Concernant la peinture d'Allen ici présentée, elle n'est ni révolutionnaire ni subversive, elle est plutôt jolie, comme tant d'autres. C''est déjà pas mal, dommage pour Allen qu'il se soit vanté de sa technique de création.
L'esthétique c'est subjectif, chez moi cette œuvre ne provoque aucune émotion, voire aucune réaction. C'est juste une construction sans aucune originalité.
Quant à la technique de création elle peut devenir fondamentale lorsquelle fait partie de l'œuvre ou n'avoir strictement aucune importance si l'œuvre se suffit à elle même ou encore si l'œuvre se résume au discours qui l'entoure .
Est-ce que le technique de création de la Fontaine de Marcel Duchamp avait de l'importance ?
J'y vois une certaine filliation… ;-)
Oui la remarque est idiote puisque sans la pub le web tel qu'on le connaît n'existerait tout simplement pas : moteurs de recherche, média en ligne, etc.
Chercher à savoir si cela a rendu le web meilleur n'a donc pas de sens et ce n'est d'ailleurs pas ce que dit l'article de Mozilla.
Au passage on voit que même Mozilla semble entrenir à dessin la confusion entre Internet, le réseau qui se devrait d'être neutre, et le web, l'un des nombreux services utilisant l'Internet.
Ce qui est questionnable c'est le modèle économique de Mozilla. Doit-il davantage s'appuyer sur la publicité, diversifier ses ressources autrement, ou continuer à dépendre essentiellement de Google ?
Pour pouvoir envoyer un courriel à plus de 500 destinataires avec Outlook il faut avoir volontairement contourné cette limite
À cet égard je doute que ceux qui font répondre à tous dans leur courielleur ne soit pas bloqués par leur prestatataire pour qui la limite est souvent beaucoup plus basse : 100 ou moins pour la plupart des FAI.
Le mieux serait d'abord d'en parler directement au chef d'établissement ou à son adjoint.
Si le problème est ignoré ou nié : courrier avec copie au rectorat rapellant les règles du service public et du RGPD.
Je n'ai pas relu attentivement l'artcicle que je cite, mais je ne me rapelle pas y avoir vu une démonstration. Au contraire, il part de la conclusion attendue et essaie d'y faire coller les faits en montrant une simple corrélation.
Encore un titre sensationnaliste pour générer du trafic.
Ce logiciel malveillant ne peut s'intaller que sur des serveurs Apache RocketMQ, non mis à jour, présentant la faille de sécurité CVE2023-33246.
Bah l'existence même de ce truc, c'est de dire: "on écoute sur le réseau au cas où une imprimante se signale".
On écoute sur le port 631 en UDP au cas ou un vieux serveur CUPS (≤1.5 sortie il y a 13 ans) veuille s'annoncer ainsi. Sinon le protocole Bonjour/mDNS est suffisant.
Il suffit de lire la page de man, ce que chacun devrait faire avant de discuter des problèmes et de leurs éventuelles solutions ;-)
C'est à l'auteur de ce journal que je demande de faire cette vérification parce que je pense qu'il a commis une grosse erreur dans l'emballement de la découverte de ce problème.
Si tu veux apporter ta contribution il faut fournir une argumentation étayée.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Je reformule puisque cela n'était pas clair.
Inutile de demander à tout le monde de désactiver un service qui peut être utile à certains.
Il y a d'autres moyens de se protéger de cette faille, il suffit que le service ne soit plus en écoute en UDP sur le port 631, sans que cela ait de conséquences négatives pour certains utilisateurs (mais pourquoi mon imprimante réseau n'est plus reconnue automatiquement ?)
Mais puisque tu réponds, as-tu bien vérifié que cette faille permet une élévation de privilège et une exécution de code arbitraire en tant que root ?
Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient : BrowseRemoteProtocols dnssd cups
Il suffit de remplacer par : BrowseRemoteProtocols dnssd
et de relancer le service.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
elles permettent à un utilisateur distant de faire exécuter du code en tant que root lors d'une impression initiée par un utilisateur du système. En particulier, elle permet donc à un utilisateur local de devenir root par ce biais.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
La plupart des systèmes Linux de bureau activent CUPS et cups-browsed par défaut. Certains serveurs sur internet exposent cups-browsed signale l'auteur.
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
Quant à la fameuse French Tech, ça tient plus de l'élevage de subvention
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
Il n'y a aucun sexisme dans mes posts.
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D
[^] # Re: En fait
Posté par Voltairine . En réponse au lien Famous AI Artist Says He’s Losing Millions of Dollars From People Stealing His Work . Évalué à 3.
L'esthétique c'est subjectif, chez moi cette œuvre ne provoque aucune émotion, voire aucune réaction. C'est juste une construction sans aucune originalité.
Quant à la technique de création elle peut devenir fondamentale lorsquelle fait partie de l'œuvre ou n'avoir strictement aucune importance si l'œuvre se suffit à elle même ou encore si l'œuvre se résume au discours qui l'entoure .
Est-ce que le technique de création de la Fontaine de Marcel Duchamp avait de l'importance ?
J'y vois une certaine filliation… ;-)
[^] # Re: A worse internet
Posté par Voltairine . En réponse au lien Mozilla : « Improving online advertising through product and infrastructure ». Évalué à 0.
Avec une recherche sur « unicode en version 16 » :
- linuxfr.org en 2e position sur DDG (3e sur Bing) ;
- linuxfr.org en 1ere position sur Google ;
C'est vachement invisibilisé !
Tu peux essayer avec d'autres termes utilisés dans des titres de journaux ou de dépêches :-D
[^] # Re: A worse internet
Posté par Voltairine . En réponse au lien Mozilla : « Improving online advertising through product and infrastructure ». Évalué à 2.
Oui la remarque est idiote puisque sans la pub le web tel qu'on le connaît n'existerait tout simplement pas : moteurs de recherche, média en ligne, etc.
Chercher à savoir si cela a rendu le web meilleur n'a donc pas de sens et ce n'est d'ailleurs pas ce que dit l'article de Mozilla.
Au passage on voit que même Mozilla semble entrenir à dessin la confusion entre Internet, le réseau qui se devrait d'être neutre, et le web, l'un des nombreux services utilisant l'Internet.
Ce qui est questionnable c'est le modèle économique de Mozilla. Doit-il davantage s'appuyer sur la publicité, diversifier ses ressources autrement, ou continuer à dépendre essentiellement de Google ?
[^] # Re: Réagir de manière graduée
Posté par Voltairine . En réponse au message Quel site utiliser pour signaler une adresse email fuitée ?. Évalué à 2.
Pour pouvoir envoyer un courriel à plus de 500 destinataires avec Outlook il faut avoir volontairement contourné cette limite
À cet égard je doute que ceux qui font répondre à tous dans leur courielleur ne soit pas bloqués par leur prestatataire pour qui la limite est souvent beaucoup plus basse : 100 ou moins pour la plupart des FAI.
Le mieux serait d'abord d'en parler directement au chef d'établissement ou à son adjoint.
Si le problème est ignoré ou nié : courrier avec copie au rectorat rapellant les règles du service public et du RGPD.
[^] # Re: Feature request
Posté par Voltairine . En réponse au lien Michel Blanc bronsonisé. Évalué à 4.
Faut voir si on peut blanchir Charles Bronson.
[^] # Re: La cause du décès
Posté par Voltairine . En réponse au lien Michel Blanc bronsonisé. Évalué à 4.
Ce n'est pas une prise de médicament mais l'injection d'un produit de contraste pour un scanner. Après, il a rejoint Garcimore, décontrasté.
[^] # Re: Le noyau Linux et cette approche
Posté par Voltairine . En réponse au lien De l'intérêt majeur de choisir un langage memory safe pour tout nouveau code d'un projet existant. Évalué à 1.
Je n'ai pas relu attentivement l'artcicle que je cite, mais je ne me rapelle pas y avoir vu une démonstration. Au contraire, il part de la conclusion attendue et essaie d'y faire coller les faits en montrant une simple corrélation.
# Titre sensationnaliste
Posté par Voltairine . En réponse au lien perfctl: A Stealthy Malware Targeting Millions of Linux Servers. Évalué à 10.
Encore un titre sensationnaliste pour générer du trafic.
Ce logiciel malveillant ne peut s'intaller que sur des serveurs Apache RocketMQ, non mis à jour, présentant la faille de sécurité CVE2023-33246.
Voir la fin de l'article, annexe 1.
Le problème est connu et corrigé depuis plus de 18 mois et il y a déjà eu beaucoup d'articles sur cette faille, ex : https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html
N.B. : l'article a quand même un certain interêt mais il aurait dû s'appeler : analysis of malware exploiting the CVE2023-33246 vunlerability
[^] # Re: Est-ce qu'il y a moyen de tester si l'imprimante réseau est sujette à cette faille ?
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3.
Cela dépend si Henri est passé par là ou pas…
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 1.
On écoute sur le port 631 en UDP au cas ou un vieux serveur CUPS (≤1.5 sortie il y a 13 ans) veuille s'annoncer ainsi. Sinon le protocole Bonjour/mDNS est suffisant.
Il suffit de lire la page de man, ce que chacun devrait faire avant de discuter des problèmes et de leurs éventuelles solutions ;-)
[^] # Re: Le noyau Linux et cette approche
Posté par Voltairine . En réponse au lien De l'intérêt majeur de choisir un langage memory safe pour tout nouveau code d'un projet existant. Évalué à 3.
Je suis également dubitative. Rappellons que cet argument vient de Gooogle pour le développement d'Android :
https://security.googleblog.com/2024/09/eliminating-memory-safety-vulnerabilities-Android.html
Il faut aussi se méfier des corrélations, cela ne démontre pas une relation de cause à effet.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3. Dernière modification le 29 septembre 2024 à 12:51.
C'est à l'auteur de ce journal que je demande de faire cette vérification parce que je pense qu'il a commis une grosse erreur dans l'emballement de la découverte de ce problème.
Si tu veux apporter ta contribution il faut fournir une argumentation étayée.
Relis bien le texte et regarde bien la vidéo postée sur le site du découvreur de cette faille:
le fichier malveillant injecté appartient à lp. Il a donc été créée par cet utilisateur et non par root.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3.
Je reformule puisque cela n'était pas clair.
Inutile de demander à tout le monde de désactiver un service qui peut être utile à certains.
Il y a d'autres moyens de se protéger de cette faille, il suffit que le service ne soit plus en écoute en UDP sur le port 631, sans que cela ait de conséquences négatives pour certains utilisateurs (mais pourquoi mon imprimante réseau n'est plus reconnue automatiquement ?)
Mais puisque tu réponds, as-tu bien vérifié que cette faille permet une élévation de privilège et une exécution de code arbitraire en tant que root ?
[^] # Re: désactivé par défaut
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 4.
Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient :
BrowseRemoteProtocols dnssd cupsIl suffit de remplacer par :
BrowseRemoteProtocols dnssdet de relancer le service.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 5.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
# Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 6.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
cf. https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities
(voir aussi la discussion dans la rubrique liens de linuxfr)
C'est probablement du fait
de son ego surdimensionnéd'une mauvaise communication et d'un manque de patience de sa part.[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 1.
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
[^] # Re: …pas seulement commerciales
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 3.
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 4. Dernière modification le 26 septembre 2024 à 08:46.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
# À la source
Posté par Voltairine . En réponse au lien Une faille de sécurité à distance jugée très sérieuse sera rendue publique le 6 octobre 2024. Évalué à 8.
Le tweet de Simone Margaritelli
https://threadreaderapp.com/thread/1838169889330135132.html
Le ton est assez curieux mais on peu avoir un ego surdimensionné, être très mauvais communicant et être un bon expert en sécurité.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -4.
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
[^] # Re: Ben si
Posté par Voltairine . En réponse au lien Licences « Fair Source » : ni libres, ni open-source, ni privatrices. Évalué à 1.
Un peu de lecture :
https://www.gnu.org/proprietary/proprietary.fr.html
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
[^] # Re: Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 10.
Aussi ;)
Je me demande à quoi sert la HATVP… ou alors il va falloir m'expliquer ce qu'est un conflit d'interêt…
# Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 8. Dernière modification le 23 septembre 2024 à 15:15.
https://lvsl.fr/pannier-runacher-perenco-et-konbini-quand-les-interets-petroliers-se-repeignent-en-vert/
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -2.
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D