La "machine" est un ensemble d'enregistrements faits par la même personne au sein de la SNCF. C'est toujours plus humain qu'une synthèse avec pico-TTS, qu'on retrouve souvent sur les boites vocales.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Par contre pour l'IPv6 on a qu'un minable /61 chez eux. 8 réseaux c'est un peu limite, ca oblige à faire du NAT. Certes, on peut se payer le luxe d'en faire du 1:1, mais c'est un peu dommage de devoir en faire sur une techno faite pour ne plus avoir à en faire.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Perso j'attends de mon fournisseur de mail qu'il trashe complètement dans une trou noir les spams, sans qu'il ne m'avertisse (et je me fous un peu qu'il avertisse le spammeur, ou plutôt je comprend : vaut mieux ne pas aider le spammer en lui disant que sont test ne marche pas).
Parce que le spammeur ne peut pas créer une boîte sur outlook pour vérifier si ses mails passent de base ? Et franchement, vu tout les spams que je recois sur mes boites hotmails, leur méthodologie a pas l'air tellement plus efficace que chez les autres fournisseurs qui respectent les RFC.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Perso moi c'est l'inverse, je peste dès que je croise un logiciel qui utilise un langage de programmation comme syntaxe de configuration (Ejabberd, Prosody par exemple)
Ceux en charge du déploiement ne sont pas ceux en charge du développement. Ils n'ont pas besoin de connaître les syntaxes (qui parfois paraissent complètement absurdes) des langages utilisés. Et la lisibilité d'une fichier de config est hyper importante aussi.
Une opinion qui peut se défendre.
Bref, je suis partisan du YAML pour la conf (qui est à la fois lisible par un humain, et facilement parsable pour une machine)
Tu veux dire le langage de fichier de conf qui te chie dans les bottes dès que tu loupes un espace comme en python ? Je préfère largement des fichiers de confs qui utilisent une syntaxe de langage de programmation avec des exemples en commentaire, et qui n'ont pas d'erreurs de syntaxe provoqués par du vide.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je comprends pour la main droite, mais pas pour la main gauche: la colonne est alors… perpendiculaire au balancier du doigt !
Hum, c'est une question de position du clavier, de la souris, et du clavier utilisé.
J'ai eu pendant longtemps un Logitech G11, avec son cluster de touches à gauche qui décale le clavier. Et vu sa taille, je mettais pas tout le temps la souris à côté, ca dépend des bureaux utilisés. Mais globalement, j'ai tendance à centrer le clavier devant moi, comme avec un laptop, pour garder une position droite. Avec un clavier qui est plus sur un côté, je vais naturellement me tourner vers lui, et donc être tordu devant mon écran.
Pour la souris, comme j'utilise souvent des modèles configurés à 2000 dpi, j'ai pas besoin de bouger beaucoup ma main pour traverser mon dual-screen, donc pas de problème de place de ce point de vu là. Et quand j'utilise un trackball (soit très souvent maintenant que mon poignet faiblit), j'ai tendance à le mettre devant le clavier, entre les deux bras, pour limiter les mouvements pour passer du clavier au trackball.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pourquoi on continue à s'évertuer à décaler les rangées de touches à chaque ligne du clavier ?
J'ai tenté d'utiliser un ergodox (jusqu'à ce qu'un composant crame en fait, j'ai plus qu'un demi clavier maintenant) et je me suis aperçu que je tournais tout le temps les deux pads pour avoir à nouveau les touches "décalées", ou plutôt alignées par rapport à mes doigts.
C'est bête mais sur un clavier standard avec les touches décalées, comme mes bras sont de travers pour pouvoir taper dessus, les touches décalées en fait alignées pour mes doigts. Quand je pose mes mains dessus, mes doigts sont piles alignées sur les rangées de touches en diagonale, ce qui ne serait pas le cas avec un clavier orthogonale.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
"second degré" bonne excuse… Pas de chance, il y en a qui le pensent vraiment (voir par exemple cet endroit où une personne indique que bon les sympathisants de LinuxFr ont fait un DDOS…)
Bah écoute, j'y peux rien si t'as oublié d'activer ton trollomètre, pourtant c'est pas faute de connaître LinuxFR de ta part ;).
voila. Tout est dit dans la non légitimité que tu trouves légitime, en minimisant.
Jugement et absence d'argument, juste du vent réthorique ; est-ce nécessaire pour une discussion apaisée ?
Je sais bien que pas mal de monde adore fantasmer sur l'idée que le droit de grève est un droit de rendre un site physique indisponible.
Je me suis renseigné, ce n'est pas le cas.
Je t'invite à te renseigner…
Humm, une manif rend indisponible divers lieux public, plus particulièrement par l'occupation de la chaussée (les CRS aussi d'ailleurs). Je me tenterais pas à faire mes courses tranquillement au milieu d'un cortège de manif, surtout que les magasins seront très probablement fermés.
Un DDOS ne bloque pas l'accès au site web techniquement, juste occupe la chaussée virtuelle menant à une (ou plusieurs si spécifié dans les paramètres du DDOS) adresse(s) ip. Comme pour une manif légale, cette occupation peut être partielle, ce qui n'empêche donc pas l'accès au site via les ip visées, ou totale, ce qui n'empêche pas d'accéder au site via des ip qui ne sont pas visées.
une manif, c'est pareil, tu peux mettre tes pancartes devant l'entré d'un bâtiment mais tu n'as aucun droit et aucune légitimité d’empêcher une personne d'entrée (résultat d'un DDOS).
Donc en gros, on est bien d'accord que tu viens bien de dire qu'un DDOS qui ne fait que ralentir l'accès à un site mais qui ne le bloque pas, est légal ?
Bref, ce n'est pas parce que toi tu penses à une quelconque légitimité sous couvert de second degré avec tes amis que ça a la moindre légitimité (on contraire).
Tu supposes encore une fois des choses sur moi que tu n'as que très peu de chance de connaître réellement, tout en en faisant une affirmation. Est-ce nécessaire pour rester apaisé ?
Je sais bien que j'aurai du mal à convaincre certains de faits, donc passons… Je suis heureux de vivre en démocratie même imparfaite car tant de monde aimerait imposer ses idées contre les gens pas d'accord…
Peut-être qu'une bonne façon de procéder serait de ne pas supposer ce qu'on ignore sur les gens, et pour faire des affirmations sérieuses, de rester sur du factuel et non du jugement ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Chez IBM en interne, lorsqu'on a besoin d'utiliser Linux au lieu du Windows fourni, c'est Fedora qui est recommandé, et on va dire "semi-supporté". Et ca date de bien avant le rachat de Red Hat.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
et si on essayait de voter pour des gens qui au moins promettent de permettre au peuple de les virer en cas de mensonges, de manipulations évidentes?
Au vu du moinsage du poste précédent, visiblement je me fourvoie. Comme je n'ai pas un avis très éclairé sur les personnalités politiques, y en a-t-elles qui répondent à ce critère ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
A la base c'était un peu du second degré, parce que justement, avec l’essor des anonymous, les DDOS étaient comparés à des manifs en ligne.
A ta décharge, dans la vie physique ça confond de la même manière manifestation (ou grève) et blocage/cassage.
Euh non, je ne confonds pas les deux. Ne suppose pas de ce que je suis, ce que je sais, et ce que je pense s'il te plait.
Tu confonds avec terrorisme.
Dans un DDOS basique, y a pas de cassage du site, juste une indisponibilité temporaire. Il n'y a pas non plus de morts, contrairement au terrorisme, ni tout simplement de terreur répandu par un DDOS tout bête. En fait, je ne suis pas certains de qui confond quoi ici.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
J'ai un gros doute car le risque de se faire détecter est très grand. As-tu des sources ?
J'ai vu passer ca y a quelques mois, j'ai plus la source sous le coude.
Pour que ce soit efficace, il faut que l'attaquant chiffre les données avant la sauvegarde, puis chiffre les données après. Il faut pour cela connaître l'heure et la durée de sauvegarde, on est là sur un logiciel super évolué ou une attaque manuelle.
Bah non, tu balances le ransonware qui infecte le SI sans s'activer, donc il passe inaperçu, personne ne sait qu'il est là. Les backups sont faites pendant un an avec le ransonware dormant, donc à moins de remonter loin dans le temps, même si les données sont en claires, le malware est présent.
Le jour de l'attaque, le ransonware s'active et chiffre toutes les données, avec demande de rançon. La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés. Du coup, à moins de remonter sur des sauvegardes qui ont plus d'un an, tu te retrouves avec des systèmes infectés qui se rechiffrent à chaque fois que tu les restaures.
Tu me diras au moment où tu récupères les données, elles sont pas chiffrées donc c'est bon. Sauf que faut quand même des serveurs qui fonctionnent pour ca, et qui chiffrent pas les données dès qu'elles sont montées dessus. Donc à moins de partir d'un SI vierge et totalement réinstallé, c'est mort pour faire une restauration.
En plus, en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Et un backup "rsync+ssh" du owncloud avec rotation journalière (7 jours) et hebdomadaire (3 semaines).
Certains ransonware modernes mettent plus d'un an avant de s'activer, histoire d'être présent dans les sauvegardes et empêcher toute possibilité de restauration.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Mais la, ça en dit surtout long sur le niveau d'importance que le peuple apporte à la démocratie :(.
Quelle démocratie ? La carotte que nous a tendu la République pour légitimer la gouvernance par des gens qui ne nous représente pas, et qui ne défende pas nos intérêts ?
Même si on nous apprend au collège et lycée qu'on est une démocratie et qu'on décrit partout à la télé que notre régime est une démocratie, ce n'est pas vraiment le cas en fait. Nous sommes avant tout une République, ayant un caractère démocratique s'exprimant par le vote d'une partie de nos élus, rien d'autre. Ce n'est donc pas un régime démocratique, mais un régime républicain.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Ca me fait toujours tiquer quand je vois un projet disant "oui on a mis en prod l'env de dev qui est pas très sécurisé et carrément déconseillé pour la prod par tout le monde, mais tkt on gère et en plus on a mis un reverse-proxy/firewall/whatever". Ca me fait par contre pas tiquer quand je tombe, quelques temps plus tard, sur une news annoncant un leak massif de données de la plateforme en question, ou que je recois des spams venant de là.
Penser "sécurité" pendant les process de dev, mais aussi de mise en prod, ce sont des efforts certes, mais qui permettent de grandement réduire la surface d'attaque sur une webapp.
tu conseilles quelque chose ?
Pas mettre en prod un env de dev déjà. Si vous avez une DSI qui fait aussi de la sécurité, aller leur demander des conseils, c'est leur métier. Si vous avez un WAF, faire passer les flux accédant à l'appli par là (le WAF servant aussi de reverse-proxy). Si vous en avez pas, bah faudrait penser à en mettre un, au moins pour limiter les XSS et les SQLi. Comme t'as déjà un reverse proxy, tu peux en mettre un dessus : si c'est un nginx tu as naxsi ; si c'est un apache, tu as modsecurity. Et garder un oeil sur les logs aussi, y a toujours pleins de choses intéressantes dedans.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Tu peux déjà mettre la 3.3 si tu veux en activant les maj des pré-releases. J'avais vu le changelog, y a pas mal d'évolutions sur la partie Android, mais je me souviens pas avoir vu quelque chose sur le bluetooth.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Ouaip, le son est la seule chose qui marche en bluetooth justement. Une smartwatch ou autre utilisation du bluetooth ne marcheront pas, le BLE non plus, dans ce contexte là (SFOS X, vm android, etc). C'est documenté clairement sur TJC.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Sauf quand t'as pas un forfait illimité sur la data en fait. Et je suis surpris d'apprendre que le bluetooth est activé par défaut sous Android ou iOS maintenant.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Avec SFOS X tu n'as pas de bluetooth low energy, ni de bluetooth tout court dans la VM Android. Quand au J1, il fait tourner une VM en android 4.1 de mémoire ? Il y a très peu de chance qu'il soit compatible avec la dite appli.
Mais bon, tout ce qui n'est ni iOS ni Android représentant moins de 0.5% de part de marché, jcrois que tout le monde s'en fiche un peu de cet OS dans ce cadre x). Il est même très probable que le législateur de base n'en ait jamais entendu parler.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
C'est trop tard pour avoir confiance dans ces entreprises tellement les casseroles qu'elles traînent sont grosses. Si ces entreprises souhaitent faire un geste pour aider à combattre cette épidémie, elles peuvent déjà commencer par respecter honnêtement la fiscalité des différents pays dans lesquelles elles sont. Au moins, ca nous fera des tunes pour acheter des masques et des tests. Et là, au moins, pas besoin d'avoir confiance pour accepter ce genre de "geste" de leur part, et ca sera diablement plus efficace que des applis fumeuse (oui, je persiste à les trouver fumeuses), reposant sur aucune étude d'impact autre que "ha ca a marché en Corée on va faire pareil" alors que les contextes n'ont strictement rien à voir, comme les usages qui en sont prévus.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
En Corée du sud, comme à Taiwan et dans les autres pays du coin, ils ont été atteints par le SRAS en 2003. Ils ont donc une expérience récente d'épidémie mortelle. Grâce à cette expériences, Taiwan a par exemple créé un centre de gestion de crises sanitaires par exemple. Ils ont pris rapidement des mesures dès le début de l'épidémie incitant les comportements permettant de limiter la propagation du covid au lieu de dire que tout va bien et d'aller au théâtre, en prenant 3 mois pour ses décider à prendre des premières mesures.
Là-bas, certaines mesures prises, tel que les thermomètres thermiques dans les lieux publics et le tracking des mobiles, ont permis de détecter rapidement les premiers cas de covid pour les prendre en charge tôt, ce qui a permis de limiter les complications et les décès. Leur détection rapide a également permis d'éviter qu'ils contaminent beaucoup d'autres personnes, comme par exemple le cas des toursites du bateau de croisière "Diamond Princess" (placé en quarantaine). Le tracking des personnes a servi à établir des chemins de contaminations.
Ici, cette logique pour un tracking des mobiles, est totalement inapplicable car le virus circule librement sur le territoire (d'où le stade 3 de gestion d'épidémie en fait). De plus, dans ces pays d'asie, le tracking du téléphone était associé à d'autres mesures, comme des tests de dépistages, mais aussi aux caméras thermiques, aux mesures de quarantaines, etc. Ici, on a clairement fait le choix de ne pas faire de quarantaine, on ne peut faire un depistage que si on a des symptomes et des problèmes respiratoires, on a pas de masques (en asie, culturellement ils mettent très facilement des masques dès qu'ils ont un rhume, contre la pollution, ou d'une facon générale). Même avec les nouveaux tests de dépistages plus rapide à faire et plus fiables qui sortent, on ne pourra pas suivre pour le nombre de tests à réaliser (juste comme ca, ce que je disais sur la capacité du nombre de tests quotidien, c'était ce qui était annoncé aux infos hein). Et on ne va pas parler des caméras thermiques, de l'information permettant d'éduquer les comportements, et des autres mesures prises en Asie mais auxquelles on a pas pensé ici.
Donc non, il n'y a strictement rien de factuel à l'utilisation d'une appli dans le contexte nationale, car il ne ressemble strictement en rien à celui qu'il y avait à Taiwan ou en Corée du sud au moment de la mise en place de ce tracking.
Si tu as des pointeurs vers des études concrètes de l'impact d'une telle appli sur un territoire où il est considéré que le virus circule librement mais que moins de la population n'a été touché ou n'est immunisée, et qu'il y a de nombreux porteurs saints inconnus, je reste preneur.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Voie SNCF
Posté par Astaoth . En réponse à la dépêche Abstract Wikipédia. Évalué à 4.
La "machine" est un ensemble d'enregistrements faits par la même personne au sein de la SNCF. C'est toujours plus humain qu'une synthèse avec pico-TTS, qu'on retrouve souvent sur les boites vocales.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Hein ?
Posté par Astaoth . En réponse au journal Pack auto-hébergement : Lettre ouverte aux fournisseurs d'accès à Internet. Évalué à 2. Dernière modification le 24 juillet 2020 à 21:55.
Par contre pour l'IPv6 on a qu'un minable /61 chez eux. 8 réseaux c'est un peu limite, ca oblige à faire du NAT. Certes, on peut se payer le luxe d'en faire du 1:1, mais c'est un peu dommage de devoir en faire sur une techno faite pour ne plus avoir à en faire.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: et pourquoi pas bittorent ?
Posté par Astaoth . En réponse au journal Partage familial de fichiers (lecture seule, sans mot de passe). Évalué à 4.
Tu veux un truc comme Syncthing quoi.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Source?
Posté par Astaoth . En réponse au journal Le service messagerie Microsoft Outlook.com détruit silencieusement vos e-mails. Évalué à 10.
Parce que le spammeur ne peut pas créer une boîte sur outlook pour vérifier si ses mails passent de base ? Et franchement, vu tout les spams que je recois sur mes boites hotmails, leur méthodologie a pas l'air tellement plus efficace que chez les autres fournisseurs qui respectent les RFC.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Où est l'intérêt ?
Posté par Astaoth . En réponse au journal Dhall, une réponse au problème de configuration. Évalué à 4. Dernière modification le 20 mai 2020 à 21:17.
Une opinion qui peut se défendre.
Tu veux dire le langage de fichier de conf qui te chie dans les bottes dès que tu loupes un espace comme en python ? Je préfère largement des fichiers de confs qui utilisent une syntaxe de langage de programmation avec des exemples en commentaire, et qui n'ont pas d'erreurs de syntaxe provoqués par du vide.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Geoportail
Posté par Astaoth . En réponse au journal Déconfinement - Règle des cent kilomètres. Évalué à 6.
Les isochrones et isodistances de géoportail ne sont pas à vol d'oiseaux mais en calculant la distance réelle des trajets, non ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Touches décalées
Posté par Astaoth . En réponse au journal Clavier orthogonal, clavier à une main, etc pourquoi rien ne change ?. Évalué à 3.
Hum, c'est une question de position du clavier, de la souris, et du clavier utilisé.
J'ai eu pendant longtemps un Logitech G11, avec son cluster de touches à gauche qui décale le clavier. Et vu sa taille, je mettais pas tout le temps la souris à côté, ca dépend des bureaux utilisés. Mais globalement, j'ai tendance à centrer le clavier devant moi, comme avec un laptop, pour garder une position droite. Avec un clavier qui est plus sur un côté, je vais naturellement me tourner vers lui, et donc être tordu devant mon écran.
Pour la souris, comme j'utilise souvent des modèles configurés à 2000 dpi, j'ai pas besoin de bouger beaucoup ma main pour traverser mon dual-screen, donc pas de problème de place de ce point de vu là. Et quand j'utilise un trackball (soit très souvent maintenant que mon poignet faiblit), j'ai tendance à le mettre devant le clavier, entre les deux bras, pour limiter les mouvements pour passer du clavier au trackball.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Touches décalées
Posté par Astaoth . En réponse au journal Clavier orthogonal, clavier à une main, etc pourquoi rien ne change ?. Évalué à 3.
J'ai tenté d'utiliser un ergodox (jusqu'à ce qu'un composant crame en fait, j'ai plus qu'un demi clavier maintenant) et je me suis aperçu que je tournais tout le temps les deux pads pour avoir à nouveau les touches "décalées", ou plutôt alignées par rapport à mes doigts.
C'est bête mais sur un clavier standard avec les touches décalées, comme mes bras sont de travers pour pouvoir taper dessus, les touches décalées en fait alignées pour mes doigts. Quand je pose mes mains dessus, mes doigts sont piles alignées sur les rangées de touches en diagonale, ce qui ne serait pas le cas avec un clavier orthogonale.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 2.
Bah écoute, j'y peux rien si t'as oublié d'activer ton trollomètre, pourtant c'est pas faute de connaître LinuxFR de ta part ;).
Jugement et absence d'argument, juste du vent réthorique ; est-ce nécessaire pour une discussion apaisée ?
Humm, une manif rend indisponible divers lieux public, plus particulièrement par l'occupation de la chaussée (les CRS aussi d'ailleurs). Je me tenterais pas à faire mes courses tranquillement au milieu d'un cortège de manif, surtout que les magasins seront très probablement fermés.
Un DDOS ne bloque pas l'accès au site web techniquement, juste occupe la chaussée virtuelle menant à une (ou plusieurs si spécifié dans les paramètres du DDOS) adresse(s) ip. Comme pour une manif légale, cette occupation peut être partielle, ce qui n'empêche donc pas l'accès au site via les ip visées, ou totale, ce qui n'empêche pas d'accéder au site via des ip qui ne sont pas visées.
Donc en gros, on est bien d'accord que tu viens bien de dire qu'un DDOS qui ne fait que ralentir l'accès à un site mais qui ne le bloque pas, est légal ?
Tu supposes encore une fois des choses sur moi que tu n'as que très peu de chance de connaître réellement, tout en en faisant une affirmation. Est-ce nécessaire pour rester apaisé ?
Peut-être qu'une bonne façon de procéder serait de ne pas supposer ce qu'on ignore sur les gens, et pour faire des affirmations sérieuses, de rester sur du factuel et non du jugement ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: IBM 💖 IBM
Posté par Astaoth . En réponse au journal Lenovo 💖 Fedora. Évalué à 6.
Chez IBM en interne, lorsqu'on a besoin d'utiliser Linux au lieu du Windows fourni, c'est Fedora qui est recommandé, et on va dire "semi-supporté". Et ca date de bien avant le rachat de Red Hat.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 1.
Au vu du moinsage du poste précédent, visiblement je me fourvoie. Comme je n'ai pas un avis très éclairé sur les personnalités politiques, y en a-t-elles qui répondent à ce critère ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 2.
A la base c'était un peu du second degré, parce que justement, avec l’essor des anonymous, les DDOS étaient comparés à des manifs en ligne.
Euh non, je ne confonds pas les deux. Ne suppose pas de ce que je suis, ce que je sais, et ce que je pense s'il te plait.
Dans un DDOS basique, y a pas de cassage du site, juste une indisponibilité temporaire. Il n'y a pas non plus de morts, contrairement au terrorisme, ni tout simplement de terreur répandu par un DDOS tout bête. En fait, je ne suis pas certains de qui confond quoi ici.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à -3.
Soit c'est un menteur, soit tu veux voter pour personne.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Quant à moi
Posté par Astaoth . En réponse au journal Sauvegarde pour ordinateur personnel légèrement avancé. Évalué à 2. Dernière modification le 26 avril 2020 à 00:08.
J'ai vu passer ca y a quelques mois, j'ai plus la source sous le coude.
Bah non, tu balances le ransonware qui infecte le SI sans s'activer, donc il passe inaperçu, personne ne sait qu'il est là. Les backups sont faites pendant un an avec le ransonware dormant, donc à moins de remonter loin dans le temps, même si les données sont en claires, le malware est présent.
Le jour de l'attaque, le ransonware s'active et chiffre toutes les données, avec demande de rançon. La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés. Du coup, à moins de remonter sur des sauvegardes qui ont plus d'un an, tu te retrouves avec des systèmes infectés qui se rechiffrent à chaque fois que tu les restaures.
Tu me diras au moment où tu récupères les données, elles sont pas chiffrées donc c'est bon. Sauf que faut quand même des serveurs qui fonctionnent pour ca, et qui chiffrent pas les données dès qu'elles sont montées dessus. Donc à moins de partir d'un SI vierge et totalement réinstallé, c'est mort pour faire une restauration.
En plus, en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Quant à moi
Posté par Astaoth . En réponse au journal Sauvegarde pour ordinateur personnel légèrement avancé. Évalué à 1.
Certains ransonware modernes mettent plus d'un an avant de s'activer, histoire d'être présent dans les sauvegardes et empêcher toute possibilité de restauration.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Une manif en ligne ...
Posté par Astaoth . En réponse au journal #PlusJamaisCa Manifestation en ligne. Évalué à 3.
… ca serait pas un DDOS plutôt ? Parce que là, avec quelques affichettes dans un coin du web, y a pas grand monde qui va le voir.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Les "gens" qui critiquent ne sont pas très cohérents, mais le pouvoir en place ne l'a pas été...
Posté par Astaoth . En réponse au journal Les girouettes. Évalué à 1.
Quelle démocratie ? La carotte que nous a tendu la République pour légitimer la gouvernance par des gens qui ne nous représente pas, et qui ne défende pas nos intérêts ?
Même si on nous apprend au collège et lycée qu'on est une démocratie et qu'on décrit partout à la télé que notre régime est une démocratie, ce n'est pas vraiment le cas en fait. Nous sommes avant tout une République, ayant un caractère démocratique s'exprimant par le vote d'une partie de nos élus, rien d'autre. Ce n'est donc pas un régime démocratique, mais un régime républicain.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Sans vouloir être méchant
Posté par Astaoth . En réponse au journal Ça passe crème. Évalué à 5.
Ca me fait toujours tiquer quand je vois un projet disant "oui on a mis en prod l'env de dev qui est pas très sécurisé et carrément déconseillé pour la prod par tout le monde, mais tkt on gère et en plus on a mis un reverse-proxy/firewall/whatever". Ca me fait par contre pas tiquer quand je tombe, quelques temps plus tard, sur une news annoncant un leak massif de données de la plateforme en question, ou que je recois des spams venant de là.
Penser "sécurité" pendant les process de dev, mais aussi de mise en prod, ce sont des efforts certes, mais qui permettent de grandement réduire la surface d'attaque sur une webapp.
Pas mettre en prod un env de dev déjà. Si vous avez une DSI qui fait aussi de la sécurité, aller leur demander des conseils, c'est leur métier. Si vous avez un WAF, faire passer les flux accédant à l'appli par là (le WAF servant aussi de reverse-proxy). Si vous en avez pas, bah faudrait penser à en mettre un, au moins pour limiter les XSS et les SQLi. Comme t'as déjà un reverse proxy, tu peux en mettre un dessus : si c'est un nginx tu as naxsi ; si c'est un apache, tu as modsecurity. Et garder un oeil sur les logs aussi, y a toujours pleins de choses intéressantes dedans.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 2.
Tu peux déjà mettre la 3.3 si tu veux en activant les maj des pré-releases. J'avais vu le changelog, y a pas mal d'évolutions sur la partie Android, mais je me souviens pas avoir vu quelque chose sur le bluetooth.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Sans vouloir être méchant
Posté par Astaoth . En réponse au journal Ça passe crème. Évalué à 4.
Et il protège contre les fuzzers web ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 3. Dernière modification le 12 avril 2020 à 15:32.
Ouaip, le son est la seule chose qui marche en bluetooth justement. Une smartwatch ou autre utilisation du bluetooth ne marcheront pas, le BLE non plus, dans ce contexte là (SFOS X, vm android, etc). C'est documenté clairement sur TJC.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 2.
Sauf quand t'as pas un forfait illimité sur la data en fait. Et je suis surpris d'apprendre que le bluetooth est activé par défaut sous Android ou iOS maintenant.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Et quand son smartphone n'est ni sous iOS ni Android ?
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 1. Dernière modification le 11 avril 2020 à 23:07.
Avec SFOS X tu n'as pas de bluetooth low energy, ni de bluetooth tout court dans la VM Android. Quand au J1, il fait tourner une VM en android 4.1 de mémoire ? Il y a très peu de chance qu'il soit compatible avec la dite appli.
Mais bon, tout ce qui n'est ni iOS ni Android représentant moins de 0.5% de part de marché, jcrois que tout le monde s'en fiche un peu de cet OS dans ce cadre x). Il est même très probable que le législateur de base n'en ait jamais entendu parler.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bon ça va 5 minutes
Posté par Astaoth . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 10.
C'est trop tard pour avoir confiance dans ces entreprises tellement les casseroles qu'elles traînent sont grosses. Si ces entreprises souhaitent faire un geste pour aider à combattre cette épidémie, elles peuvent déjà commencer par respecter honnêtement la fiscalité des différents pays dans lesquelles elles sont. Au moins, ca nous fera des tunes pour acheter des masques et des tests. Et là, au moins, pas besoin d'avoir confiance pour accepter ce genre de "geste" de leur part, et ca sera diablement plus efficace que des applis fumeuse (oui, je persiste à les trouver fumeuses), reposant sur aucune étude d'impact autre que "ha ca a marché en Corée on va faire pareil" alors que les contextes n'ont strictement rien à voir, comme les usages qui en sont prévus.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Obligation d’avoir un smartphone bis
Posté par Astaoth . En réponse au journal Covid-19 Traçage : la suite de mes cogitations suite à vos réactions. Évalué à 7.
En Corée du sud, comme à Taiwan et dans les autres pays du coin, ils ont été atteints par le SRAS en 2003. Ils ont donc une expérience récente d'épidémie mortelle. Grâce à cette expériences, Taiwan a par exemple créé un centre de gestion de crises sanitaires par exemple. Ils ont pris rapidement des mesures dès le début de l'épidémie incitant les comportements permettant de limiter la propagation du covid au lieu de dire que tout va bien et d'aller au théâtre, en prenant 3 mois pour ses décider à prendre des premières mesures.
Là-bas, certaines mesures prises, tel que les thermomètres thermiques dans les lieux publics et le tracking des mobiles, ont permis de détecter rapidement les premiers cas de covid pour les prendre en charge tôt, ce qui a permis de limiter les complications et les décès. Leur détection rapide a également permis d'éviter qu'ils contaminent beaucoup d'autres personnes, comme par exemple le cas des toursites du bateau de croisière "Diamond Princess" (placé en quarantaine). Le tracking des personnes a servi à établir des chemins de contaminations.
Ici, cette logique pour un tracking des mobiles, est totalement inapplicable car le virus circule librement sur le territoire (d'où le stade 3 de gestion d'épidémie en fait). De plus, dans ces pays d'asie, le tracking du téléphone était associé à d'autres mesures, comme des tests de dépistages, mais aussi aux caméras thermiques, aux mesures de quarantaines, etc. Ici, on a clairement fait le choix de ne pas faire de quarantaine, on ne peut faire un depistage que si on a des symptomes et des problèmes respiratoires, on a pas de masques (en asie, culturellement ils mettent très facilement des masques dès qu'ils ont un rhume, contre la pollution, ou d'une facon générale). Même avec les nouveaux tests de dépistages plus rapide à faire et plus fiables qui sortent, on ne pourra pas suivre pour le nombre de tests à réaliser (juste comme ca, ce que je disais sur la capacité du nombre de tests quotidien, c'était ce qui était annoncé aux infos hein). Et on ne va pas parler des caméras thermiques, de l'information permettant d'éduquer les comportements, et des autres mesures prises en Asie mais auxquelles on a pas pensé ici.
Donc non, il n'y a strictement rien de factuel à l'utilisation d'une appli dans le contexte nationale, car il ne ressemble strictement en rien à celui qu'il y avait à Taiwan ou en Corée du sud au moment de la mise en place de ce tracking.
Si tu as des pointeurs vers des études concrètes de l'impact d'une telle appli sur un territoire où il est considéré que le virus circule librement mais que moins de la population n'a été touché ou n'est immunisée, et qu'il y a de nombreux porteurs saints inconnus, je reste preneur.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.