Et on a aucune preuve que ChatGPT soit capable de s'adapter à des failles complexes et de générer les exploits lui même. Cela fait très hype pour pas grand chose. On manque cruellement de détails essentiels pour conclure autre chose.
Ceci étant, on peut voir le développement d'un exploit comme quelque chose de proche d'un test (dans le sens test unitaire). Et pour ça les outils de LLM type ChatGPT sont plutôt bons. Ça peut donner des trucs intéressants à terme (une fois la hype passée).
J'avoue que j'ai du mal à saisir que la gestion des onglets soit un sujet. La barre de recherche permet de chercher dans les onglets, ça va beaucoup plus vite que de faire du rangement ou des groupements (ça fait un grep dans les onglets, c'est top).
Bon, après je suis peut-être spécial, j'avoue que j'ai très rarement plus de 10 onglets ouverts, et souvent trois maxi. Ça m'a toujours laissé perplexe les collections de pages ouvertes.
Certaines pièces me font penser à des partitions de musique faites avec des composants électroniques. J'avais vu ça dans une expo sur la musique contemporaine, mais je ne me souviens plus du nom de l'artiste.
attaques de la chaîne d'approvisionnement (ça sonne moins bien qu'en anglais)
Boh, il suffit de lire 3-4 docs de l'ANSSI et tu t'habitues :). Hier j'ai regardé une petite présentation dans laquelle l'orateur parlait de gigue réseau. Ça faisait plusieurs années que je n'avais pas entendu ce mot, ça m'a fait plaisir de le retrouver !
On est tellement habitué à lire (et écrire, parfois) des docs en anglais qu'on peut avoir l'impression qu'il n'y a pas d'équivalent assez précis en français, et que l'expression anglaise est plus subtile ou porteuse de sens, alors que souvent non. On peut se référer au québecois dans certains cas.
Il y en a un que je trouve pas évident, c'est "endpoint" qui désigne l'extrémité d'un réseau, dans le sens "un truc connecté au réseau pour communiquer sur ce réseau". Ça peut être un ordi, une montre, un pacemaker ou un sextoy…
J'ai oublié de faire le suivi : avec Audacity pour enregistrer et Hydrogen pour faire le lien MIDI -> sample, ça a été super simple (la doc d'Hydrogen est claire), et on a un kit de sons de batterie bien débile maintenant, on rigole bien ! Merci !
Il manque la dernière brique dans ton explication : si l'appli ne fait pas ce qu'elle déclare (ou plutôt fait des trucs non déclarés), ça peut finir en procès.
C'est une sécurité administrative, qui complète les autres mesures en place. C'est efficace comme un panneau "ne pas entrer" sur une porte ouverte : ça ne bloque pas l'accès mais ça permet de prouver qu'il y a eu une faute délibérée.
pfSense et OpnSense sont des bons choix aussi pour faire routeur/firewall, mais c'est plus dédié PC, alors qu'OpenWRT est sur le créneau des mini-routeurs intégrés. En fonction du matos que tu as sous la main, tu peux essayer l'un et l'autre.
Moins connu et plus limité, mais plus facile à utiliser, il y a aussi IPFire, mais le support d'IPv6 n'est pas complet semble-t-il.
Les plus petits d'entre eux n'en ont pas les moyens, aussi vous ne trouverez peut-être pas le bulletin de la liste pour laquelle vous vouliez voter dans votre bureau. Il faut donc que vous l'imprimiez à l'avance.
J'ai été chez des amis hier, et aucune des personnes avec qui j'ai parlé n'était au courant qu'il y avait des listes en plus de celles reçues par la poste :-/. Perso je l'ai appris grâce à ton journal, alors merci !
Je me demandais si tu as mis OpenWRT sur le routeur Archer ?
Aussi, pour ce qui est accessible depuis Internet (le webmail par exemple), tu pourrais avoir une zone réseau dédiée (une DMZ), qui permet une couche s'isolation, pour limiter la casse dans le cas où il y a un trou de sécurité dans Roundcube.
pourquoi Debian a migré sous Systemd mais a conservé ses scripts de gestion du réseau
La config réseau aurait pu migrer dans les fichiers .link de systemd. Mais du coup grosse adhérence à systemd, ce qui n'a pas été acté.
Donc le futur du réseau sur Debian c'est possiblement netplan, qui peut prendre systemd-networkd et NetworkManager comme cibles, si j'ai bien tout suivi ce qui est dit dans le lien donné par Hobgoblins Master un peu plus haut.
Wow, merci pour les liens ! J'ai lu les 3 premiers, c'est intéressant. Donc il y a quelques grosses structures très visibles, et plein de petites. Comme dans beaucoup de secteurs en fait :).
Le premier article parle de 50000 à 100000 auteurs et autrices, et d'environ 8000 structures d'édition. On est quand même très loin d'un monopole. Une position dominante, peut-être.
J'ai la chance d'avoir plusieurs librairies indépendantes à moins de 1 km de chez moi (dont celle d'Amanda Spiegel qui s'exprime dans l'article), qui font un super travail de curation et de conseil.
Tu as voté pour un candidat qui a emporté les élections ? Ah merde, j'espère que ce n'était pas les élections présidentielles en France, sinon je suis désolé pour toi xD
En même temps, tu votes à contrecœur pour faire barrage au RN, et le gagnant finit par appliquer le programme de la perdante en plus du sien… La triple peine.
L'article est très chouette, et de ce que j'ai compris, les torts sont partagés.
Cloudflare a signalé au casino que pour faire de la rotation d'IPs, il faut utiliser l'option BYOIP ("Apportez vos IPs", autrement dit ne pas utiliser des IPs fournies par Cloudflare, qui sont partagées par tous les clients), et cette option n'est disponible que dans l'offre Entreprise. Sur ce point, le casino est en tort, et l'auteur de l'article le reconnaît à demis mots.
C'est pas trop mal expliqué dans le commentaire qui commence par "Cloudflare Employee Deleted His/Her Post, Reposting for Context".
Sur le mode opératoire, Cloudflare a été d'une brutalité immense, malgré les demandes de dialogue de leur client. Ça ne donne pas du tout envie de bosser avec eux.
Quoi qu'il en soit, les conseils à la fin sont excellents et peuvent s'appliquer pour toute entreprise tierce dont on peut dépendre, et qui peuvent se résumer par "ayez un plan B" :
Soyez prêts à quitter Cloudflare en 24 heures.
N'utilisez pas de règles de cache spécifiques à CF (évitement du vendor lock-in (Enfermement propriétaire en Français semble-t-il).
Faites des sauvegardes de vos réglages pour faciliter leur reconstitution ailleurs.
Oui, tu as raison, j'ai relu ta description du problème et on dirait que NM a du mal à reconfigurer le client DHCP, vu qu'il n'en est pas totalement propriétaire :-/.
Je me pose quand même des questions :
à quoi ressemblait le /etc/network/interfaces pour l'Ethernet ?
que raconte nmcli device status quand il y a l'interface filaire déclarée dans /etc/network/interfaces ?
est-ce que cette interface Ethernet est sur un adaptateur USB, et donc disparaît quand tu déplaces le laptop ?
Vu que tu es en SID, tu es peut-être sur une faille sismique temporaire liée à des changements dans la gestion du réseau sur Debian :).
Quand je joue sur des serveurs dont je suis admin (et qui ne sont pas les miens), j'ai tendance a changer de pseudonyme justement pour ce type de raison.
Et c'est une bonne pratique en sécurité informatique : avoir un utilisateur différent pour séparer les tâches d'administration des autres tâches. Par exemple si je passe trois heures dans ma journée à écrire une procédure de maintenance et lire de la doc, je n'ai pas besoin d'utiliser un compte qui peut passer root, ça réduit mes chances de faire une connerie ou l'impact si je me fait pirater ce compte. Pour l'exécution de la procédure ou une action ponctuelle d'admin, oui, je change alors de compte.
Après quand il y a 50 rôles, avoir 50 comptes n'est pas la panacée non plus.
C'est le comportement attendu depuis des années, et c'est bel et bien documenté.
Il y a tout de même un piège, car en effet l'interface qui a servi à l'installation a un traitement différent des autres. C'est peut-être ça qu'il faut remonter à Debian.
Il y a un autre cas de figure subtil, c'est la différence entre allow-hotplug et auto. L'installeur Debian va mettre allow-hotplug, ce qui est pratique pour les trucs USB amovibles, mais pas super pour les trucs intégrés.
L'effet de bord principal est que le "systemd-networkd-wait-online" ne "bloque" pas sur les interfaces qui sont déclarées avec allow-hotplug (puisque la présence de l'interface est optionnelle). La conséquence est que les services qui ne savent pas "reprendre" correctement sur un événement réseau se retrouvent dans un état bof-bof.
[^] # Re: Papier scientifique
Posté par cg . En réponse au lien Attention, Chat-GPT est capable de se transformer en "hacker" (payant). Évalué à 2 (+0/-0).
Ceci étant, on peut voir le développement d'un exploit comme quelque chose de proche d'un test (dans le sens test unitaire). Et pour ça les outils de LLM type ChatGPT sont plutôt bons. Ça peut donner des trucs intéressants à terme (une fois la hype passée).
# Barre de recherche
Posté par cg . En réponse au lien Firefox prépare une révision de ses onglets, avec regroupement et organisation verticale. Évalué à 6 (+4/-0).
J'avoue que j'ai du mal à saisir que la gestion des onglets soit un sujet. La barre de recherche permet de chercher dans les onglets, ça va beaucoup plus vite que de faire du rangement ou des groupements (ça fait un grep dans les onglets, c'est top).
Bon, après je suis peut-être spécial, j'avoue que j'ai très rarement plus de 10 onglets ouverts, et souvent trois maxi. Ça m'a toujours laissé perplexe les collections de pages ouvertes.
# Joli
Posté par cg . En réponse au lien Des synthés diy ? Des sculptures ? Les deux mon capitaine.. Évalué à 2 (+0/-0).
Certaines pièces me font penser à des partitions de musique faites avec des composants électroniques. J'avais vu ça dans une expo sur la musique contemporaine, mais je ne me souviens plus du nom de l'artiste.
[^] # Re: VSCode vs vim vs Emacs
Posté par cg . En réponse au lien 1/6 | How We Hacked Multi-Billion Dollar Companies in 30 Minutes Using a Fake VSCode Extension. Évalué à 4 (+2/-0).
Boh, il suffit de lire 3-4 docs de l'ANSSI et tu t'habitues :). Hier j'ai regardé une petite présentation dans laquelle l'orateur parlait de gigue réseau. Ça faisait plusieurs années que je n'avais pas entendu ce mot, ça m'a fait plaisir de le retrouver !
On est tellement habitué à lire (et écrire, parfois) des docs en anglais qu'on peut avoir l'impression qu'il n'y a pas d'équivalent assez précis en français, et que l'expression anglaise est plus subtile ou porteuse de sens, alors que souvent non. On peut se référer au québecois dans certains cas.
Il y en a un que je trouve pas évident, c'est "endpoint" qui désigne l'extrémité d'un réseau, dans le sens "un truc connecté au réseau pour communiquer sur ce réseau". Ça peut être un ordi, une montre, un pacemaker ou un sextoy…
[^] # Re: Boîte à rythme/samplers/échantillonneurs
Posté par cg . En réponse au message Outil qui déclenche la lecture d'un fichier audio sur une note MIDI. Évalué à 3 (+1/-0).
J'ai oublié de faire le suivi : avec Audacity pour enregistrer et Hydrogen pour faire le lien MIDI -> sample, ça a été super simple (la doc d'Hydrogen est claire), et on a un kit de sons de batterie bien débile maintenant, on rigole bien ! Merci !
# Dans le même esprit
Posté par cg . En réponse au lien 1/6 | How We Hacked Multi-Billion Dollar Companies in 30 Minutes Using a Fake VSCode Extension. Évalué à 4 (+2/-0).
Au niveau de ZSH avec l'extension oh-my-zsh, on peut exécuter du code en entrant dans un répertoire.
[^] # Re: VSCode vs vim vs Emacs
Posté par cg . En réponse au lien 1/6 | How We Hacked Multi-Billion Dollar Companies in 30 Minutes Using a Fake VSCode Extension. Évalué à 1 (+0/-1).
J'ai trop le seum je suis pas rentable :'(
# VSCode vs vim vs Emacs
Posté par cg . En réponse au lien 1/6 | How We Hacked Multi-Billion Dollar Companies in 30 Minutes Using a Fake VSCode Extension. Évalué à 6 (+5/-0).
L'exploit est du niveau d'une macro Word (du même éditeur), mais c'est joli en terme de quantité :).
Je me demande si c'est possible avec vim ou Emacs. Les modules .vim et .el sont du code, après tout. Existe-t-il des gardes-fous pour ces éditeurs ?
[^] # Re: On rigole, mais...
Posté par cg . En réponse au lien La politique de confidentialité de XScreenSaver pour Android. Évalué à 4 (+2/-0).
Il manque la dernière brique dans ton explication : si l'appli ne fait pas ce qu'elle déclare (ou plutôt fait des trucs non déclarés), ça peut finir en procès.
C'est une sécurité administrative, qui complète les autres mesures en place. C'est efficace comme un panneau "ne pas entrer" sur une porte ouverte : ça ne bloque pas l'accès mais ça permet de prouver qu'il y a eu une faute délibérée.
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par cg . En réponse au journal Ma vie, mon œuvre, mon réseau local. Évalué à 4 (+2/-0).
pfSense et OpnSense sont des bons choix aussi pour faire routeur/firewall, mais c'est plus dédié PC, alors qu'OpenWRT est sur le créneau des mini-routeurs intégrés. En fonction du matos que tu as sous la main, tu peux essayer l'un et l'autre.
Moins connu et plus limité, mais plus facile à utiliser, il y a aussi IPFire, mais le support d'IPv6 n'est pas complet semble-t-il.
[^] # Re: Les petites listes invisibles
Posté par cg . En réponse au journal Voter aux Européennes, ça se prépare !. Évalué à 2 (+0/-0).
Au dépouillement hier soir, sur ma table :
# Les petites listes invisibles
Posté par cg . En réponse au journal Voter aux Européennes, ça se prépare !. Évalué à 3 (+1/-0).
J'ai été chez des amis hier, et aucune des personnes avec qui j'ai parlé n'était au courant qu'il y avait des listes en plus de celles reçues par la poste :-/. Perso je l'ai appris grâce à ton journal, alors merci !
# Archer, webmail
Posté par cg . En réponse au journal Ma vie, mon œuvre, mon réseau local. Évalué à 6 (+4/-0).
Je me demandais si tu as mis OpenWRT sur le routeur Archer ?
Aussi, pour ce qui est accessible depuis Internet (le webmail par exemple), tu pourrais avoir une zone réseau dédiée (une DMZ), qui permet une couche s'isolation, pour limiter la casse dans le cas où il y a un trou de sécurité dans Roundcube.
[^] # Re: Conflit de services
Posté par cg . En réponse au journal Lorsque la moitié d’internet est down…. Évalué à 4 (+2/-0).
Yep, je répondais à :
La config réseau aurait pu migrer dans les fichiers .link de systemd. Mais du coup grosse adhérence à systemd, ce qui n'a pas été acté.
Donc le futur du réseau sur Debian c'est possiblement netplan, qui peut prendre systemd-networkd et NetworkManager comme cibles, si j'ai bien tout suivi ce qui est dit dans le lien donné par Hobgoblins Master un peu plus haut.
[^] # Re: tlp
Posté par cg . En réponse au journal TLP ou power-profiles ?. Évalué à 2 (+0/-0).
Et y'a un œuf de Pâques si en plus tu retires la batterie !
[^] # Re: Conflit de services
Posté par cg . En réponse au journal Lorsque la moitié d’internet est down…. Évalué à 3 (+1/-0).
Je vois deux raisons :
[^] # Re: Les livres réclament une baisse drastique de la production de libraires aussi.
Posté par cg . En réponse au lien Les libraires réclament une “baisse drastique de la production” de livres. Évalué à 3 (+1/-0).
Wow, merci pour les liens ! J'ai lu les 3 premiers, c'est intéressant. Donc il y a quelques grosses structures très visibles, et plein de petites. Comme dans beaucoup de secteurs en fait :).
Le premier article parle de 50000 à 100000 auteurs et autrices, et d'environ 8000 structures d'édition. On est quand même très loin d'un monopole. Une position dominante, peut-être.
J'ai la chance d'avoir plusieurs librairies indépendantes à moins de 1 km de chez moi (dont celle d'Amanda Spiegel qui s'exprime dans l'article), qui font un super travail de curation et de conseil.
[^] # Re: Drôle de démocratie
Posté par cg . En réponse au journal Voter aux Européennes, ça se prépare !. Évalué à 2 (+0/-0).
Ça me fait penser au dilemme du tramway. Le nombre de choix est limité, et rien n'est satisfaisant.
On peut se mettre face à ces choix cornéliens de manière légère ici : https://neal.fun/absurd-trolley-problems/ . À partir du 6ème choix ça devient chaud :).
[^] # Re: Drôle de démocratie
Posté par cg . En réponse au journal Voter aux Européennes, ça se prépare !. Évalué à 7 (+6/-1).
En même temps, tu votes à contrecœur pour faire barrage au RN, et le gagnant finit par appliquer le programme de la perdante en plus du sien… La triple peine.
[^] # Re: Journal
Posté par cg . En réponse au lien Le monde merveilleux de la vente de contrats «Entreprise» chez CloudFlare. Évalué à 6 (+5/-0).
L'article est très chouette, et de ce que j'ai compris, les torts sont partagés.
Cloudflare a signalé au casino que pour faire de la rotation d'IPs, il faut utiliser l'option BYOIP ("Apportez vos IPs", autrement dit ne pas utiliser des IPs fournies par Cloudflare, qui sont partagées par tous les clients), et cette option n'est disponible que dans l'offre Entreprise. Sur ce point, le casino est en tort, et l'auteur de l'article le reconnaît à demis mots.
C'est pas trop mal expliqué dans le commentaire qui commence par "Cloudflare Employee Deleted His/Her Post, Reposting for Context".
Sur le mode opératoire, Cloudflare a été d'une brutalité immense, malgré les demandes de dialogue de leur client. Ça ne donne pas du tout envie de bosser avec eux.
Quoi qu'il en soit, les conseils à la fin sont excellents et peuvent s'appliquer pour toute entreprise tierce dont on peut dépendre, et qui peuvent se résumer par "ayez un plan B" :
[^] # Re: Les livres réclament une baisse drastique de la production de libraires aussi.
Posté par cg . En réponse au lien Les libraires réclament une “baisse drastique de la production” de livres. Évalué à 7 (+5/-0).
Hello,
vraie question : je ne comprend pas bien la notion de monopole des maisons d'éditions et des libraires1 dont tu parles, j'ai raté un truc ?
il y en a des milliers ↩
[^] # Re: Conflit de services
Posté par cg . En réponse au journal Lorsque la moitié d’internet est down…. Évalué à 4 (+2/-0). Dernière modification le 07 juin 2024 à 02:42.
Oui, tu as raison, j'ai relu ta description du problème et on dirait que NM a du mal à reconfigurer le client DHCP, vu qu'il n'en est pas totalement propriétaire :-/.
Je me pose quand même des questions :
nmcli device statusquand il y a l'interface filaire déclarée dans/etc/network/interfaces?Vu que tu es en SID, tu es peut-être sur une faille sismique temporaire liée à des changements dans la gestion du réseau sur Debian :).
[^] # Re: C'est le moment pour un petit XKCD !
Posté par cg . En réponse au journal LWN : A plea for more thoughtful comments. Évalué à 4 (+2/-0).
Et c'est une bonne pratique en sécurité informatique : avoir un utilisateur différent pour séparer les tâches d'administration des autres tâches. Par exemple si je passe trois heures dans ma journée à écrire une procédure de maintenance et lire de la doc, je n'ai pas besoin d'utiliser un compte qui peut passer root, ça réduit mes chances de faire une connerie ou l'impact si je me fait pirater ce compte. Pour l'exécution de la procédure ou une action ponctuelle d'admin, oui, je change alors de compte.
Après quand il y a 50 rôles, avoir 50 comptes n'est pas la panacée non plus.
[^] # Re: Conflit de services
Posté par cg . En réponse au journal Lorsque la moitié d’internet est down…. Évalué à 9 (+7/-0).
C'est le comportement attendu depuis des années, et c'est bel et bien documenté.
Il y a tout de même un piège, car en effet l'interface qui a servi à l'installation a un traitement différent des autres. C'est peut-être ça qu'il faut remonter à Debian.
Il y a un autre cas de figure subtil, c'est la différence entre
allow-hotplugetauto. L'installeur Debian va mettreallow-hotplug, ce qui est pratique pour les trucs USB amovibles, mais pas super pour les trucs intégrés.L'effet de bord principal est que le "systemd-networkd-wait-online" ne "bloque" pas sur les interfaces qui sont déclarées avec allow-hotplug (puisque la présence de l'interface est optionnelle). La conséquence est que les services qui ne savent pas "reprendre" correctement sur un événement réseau se retrouvent dans un état bof-bof.
# Aussi: greetd
Posté par cg . En réponse au journal Le login manager pour les barbu·e·s : découverte de Emptty. Évalué à 10 (+12/-0).
Houla mais ça a l'air bloated ce truc !
J'utilise greetd, qui m'autologe sur ma session, point1. J'en entend jamais parler, j'ai même du faire un
ps apour retrouver le nom :p.La config est simple :
LUKS au boot limite pas mal le nombre d'utilisateurs :). ↩