A la base c'était un peu du second degré, parce que justement, avec l’essor des anonymous, les DDOS étaient comparés à des manifs en ligne.
A ta décharge, dans la vie physique ça confond de la même manière manifestation (ou grève) et blocage/cassage.
Euh non, je ne confonds pas les deux. Ne suppose pas de ce que je suis, ce que je sais, et ce que je pense s'il te plait.
Tu confonds avec terrorisme.
Dans un DDOS basique, y a pas de cassage du site, juste une indisponibilité temporaire. Il n'y a pas non plus de morts, contrairement au terrorisme, ni tout simplement de terreur répandu par un DDOS tout bête. En fait, je ne suis pas certains de qui confond quoi ici.
J'ai un gros doute car le risque de se faire détecter est très grand. As-tu des sources ?
J'ai vu passer ca y a quelques mois, j'ai plus la source sous le coude.
Pour que ce soit efficace, il faut que l'attaquant chiffre les données avant la sauvegarde, puis chiffre les données après. Il faut pour cela connaître l'heure et la durée de sauvegarde, on est là sur un logiciel super évolué ou une attaque manuelle.
Bah non, tu balances le ransonware qui infecte le SI sans s'activer, donc il passe inaperçu, personne ne sait qu'il est là. Les backups sont faites pendant un an avec le ransonware dormant, donc à moins de remonter loin dans le temps, même si les données sont en claires, le malware est présent.
Le jour de l'attaque, le ransonware s'active et chiffre toutes les données, avec demande de rançon. La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés. Du coup, à moins de remonter sur des sauvegardes qui ont plus d'un an, tu te retrouves avec des systèmes infectés qui se rechiffrent à chaque fois que tu les restaures.
Tu me diras au moment où tu récupères les données, elles sont pas chiffrées donc c'est bon. Sauf que faut quand même des serveurs qui fonctionnent pour ca, et qui chiffrent pas les données dès qu'elles sont montées dessus. Donc à moins de partir d'un SI vierge et totalement réinstallé, c'est mort pour faire une restauration.
En plus, en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.
Et un backup "rsync+ssh" du owncloud avec rotation journalière (7 jours) et hebdomadaire (3 semaines).
Certains ransonware modernes mettent plus d'un an avant de s'activer, histoire d'être présent dans les sauvegardes et empêcher toute possibilité de restauration.
Mais la, ça en dit surtout long sur le niveau d'importance que le peuple apporte à la démocratie :(.
Quelle démocratie ? La carotte que nous a tendu la République pour légitimer la gouvernance par des gens qui ne nous représente pas, et qui ne défende pas nos intérêts ?
Même si on nous apprend au collège et lycée qu'on est une démocratie et qu'on décrit partout à la télé que notre régime est une démocratie, ce n'est pas vraiment le cas en fait. Nous sommes avant tout une République, ayant un caractère démocratique s'exprimant par le vote d'une partie de nos élus, rien d'autre. Ce n'est donc pas un régime démocratique, mais un régime républicain.
Ca me fait toujours tiquer quand je vois un projet disant "oui on a mis en prod l'env de dev qui est pas très sécurisé et carrément déconseillé pour la prod par tout le monde, mais tkt on gère et en plus on a mis un reverse-proxy/firewall/whatever". Ca me fait par contre pas tiquer quand je tombe, quelques temps plus tard, sur une news annoncant un leak massif de données de la plateforme en question, ou que je recois des spams venant de là.
Penser "sécurité" pendant les process de dev, mais aussi de mise en prod, ce sont des efforts certes, mais qui permettent de grandement réduire la surface d'attaque sur une webapp.
tu conseilles quelque chose ?
Pas mettre en prod un env de dev déjà. Si vous avez une DSI qui fait aussi de la sécurité, aller leur demander des conseils, c'est leur métier. Si vous avez un WAF, faire passer les flux accédant à l'appli par là (le WAF servant aussi de reverse-proxy). Si vous en avez pas, bah faudrait penser à en mettre un, au moins pour limiter les XSS et les SQLi. Comme t'as déjà un reverse proxy, tu peux en mettre un dessus : si c'est un nginx tu as naxsi ; si c'est un apache, tu as modsecurity. Et garder un oeil sur les logs aussi, y a toujours pleins de choses intéressantes dedans.
Tu peux déjà mettre la 3.3 si tu veux en activant les maj des pré-releases. J'avais vu le changelog, y a pas mal d'évolutions sur la partie Android, mais je me souviens pas avoir vu quelque chose sur le bluetooth.
Ouaip, le son est la seule chose qui marche en bluetooth justement. Une smartwatch ou autre utilisation du bluetooth ne marcheront pas, le BLE non plus, dans ce contexte là (SFOS X, vm android, etc). C'est documenté clairement sur TJC.
Sauf quand t'as pas un forfait illimité sur la data en fait. Et je suis surpris d'apprendre que le bluetooth est activé par défaut sous Android ou iOS maintenant.
Avec SFOS X tu n'as pas de bluetooth low energy, ni de bluetooth tout court dans la VM Android. Quand au J1, il fait tourner une VM en android 4.1 de mémoire ? Il y a très peu de chance qu'il soit compatible avec la dite appli.
Mais bon, tout ce qui n'est ni iOS ni Android représentant moins de 0.5% de part de marché, jcrois que tout le monde s'en fiche un peu de cet OS dans ce cadre x). Il est même très probable que le législateur de base n'en ait jamais entendu parler.
C'est trop tard pour avoir confiance dans ces entreprises tellement les casseroles qu'elles traînent sont grosses. Si ces entreprises souhaitent faire un geste pour aider à combattre cette épidémie, elles peuvent déjà commencer par respecter honnêtement la fiscalité des différents pays dans lesquelles elles sont. Au moins, ca nous fera des tunes pour acheter des masques et des tests. Et là, au moins, pas besoin d'avoir confiance pour accepter ce genre de "geste" de leur part, et ca sera diablement plus efficace que des applis fumeuse (oui, je persiste à les trouver fumeuses), reposant sur aucune étude d'impact autre que "ha ca a marché en Corée on va faire pareil" alors que les contextes n'ont strictement rien à voir, comme les usages qui en sont prévus.
En Corée du sud, comme à Taiwan et dans les autres pays du coin, ils ont été atteints par le SRAS en 2003. Ils ont donc une expérience récente d'épidémie mortelle. Grâce à cette expériences, Taiwan a par exemple créé un centre de gestion de crises sanitaires par exemple. Ils ont pris rapidement des mesures dès le début de l'épidémie incitant les comportements permettant de limiter la propagation du covid au lieu de dire que tout va bien et d'aller au théâtre, en prenant 3 mois pour ses décider à prendre des premières mesures.
Là-bas, certaines mesures prises, tel que les thermomètres thermiques dans les lieux publics et le tracking des mobiles, ont permis de détecter rapidement les premiers cas de covid pour les prendre en charge tôt, ce qui a permis de limiter les complications et les décès. Leur détection rapide a également permis d'éviter qu'ils contaminent beaucoup d'autres personnes, comme par exemple le cas des toursites du bateau de croisière "Diamond Princess" (placé en quarantaine). Le tracking des personnes a servi à établir des chemins de contaminations.
Ici, cette logique pour un tracking des mobiles, est totalement inapplicable car le virus circule librement sur le territoire (d'où le stade 3 de gestion d'épidémie en fait). De plus, dans ces pays d'asie, le tracking du téléphone était associé à d'autres mesures, comme des tests de dépistages, mais aussi aux caméras thermiques, aux mesures de quarantaines, etc. Ici, on a clairement fait le choix de ne pas faire de quarantaine, on ne peut faire un depistage que si on a des symptomes et des problèmes respiratoires, on a pas de masques (en asie, culturellement ils mettent très facilement des masques dès qu'ils ont un rhume, contre la pollution, ou d'une facon générale). Même avec les nouveaux tests de dépistages plus rapide à faire et plus fiables qui sortent, on ne pourra pas suivre pour le nombre de tests à réaliser (juste comme ca, ce que je disais sur la capacité du nombre de tests quotidien, c'était ce qui était annoncé aux infos hein). Et on ne va pas parler des caméras thermiques, de l'information permettant d'éduquer les comportements, et des autres mesures prises en Asie mais auxquelles on a pas pensé ici.
Donc non, il n'y a strictement rien de factuel à l'utilisation d'une appli dans le contexte nationale, car il ne ressemble strictement en rien à celui qu'il y avait à Taiwan ou en Corée du sud au moment de la mise en place de ce tracking.
Si tu as des pointeurs vers des études concrètes de l'impact d'une telle appli sur un territoire où il est considéré que le virus circule librement mais que moins de la population n'a été touché ou n'est immunisée, et qu'il y a de nombreux porteurs saints inconnus, je reste preneur.
Mais surtout personne n'a dit que ça pouvait remplacer les tests. L'objectif c'est de réduire voir de ne plus avoir besoin d'un confinement généralisé.
Justement, pour atteindre cette objectif, je trouve que seul l'utilisations de tests et de moyens de protections adaptés pourront servir, là où une applis donnera des informations trompeuses.
L'ennuie c'est que pour le dépistage, avec la production prévue, il faudra environ 2 ans pour tester l'ensemble de la population.
mais annoncer la chose comme totalement fumeuse parce qu'elle ne te plaît pas ne va pas être une argumentation très efficace.
Tu te méprends sur mon commentaire. Faisant parti d'une de ces catégories de personnes ne pouvant pas installer d'appli Android ou iOS, et encore moins utilisant le bluetooth, je m'en fiche un peu en fait.
C'est bel et bien l'efficacité de ce genre d'applis que je trouve fumeux car le "contact" détecté l'est fait en fonction des moyens techniques disponibles et de critères définis selon un contexte général, mais ne prend aucunement en compte les 50 milliards de cas particuliers rendant ce genre d'applis inefficace. Si comme relevé dans un autre commentaire, cette appli permet aussi d'avoir une idée si quelqu'un de contaminé a pris l’ascenseur par exemple, pour éviter la contamination par ce biais, comment va-t-elle aider à détecter les personnes qui sont passées 5 minutes avant par exemple ? En fait, le résultat peut même s'avérer totalement faux et procurer un faux sentiment de sécurité par rapport à la réalité du coup. Ou alors le but n'est que de détecter les personnes avec lesquelles on est en contact direct ? Mais dans ce cas est-ce que cette appli sera réellement utile ?
Et mettons, j'arrive dans les locaux de mon entreprise, j'ai une alerte avant d'ouvrir la porte : je vais au supermarché du coin acheter des gants ? Ils en ont encore d'ailleurs ? Si j'ai une alerte provoquée par quelqu'un qui passe devant mon bureau, mettons 2j après la réouverture des locaux, je fais quoi ? Je cours faire un dépistage du covid ? Si il faut la personne a pris toute ses précautions pour contaminer personne et cette alerte provoque un stress inutile ; si il faut il en a totalement rien à faire et a contaminé la moitié de l'entreprise parce que tout le monde se pensait en sécurité à cause de l'absence d'alerte.
Je trouve qu'une appli sans moyen de dépistage ni de protection à côté ne sert à rien en fait, à part provoquer de faux jugements de sa sécurité vis-à-vis du covid.
Si le système reste sur une base volontaire, celui qui ne veut pas de smartphone n’est pas obligé d’en avoir un. Mais on peut inverser le questionnement et se demander s’il n’y a pas nécessité en cas d’adoption généralisée de cette application responsabilité de prévoir les aides sociales afin de permettre à tous sans exception d’avoir un appareil.
Si on a pas de forfait avec data illimité, faut prévoir des aides pour lui aussi ?
Si le choix de ne pas avoir de smartphone ou de téléphone portable tout court est un choix de vie personnel, ou qu'on a un smartphone qui n'est ni sous iOS ni sous Android, on reste enfermé chez soit jusqu'à ce que suffisamment de tests soit faits ? Si la fin du confinement est conditionné par l'utilisation d'une tel application, comment ca se passe pour un salarié qui ne peut pas en installer une ?
Comment peut-on réellement évaluer l'efficacité de ce genre de dispositif, sachant que dans des bureaux ou immeubles on peut capter le bluetooth de gens qui ne sont pas présent au même endroit ? Genre celui des voisins, des collègues dans d'autres bureaux et qu'on ne croise pas, etc
Cette histoire d'appli a l'air totalement fumeuse en fait.
Ok, mais la ressemblance actuelle s'arrête là. Docker est stateless là ou LXC est statefull. Chez nous on utilise LXC de la même façon que des VMs, là où Docker sert à déployer des applis uniquement, branchées à une BDD ou un stockage externe.
Je plussoie tellement …. la panique en plein Alterac de devoir démonter la souris parce qu'un cheveux s'est coincé dedans, impossible de jouer correctement :D
En suite c'est très dommage pour les commentaires qui étaient hyper intéressants notamment en expliquant en quoi ce n'est pas parce que c'est un organisme publique que ça doit nécessairement être gratuit.
Je ne sais pas de quelles données il était question dans l'application, flemme de rechercher le journal. Cependant les modèles météo des différents organismes météos mondiaux sont disponibles en libre accès, via entre autre des logiciels libres, qui sont entre autre utilisés par Météo France. Ces modèles météos proposent des prévisions génériques par rapport à la situation données. Les différents sites et applis proposant les prévisions météo s'appuient généralement sur ces modèles en libres accès.
Les données appartenant en revanche à Météo France et qui ne sont pas librement utilisables sont les interprétations des modèles météos faites par les prévisionnistes.
Regarde du côté des gammes pro. Du matos un peu endurant, des bons procos (plutôt de l'intel il me semble) pour le haut de gamme avec GPU dédié facultatif (et possible à rajouter plus tard, pièces dispos sur ebay) et des config customisable à souhait, pouvant être achetés sans OS ou avec Ubuntu. Cependant, attention : il ne faut pas assimiler un CPU mobile à celui d'une tour. UN CPU mobile est optimisé pour la performance énergétique au détriment des performances. C'est bête, mais avec un core i7 mobile je le vois quand j'ai un peu trop de VMs qui tournent.
Voyant que le temps restant avant la fin de ses droits de chômage était bientôt équivalent au succès qu'il avait auprès de ses recruteurs, Henry commença à paniquer. Il se mit à assister aux séminaires que lui proposait Pôle Emploie dans l'espoir d'avoir LA solution miracle.
Un jour, en assistant à un de ces fameux séminaires sur les "stars tupes", pendant laquelle l'intervenante au voluptueux décolleté utilisait pleins de mots savant que personne comprenait, il eu l'impression d'être revenu dans sa grosse entreprise : tout le monde utilisait pleins de grands mots pour se rendre impressionnant mais que personne comprenait et au final pas grand chose en ressortait. La seule différence était que la vue était quand même bien plus agréable que le décolleté de Gérard … Finalement, il se dit que le monde des stars tupes ca a l'air pas si mal et qu'il voudrait bien en faire parti.
Lors de son rendez-vous suivant avec sa conseillère Pôle Emploi, qui venait tout juste de rentrer de congé maternité, il lança un peu la question comme ca, en ne manquant pas de "l’impressionner" par son incroyable prononciation anglaise (surtout quand il a parlé de "star tupe"). Il avait pas tout compris mais il a retenu que Pôle emploi pouvait le financer via ses droits de chômages, et que c'était quand même mieux de faire participer d'autres gens.
Mais comme Henry s'y prenait un peu tard, son budget pour lancer sa "star tupe" (qu'il a choisi d'appeler "Tupe !", avec un point d'exclamation pour donner un côté dynamique) était un peu limité. Au final, pour garder un peu de marge, il décida de juste payer un comptable, un ancien du service compta bis qui lui faisait un "prix d'ami" (Henry avait pas trop si c'est vraiment un prix d'ami, mais si il était à la compta-bis, c'est qu'il devait pas être mauvais), et un créateur de site internet pour rendre son projet moderne et innovant. Pour trouver le dit projet et le contenu du site, il décida de faire ca seul au lieu de payer un de ces coachs horriblement chers.
Comme il pouvait pas se payer un coach pour monter son projet, Henry se dit qu'il allait écrire des phrases et des idées sur une page. Il s'installa dans son fauteuil préféré, celui dans lequel il lisait Paris-Match, et s'imagina en réunion, avec le "petit" Bernard (1m96 tout de même), la fameuse Adèle et ce pauvre Jean-Mich', et bien sûr Gérard. Au final il était plutôt content du compte rendu de la réunion qu'il venait d'écrire, même si il n'y comprenait pas grand-chose. Sur son site internet, ca rendait super bien avec les animations qu'avait mis le designer indien qu'il payait !
Mais avec son site, son affaire ne marchait quand même pas très bien ; il y avait à peu près autant de clients qui le sollicitaient que de recruteurs quand il était au chomage. En plus, comme il ne comprenait pas trop ce qu'il avait mis sur son site, il avait du mal à en parler dans les séminaires qu'il continuait à suivre avec Pôle Emploi ; il bafouillait et se perdait dans ses notes. Non pas qu'il présentait mal, il était rodé par des années de réunions dans son ancienne grosse boîte, mais il était trop déstabilisé par les questions des plus jeunes. Alors il se dit qu'il allait faire comme avec les diapos salaces qu'il avait avant, il allait envoyé ca aux collègues. On sait jamais, dès fois que quelqu'un comprenne son projet pour lui …
Bah figurez-vous que quelqu'un a bien compris son projet ! Et même mieux, c'était l'ancien sous-directeur général et il voulait le racheter (pas lui, mais sa star truc) ! Henry paniqua un peu quand même quand il apprit ca. Même si c'était quelqu'un qu'il connait qui lui faisait la proposition de rachat, ca le rassurait un peu, ca avait quand même l'air très compliqué et Henry voulait pas se faire embrouiller. En plus, son comptable avait pas l'air de beaucoup vouloir l'aider sur le coup …
Alors il se dit qu'il allait demander à l'ancienne équipe commerciale de son ex-boite qui s'était chargée de la vente (de l'ex-grosse boite, faut suivre ;)) au groupe Tchugh. Une seule personne accepta de l'aider, mais comble du bonheur, c'était Adèle ! Elle avait aussi été licenciée il y a 4 ans, et avait aussi monté sa propre entreprise de coaching en auto-entrepreneuriat, mais ca ne marchait pas très bien. Personne n'était vraiment intéressé par ses services à cause de son manque d'expérience. Au début elle demandait une grosse part de la vente, mais quand elle apprit le montant de l'offre initiale, elle a de suite demandée à être associée permanente, le rêve !
En fait, il se trouva que c'était Adèle qui avait monté le gros du dossier de "la revente" au groupe Tchugh il y a quelques années. Au final, pour la revente de "Tupe !", elle parvint à négocier un meilleur prix que l'offre de base, avec un joli bonus personnel à 5 chiffres, et un maintient des postes d'Henry et d'elle-même au sein de la nouvelle société. Henry était un peu inquiet quand même, déjà qu'il avait pas compris son propre projet à la base, il savait pas trop ce qu'il allait pouvoir faire dans son nouveau poste. Mais c'était pas grave, parce qu'il touchait quand même pas mal de sous, de quoi s'acheter une Tesla 3 (il aimait bien l'idée de la voiture qui conduit pour lui) tout en en gardant de côté, et en plus il allait partager son nouveau bureau avec Adèle …
Au final, son nouveau travail était plutôt pas mal : il était mieux payé que l'ancien directeur de son ancien service, son bureau était assez confortable et il se contentait de lire des trucs sur internet et de les raconter en réunion avec Adèle. En plus il remarqua que celle-ci lui souriait de plus en plus ces derniers temps !
Adèle de son côté, était en galère depuis son licenciement. Alors quand elle vit l'appel à l'aide de Henry, comme il était un peu neuneu, elle se dit qu'elle pouvait sûrement se faire quelques sous. Mais elle ne s'attendait pas à un tel montant, ni qu'Henry accepte sans hésiter de la prendre pour associée ! Elle avait un peu peur quand même de devoir travailler avec lui surtout après l'épisode du fax, mais comme ca lui permettait de retrouver un emploi à temps plein, elle décida finalement de rester après le rachat de "Tupe !" (quel nom idiot !).
Mais Adèle fût très surprise, en travaillant avec Henry. Elle découvrit en lui quelqu'un de très gentil et modeste, et même plutôt maladroit. En lui racontant ses déboires amoureux, Adèle avait trouvé Henry très compréhensif et en plus très discret ! Tout ce qui se disait dans le bureau n'en sortait pas, ca lui changeait de son ancien service …
En fait, après toutes ses mésaventures, elle se rendi compte que le genre d'homme qui lui plaisait c'était justement Henry. En plus il essayait de reste dans la tendance même si il a un peu de mal, il roulait en Tesla !
Un soir où ils devaient rester tard pour préparer une réunion pour le lendemain matin (ils avaient passé la journée à s'envoyer des mèmes ; Henry comprenait pas trop le principe mais c'est marrant), Adèle décida de se jeter à l'eau. Elle se mit à faire des blagues de plus en plus piquantes qui finirent pas drôlement gêner Henry. Finalement, pendant qu'il se perdait en pleine bafouille, elle l'embrassa soudainement, ce qui, vu la sensation sur sa hanche, avait plutôt plu à Henry ! Finalement, même si la réunion du lendemain n'était pas très préparée et même assez plate par rapport à d'habitude, elle restera une franche réussite pour Henry et Adèle (l'équipe "HA !") !
Quant à la suite de l'histoire, je vous laisse l'imaginer ;)
NDR : après ces 12 ans de loose, je voulais inverser un peu le karma d'Henry :)
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 2.
A la base c'était un peu du second degré, parce que justement, avec l’essor des anonymous, les DDOS étaient comparés à des manifs en ligne.
Euh non, je ne confonds pas les deux. Ne suppose pas de ce que je suis, ce que je sais, et ce que je pense s'il te plait.
Dans un DDOS basique, y a pas de cassage du site, juste une indisponibilité temporaire. Il n'y a pas non plus de morts, contrairement au terrorisme, ni tout simplement de terreur répandu par un DDOS tout bête. En fait, je ne suis pas certains de qui confond quoi ici.
Emacs le fait depuis 30 ans.
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à -3.
Soit c'est un menteur, soit tu veux voter pour personne.
Emacs le fait depuis 30 ans.
[^] # Re: Quant à moi
Posté par Astaoth . En réponse au journal Sauvegarde pour ordinateur personnel légèrement avancé. Évalué à 2. Dernière modification le 26 avril 2020 à 00:08.
J'ai vu passer ca y a quelques mois, j'ai plus la source sous le coude.
Bah non, tu balances le ransonware qui infecte le SI sans s'activer, donc il passe inaperçu, personne ne sait qu'il est là. Les backups sont faites pendant un an avec le ransonware dormant, donc à moins de remonter loin dans le temps, même si les données sont en claires, le malware est présent.
Le jour de l'attaque, le ransonware s'active et chiffre toutes les données, avec demande de rançon. La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés. Du coup, à moins de remonter sur des sauvegardes qui ont plus d'un an, tu te retrouves avec des systèmes infectés qui se rechiffrent à chaque fois que tu les restaures.
Tu me diras au moment où tu récupères les données, elles sont pas chiffrées donc c'est bon. Sauf que faut quand même des serveurs qui fonctionnent pour ca, et qui chiffrent pas les données dès qu'elles sont montées dessus. Donc à moins de partir d'un SI vierge et totalement réinstallé, c'est mort pour faire une restauration.
En plus, en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.
Emacs le fait depuis 30 ans.
[^] # Re: Quant à moi
Posté par Astaoth . En réponse au journal Sauvegarde pour ordinateur personnel légèrement avancé. Évalué à 1.
Certains ransonware modernes mettent plus d'un an avant de s'activer, histoire d'être présent dans les sauvegardes et empêcher toute possibilité de restauration.
Emacs le fait depuis 30 ans.
# Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 3.
… ca serait pas un DDOS plutôt ? Parce que là, avec quelques affichettes dans un coin du web, y a pas grand monde qui va le voir.
Emacs le fait depuis 30 ans.
[^] # Re: Les "gens" qui critiquent ne sont pas très cohérents, mais le pouvoir en place ne l'a pas été...
Posté par Astaoth . En réponse au journal Les girouettes. Évalué à 1.
Quelle démocratie ? La carotte que nous a tendu la République pour légitimer la gouvernance par des gens qui ne nous représente pas, et qui ne défende pas nos intérêts ?
Même si on nous apprend au collège et lycée qu'on est une démocratie et qu'on décrit partout à la télé que notre régime est une démocratie, ce n'est pas vraiment le cas en fait. Nous sommes avant tout une République, ayant un caractère démocratique s'exprimant par le vote d'une partie de nos élus, rien d'autre. Ce n'est donc pas un régime démocratique, mais un régime républicain.
Emacs le fait depuis 30 ans.
[^] # Re: Sans vouloir être méchant
Posté par Astaoth . En réponse au journal Ça passe crème. Évalué à 5.
Ca me fait toujours tiquer quand je vois un projet disant "oui on a mis en prod l'env de dev qui est pas très sécurisé et carrément déconseillé pour la prod par tout le monde, mais tkt on gère et en plus on a mis un reverse-proxy/firewall/whatever". Ca me fait par contre pas tiquer quand je tombe, quelques temps plus tard, sur une news annoncant un leak massif de données de la plateforme en question, ou que je recois des spams venant de là.
Penser "sécurité" pendant les process de dev, mais aussi de mise en prod, ce sont des efforts certes, mais qui permettent de grandement réduire la surface d'attaque sur une webapp.
Pas mettre en prod un env de dev déjà. Si vous avez une DSI qui fait aussi de la sécurité, aller leur demander des conseils, c'est leur métier. Si vous avez un WAF, faire passer les flux accédant à l'appli par là (le WAF servant aussi de reverse-proxy). Si vous en avez pas, bah faudrait penser à en mettre un, au moins pour limiter les XSS et les SQLi. Comme t'as déjà un reverse proxy, tu peux en mettre un dessus : si c'est un nginx tu as naxsi ; si c'est un apache, tu as modsecurity. Et garder un oeil sur les logs aussi, y a toujours pleins de choses intéressantes dedans.
Emacs le fait depuis 30 ans.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 2.
Tu peux déjà mettre la 3.3 si tu veux en activant les maj des pré-releases. J'avais vu le changelog, y a pas mal d'évolutions sur la partie Android, mais je me souviens pas avoir vu quelque chose sur le bluetooth.
Emacs le fait depuis 30 ans.
[^] # Re: Sans vouloir être méchant
Posté par Astaoth . En réponse au journal Ça passe crème. Évalué à 4.
Et il protège contre les fuzzers web ?
Emacs le fait depuis 30 ans.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 3. Dernière modification le 12 avril 2020 à 15:32.
Ouaip, le son est la seule chose qui marche en bluetooth justement. Une smartwatch ou autre utilisation du bluetooth ne marcheront pas, le BLE non plus, dans ce contexte là (SFOS X, vm android, etc). C'est documenté clairement sur TJC.
Emacs le fait depuis 30 ans.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 2.
Sauf quand t'as pas un forfait illimité sur la data en fait. Et je suis surpris d'apprendre que le bluetooth est activé par défaut sous Android ou iOS maintenant.
Emacs le fait depuis 30 ans.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 1. Dernière modification le 11 avril 2020 à 23:07.
Avec SFOS X tu n'as pas de bluetooth low energy, ni de bluetooth tout court dans la VM Android. Quand au J1, il fait tourner une VM en android 4.1 de mémoire ? Il y a très peu de chance qu'il soit compatible avec la dite appli.
Mais bon, tout ce qui n'est ni iOS ni Android représentant moins de 0.5% de part de marché, jcrois que tout le monde s'en fiche un peu de cet OS dans ce cadre x). Il est même très probable que le législateur de base n'en ait jamais entendu parler.
Emacs le fait depuis 30 ans.
[^] # Re: Bon ça va 5 minutes
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 10.
C'est trop tard pour avoir confiance dans ces entreprises tellement les casseroles qu'elles traînent sont grosses. Si ces entreprises souhaitent faire un geste pour aider à combattre cette épidémie, elles peuvent déjà commencer par respecter honnêtement la fiscalité des différents pays dans lesquelles elles sont. Au moins, ca nous fera des tunes pour acheter des masques et des tests. Et là, au moins, pas besoin d'avoir confiance pour accepter ce genre de "geste" de leur part, et ca sera diablement plus efficace que des applis fumeuse (oui, je persiste à les trouver fumeuses), reposant sur aucune étude d'impact autre que "ha ca a marché en Corée on va faire pareil" alors que les contextes n'ont strictement rien à voir, comme les usages qui en sont prévus.
Emacs le fait depuis 30 ans.
[^] # Re: Obligation d’avoir un smartphone bis
Posté par Astaoth . En réponse au journal Covid-19 Traçage : la suite de mes cogitations suite à vos réactions. Évalué à 7.
En Corée du sud, comme à Taiwan et dans les autres pays du coin, ils ont été atteints par le SRAS en 2003. Ils ont donc une expérience récente d'épidémie mortelle. Grâce à cette expériences, Taiwan a par exemple créé un centre de gestion de crises sanitaires par exemple. Ils ont pris rapidement des mesures dès le début de l'épidémie incitant les comportements permettant de limiter la propagation du covid au lieu de dire que tout va bien et d'aller au théâtre, en prenant 3 mois pour ses décider à prendre des premières mesures.
Là-bas, certaines mesures prises, tel que les thermomètres thermiques dans les lieux publics et le tracking des mobiles, ont permis de détecter rapidement les premiers cas de covid pour les prendre en charge tôt, ce qui a permis de limiter les complications et les décès. Leur détection rapide a également permis d'éviter qu'ils contaminent beaucoup d'autres personnes, comme par exemple le cas des toursites du bateau de croisière "Diamond Princess" (placé en quarantaine). Le tracking des personnes a servi à établir des chemins de contaminations.
Ici, cette logique pour un tracking des mobiles, est totalement inapplicable car le virus circule librement sur le territoire (d'où le stade 3 de gestion d'épidémie en fait). De plus, dans ces pays d'asie, le tracking du téléphone était associé à d'autres mesures, comme des tests de dépistages, mais aussi aux caméras thermiques, aux mesures de quarantaines, etc. Ici, on a clairement fait le choix de ne pas faire de quarantaine, on ne peut faire un depistage que si on a des symptomes et des problèmes respiratoires, on a pas de masques (en asie, culturellement ils mettent très facilement des masques dès qu'ils ont un rhume, contre la pollution, ou d'une facon générale). Même avec les nouveaux tests de dépistages plus rapide à faire et plus fiables qui sortent, on ne pourra pas suivre pour le nombre de tests à réaliser (juste comme ca, ce que je disais sur la capacité du nombre de tests quotidien, c'était ce qui était annoncé aux infos hein). Et on ne va pas parler des caméras thermiques, de l'information permettant d'éduquer les comportements, et des autres mesures prises en Asie mais auxquelles on a pas pensé ici.
Donc non, il n'y a strictement rien de factuel à l'utilisation d'une appli dans le contexte nationale, car il ne ressemble strictement en rien à celui qu'il y avait à Taiwan ou en Corée du sud au moment de la mise en place de ce tracking.
Si tu as des pointeurs vers des études concrètes de l'impact d'une telle appli sur un territoire où il est considéré que le virus circule librement mais que moins de la population n'a été touché ou n'est immunisée, et qu'il y a de nombreux porteurs saints inconnus, je reste preneur.
Emacs le fait depuis 30 ans.
[^] # Re: Obligation d’avoir un smartphone bis
Posté par Astaoth . En réponse au journal Covid-19 Traçage : la suite de mes cogitations suite à vos réactions. Évalué à 5.
Justement, pour atteindre cette objectif, je trouve que seul l'utilisations de tests et de moyens de protections adaptés pourront servir, là où une applis donnera des informations trompeuses.
L'ennuie c'est que pour le dépistage, avec la production prévue, il faudra environ 2 ans pour tester l'ensemble de la population.
Emacs le fait depuis 30 ans.
[^] # Re: Obligation d’avoir un smartphone bis
Posté par Astaoth . En réponse au journal Covid-19 Traçage : la suite de mes cogitations suite à vos réactions. Évalué à 7.
Tu te méprends sur mon commentaire. Faisant parti d'une de ces catégories de personnes ne pouvant pas installer d'appli Android ou iOS, et encore moins utilisant le bluetooth, je m'en fiche un peu en fait.
C'est bel et bien l'efficacité de ce genre d'applis que je trouve fumeux car le "contact" détecté l'est fait en fonction des moyens techniques disponibles et de critères définis selon un contexte général, mais ne prend aucunement en compte les 50 milliards de cas particuliers rendant ce genre d'applis inefficace. Si comme relevé dans un autre commentaire, cette appli permet aussi d'avoir une idée si quelqu'un de contaminé a pris l’ascenseur par exemple, pour éviter la contamination par ce biais, comment va-t-elle aider à détecter les personnes qui sont passées 5 minutes avant par exemple ? En fait, le résultat peut même s'avérer totalement faux et procurer un faux sentiment de sécurité par rapport à la réalité du coup. Ou alors le but n'est que de détecter les personnes avec lesquelles on est en contact direct ? Mais dans ce cas est-ce que cette appli sera réellement utile ?
Et mettons, j'arrive dans les locaux de mon entreprise, j'ai une alerte avant d'ouvrir la porte : je vais au supermarché du coin acheter des gants ? Ils en ont encore d'ailleurs ? Si j'ai une alerte provoquée par quelqu'un qui passe devant mon bureau, mettons 2j après la réouverture des locaux, je fais quoi ? Je cours faire un dépistage du covid ? Si il faut la personne a pris toute ses précautions pour contaminer personne et cette alerte provoque un stress inutile ; si il faut il en a totalement rien à faire et a contaminé la moitié de l'entreprise parce que tout le monde se pensait en sécurité à cause de l'absence d'alerte.
Je trouve qu'une appli sans moyen de dépistage ni de protection à côté ne sert à rien en fait, à part provoquer de faux jugements de sa sécurité vis-à-vis du covid.
Emacs le fait depuis 30 ans.
# Obligation d’avoir un smartphone bis
Posté par Astaoth . En réponse au journal Covid-19 Traçage : la suite de mes cogitations suite à vos réactions. Évalué à 8.
Si on a pas de forfait avec data illimité, faut prévoir des aides pour lui aussi ?
Si le choix de ne pas avoir de smartphone ou de téléphone portable tout court est un choix de vie personnel, ou qu'on a un smartphone qui n'est ni sous iOS ni sous Android, on reste enfermé chez soit jusqu'à ce que suffisamment de tests soit faits ? Si la fin du confinement est conditionné par l'utilisation d'une tel application, comment ca se passe pour un salarié qui ne peut pas en installer une ?
Comment peut-on réellement évaluer l'efficacité de ce genre de dispositif, sachant que dans des bureaux ou immeubles on peut capter le bluetooth de gens qui ne sont pas présent au même endroit ? Genre celui des voisins, des collègues dans d'autres bureaux et qu'on ne croise pas, etc
Cette histoire d'appli a l'air totalement fumeuse en fait.
Emacs le fait depuis 30 ans.
[^] # Re: Docker et LXC
Posté par Astaoth . En réponse au journal L'Écosystème containeurs. Évalué à 2.
Ok, mais la ressemblance actuelle s'arrête là. Docker est stateless là ou LXC est statefull. Chez nous on utilise LXC de la même façon que des VMs, là où Docker sert à déployer des applis uniquement, branchées à une BDD ou un stockage externe.
Emacs le fait depuis 30 ans.
[^] # Re: La souris optique
Posté par Astaoth . En réponse au journal Mon Top 5 des inventions geeks des 20 dernières années. Évalué à 2. Dernière modification le 18 mars 2020 à 18:11.
j'aurais plutôt dit les souris à 9 boutons pour binder toute la panoplie de sorts/macro utiles correctement dans WoW :p.
Emacs le fait depuis 30 ans.
# La souris optique
Posté par Astaoth . En réponse au journal Mon Top 5 des inventions geeks des 20 dernières années. Évalué à 6.
Je plussoie tellement …. la panique en plein Alterac de devoir démonter la souris parce qu'un cheveux s'est coincé dedans, impossible de jouer correctement :D
Emacs le fait depuis 30 ans.
# Docker et LXC
Posté par Astaoth . En réponse au journal L'Écosystème containeurs. Évalué à 4.
"En 2013, l'entreprise Docker se lance et permet de facilement utiliser des containeurs
LXC, système de virtualisation au niveau OS."
Me semblait que Docker et LXC étaient des technos de containers différentes, je me suis trompé ?
Emacs le fait depuis 30 ans.
[^] # Re: Solution simple avec Haraka
Posté par Astaoth . En réponse à la dépêche SimpleLogin, un outil open source pour protéger nos adresses de courriel. Évalué à 2.
Haraka propose en gros d'utiliser le point au lieu du plus pour alias comme ce que tu peux faire avec 2 touches de configs sur procmail ?
Emacs le fait depuis 30 ans.
[^] # Re: Pourquoi tant de secrets ?
Posté par Astaoth . En réponse à la dépêche Troisième mise en demeure pour l'association LinuxFr. Évalué à 6.
Je ne sais pas de quelles données il était question dans l'application, flemme de rechercher le journal. Cependant les modèles météo des différents organismes météos mondiaux sont disponibles en libre accès, via entre autre des logiciels libres, qui sont entre autre utilisés par Météo France. Ces modèles météos proposent des prévisions génériques par rapport à la situation données. Les différents sites et applis proposant les prévisions météo s'appuient généralement sur ces modèles en libres accès.
Les données appartenant en revanche à Météo France et qui ne sont pas librement utilisables sont les interprétations des modèles météos faites par les prévisionnistes.
Emacs le fait depuis 30 ans.
# Ordinateur portable
Posté par Astaoth . En réponse au journal Intel = 14 nm, AMD = 7 nm, ARM = 7 nm… et mon serveur ?. Évalué à 9.
Regarde du côté des gammes pro. Du matos un peu endurant, des bons procos (plutôt de l'intel il me semble) pour le haut de gamme avec GPU dédié facultatif (et possible à rajouter plus tard, pièces dispos sur ebay) et des config customisable à souhait, pouvant être achetés sans OS ou avec Ubuntu. Cependant, attention : il ne faut pas assimiler un CPU mobile à celui d'une tour. UN CPU mobile est optimisé pour la performance énergétique au détriment des performances. C'est bête, mais avec un core i7 mobile je le vois quand j'ai un peu trop de VMs qui tournent.
Emacs le fait depuis 30 ans.
# Faire jouer l'expérience et le réseau
Posté par Astaoth . En réponse au journal Henry attend un emploi. Évalué à 3.
Voyant que le temps restant avant la fin de ses droits de chômage était bientôt équivalent au succès qu'il avait auprès de ses recruteurs, Henry commença à paniquer. Il se mit à assister aux séminaires que lui proposait Pôle Emploie dans l'espoir d'avoir LA solution miracle.
Un jour, en assistant à un de ces fameux séminaires sur les "stars tupes", pendant laquelle l'intervenante au voluptueux décolleté utilisait pleins de mots savant que personne comprenait, il eu l'impression d'être revenu dans sa grosse entreprise : tout le monde utilisait pleins de grands mots pour se rendre impressionnant mais que personne comprenait et au final pas grand chose en ressortait. La seule différence était que la vue était quand même bien plus agréable que le décolleté de Gérard … Finalement, il se dit que le monde des stars tupes ca a l'air pas si mal et qu'il voudrait bien en faire parti.
Lors de son rendez-vous suivant avec sa conseillère Pôle Emploi, qui venait tout juste de rentrer de congé maternité, il lança un peu la question comme ca, en ne manquant pas de "l’impressionner" par son incroyable prononciation anglaise (surtout quand il a parlé de "star tupe"). Il avait pas tout compris mais il a retenu que Pôle emploi pouvait le financer via ses droits de chômages, et que c'était quand même mieux de faire participer d'autres gens.
Mais comme Henry s'y prenait un peu tard, son budget pour lancer sa "star tupe" (qu'il a choisi d'appeler "Tupe !", avec un point d'exclamation pour donner un côté dynamique) était un peu limité. Au final, pour garder un peu de marge, il décida de juste payer un comptable, un ancien du service compta bis qui lui faisait un "prix d'ami" (Henry avait pas trop si c'est vraiment un prix d'ami, mais si il était à la compta-bis, c'est qu'il devait pas être mauvais), et un créateur de site internet pour rendre son projet moderne et innovant. Pour trouver le dit projet et le contenu du site, il décida de faire ca seul au lieu de payer un de ces coachs horriblement chers.
Comme il pouvait pas se payer un coach pour monter son projet, Henry se dit qu'il allait écrire des phrases et des idées sur une page. Il s'installa dans son fauteuil préféré, celui dans lequel il lisait Paris-Match, et s'imagina en réunion, avec le "petit" Bernard (1m96 tout de même), la fameuse Adèle et ce pauvre Jean-Mich', et bien sûr Gérard. Au final il était plutôt content du compte rendu de la réunion qu'il venait d'écrire, même si il n'y comprenait pas grand-chose. Sur son site internet, ca rendait super bien avec les animations qu'avait mis le designer indien qu'il payait !
Mais avec son site, son affaire ne marchait quand même pas très bien ; il y avait à peu près autant de clients qui le sollicitaient que de recruteurs quand il était au chomage. En plus, comme il ne comprenait pas trop ce qu'il avait mis sur son site, il avait du mal à en parler dans les séminaires qu'il continuait à suivre avec Pôle Emploi ; il bafouillait et se perdait dans ses notes. Non pas qu'il présentait mal, il était rodé par des années de réunions dans son ancienne grosse boîte, mais il était trop déstabilisé par les questions des plus jeunes. Alors il se dit qu'il allait faire comme avec les diapos salaces qu'il avait avant, il allait envoyé ca aux collègues. On sait jamais, dès fois que quelqu'un comprenne son projet pour lui …
Bah figurez-vous que quelqu'un a bien compris son projet ! Et même mieux, c'était l'ancien sous-directeur général et il voulait le racheter (pas lui, mais sa star truc) ! Henry paniqua un peu quand même quand il apprit ca. Même si c'était quelqu'un qu'il connait qui lui faisait la proposition de rachat, ca le rassurait un peu, ca avait quand même l'air très compliqué et Henry voulait pas se faire embrouiller. En plus, son comptable avait pas l'air de beaucoup vouloir l'aider sur le coup …
Alors il se dit qu'il allait demander à l'ancienne équipe commerciale de son ex-boite qui s'était chargée de la vente (de l'ex-grosse boite, faut suivre ;)) au groupe Tchugh. Une seule personne accepta de l'aider, mais comble du bonheur, c'était Adèle ! Elle avait aussi été licenciée il y a 4 ans, et avait aussi monté sa propre entreprise de coaching en auto-entrepreneuriat, mais ca ne marchait pas très bien. Personne n'était vraiment intéressé par ses services à cause de son manque d'expérience. Au début elle demandait une grosse part de la vente, mais quand elle apprit le montant de l'offre initiale, elle a de suite demandée à être associée permanente, le rêve !
En fait, il se trouva que c'était Adèle qui avait monté le gros du dossier de "la revente" au groupe Tchugh il y a quelques années. Au final, pour la revente de "Tupe !", elle parvint à négocier un meilleur prix que l'offre de base, avec un joli bonus personnel à 5 chiffres, et un maintient des postes d'Henry et d'elle-même au sein de la nouvelle société. Henry était un peu inquiet quand même, déjà qu'il avait pas compris son propre projet à la base, il savait pas trop ce qu'il allait pouvoir faire dans son nouveau poste. Mais c'était pas grave, parce qu'il touchait quand même pas mal de sous, de quoi s'acheter une Tesla 3 (il aimait bien l'idée de la voiture qui conduit pour lui) tout en en gardant de côté, et en plus il allait partager son nouveau bureau avec Adèle …
Au final, son nouveau travail était plutôt pas mal : il était mieux payé que l'ancien directeur de son ancien service, son bureau était assez confortable et il se contentait de lire des trucs sur internet et de les raconter en réunion avec Adèle. En plus il remarqua que celle-ci lui souriait de plus en plus ces derniers temps !
Adèle de son côté, était en galère depuis son licenciement. Alors quand elle vit l'appel à l'aide de Henry, comme il était un peu neuneu, elle se dit qu'elle pouvait sûrement se faire quelques sous. Mais elle ne s'attendait pas à un tel montant, ni qu'Henry accepte sans hésiter de la prendre pour associée ! Elle avait un peu peur quand même de devoir travailler avec lui surtout après l'épisode du fax, mais comme ca lui permettait de retrouver un emploi à temps plein, elle décida finalement de rester après le rachat de "Tupe !" (quel nom idiot !).
Mais Adèle fût très surprise, en travaillant avec Henry. Elle découvrit en lui quelqu'un de très gentil et modeste, et même plutôt maladroit. En lui racontant ses déboires amoureux, Adèle avait trouvé Henry très compréhensif et en plus très discret ! Tout ce qui se disait dans le bureau n'en sortait pas, ca lui changeait de son ancien service …
En fait, après toutes ses mésaventures, elle se rendi compte que le genre d'homme qui lui plaisait c'était justement Henry. En plus il essayait de reste dans la tendance même si il a un peu de mal, il roulait en Tesla !
Un soir où ils devaient rester tard pour préparer une réunion pour le lendemain matin (ils avaient passé la journée à s'envoyer des mèmes ; Henry comprenait pas trop le principe mais c'est marrant), Adèle décida de se jeter à l'eau. Elle se mit à faire des blagues de plus en plus piquantes qui finirent pas drôlement gêner Henry. Finalement, pendant qu'il se perdait en pleine bafouille, elle l'embrassa soudainement, ce qui, vu la sensation sur sa hanche, avait plutôt plu à Henry ! Finalement, même si la réunion du lendemain n'était pas très préparée et même assez plate par rapport à d'habitude, elle restera une franche réussite pour Henry et Adèle (l'équipe "HA !") !
Quant à la suite de l'histoire, je vous laisse l'imaginer ;)
NDR : après ces 12 ans de loose, je voulais inverser un peu le karma d'Henry :)
Emacs le fait depuis 30 ans.