrant une gamme d'outils pour la réalisation de tests de pénétration et de piratage éthique.
Plan :
I. Comment cela fonctionne ?
A. Les principes de base de la sécurité informatique
B. Les techniques de test de pénétration
C. Le rôle de Kali Linux dans ce processus
II. Comment c'est fait ?
A. Développement et évolution de Kali Linux
B. Les caractéristiques principales de Kali Linux
C. Les outils et programmes intégrés à Kali Linux pour le piratage éthique
III. Comment l'utiliser ?
A. Installation et configuration de Kali Linux
B. Principaux scénarios d'utilisation de Kali Linux
C. Bonnes pratiques et éthique dans l'utilisation de Kali Linux
Dans cette présentation, nous explorerons en détail le fonctionnement de Kali Linux, en examinant ses composants essentiels, son utilisation pratique et les considérations éthiques entourant son utilisation pour le test de pénétration et le piratage éthique.
[^] # Re: Précisions
Posté par octane . En réponse au lien Linux n’a jamais été aussi populaire, le système d’exploitation libre bat un record. Évalué à 4 (+2/-0). Dernière modification le 06 mars 2024 à 15:17.
Je réagissais à l'argument: "windows 11 supporte pas les vieux PC -> le gens migrent sous linux"
Tu vas dans mon sens: les gens ne migrent pas à cause de windows 11, ils utilisent un windows obsolète ou achètent un PC neuf.
[^] # Re: Précisions
Posté par octane . En réponse au lien Linux n’a jamais été aussi populaire, le système d’exploitation libre bat un record. Évalué à 8 (+6/-0).
j'ai souvent entendu cette affirmation, et j'en suis pas si convaincu.
J'achète mon PC avec windows 10.
Windows 11 sort.
Mon PC n'est pas compatible avec windows11.
Je met mon PC au rebutJe continue d'utiliser mon PC avec windows 10.donc en gros, la mise au rebut ça concerne qui? Peut-être un vieux machin sous windows 7 qui prend la rouille? Mais du coup, on va pas installer linux.
Allez, je suis optimiste, il fait beau, c'est le printemps, je pense que la popularité de linux est réelle \o/ We are the
1% !!4% !![^] # Re: Utile
Posté par octane . En réponse au lien LDLC : les données piratées de 1,5 million de clients seraient en vente sur le Dark Web. Évalué à 8 (+6/-0).
Que le mec derrière haveIbeenPwned est un gars sérieux. OK, l'argument est un peu du style "trust me bro", mais il n'y a rien de shady derrière Troy.
Ensuite, tu peux toujours vérifier par toi même. Pour le mot de passe, le mode était intéressant:
Tu n'envoyais jamais le mot de passe. Le browser prenait ton mot de passe, le hashait et envoyait le premier caractère du hash à hipb -> S'il y avait correspondance, alors il envoyait le second, puis le 3e, etc.. Dès que le hash était inconnu -> On signalait à l'auteur que son mdp était fiable. Si tu allais au bout du hash, alors on considérait que ton mot de passe avait fuité.
Ca reste quand même super safe -> ton mdp ne circule jamais, au pire il y a un hash incomplet qui a circulé.
Ca m'a l'air super safe.
Précision très importante: je parle du site haveIbeenPwned. Il existe moultes autres sites qui proposent des vérifs de mots de passe et qui sont bidons. N'y allez pas. Sachez reconnaître les bons sites, quand il y en a.
[^] # Re: Rôles inversés
Posté par octane . En réponse au journal Mon activité rêvée. Évalué à 4 (+2/-0).
Du coup, tu fais quoi en vrai?
Quand tu cherches du boulot, je veux dire. Tu envoies un CV de 8 pages que tu sais qu'ils vont pas lire? Ou tu fais différemment?
Après, savoir se vendre comme un commercial (pouah!) c'est un autre domaine. Le commercial, il vendrait sa mère et serait capable de te mentir ouvertement pour faire sa marge.
Mais en tech, comment faire, je sais pas trop. Pour moi, y'a qques profils:
l'expert. Connu, reconnu, il a publié plein de trucs. Trouver du boulot, c'est pas son problème, il est directement appelé par les boites/ recruteurs/ tech lead des autres boîtes. Là, aucun souci. souvent t'as même pas besoin de CV ou de lettre de motivation. C'est la boîte qui va faire des efforts. Malheureusement, des experts y'en a très très peu, et c'est pas toi (je parle de manière générale, j'en suis pas un)
la grande masse des devs. Là, bin les boîtes vont pas te courir après. Que ce soit toi, marcel, jean-paul, abdul, ou ranish, ils veulent quelqu'un qui va pisser du code. Bin, c'est compliqué, faut fatalement attirer l'oeil du recruteur, appeler au téléphone, relancer, se faire ch***r à rédiger un CV et mettre une chemise le jour de l'entretien /o\ Après quelques années, on espère avoir réussi à se faire un réseau, et avoir des contacts directs dans les autres boîtes pour changer de poste (et on peut bypass la case lettre de motiv). Un proverbe dit: "If you desire the great tranquillity, prepare to sweat", ouais, le poste payé à 65k il tombera pas du ciel.
les mauvais. Bah là, il vaut mieux jamais changer de boîte haha. Ou finir manager. Ou commercial.
Mais c'est une vraie question: pour changer de poste, tu fais comment? j'ai ptet tout faux et des trucs à apprendre :)
[^] # Re: Rôles inversés
Posté par octane . En réponse au journal Mon activité rêvée. Évalué à 5 (+3/-0).
C'est l'annonce d'offre d'emploi. Ensuite, tu as souvent le site web de la boîte. Un peu comme un profil tinder. Tu vois l'accroche, tu peux aller voir l'insta de la personne ensuite.
et
c'est contradictoire quand même: Les RH ne savent pas lire un CV, qui ne tient pas dans un timbre poste. J'ose émettre une hypothèse audacieuse: fais un CV court, percutant, et ajoute une petite lettre qui afficherait ta motivation.
c'est un subtil équilibre. Tu cherches 1 emploi, l'entreprise reçoit des candidatures. Le tri est rapide, c'est donc à toi de faire un effort.
# un peu d'archéologie
Posté par octane . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 5 (+3/-0).
Alors en vrai je n'en ai aucune idée, mais comme cette après midi l'ennui se marie avec mon désoeuvrement, donc j'ai googlé comme un gros sale le site linuxfr.
Bref, j'en vois une mention https://linuxfr.org/users/j_kerviel/journaux/de-lutilisation-contemporaine-des-titres-honorifiques qui date de novembre 2011 (eh beh), mais légèrement différente puisque l'interjection est:
"Monjour, Nal"
Ensuite, c'est devnewton (qui fait plein de petits jeux qui m'amusent bien, merci à lui) en décembre 2012, https://linuxfr.org/users/devnewton/journaux/making-off-un-nouveau-sprite-pour-newton avec la graphie habituelle: "Bonjour Nal".
Et pourquoi on utilise Nal?
[^] # Re: Bon sujet de discussion
Posté par octane . En réponse au journal De l’espace de rédaction Linuxfr. Évalué à 2 (+3/-3).
ouais, je crois que c'est intéressant
y'a pas jean-roger qu'avait fait un truc similaire?
Sinon, il faut pas oublier que l'écriture d'une dépêche revêt une importance capitale dans notre société moderne, où les opinions et les journaux guident souvent nos choix. Exprimer ses impressions sur un logiciel, un service ou une expérience permet non seulement d'aider les autres informaticiens, mais aussi d'influencer les décisions des entreprises. C'est un acte de responsabilité sociale et de contribution à l'amélioration constante de la qualité. Chaque mot choisi reflète une expérience personnelle et peut avoir un impact significatif sur le destinataire. Les avis éclairés favorisent une meilleure transparence et une confiance accrue entre les consommateurs et les fournisseurs. Leur rédaction nécessite donc une réflexion approfondie et une expression claire des sentiments ressentis. Par conséquent, prendre le temps d'écrire un (<- penser à sinthétiser, et après on peut poster)
[^] # Re: pffff
Posté par octane . En réponse au lien Le problème de la mixité forcée dans le monde de la tech. Évalué à 3 (+1/-0). Dernière modification le 06 février 2024 à 14:17.
oui, ça a été un peu une réaction épidermique. Je me suis dit, il y a 97,3% de chance que ce soit d'une nullité abyssale. j'ai cliqué, j'ai alt-f4, et j'ai ragé contre moi qui savait que ça allait être pourri. J'aurais du inutiler ce lien épicétout.
[^] # Re: pffff
Posté par octane . En réponse au lien Le problème de la mixité forcée dans le monde de la tech. Évalué à 5 (+4/-1).
désolé, mais tu dis de la merde, débunkée 1 million de fois, c'est lassant à force.
Tu nous sers une assiette de merde, désolé de te le dire en 1 mot, plutôt que de tergiverser pendant des heures à t'expliquer que ça pue. Libre à toi de la bouffer, moi je m'en vais.
[^] # Re: pffff
Posté par octane . En réponse au lien Le problème de la mixité forcée dans le monde de la tech. Évalué à 4 (+3/-1).
parceque des centaines de connards leur disent qu'elles sont bonnes qu'à faire des gosses/ du social/ rester à la maison, et que si par malheur leur prend l'envie de faire une école d'ingé, des centaines de connards leur disent qu'elles sont là que grâce à des quotas.
Forcément, ça les motive à fond.
# pffff
Posté par octane . En réponse au lien Le problème de la mixité forcée dans le monde de la tech. Évalué à 5 (+3/-0).
Dès la 12e seconde:
-la tech intéresse peu la gente féminine, et pourtant au nom de l'égalité blablabla
Ok, disqualifié, je coupe! NEXT!
# peu partagé
Posté par octane . En réponse au journal Article « Pourquoi se syndiquer en informatique » sur Framasoft et questionnements personnels. Évalué à 10 (+9/-0).
ouais, je crois pas avoir vu un seul syndiqué :-(
après l'article donne je pense deux pistes:
forcément, c'est un premier point.
et avec le second, ça dessine une tendance. Au lieu de me syndiquer et de faire changer les choses dans ma boite "kipu", je vais vite aller chez la boite "cépluvert" savoir si par hasard, ça irait pas mieux.
Ajoute à ça que plein de devs finissent chefs de projet et vaguement manager (au moment où tu veux vraiment une augment' et où les problèmes avec les congés enfants malades, télétravail se posent concrètement), bin le chemin vers le syndicat semble compromis (difficile d'être à la fois le manager qui doit imposer des trucs de la direction et qui râle contre les trucs imposés par la direction…).
[^] # Re: Ça dépend de l'usage
Posté par octane . En réponse au journal snap : de pire en pire.. Évalué à 4 (+3/-1).
mais?
ça marche depuis pfioooooou longtemps. pour les rpms et deb, bah ça ne sont que des formats d'archives. Donc au pire, ça se dépaquette quelque part. Ensuite, c'est l'ennui du précompiél, des fois ça va chercher les fichiers aux bons endroits (ou ça se surcharge) des fois le programme veut absolument un fichier ou des ressources à 1 seul endroit précis. Du coup, retour à la figure1, ./configure etc.../configure --prefix=/home/chezmoi
[^] # Re: Défi
Posté par octane . En réponse au journal snap : de pire en pire.. Évalué à 4 (+2/-0).
euh, bin si (?)
ou alors passer de xfce4 à xfce-4.18, firefox 114 à 115, quand tu surfes, DNS (en udp) + HTTP (en TCP) sur de l'ipv4, à DoH (en TCP) et HTTPS (en quic) sur de l'ipv6, de debian 11 à debian 12, etc…
Y'a des changements, tout le temps. Et certains passent nickel. D'autres sont plus pénibles, c'est le sujet de ce journal. Et les changements qui sont imposés (ou qui paraissent l'être) sont encore plus pénibles.
[^] # Re: Défi
Posté par octane . En réponse au journal snap : de pire en pire.. Évalué à 6 (+4/-0).
(je parle pour moi, mais la question m'interpelle)
Bon allez, on va dire en vrac.
La stack non exécutable, ASLR/kASLR, les amélios de la glibc pour la détection des corruptions mémoires, les canairs.
Ou alors, l'autodétection du matériel à l'installation, le passage à rust, l'accélération 3D, la gestion du nouveau matos qui sort.
Ou encore l'utilisation de linux sur les smartphones, les supercalculateurs, l'embarqué.
Ah oui, et bien évidemment, systemd (HAHAHAHAHA, non).
En gros, ta question est quand même mal posée.. Quand tout se passe bien, les gens râlent moins. Quand il y a une friction, bin tu râles et c'est pas étonnant. Et souvent il y a un râlage plus gros quant tu penses qu'on t'impose le changement. Tu veux un gestionnaire de paquet? Bin y'a qu'a choisir. Tu veux un navigateur web, y'en a quinze millions. Une environnement de bureau? pareil! Un unix mais pas linux, bah vazy-mon-gars! Un autre système d'empaquetage que flatpak/snap? eh bah là, tu te rends compte que c'est compliqué de s'en passer (j'ai le même problème avec des softs sous docker). Tu as soit le choix de bouffer le gâteau, soit de tout faire toi même (oui, LL, sors toi les doigts du fiak, tout ça, je sais), et tout faire soi même, eh bin c'est long. Donc tu as deux solutions pénibles. Alors râler sur linuxfr ça détend.