oinkoink_daotter a écrit 1687 commentaires

moins accidentogène que les feux tricolores, priorités à droite implicites ou explicites, stop, cédez le passage.

Une des raisons de leur implantation est aussi l'impact sur la gravité des accidents :

• Les collisions se font à vitesse plus réduite puisque le rond point "casse la vitesse";
• En raison de l'angle d'entrée dans le rond-point, les collisions se font avec un angle qui n'est plus droit, mais oblique, ce qui 1) tend à "arriériser" les chocs latéraux^*, 2) à augmenter la vitesse résiduelle du véhicule percuté dans l'axe d'arrivée du véhicule percuteur, et donc à diminuer l'énergie à dissiper dans le choc.

Bref, souvent ça transforme un choc à 90° en froissement de tôle sans trop de dommages.

(*) Ne pas oublier qu'il n'y a pas si longtemps que ça, les barres de renfort latérales étaient un luxe.

Toutes ces applications son un dérivée de (WhatsAPP, Signal) […] XMPP

Euh, t'es sûr de ça ?
De mémoire, historiquement, WhatsApp utilisait XMPP tout seul dans son coin. Ils ont switché sur le Signal Protocol il y a quelques temps. Les gens derrière Signal n'ont pas l'air de trop aimer XMPP. Le seul rapport que je vois avec XMPP est un protocole crypto, Double Ratchet, inventé (en partie ?) par les gens d'Open Whisper, et qui a ensuite été repris et standardisé par une XEP.

Pendant ce temps là … GDPR.

• Testée, TEstée, TEStée, TESTée, TESTÉe, TESTÉE de temps en temps.

Mais je ne crois pas que c'est en place pour les smartphones.

Sur android je ne sais pas. Sur iOS, si.

De surcroît, comme le souligne le rapport Lacabarats, en appel « le taux de confirmation totale des jugements des CPH (28,3 % en 2012) est très nettement inférieur à celui constaté pour les appels des autres juridictions (de 46 à 53,6 %) ».

Ce que j'appelle roulette russe, c'est que je comprends de ce qui est écrit ci-dessus qu'il y a renversement de décision entre 1ere instance et appel de 71,7% des cas. Ce qui peut d'ailleurs se comprendre vu les collèges, mais bon.

Il me semble aussi qu'une augmentation significative du remboursement de ces faux frais (avec le dentaire) est prévue pour 2018 ?

C'est un mois de salaire au minimum (ancienneté de moins d'un an).

A mon sens, la principale raison pour laquelle les gens n'y vont pas, c'est la durée moyenne du contentieux. Partir pour 15 mois (en moyenne, 22 en IDF) d'investissement émotionnel, sachant qu'au final c'est un peu la roulette russe, c'est chaud. Perso, pour un mois de salaire, je pense que je ne me lancerai pas la dedans.

Sans compter la possibilité d'avoir plus d'indemnités voire de réintégrer son poste suivant les cas, cela ne me paraît pas peu.

J'ai un peu de mal à voir comment ça peut marcher la réintégration. Globalement si ta boîte t'a viré, c'est qu'elle ne voulait pas de toi. Ce n'est pas une décision de justice qui va changer cela. Mon billet qu'un an après c'est retour à la case départ pour harcèlement moral.

Sauf que oui mais non, ce n'est pas si simple.

C'est un bel exemple de malfaçon législative, bien plus que le verbiage sur les mesures MTP(E) pointé par arnaudus< plus bas haut(en fait), car on a truc qui est à la fois autorisé (L122-5) et interdit (L331-5). Il n'est absolument pas gagné pour moi que dans ce cas le L122-5 l'emporte sur le L331-5 sans l'aide d'une jurisprudence(*) car il ne me semble pas qu'il y ait un équivalent de hiérarchie des normes quel qu'il soit entre deux articles de loi du même niveau. D'ailleurs, il y a plus ou moins le même genre de gag avec les retranscriptions des actes de GPA/PMA (interdites car GPA/PMA) à l'étranger (autorisées car retranscription d'actes licites à l'étranger), d'où les renversements de jurisprudence par le passé.

J'ai méga la flemme de chercher dans les comptes rendus de séance, mais il est bien possible que ce trou ait été vu mais laissé délibérément pour des raisons de lâcheté politique (ne fâcher ni les majors ni les citoyens et laisser le juge se démerder), vu la cristallisation de l'opinion en 2009. La façon correcte de rédiger ça aurait été de modifier L122-5 ou de préciser L331-5.

Une autre analyse possible de ce dawa est de dire que "tu peux faire une copie machin tant que le système ne t'en empêche pas".

(*) et je n'ai jamais vu passer de jurisprudence là dessus.

C'est typiquement ce qui arrive avec des arrondis qui traine dans les calculs intermédiaires. Si le logiciels ne faisaient jamais d'arrondis (sauf à l'affichage), il n'y aura pas de problème.

Hors sujet, mais dans ce cas le Droit français passe. Le droit non entier à congés est arrondi à l'entier supérieur. Donc même en se viandant dans les calculs, le logiciel ne devrait pas arriver à cette valeur.

"c'est du Comic Sans, Monsieur, désolé mais ça ne va pas être possible(*)"
-- La graphologie au 21^ème siècle

(*) (pas êtreuuu possibleuuh)

Ensuite il faut aussi savoir que chauffer de l'air saturé d'humidité est plus couteux que de l'air sec donc avoir de l'air plus sec à l'intérieur permet aussi des économies d'énergie (en plus d'améliorer la qualité de vie surtout pour les allergiques).

C'est thermodynamiquement probable mais cela a vraiment un impact significatif sur la facture ?

Oui, bien sûr, personnellement j'utilise Chrome et AdAway qui demande le root.

Oui, forcément, puisque adaway bricole le fichier hosts, ce qui le rend à la fois pas super granuleux, mais systemwide.

Il n'y a quand même pas la même facilité

Si tu parles de ton exemple plus haut où il faut rooter le device, oui, c'est plus compliqué. Cela dit, je répète que si tu prends Firefox, tu as en gros la même expérience que sur ordi : tu installes un adblocker qui fonctionne dans le navigateur.

(par exemple les 3 exemples que tu as donné pour iOS sont payants).

… parce que la, pour moi c'est simple : j'ai besoin d'un truc, je le télécharge sur le pomme store contre de l'argent (ou pas, les prix vont et viennent, mais ajd entre 99 cents et 5€ si l'on parle de ces trois là) et pouf.

les appareils mobiles n'ont pas d'adblock

Euh… si.
Sur iOs, tu as au minimum Purify/Crystal/Better.
Sur android, il me semble que Google a fait du ménage dans le Play Store, mais tu as au moins ublock origin pour Firefox.

Par contre, effectivement, ça reste limité à ce qui utilise le navigateur ou un WebView embarqué dans les applis.

Ton analogie serait pertinente si le firmware du disque dur d'un ordinateur avait accès à la webcam et à la souris

Il me semble que ce soit en IDE,SATA, ou plus récemment avec le NVM-E, le disque dur a un accès DMA a tout l'espace. Les OS étant très mauvais pour isoler les périphériques via l'IOMMU (quand elle est présente), on pourrait imaginer ce genre de trucs.

C'est une mauvaise chose de faire un truc qui puisse convenir à des gens qui connaissent la différence entre un moteur de recherche, un navigateur internet et un OS?

Non, mais ce n'est pas rentable :-(.

La majorité du CA de la Mozilla Foundation vient des partenariats sur la recherche tout autour du monde (la traduction est de moi). Pour sécuriser ce pognon qui permet de faire vivre la fondation, il faut qu'il ait un sens pour les gens qui payent, donc que le machin soit utilisé. Pour qu'il soit utilisé, il faut qu'il ait un avantage pour ses utilisateurs moyens par rapport à la concurrence, etc.

Ça revient toujours au même problème, et perso je pense que ménager la chèvre (les gens qui la font vivre) et le choux (les libristes du début) devient de plus en plus compliqué pour la MoFo dans son mode de financement actuel.

Panorama

Ben ton arme n'est pas chargée, hein.

mais quid de la sécurité ?

La dernière fois que j'ai regardé (ça remonte à trèèèèèès longtemps), ça ne gérait pas le multi utilisateur. Une recherche rapide aujourd'hui a l'air de le confirmer.
Il n'y a pas l'air d'y avoir non plus de partition root/user comme l'écrit pulkomandy< ici.

Rajoute à ça un webkit "début 2016".

A priori ce n'est pas fait pour faire de la sécu (ce qui n'est pas un reproche, je trouve la démarche absolument géniale)

Et tu vas découvrir que les mots de passes de connexion à ton compte sont tronquées à 14 caractères (constaté avec stupeur il y a pas mal d'années).

Ce sont les "hash" Lan Manager. Ce n'est pas la seule horreur de ce truc.
Parce qu'en fait, ce n'est pas 14 caractères, mais deux fois 7 (donc deux mots de passes vérifiés indépendamment de 7 caractères).
Et mis en uppercase.
Et y a pas de sel (note que c'est toujours vrai dans les bases de hashs windows, même si l'algo a changé, y compris sur l'AD lui même, #yolo)

C'était utilisé avec les windows 9x et obsolète avec NT4.

La concomitance temporelle entre ce post et celui de Tanguy< ici m'amuse :)

Un changement de poste pareil, cela ne se fait pas dans ton dos car tu changes à priori de contrat de travail (ton poste n'est plus le même)

Euh, je ne suis pas sur que ça existe en vrai, ça.
J'ai changé de domaine et de métier dans ma boîte précédente à plusieurs reprises et je n'ai jamais signé d'avenant à mon contrat de travail, qui a toujours été "développeur". Et pourtant, les process RH étaient vachement bordés.

Quid du partage de fichiers entre VM ?

Il n'y a pas de mécanisme natif d'échange de fichiers entre VM "temps réel" (genre Samba), probablement pour éviter le canal d'attaque sur le protocole ou les données. D'un point de vue réseau les VM sont isolées entre elles. Il existe des commandes et une adaptation du Window Manager pour envoyer des fichiers unitaires de façon maîtrisée d'une VM à l'autre. La remontée de données vers le domaine 0 est une purge délibérée car il ne faut pas le faire. Le gag c'est quand on veut monter une VM sur la base d'une ISO, qui a un moment donné a été téléchargée…

Est-il facile d'exporter une VM pour utiliser ailleurs, sauvegarder… ?

oui, il y a de mémoire des commandes qui permettent de le faire dans les menus du gestionnaire de VM. Ce sont de toute façon des fichiers avec un nom connu dans des répertoires connus, donc faisable aussi à la main.

T'es sûr ?

Dans ces cas là, habituellement, la maj sert surtout à uploader et activer le nouveau microcode à chaque démarrage (car il est "volatile"), pour pallier le support incertain, vu du fondeur, des maj via les OS.

Ce que je voulais dire : c'est que le malware est assez malin et sait exploiter correctement les fonctionnalités d'administration de Windows. Je ne vois pas ce qu'il y a d'étonnant à ce qu'un admin puisse modifier des postes clients. Linux a des technologies similaires.

Le problème c'est la complexité des process de maj et l'historique du bazard Windows/AD.

NotPetya a plusieurs moyens de réplication :

• l'exploitation de MS17-10. Ca permet tranquillou de passer SYSTEM à distance et de propager l'infection d'une machine à une autre. Ca se règle par l'installation du patch kivabien. Sur un Windows normal, ça se met gentiment à jour chez MS, ça reboote et le problème est réglé, tout seul comme un grand. Dans les boîtes et les grands groupes ça ne se fait pas comme ça, pour plusieurs raisons : les boîtes essayent d'avoir des reportings qui tiennent la route pour nourrir les équipes opérationnels et le RSSI et être capable de gérer ce qui est déployé et quand (tient, là par exemple avec le dernier patch tuesday, outlook fait chier avec les PDF) pour savoir ce qui va se passer et ne pas déployer n'imp ; il est compliqué de forcer les utilisateurs à rebooter leur machine (si si), nécessaire pour que le patch soit actif. Ces machins sont souvent immondes (kikoo SCCM), et ce process rajoute du temps. Et il y a du déchet. X% de machines ne choppent pas les patchs. Go figure. Pas de bol, les admins sites ont autre chose à faire que courir après les machines qui n'obeissent pas au patch management.
• les partages d'admin, WMI/Psexec et consorts. Ca permet, lorsqu'un compte est compromis avec des droits suffisants sur une machine cible, de lancer l'infection avec des commandes légitimes (et très pratiques - je voudrais que ce ne soit pas possible, mais c'est un autre débat).
• la capacité de choper les crédentials de l'utilisateur, et des autres personnes connectées s'il en a les droits.

Dans le cas présent toute machine compromise par le premier moyen de réplication ayant un compte connecté ayant des privilèges d'admin sur le domaine ou l'OU locale permettait la réplication via le deuxième moyen sur toutes les machines, mêmes patchées.

Et on touche à un des problèmes intrinsèques de Windows, avec sa manie de cacher des trucs partout, à être capable de bien cloisonner les credentials d'admin. Sous Windows, dès que vous avez des droits d'admin locaux, il y a moyen de récupérer en clair les mdps des utilisateurs connectés, y compris de niveau domaine. Il me semble aussi qu'il y a moyen de récupérer des hashs (non salés) de mdp de gens qui se sont connectés précédemment.
Un de ces hashs d'admin est rejouable pour des raisons de compatibilité, donc si deux machines ont le même mdp sur ce compte, on peut se propager de machine en machine jusqu'à tomber sur un compte d'admin domaine (game over).

Du coup, comment on fait pour se protéger de ça ? Les solutions sont connues et poussées par MS :

• Un mot de passe différent pour chaque compte "Administrateur" et renommage de ce dernier;
• Interdiction aux admin domaine de se connecter en local et via le réseau sur des PDT pour sanctuariser ces comptes
• Interdiction des communications machine à machine.

Sauf que c'est compliqué à faire, surtout quand on parle de petites structures. (et par défaut, cela reste possible)