aiolos a écrit 1254 commentaires

C'est ce qu'il semble dire… Mais, il semble aussi qu'il manque un peu plus que ça :

Still more to come (WiFi, SMC, keyboard/trackpad, etc.), so stay tuned for the streams!

Je viens de tomber sur le lien suivant : https://twitter.com/marcan42/status/1458473546225577987

No GPU yet, it's all software rendered, but it's seriously smooth for running entirely off of the CPUs!

J'utilise du vinaigre d'alcool […] C'est […] écologique.

Moyennement. C'est biodégradable, ce qui est déjà bien. Mais les acides sont une source importante de pollution de l'eau. Depuis une vingtaine d'années, les industriels de la chimie (et les normes afférentes) tentent de les éliminer des produits d'entretiens…

bon on va voir qui se fait révoquer, entre quelques centaines de milliers et plusieurs millions.

C'est pour ça qu'il ne faut vraiment vraiment pas perdre la clef privée… Et qu'on a plusieurs autorités qui peuvent signer des passes sanitaires.

Pas de serveur de temps et tout le foin à côté, comme les signatures ailleurs?

Les serveurs d'horodatage, c'est globalement un service qui signe un timestamp avec sa clef privée, qui est elle-même certifiée par une chaîne de confiance X.509, avec sa propre hiérarchie de certificat. Ta signature va ajouter ce timestamp aux données signées, et ça permettra à une autorité extérieure de vérifier la date de ta signature. C'est quand tu ne fais pas confiance au signataire.

Ici, le serveur de signature est l'autorité, on peut partir de l'idée qu'on lui fait confiance (c'est la base), et que sa base de temps est fiable. Ajouter un serveur d'horodatage ça veut dire une seconde chaîne de confiance à gérer, et donc deux fois plus de clef privées à ne vraiment vraiment pas perdre, au risque d'invalider des millions de certificats… et visiblement, une, c'est déjà trop.

TOTP, c'est à priori, ce qui est utilisé dans la plupart des systèmes ; mais ils ne transmettent pas la clef, tu ne peux pas la mettre dans l'appli que tu veux.

Pour FIDO/Webauthn, à ma connaissance VISA a lancé une expérimentation en europe sur une authentification DSP2 basée sur webauthn. Je crois que CarteBanquaire étudie aussi le sujet. Mais même si les schemes se mettent à le proposer, il faut encore que les banques l'adopte (et donc le paye), que ce soit validé par l'ACPR (ce qui est toujours plus long et plus cher que comme les autres, etc.

Pour être aussi convaincant que possible, j'aimerais comprendre quelles sont, selon eux, les "questions multiples" qui justifient de refuser un appareil rooté. Je ne peux pas communiquer directement avec leur service technique, mais seulement par un malheureux conseiller très aimable mais complètement perdu.

Avez-vous une idées des questions auxquelles il est fait allusion ? Selon vous, motivent-elles de façon justifiée le refus des appareils rootés ? Si non, quels sont les arguments qui permettrait de réfuter au mieux leur position ?

J'ai un téléphone Lineage rooté, et privé d'appli aussi. Je pense, dès que ce sera nécessaire, passer au boîtier séparé du téléphone, qui me semble une bonne solution (même si en vrai, je préférerais un truc avec/sur la carte).

Pour les "questions multiples" qui posent problème avec les téléphones rootés, j'en vois au moins une : sur un téléphone rooté, un utilisateur privilégié a accès à toutes les (bases de) données des applications. Ce qui veut dire qu'il est possible d'extraire les clefs de vérification (la plupart des ces systèmes sont basés sur TOTP, donc une clef secrète) et de les transférer dans une autre appli.

Je ne sais pas ce qu'il en est pour l'appli de ta banque, mais sur une des applis que j'ai pu tester au moins, et à une période donnée, la "protection" anti-téléphone rooté consistait simplement en une vérification de la présence du binaire "su". Il suffisait de le renommer pour ne plus avoir de problème…

Tu as raison, il s'agit d'un nom propre, ça devrait s'écrire Web.

Le forfait jour est normalement très encadré.

Dans notre cas (pour la pluspart), par exemple, Syntec limite le forfait jour aux personnes ayant un rôle effectif d'encadrement, aux commerciaux et aux consultants.

Le papier est ici, pour qui veut juger de source première : https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf

Je n'ai pas encore eu le temps de la lire, mais comme j'ai cherché le papier original, justement pour tenter d'y voire plus claire sur cette historie de Linage, je partage…

Exact ! J'ai déjà utilisé cette "astuce" :D

ne mène qu'à une vie ennuyeuse dans un village endormi

:sifflotte:

Autant pour moi, la dernière fois que j'avais regardé, je n'avais pas trouvé d'implémentation libre et à peu près complète ni de SAML, ni de OAuth.

comme toutes les alarmes, on a eu 100% de faux positifs et ça m'a vite gavé.

Les alarmes, c'est pas juste un truc inventé par les assureurs pour ne jamais rembourser les cambriolages car tout le monde les désactive ?

Ça a même tellement bien marché comme plan qu'ils l'ont étendu aux détecteurs de fumées, non ?

Ah ? J'avais jamais entendu le terme 0G, pourtant j'ai travaillé sur les réseaux LPWAN, mais bon, c'était il y a un moment maintenant (environ 3 ans).

Sigfox et Lora (comme NB-Iot et peut-être BT6), utilisent des fréquences "civiles^1" avec des puissances assez faibles, donc les brouilleurs sont assez facile à réaliser. Niveau sécurité, LoraWAN propose une du chiffrement et du contrôle d'intégrité au niveau de la couche de transport (opérateur) alors que Sigfox ne propose aucune garantie.

Pour un système d'alarme, ces protocoles seront très limités, ce ne sera utilisable que pour la remontée d'état des capteurs (et encore, pas trop, Sigfox, c'est 140 messages de 12 octets maximum par jour !). De plus, l'IoT ce n'est pas vraiment de l'internet : les protocoles LPWAN remontent les infos sur une passerelle (gateway), et à partir de là, tu as de l'IP. Pour de l'IP (v6) de bout en bout, il faut passer par des protocoles en couche "applicative" du point de vue du protocole LPWAN, comme SCHC.

¹ Quand je bossais sur LoraWAN, pour observer mes trames j'utilisais un tuner TV et GNURadio…

Le GSM "0G" restera, lui, pas de danger :)

GSM, c'est déjà de la 2G… 1G, ça correspond en France au Radiocom 2000, sur lequel marchaient essentiellement les téléphones dans les voitures dans les années 80-90. 0G, je vois pas.

Une bille de souris ? Ce sera une bille plastique, et il faut une souris d'un certain age…

Sur les roues vélos, le nombre et la taille des billes est variables. Elles se trouvent dans le moyeux, cela devrait t'aider pour trouver des vidéos te permettant de les démonter. Tu peux aussi en trouver dans les jeux de direction. Par contre, tu risque d'avoir du mal à récupérer les cuvettes dans lesquelles elles logent (mais ça doit pouvoir s'imprimer en 3D).

Autant pour moi, en relisant, je réalise que j'avais pas forcement bien compris ton propos. Ce que tu applaudis c'est le fait ne pas s'opposer à ce que d'autres recréé leurs ajouts non-libres qu'ils vendent. Et dans ce cas, je te rejoint. Toutes mes excuses.

Et perso, ça fait plaisir de voir qu'on peut être bankable sans utiliser le libre comme produit d'appel pour du non libre qu'on empêche la concurrence de faire.

Autant je suis d'accord sur le fait qu'ils font du vrai open-source sur la partie qui l'est, sans empêcher les autres de faire pareil, autant ne suis pas convaincu que le libre ne serve pas essentiellement de produit d'appel pour le non-libre. Il y a quand même plein de fonctionnalités quasi-indispensables ou très très utiles qu'ils ne libèrent pas (le SSO, par exemple).

Si, si, les protocoles utilisés par le télépégage appartient bien aux protocoles RFID, en SHF (bande de fréquence 2450-5 800 MHz), décrite par la spec ISO/IEC 18000, partie 4.

La puce en elle-même, je ne sais pas si elle fait la taille d'un grain de riz mais elle plutôt petite. Par contre, le circuit autour et la batteries, eux prennent de la place, on est d'accord.

Pour les animaux (et le contrôle d'accès), on utilise du RFID LF (120–150 kHz - ISO/IEC 18000, partie 2), qui a une portée bien plus réduite et est très lente à lire, mais qui peut fonctionner en passif.

Le NFC (ISO 14443), quand à lui, n'appartient pas vraiment au RFID, mais reprend les caractéristiques du RFID HF, sur la bande de fréquence 13,56 MHz, décrite par la spec ISO/IEC 18000, partie 3). Il peut fonctionner en passif et en actif et a une portée encore inférieure.

yavait pas Office sur mon Apple IIe

J'suis vieux, mais pas tant que ça ;) Le cours en question était autour de 1998 (année durant laquelle j'ai passé mon bac).

Effectivement, y'avait Wordstar mais on était sur la fin (j'l'avais oublié celui-là) et la suite Lotus.

Il me semble quand même que SailfishOS, bien que pas libre, est basé sur un noyau linux, ce qui le met quand même un peu plus dans le sujet de linuxfr.org que Windows 10, il me semble.

Pour windows 11, je ne sais pas, c'est peut être basé sur Linux, je ne suis pas beaucoup les actus des OS non libres :P

Clairement, cette différence de traitement entre les deux de la part de X. Niel m'a toujours agacée…

j'adore le superbe divulgacher québecois.

Personnellement, j'aime beaucoup le penispliquer qui vient traduire le terme anglais mansplaining.

En fait, je voulais pas parler ici de la pertinence d'utiliser MS Office plutôt que LibreOffice mais d'utiliser les outils bureautiques comme support d'apprentissage de la programmation.

Parce qu'honnêtement, à l'époque, la question d'utiliser une autre suite bureautique ne se posait pas vraiment (StarOffice n'était même pas encore disponible gratuitement… je suis vieux -_-).