Le tag est exactement ce que je me suis dit quand j'ai lu le titre… Ils virent 50 personnes, qui bossent sur des technos au coeur du navigateur, et ils pondent un nouveau projet annexe… dont personnellement je me fous et qu'ils vont probablement abandonner dans 6 mois.
En vrai, ce qu'il faudrait, c'est figer. Un bon vieux standard iso, respecté, y'a que ça de vrai. Ou sinon une RFC.
Qu'est-ce qui te fait penser que de nouveaux standards seraient plus suivis que les standards actuels du W3C ? Quant à figer, c'est sûr les navigateurs vont accepter de ne plus rien rajouter…
D'après le résumé en pdf du dépôt minible_hw, le "secure" MCU est un ATSAMD21E15, un mcu 32 bits generaliste de chez Atmel/Microchip ; la partie "core" est un combo SIP bluetooth/MCU, le ATBTLC1000, également de chez Atmel/Microchip.
Puisque tu semble faire parti du projet. Je n'arrive pas à trouver les sources de la partie carte à puce, ni même de quel SE il s'agit, avec quelle application. Tu aurais des pointeurs (ou à defaut des infos) ?
Les sauvegardes sont chiffrées, donc pas d'inquiétude si le fichier de sauvegarde est dans la nature: en quoi est-ce une exposition différente de mon "coffre" Keypass/Bitwarden/autre dans les nuages? Si la clé est interceptée, le fichier est vulnérable. La clé peut être interceptée avec un logiciel malveillant sur une machine compromise, non?
Multipass est composé de deux parties : le gros bidule electronique stocke le fichier de mots de passe, permet de naviguer parmi eux et de faire la partie saisie (clavier BLE), etc. et une carte à puce pour le stockage et l'utilisation sécurisée d'une clef de chiffrement qui chiffre les mots de passe. Et ça fait même un peu plus puisque le Multipass fait aussi office de token Fido/Webauthn.
L'utilisation d'une carte à puce pour réaliser le chiffrement fait que la clef n'est pas interceptable puisqu'elle reste au sein d'un chip sécurisé, et si le SE fait son job, elle ne devrait pas être récupérable sans de gros moyens.
Multipass est un projet relativement ancien, conçu par la communauté autour du site Hackaday ; il a reçu pas mal de regards, et à mon avis, a une architecture bien conçue. Le présent kickstarter porte sur une version BLE du projet précédent : https://www.themooltipass.com/
Toujours des fabricants qui cherchent à économiser quelques centimes sur des téléphones qui sont vendus plusieurs centaines d'euros, j'aurais dû m'en douter. C'est ça le vrai problème, finalement.
Plus ou moins. Le coût de l'ajout d'une RTC, ce n'est pas seulement les quelques centimes du composant… D'ailleurs la plupart des téléphones "haut de gamme" en sont équipés ; là où ça pèche c'est sur les téléphones moyen de gamme et/ou custom, produits en petite série.
La plupart des téléphones, surtout dans les entrées/moyen de gamme, sont conçus à partir de "reference design" fournis par les fondeurs de chips (Broadcom, MTK, etc.). Ces références design sont ensuite adaptés par les constructeurs de téléphones qui viennent y mettre leurs périphériques, suivre les contraintes mécaniques, etc. Ils doivent ensuite patcher les sources plus ou moins propres de l'OS Android fournies avec le reference design, pour y mettre leurs drivers, les applications maisons, etc. Cette dernière étape peut être assez coûteuse, chaque composant ajouté ajoute ses propres soucis, instabilités, validations, etc. D'autant plus que l'usage d'une RTC peut avoir pas mal d'effets de bords dans l'embarqué, à assez bas niveau.
Le prélèvement SEPA est certes plus contraignant à mettre en place pour l'entreprise qui prélève, mais offre en contrepartie plus de garanties : il n'est plus possible pour le débiteur d'annuler le prélèvement a posteriori (mais il peut annuler le mandat a priori).
tu dis ne plus avoir entendu parler, donc c'est que ton créancier supposé n'en était pas un.
Donc je parie qu'en backend la banque a demandé à ton créancier le mandat que tu as signé, et il ne l'a pas fourni.
Ça correspondrait avec le fait que la banque est revenue un an en arrière : l'annulation c'est 8 semaines en cas de possession d'un mandat et 13 mois sans…
Pour les scanner, je ne sais pas ; pour les imprimantes HP, la dernière fois que j'avais regardé, le protocole réseau était basé sur du Bonjour et était aussi supporté par AirPrint, il me semble.
Je me disais bien. Pendant le confinement, j'ai réinstallé samba sur le PC qui fait office de NAS de la maison ; il me semblait avoir testé sous Windows et que ça avait marché sans effort (mais je n'étais pas sûr, je n'utilise vraiment pas beaucoup de Windows).
Par contre, c'est un dépôt central, pas plusieurs partages locaux. Mais en un autre temps, j'avais des partages locaux (en samba) configurés sur toutes les machines, et ça marchait bien, de Linux à Linux1, de Windows à Linux et inversement ; par contre, je suis sûr de ne pas avoir réessayé sous Windows depuis Windows 10.
1: En Linux, j'avais du Debian, du Ubuntu et du Fedora
Chez moi (entreprise dont je suis cofondateur, mais pas gestionnaire), la mutuelle couvre les enfants, et c'est le même prix qu'ils y en ait ou non. Le conjoint est en option, mais je paye moi-même le supplément.
Il me semble que la prise en charge du conjoint n'est payée par l'employeur que dans le cas où elle est obligatoire (la prise en charge, pas la mutuelle qui l'est toujours)… Donc si l'employeur a, à mon avis, mal négocié son contrat.
Pour les pages perso, oui c’est dommage. Internet n’est vraiment pas pérenne. Je me demande comment les générations futures étudieront notre époque. Le papier malgré tout ça dure.
Pour le coup, ce sera exactement pareil : ils se baseront sur ce qui reste pour tenter d'en déduire ce qui manque… Des livres brulés, dont tous les exemplaires ont disparus, je presque sûr que ça existe ;)
La délation, ce n'est pas dénoncer un crime ou un délit dont on est témoin. La délation c'est le faire de façon malsaine, pour des motifs égoïstes. Le Larousse définit la délation par
délation n.f.
Dénonciation intéressée, méprisable, inspirée par la vengeance, la jalousie ou…
Et ce n'est pas, de ce que j'ai lu du passage que tu as cité, ce à quoi appelle Assa Traoré.
Je suis partagé aussi. D'un côté, pour moi, Twitter et compagnie ce sont des tuyaux plus ou moins neutres, qui relaient les productions des autres, et pas des organes de presses chargés d'interpréter. De l'autre, ces plate formes ont pris une telle importances dans la diffusion d'information que beaucoup de gens n'ont plus que ça comme source d'info.
Dans l'ensemble, je trouve plutôt bien d'avoir des interfaces d'accès direct à l'information, mais je trouve important d'avoir en parallèle des médias qui aident à interpréter cette information, à faire un travail de recherche et de vérification que je n'ai pas forcemment le temps de faire moi même. Paradoxalement, j'ai l'impression que cet accès direct à l'info rend le besoin de journalistes (ou d'un type de journalistes) encore plus grand, alors que ça a tendance à renforcer la défiance vis à vis des médias, du fait même de l'attraction et du poids médiatique disproportionné des diffuseurs de fake-news qui satisfont les préjugés.
De ce que j'en comprend, le "product owner" voudrait que la mention de sa chaine soit présente dans les vidéos produites par le logiciel (ou au moins dans les commentaires de la vidéo). Je ne connais pas de licence libre qui permette ça.
La clause d'attribution ne marche que pour les diffusions du logiciel lui même, pas des réalisations produites à l'aide de celui-ci. Les licenses GNU conservent également l'attribution, ce n'est pas pour autant que tous les fichiers textes produits ont une phrase contenant "Free Software Fondation"
La conception d'un système de vote électronique fiable est un problème difficile, auquel la communauté cryptographique s'intéresse depuis longtemps. Tu peux regarder l'article wikipedia https://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems (qui n'existe malheureusement pas en Français) si le sujet t'interesse.
Cet article contient, entre autre, une liste des propriétés que doit vérifier un système de vote (David Chaum a initié ce travail, si ma mémoire est bonne). J'ai vu plusieurs présentations commencer par dire qu'on ne peut avoir que deux propriétés simultanées :
- anonyme ;
- universellement vérifiable ;
- simple à expliquer.
Ce dernier point est d'ailleurs l'une des grandes forces du scrutin papier ; la résistance à la coercition, la grande force de l'isoloir.
À ma connaissance, il n'y a pas de définition formelle d'un HSM. Ce n'est pas un HSM bancaire, mais il s'agit bien d'un composant hardware dédié au stockage et l'utilisation de clefs cryptographiques. Il peut être intégré à un firmware, par exemple chez Intel : Intel firmware-based TPM (fTPM), mais c'est généralement un composant dédié (le ST sur base ST33 est très répandu).
Mais les capacité d'un TPM sont très limitées, même si c'est mieux depuis TPMv2, essentiellement pour limiter leurs coûts, ils ne peuvent stocker en interne que très peu de clefs (généralement quelques clefs symétriques), et supportent un nombre très faible d'algos pour les calculs.
Ce commentaire affirme que les jeunes enfants ne sont pas à l'aise avec la communication numérique et que ce sont les parents qui choisissent le moyen de communication
Alors, ce que je voulais surtout affirmer, c'est que les enseignants font comme ils peuvent, et visent surtout l'efficacité de transmission. Et que, même si certains essayent de "bien" faire, ils sont avant tout pragmatiques et font en sorte que l'information passe, même si pour cela il faut s'asseoir sur leurs principes.
De plus la Proviseure dans sa réponse affirme que ce sont les lycéens qui ont choisis leurs moyens de communication.
Ce qui va dans le même sens, ils font avec ce que les élèves utilisent…
Je ne connais pas l'écran de la Pebble, mais je travaille avec des écrans SSD (Solid state display—eInk est une marque). J'ai peut-être un élément de réponse : les écrans e-ink sont déjà extrêmement chers par rapport à des LCD classique, alors que les fabriquants font un peu de volume. Si tu pars sur une techno relativement marginale, ça va être encore plus cher.
Ensuite, sur les écrans SSD, tu as pas mal de tuning à faire, pour gérer la vitesse d'affichage, la rémanence (bien souvent un compromis entre les deux), avec peu d'infos et d'exemples. Peut-être que c'est pire avec les écrans du type des Pebble ?
[^] # Re: Vision?
Posté par aiolos . En réponse au lien Mozilla lance hubs, un moteur de salons en réalité virtuelle. Évalué à 7.
Le tag est exactement ce que je me suis dit quand j'ai lu le titre… Ils virent 50 personnes, qui bossent sur des technos au coeur du navigateur, et ils pondent un nouveau projet annexe… dont personnellement je me fous et qu'ils vont probablement abandonner dans 6 mois.
[^] # Re: Article vide, titre putaclic, sans sources…
Posté par aiolos . En réponse au lien Mozilla songerait à mettre de côté son navigateur historique Firefox. Évalué à 6.
Qu'est-ce qui te fait penser que de nouveaux standards seraient plus suivis que les standards actuels du W3C ? Quant à figer, c'est sûr les navigateurs vont accepter de ne plus rien rajouter…
[^] # Re: clé
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 3. Dernière modification le 04 août 2020 à 23:32.
D'après le résumé en pdf du dépôt minible_hw, le "secure" MCU est un ATSAMD21E15, un mcu 32 bits generaliste de chez Atmel/Microchip ; la partie "core" est un combo SIP bluetooth/MCU, le ATBTLC1000, également de chez Atmel/Microchip.
[^] # Re: Qui de la mobilité ?
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 1.
Il me semble que ça marche en BLE…
[^] # Re: clé
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 1.
Puisque tu semble faire parti du projet. Je n'arrive pas à trouver les sources de la partie carte à puce, ni même de quel SE il s'agit, avec quelle application. Tu aurais des pointeurs (ou à defaut des infos) ?
[^] # Re: Une opinion par des experts?
Posté par aiolos . En réponse au lien Mooltipass BLE: un gestionnaire de mot de passe open-{source,hardware} wireless est en pré-commande. Évalué à 3. Dernière modification le 27 juillet 2020 à 18:01.
Multipass est composé de deux parties : le gros bidule electronique stocke le fichier de mots de passe, permet de naviguer parmi eux et de faire la partie saisie (clavier BLE), etc. et une carte à puce pour le stockage et l'utilisation sécurisée d'une clef de chiffrement qui chiffre les mots de passe. Et ça fait même un peu plus puisque le Multipass fait aussi office de token Fido/Webauthn.
L'utilisation d'une carte à puce pour réaliser le chiffrement fait que la clef n'est pas interceptable puisqu'elle reste au sein d'un chip sécurisé, et si le SE fait son job, elle ne devrait pas être récupérable sans de gros moyens.
Multipass est un projet relativement ancien, conçu par la communauté autour du site Hackaday ; il a reçu pas mal de regards, et à mon avis, a une architecture bien conçue. Le présent kickstarter porte sur une version BLE du projet précédent : https://www.themooltipass.com/
[^] # Re: Quel rapport OMS?
Posté par aiolos . En réponse au journal Le masque obligatoire une fausse bonne idée ?. Évalué à 2.
Je crois qu'il s'agit des conseils pour le port du masque, donné en lien dans l'article : https://apps.who.int/iris/bitstream/handle/10665/332448/WHO-2019-nCov-IPC_Masks-2020.4-fre.pdf
[^] # Re: Pas si simple
Posté par aiolos . En réponse au message Un téléphone qui fasse réveil. Évalué à 4.
Plus ou moins. Le coût de l'ajout d'une RTC, ce n'est pas seulement les quelques centimes du composant… D'ailleurs la plupart des téléphones "haut de gamme" en sont équipés ; là où ça pèche c'est sur les téléphones moyen de gamme et/ou custom, produits en petite série.
La plupart des téléphones, surtout dans les entrées/moyen de gamme, sont conçus à partir de "reference design" fournis par les fondeurs de chips (Broadcom, MTK, etc.). Ces références design sont ensuite adaptés par les constructeurs de téléphones qui viennent y mettre leurs périphériques, suivre les contraintes mécaniques, etc. Ils doivent ensuite patcher les sources plus ou moins propres de l'OS Android fournies avec le reference design, pour y mettre leurs drivers, les applications maisons, etc. Cette dernière étape peut être assez coûteuse, chaque composant ajouté ajoute ses propres soucis, instabilités, validations, etc. D'autant plus que l'usage d'une RTC peut avoir pas mal d'effets de bords dans l'embarqué, à assez bas niveau.
[^] # Re: Banque
Posté par aiolos . En réponse au message Application malveillante, responsabilité bancaire ?. Évalué à 2.
C'est obligatoire
Si, la loi.
[^] # Re: Banque
Posté par aiolos . En réponse au message Application malveillante, responsabilité bancaire ?. Évalué à 3. Dernière modification le 17 juillet 2020 à 00:08.
Le prélèvement SEPA est certes plus contraignant à mettre en place pour l'entreprise qui prélève, mais offre en contrepartie plus de garanties : il n'est plus possible pour le débiteur d'annuler le prélèvement a posteriori (mais il peut annuler le mandat a priori).
[^] # Re: Banque
Posté par aiolos . En réponse au message Application malveillante, responsabilité bancaire ?. Évalué à 1.
Ça correspondrait avec le fait que la banque est revenue un an en arrière : l'annulation c'est 8 semaines en cas de possession d'un mandat et 13 mois sans…
[^] # Re: En filaire ?
Posté par aiolos . En réponse au lien sane-airscan pour scanner sans driver grâce à AirScan, le pendant d'AirPrint. Évalué à 2.
Pour les scanner, je ne sais pas ; pour les imprimantes HP, la dernière fois que j'avais regardé, le protocole réseau était basé sur du Bonjour et était aussi supporté par AirPrint, il me semble.
[^] # Re: Samba ça marche au poil
Posté par aiolos . En réponse au journal Partage familial de fichiers (lecture seule, sans mot de passe). Évalué à 2.
Je me disais bien. Pendant le confinement, j'ai réinstallé samba sur le PC qui fait office de NAS de la maison ; il me semblait avoir testé sous Windows et que ça avait marché sans effort (mais je n'étais pas sûr, je n'utilise vraiment pas beaucoup de Windows).
Par contre, c'est un dépôt central, pas plusieurs partages locaux. Mais en un autre temps, j'avais des partages locaux (en samba) configurés sur toutes les machines, et ça marchait bien, de Linux à Linux1, de Windows à Linux et inversement ; par contre, je suis sûr de ne pas avoir réessayé sous Windows depuis Windows 10.
1: En Linux, j'avais du Debian, du Ubuntu et du Fedora
[^] # Re: Statut familial
Posté par aiolos . En réponse au journal Ces quelques modèles de CV. Évalué à 3.
Chez moi (entreprise dont je suis cofondateur, mais pas gestionnaire), la mutuelle couvre les enfants, et c'est le même prix qu'ils y en ait ou non. Le conjoint est en option, mais je paye moi-même le supplément.
Il me semble que la prise en charge du conjoint n'est payée par l'employeur que dans le cas où elle est obligatoire (la prise en charge, pas la mutuelle qui l'est toujours)… Donc si l'employeur a, à mon avis, mal négocié son contrat.
[^] # Re: Sony ?
Posté par aiolos . En réponse au journal De la difficulté de mettre à jour Android (avec l'approbation Google). Évalué à 1.
/e/ c'est du Android aussi ;)
[^] # Re: Jeu de postures
Posté par aiolos . En réponse au journal Les syndicats mentent-ils ?. Évalué à 2. Dernière modification le 25 juin 2020 à 01:23.
On l'entend de plus en plus remplacée par la distanciation physique, plus proche de la réalité à mon avis.
[^] # Re: Si quelqu'un a une explication...
Posté par aiolos . En réponse au journal 2020 année de Linux sur le desktop .... Évalué à 3.
Moi aussi. D'ailleurs, je n'ai même pas X.org ;)
[^] # Re: bien fait !
Posté par aiolos . En réponse au journal free.fr tu n'es plus mon ami. Évalué à 4.
Pour le coup, ce sera exactement pareil : ils se baseront sur ce qui reste pour tenter d'en déduire ce qui manque… Des livres brulés, dont tous les exemplaires ont disparus, je presque sûr que ça existe ;)
[^] # Re: Si t'as pas ton tag à 40 ans, t'as raté ta vie (de moule)
Posté par aiolos . En réponse au journal De l'usage de la section Liens sur LinuxFr. Évalué à 6.
La délation, ce n'est pas dénoncer un crime ou un délit dont on est témoin. La délation c'est le faire de façon malsaine, pour des motifs égoïstes. Le Larousse définit la délation par
Et ce n'est pas, de ce que j'ai lu du passage que tu as cité, ce à quoi appelle Assa Traoré.
Bisous
[^] # Re: Qu'en penser?
Posté par aiolos . En réponse au lien Tweets de Trump : chez Facebook, la fronde s'organise contre la position de Mark Zuckerberg. Évalué à 1.
Je suis partagé aussi. D'un côté, pour moi, Twitter et compagnie ce sont des tuyaux plus ou moins neutres, qui relaient les productions des autres, et pas des organes de presses chargés d'interpréter. De l'autre, ces plate formes ont pris une telle importances dans la diffusion d'information que beaucoup de gens n'ont plus que ça comme source d'info.
Dans l'ensemble, je trouve plutôt bien d'avoir des interfaces d'accès direct à l'information, mais je trouve important d'avoir en parallèle des médias qui aident à interpréter cette information, à faire un travail de recherche et de vérification que je n'ai pas forcemment le temps de faire moi même. Paradoxalement, j'ai l'impression que cet accès direct à l'info rend le besoin de journalistes (ou d'un type de journalistes) encore plus grand, alors que ça a tendance à renforcer la défiance vis à vis des médias, du fait même de l'attraction et du poids médiatique disproportionné des diffuseurs de fake-news qui satisfont les préjugés.
[^] # Re: By ?
Posté par aiolos . En réponse au message La licence que je cherche pour ouvrir mon code existe-t-elle?. Évalué à 3.
De ce que j'en comprend, le "product owner" voudrait que la mention de sa chaine soit présente dans les vidéos produites par le logiciel (ou au moins dans les commentaires de la vidéo). Je ne connais pas de licence libre qui permette ça.
La clause d'attribution ne marche que pour les diffusions du logiciel lui même, pas des réalisations produites à l'aide de celui-ci. Les licenses GNU conservent également l'attribution, ce n'est pas pour autant que tous les fichiers textes produits ont une phrase contenant "Free Software Fondation"
[^] # Re: Confidentialité, vérifiabilité
Posté par aiolos . En réponse à la dépêche Avec GvoT, organisez vos votes en ligne !. Évalué à 6.
La conception d'un système de vote électronique fiable est un problème difficile, auquel la communauté cryptographique s'intéresse depuis longtemps. Tu peux regarder l'article wikipedia https://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems (qui n'existe malheureusement pas en Français) si le sujet t'interesse.
Cet article contient, entre autre, une liste des propriétés que doit vérifier un système de vote (David Chaum a initié ce travail, si ma mémoire est bonne). J'ai vu plusieurs présentations commencer par dire qu'on ne peut avoir que deux propriétés simultanées :
- anonyme ;
- universellement vérifiable ;
- simple à expliquer.
Ce dernier point est d'ailleurs l'une des grandes forces du scrutin papier ; la résistance à la coercition, la grande force de l'isoloir.
[^] # Re: <noob>A quoi ça sert ?</noob>
Posté par aiolos . En réponse au journal Utilisation d’un TPM pour l’authentification SSH. Évalué à 4.
À ma connaissance, il n'y a pas de définition formelle d'un HSM. Ce n'est pas un HSM bancaire, mais il s'agit bien d'un composant hardware dédié au stockage et l'utilisation de clefs cryptographiques. Il peut être intégré à un firmware, par exemple chez Intel : Intel firmware-based TPM (fTPM), mais c'est généralement un composant dédié (le ST sur base ST33 est très répandu).
Mais les capacité d'un TPM sont très limitées, même si c'est mieux depuis TPMv2, essentiellement pour limiter leurs coûts, ils ne peuvent stocker en interne que très peu de clefs (généralement quelques clefs symétriques), et supportent un nombre très faible d'algos pour les calculs.
[^] # Re: Résumé rapide
Posté par aiolos . En réponse au lien Le regard des parents sur l’école à distance - sondage IFOP. Évalué à 1.
Alors, ce que je voulais surtout affirmer, c'est que les enseignants font comme ils peuvent, et visent surtout l'efficacité de transmission. Et que, même si certains essayent de "bien" faire, ils sont avant tout pragmatiques et font en sorte que l'information passe, même si pour cela il faut s'asseoir sur leurs principes.
Ce qui va dans le même sens, ils font avec ce que les élèves utilisent…
[^] # Re: e-ink
Posté par aiolos . En réponse au lien [en] Pourquoi votre ordinateur est plus lent qu'un PC des années 1970. Évalué à 2.
Je ne connais pas l'écran de la Pebble, mais je travaille avec des écrans SSD (Solid state display—eInk est une marque). J'ai peut-être un élément de réponse : les écrans e-ink sont déjà extrêmement chers par rapport à des LCD classique, alors que les fabriquants font un peu de volume. Si tu pars sur une techno relativement marginale, ça va être encore plus cher.
Ensuite, sur les écrans SSD, tu as pas mal de tuning à faire, pour gérer la vitesse d'affichage, la rémanence (bien souvent un compromis entre les deux), avec peu d'infos et d'exemples. Peut-être que c'est pire avec les écrans du type des Pebble ?