Je suis dans le même cas, et je sais qu'il a déjà eu des problèmes. Je n'ai plus le contexte exacte, mais il me semble que c'est une banque, qui a refusé l'ouverture d'un compte à mon oncle, le soupçonnant d'usurpation d'identité. En effet, il utilisait son nom de famille accentué sur ses documents d'identité, mais les traces administratives de son existence étaient sans accent.
C'est allez assez loin, je crois avant qu'il puisse prouver sa bonne foi.
Tu rigoles ? Ca fait plus de 10 ans que c'est comme ça et il n'y a plus aucun investissement sur maildir ou dans Thunderbird en général. C'est parti pour rester encore loooooooooooooongtemps comme ça.
De ce point de vue là, pixijs a l'air de tenir la route. Le rendu se fait prioritairement en OpenGL et en 2D Canvas s'il n'a rien trouvé d'autre. Du coup, j'imagine que c'est plus rapide.
Je suis en train de réimplémenter un jeu en javascript pour apprendre ledit langage. Merci pour le code, il est hyper clair et sobre. J'adore!
N'ayant pas l'expérience des jeux ni du web ni du javascript, je suis parti sur Pixi au niveau lib graphique mais je vois que c'est pas si dur de faire du html canvas direct. Après, il y a surement des tas de difficultés qui sont habilement masquées.
Côté son, je comptais me pencher sur la partie web/js correspondante, mais je vois que je vais surtout me pencher sur ton code et gagner du temps :-)
En lisant le paragraphe sur Square et sa participation à l'OIN, je me dit que c'est un très bon succès, ce principe de non-agression. Si on pouvait trouver un moyen de le répliquer au niveau mondial pour les armes atomiques, on pourrait peut-être s'en sortir…
C'est plus ou moins ce qu'avait voulu faire l'OTAN, mais il y a eu pas mal d'interférence impérialistes et politiques…
Ce livre m'a l'air d'être exactement ce que je voulais lire. J'ai une culture de développeur très poussé, et une culture de sysadmin extrêmement limitée. J'aimerai me mettre plus dans la peau d'un DevOps et il me semble que ton livre va bien m'aider. Je m'en vais le commander dans pas trop longtemps!
En fait, il y a malheureusement des fantasmes qui circulent parmi les jardiniers
amateurs […] Par exemple, que les rendements sont meilleurs dans un écosystème équilibré
J'ai jamais entendu un jardinier amateur écolo parler de rendement, et surtout comparer ses rendements avec l'industrie agricole. Par contre, j'en ai beaucoup entendu parler de qualité gustative, de lien recréé avec la nature, de qualité du sol, de restauration des écosystèmes.
Bravo pour la persévérance, d'avoir continuer à pousser la normalisation sans financement (si j'ai bien saisi). Tout ça pour la gloire et le logiciel libre, chapeau!
Ou serait-on sans Apple et ses inventions révolutionnaires comme la souris à un seul bouton, ou la disquette qu'il faut mettre à la poubelle pour l'éjecter, je me demande bien!
C'est quand même la base de toute gestion de projet ou gestion de crise que de prévoir plusieurs hypothèses d'évolution de la situation, avec des niveaux de gravités variés et de prévoir un plan adapté à chaque situation.
C'est pas comme si on avait pas 1 an et demi de gestion de crise derrière nous pour nous apprendre que des scenario plus positifs ou plus négatifs peuvent se produire.
Ensuite, tu prends chaque scenario, tu définis un plan d'action adapté (confinement, passe, limitations, etc) en fonction de la gravité, tu le peaufines pendant un mois en discussion avec les acteurs concernés et tu le votes en permettant un débat. Une fois que tout ça est fait, tu as un plan pour les 3 à 6 mois à venir que tout le monde peut comprendre et auquel chacun peut se préparer.
Au passage, c'est comme ça que ça marche pour toutes les autres catastrophes naturelles. Mais pour le covid, il faut que ce soit SuperMacaron qui nous annonce son plan de lutte sans permettre à personne de s'organiser en avance ni de débattre.
Mon fils de 12 ans est déjà à l'aise avec Scratch mais il manque d'idées de truc à faire. Du coup, ça lui a immédiatement plu.
Pour ce qu'on peut améliorer:
* mon fils n'arrive pas à concevoir une stratégie. Il va plutôt pondre un truc moyen et le modifier à la marge. Du coup, il a du mal à gagner. Il aurait besoin d'exemples de stratégies, même très simple pour en comprendre la logique. Notamment, il a pas bien saisi l'intérêt des quatre situation de départ. Un bon tutoriel serait surement necéssaire pour fluidifier tout ça.
* on a mis 1 journée pour trouver comment faire une passe. C'est plus lié à blockly qui nous ne mettait pas le bon truc en jaune.
* cliquer sur OK à chaque but, c'est pénible.
* une sauvegarde/restauration pourrait être utile.
Mais globalement, on est très content tous les deux. M'est avis que le top du classement ne correspond pas aux ados mais plutôt à leurs parents. Faut-il mettre un classement par niveau d'expérience ? Typiquement, je me suis fait une stratégie qui tient plutôt la route mais un ado a peu de chance de rivaliser, en tout cas pas sans soutien actif d'un développeur.
Et le fait que d'autres soient menacés et qu'on utilise la manipulation pour essayer de leur faire faire un acte qu'ils ne veulent pas faire, ça ne te pose aucun problème ? On a pas de retour à long terme sur les effets de ces vaccins.
En ce qui me concerne par exemple, bien que je sois mâle, blanc, hétérosexuel, avec des revenus confortables, je ne suis pas d'accord avec beaucoup de lois, de propos et d'idées qui visent d'autres groupes sociologique que le mien. Disons au hasard, les gens à la peau colorée, les gens aux pratique sexuelles différentes, les gens aux revenus différents, les gens d'un autre sexe, etc etc.
Une atteinte aux libertés est une atteinte aux liberté. Pour passer auprès d'une population, elle utilisera toujours deux voiles de dissimulation: un, la nécessité impérieuse qui ferait qu'on peut s'asseoir sur les libertés. C'est toujours la sécurité vis à vis du terrorisme, des délinquants, de la maladie ou autre. Le deuxième voile, c'est évidemment de ne pas concerner tout le monde, pour fractionner l'opposition à ce type de mesure.
Et bien sûr, les lois votés dans ce cadre sont pour le bien de tous. Certains d'entre nous sont juste trop bêtes pour comprendre par exemple, que l'espionnage systématiques de toutes les communications entre particuliers est nécessaire à la sécurité globale de la nation.
Jouer sur la peur pour les aider à prendre une bonne décision
En gros, on parle bien de manipulation et de menace. Je suis surpris qu'une telle stratégie rencontre une approbation sur un forum épris de liberté … des logiciels.
On peut aussi s'interroger sur une stratégie qui prend le risque de licencier un nombre important de personnel médical, alors même qu'on est en sous-effectif dans ce domaine. Et oui, certains décideront peut-être de lâcher leur boulot d'infirmier/ère vu le peu de considération qu'ils/elles reçoivent. C'est sûr en tout cas que ça va bien améliorer la situation dans les hôpitaux.
Par ailleurs, il me semble que les vaccinés restent contagieux, ils ont simplement une probabilité extrêmement faible de développer une forme dangereuse du virus. C'est en tout cas ce qu'expliquait l'article du monde que j'ai lu, pour clarifier la situation de ce qui se passe en Israël.
Je ne retrouve nulle part dans la communication tous azimuts (propagande ?) cette version du vacciné qui est en fait un porteur sain, pourtant, je l'ai lu deux fois dans des références sérieuses. Quelqu'un pourrait confirmer ou infirmer ?
Tu as du lire l'interview en diagonal car il me semble qu'il donne un nom explicite: DO-178B. It’s a quality standard for safety-critical aviation products
Ça reste néanmoins qu'une couverture et ne valide pas que tes tests testent.
Comment tu fais pour valider que tes tests testent ?
Les tests unitaires sont importants, mais ils ne se suffisent pas
Rien ne laisse penser dans l'interview qu'il s'agisse de tests unitaires. Il parle juste de tests en général. Ton commentaire sonne comme si tu voulais expliquer la bonne façon de faire des tests, alors qu'on est justement en train de contempler un des logiciels libres qui est probablement le plus et le mieux testé au monde. Perso, je m'extasie juste sur le qualité et la pugnacité de ce développeur. Je ne pense pas pouvoir lui apprendre quoi que ce soit mais j'ai certainement beaucoup à apprendre de lui.
Je ne vois rien de tel dans le document qui est décrit. Ce que dit le document qui est leur "Code of Ethics", c'est que l'auteur et les développeurs principaux de SQLite entendent suivre ces règles, qui inclut de rendre un culte au Dieu de la vision chrétienne.
En ce qui concerne les autres:
No one is required to follow The Rule, to know The Rule, or even to think that The Rule is a good idea […] individuals are free to dispute or ignore that advice if they wish.
Ça me semble assez clair. Si quelqu'un est Athée, il peut tout à fait contribuer à SQLite. Et il peut même leur dire que leur Règle, ils peuvent se la foutre au cul, ils sont OK avec ça. Eux ne le feront pas en revanche.
Ça fait plaisir de voir qu'un logiciel aussi utilisé que SQLite a une suite de test de malade, avec couverture à 100% de tout le code et de toutes les branches de code.
Si seulement tous les logiciels pouvaient être aussi bien testés, on aurait moins de problèmes.
Intéressant. Je me serai attendu à ce que mypy soit le leader sur le sujet.
Sinon, en passant, j'ai découvert un outil pour convertir les annotations style Python 2 (commentaires) en Python 3: https://github.com/ilevkivskyi/com2ann .
Un avantage potentiel à mon avis, tout de même, c'est qu'un projet hébergé sur GitHub a sans doute immédiatement plus de visibilité qu'un projet hébergé sur une forge isolée. Sans aller jusqu'à dire qu'un tel projet attirera automatiquement des contributeurs potentiels, je pense qu'au minimum il attirera plus facilement des rapports de bug ou des feature requests.
C'est hyper vrai. J'en avais parlé il y a longtemps à propos de LuaUnit que j'ai migré sur GitHub. L'effet est juste phénoménal !
Tu as un peu pressenti la réponse: on utilise que trois langages dans la carte à puce. Le C, l'assembleur et le javacard. On pourrait dire quatre langages puisqu'une boite à succès utiliser une machine virtuelle avec du Forth et a sorti pas mal d'applications certifiées avec (sauf que c'était limite plus pénible à programmer que de l'assembleur à la main).
En tout cas, très clairement, un langage trop éloigné de l'assembleur qui réorganise le code en fonction des informations qu'il a pourrait poser problème. Cela dit, si on passait à un langage plus haut niveau, j'espère qu'on pourrait intégrer la notion de sécurité par une approche haut-niveau dans le code, genre un sorte de "secured if" sous forme de fonction.
Dans le cas de Javacard, on peut intégrer des sécurités dans cet esprit au niveau de la VM Java, ce qui est parfois pratique.
La technique s'est modernisée au fil des années. Les labos utilisent maintenant des laser pour cibler très précisément la zone de la puce qu'ils veulent saturer. Et donc ils bypassent tranquillement ce genre de détecteur.
Pour l'exemple du Rapsberry Pi, c'est quelque chose qu'on connait bien dans l'industrie de la carte à puce, qu'on appelle simplement les attaques "flash". C'est utilisé depuis des années. L'intérêt est que pendant le flash et pendant quelque micro-secondes après, le processeur effectue des NOP au lieu d'instructions valides, mais il incrémente quand même le compteur d'instruction. Ca permet donc de sauter quelques instructions assembleur.
L'attaque est très peu coûteuse en matériel, il faut un appareil photo en gros, gratter un peu la puce pour que la lumière pénètre et un bon système de synchronisation pour déclencher le flash au bon moment.
Il suffit de déclencher à la fin du IF qui vérifie que ton code PIN est faux et se termine par un return pour arriver dans le ELSE où ton code PIN est censé être juste. C'est déclinable selon plein de variantes et les labos de tests de sécurité s'amusent beaucoup avec ça. Inutile de préciser que c'est dévastateur en terme de cassage de cartes/algo/sécurité.
Pas cher en matériel et dévastateur en sécurité, autant dire qu'on a pas intérêt à laisser passer de près ou de loin ce genre de truc.
Du coup, on déploie plein de contre-mesures, qui vérifient qu'on est bien arrivé dans un bout de code pour une bonne raison. Ces contre-mesures n'ayant aucune validité si on analyse le flot de code logique, elles se font parfois virer lors de la compilation ou à l'édition de lien des compilos performants. Ou bien ça marche une fois et la version mineure suivante du compilo va elle virer la contre-mesure. Donc on s'amuse à auditer une partie du code assembleur pour vérifier que le compilo a pas tout sagouiner notre code. Bref, on s'amuse bien par chez nous.
L'un dans l'autre, on se prend dans les 10% de code en plus rien que pour cette attaque. Et les labos de tests un peu sournois commencent à nous balancer des doubles ou triples attaques flash, où ils vont nous nicker le code principal dans un premier temps, puis la contre-mesure. Là, ça peut vraiment faire mal et être pénible à protéger.
[^] # Re: Moi aussi j'ai perdu mon accent
Posté par Philippe F (site web personnel) . En réponse au journal EBCDIC n'est pas compatible avec la RGPD. Évalué à 5.
Je suis dans le même cas, et je sais qu'il a déjà eu des problèmes. Je n'ai plus le contexte exacte, mais il me semble que c'est une banque, qui a refusé l'ouverture d'un compte à mon oncle, le soupçonnant d'usurpation d'identité. En effet, il utilisait son nom de famille accentué sur ses documents d'identité, mais les traces administratives de son existence étaient sans accent.
C'est allez assez loin, je crois avant qu'il puisse prouver sa bonne foi.
[^] # Re: email, maildir, offline, etc.
Posté par Philippe F (site web personnel) . En réponse au journal Un réseau offline "delay-tolerant" avec NNCP. Évalué à 6.
Tu rigoles ? Ca fait plus de 10 ans que c'est comme ça et il n'y a plus aucun investissement sur maildir ou dans Thunderbird en général. C'est parti pour rester encore loooooooooooooongtemps comme ça.
[^] # Re: We need more
Posté par Philippe F (site web personnel) . En réponse au journal opensara: un nouveau jeu libre. Évalué à 2.
De ce point de vue là, pixijs a l'air de tenir la route. Le rendu se fait prioritairement en OpenGL et en 2D Canvas s'il n'a rien trouvé d'autre. Du coup, j'imagine que c'est plus rapide.
Il y a des jeux assez chiadés fait en pixijs.
[^] # Re: We need more
Posté par Philippe F (site web personnel) . En réponse au journal opensara: un nouveau jeu libre. Évalué à 8.
Je suis en train de réimplémenter un jeu en javascript pour apprendre ledit langage. Merci pour le code, il est hyper clair et sobre. J'adore!
N'ayant pas l'expérience des jeux ni du web ni du javascript, je suis parti sur Pixi au niveau lib graphique mais je vois que c'est pas si dur de faire du html canvas direct. Après, il y a surement des tas de difficultés qui sont habilement masquées.
Côté son, je comptais me pencher sur la partie web/js correspondante, mais je vois que je vais surtout me pencher sur ton code et gagner du temps :-)
[^] # Re: Les compilateurs et l'optimisation
Posté par Philippe F (site web personnel) . En réponse au journal Recherche de valeur dans un tableau et l'écosystème des compilateurs C++. Évalué à 2.
Et il faut ajouter:
10- Des optimisations qui marchent super bien sur une version donnée du compilateur peuvent ne plus marcher du tout sur la version suivante.
[^] # Re: Pleins de possibilités!
Posté par Philippe F (site web personnel) . En réponse au journal Gitlab va entrer en bourse. Évalué à 7.
Au contraire, reste, c'est très crédible…
# Open Invention Network : le futur
Posté par Philippe F (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 37 de l'année 2021. Évalué à 3.
En lisant le paragraphe sur Square et sa participation à l'OIN, je me dit que c'est un très bon succès, ce principe de non-agression. Si on pouvait trouver un moyen de le répliquer au niveau mondial pour les armes atomiques, on pourrait peut-être s'en sortir…
C'est plus ou moins ce qu'avait voulu faire l'OTAN, mais il y a eu pas mal d'interférence impérialistes et politiques…
# filtrage par motif
Posté par Philippe F (site web personnel) . En réponse au journal Java 17 LTS. Évalué à 5.
Ca m'a tout l'air d'être à la mode. Ca arrive dans Python, dans Java. D'autres endroits ?
J'ai l'impression que c'est RUST qui l'a rendu populaire même si je l'ai vu la première fois en Caml qu'on m'a forcé à apprendre durant mes études.
# Tu tombes à point
Posté par Philippe F (site web personnel) . En réponse à la dépêche Écrire un livre à deux : Haute Disponibilité sous Linux, des prémices à la sortie. Évalué à 5.
Ce livre m'a l'air d'être exactement ce que je voulais lire. J'ai une culture de développeur très poussé, et une culture de sysadmin extrêmement limitée. J'aimerai me mettre plus dans la peau d'un DevOps et il me semble que ton livre va bien m'aider. Je m'en vais le commander dans pas trop longtemps!
Bonne journée.
[^] # Re: Vérité cruelle
Posté par Philippe F (site web personnel) . En réponse au journal J'ai mangé une pomme. Évalué à 10.
J'ai jamais entendu un jardinier amateur écolo parler de rendement, et surtout comparer ses rendements avec l'industrie agricole. Par contre, j'en ai beaucoup entendu parler de qualité gustative, de lien recréé avec la nature, de qualité du sol, de restauration des écosystèmes.
A mon avis, tu es à côté de la plaque.
# Bravo
Posté par Philippe F (site web personnel) . En réponse à la dépêche FFV1, un format vidéo sans perte et libre, normalisé à l'IETF. Évalué à 10.
Bravo pour la persévérance, d'avoir continuer à pousser la normalisation sans financement (si j'ai bien saisi). Tout ça pour la gloire et le logiciel libre, chapeau!
[^] # Re: C'est pourtant vrai
Posté par Philippe F (site web personnel) . En réponse au journal Keynotes de l'automne : 1, 2 ou 3 ?. Évalué à 7.
Ou serait-on sans Apple et ses inventions révolutionnaires comme la souris à un seul bouton, ou la disquette qu'il faut mettre à la poubelle pour l'éjecter, je me demande bien!
[^] # Re: passe sanitaire == pied dans la porte à un système de crédit social à la Chinoise
Posté par Philippe F (site web personnel) . En réponse au journal [HS] Quand quelqu'un vous parle de liberté.... Évalué à 8.
C'est quand même la base de toute gestion de projet ou gestion de crise que de prévoir plusieurs hypothèses d'évolution de la situation, avec des niveaux de gravités variés et de prévoir un plan adapté à chaque situation.
C'est pas comme si on avait pas 1 an et demi de gestion de crise derrière nous pour nous apprendre que des scenario plus positifs ou plus négatifs peuvent se produire.
Ensuite, tu prends chaque scenario, tu définis un plan d'action adapté (confinement, passe, limitations, etc) en fonction de la gravité, tu le peaufines pendant un mois en discussion avec les acteurs concernés et tu le votes en permettant un débat. Une fois que tout ça est fait, tu as un plan pour les 3 à 6 mois à venir que tout le monde peut comprendre et auquel chacun peut se préparer.
Au passage, c'est comme ça que ça marche pour toutes les autres catastrophes naturelles. Mais pour le covid, il faut que ce soit SuperMacaron qui nous annonce son plan de lutte sans permettre à personne de s'organiser en avance ni de débattre.
# Très sympa
Posté par Philippe F (site web personnel) . En réponse au journal SuperCodingBall. Évalué à 4.
Mon fils de 12 ans est déjà à l'aise avec Scratch mais il manque d'idées de truc à faire. Du coup, ça lui a immédiatement plu.
Pour ce qu'on peut améliorer:
* mon fils n'arrive pas à concevoir une stratégie. Il va plutôt pondre un truc moyen et le modifier à la marge. Du coup, il a du mal à gagner. Il aurait besoin d'exemples de stratégies, même très simple pour en comprendre la logique. Notamment, il a pas bien saisi l'intérêt des quatre situation de départ. Un bon tutoriel serait surement necéssaire pour fluidifier tout ça.
* on a mis 1 journée pour trouver comment faire une passe. C'est plus lié à blockly qui nous ne mettait pas le bon truc en jaune.
* cliquer sur OK à chaque but, c'est pénible.
* une sauvegarde/restauration pourrait être utile.
Mais globalement, on est très content tous les deux. M'est avis que le top du classement ne correspond pas aux ados mais plutôt à leurs parents. Faut-il mettre un classement par niveau d'expérience ? Typiquement, je me suis fait une stratégie qui tient plutôt la route mais un ado a peu de chance de rivaliser, en tout cas pas sans soutien actif d'un développeur.
[^] # Re: Ce qu'on aimerait (tous?) éviter ...
Posté par Philippe F (site web personnel) . En réponse au journal Petite question sur l'immunité collective. Évalué à -8.
Et le fait que d'autres soient menacés et qu'on utilise la manipulation pour essayer de leur faire faire un acte qu'ils ne veulent pas faire, ça ne te pose aucun problème ? On a pas de retour à long terme sur les effets de ces vaccins.
En ce qui me concerne par exemple, bien que je sois mâle, blanc, hétérosexuel, avec des revenus confortables, je ne suis pas d'accord avec beaucoup de lois, de propos et d'idées qui visent d'autres groupes sociologique que le mien. Disons au hasard, les gens à la peau colorée, les gens aux pratique sexuelles différentes, les gens aux revenus différents, les gens d'un autre sexe, etc etc.
Une atteinte aux libertés est une atteinte aux liberté. Pour passer auprès d'une population, elle utilisera toujours deux voiles de dissimulation: un, la nécessité impérieuse qui ferait qu'on peut s'asseoir sur les libertés. C'est toujours la sécurité vis à vis du terrorisme, des délinquants, de la maladie ou autre. Le deuxième voile, c'est évidemment de ne pas concerner tout le monde, pour fractionner l'opposition à ce type de mesure.
Et bien sûr, les lois votés dans ce cadre sont pour le bien de tous. Certains d'entre nous sont juste trop bêtes pour comprendre par exemple, que l'espionnage systématiques de toutes les communications entre particuliers est nécessaire à la sécurité globale de la nation.
[^] # Re: Ce qu'on aimerait (tous?) éviter ...
Posté par Philippe F (site web personnel) . En réponse au journal Petite question sur l'immunité collective. Évalué à 2.
En gros, on parle bien de manipulation et de menace. Je suis surpris qu'une telle stratégie rencontre une approbation sur un forum épris de liberté … des logiciels.
On peut aussi s'interroger sur une stratégie qui prend le risque de licencier un nombre important de personnel médical, alors même qu'on est en sous-effectif dans ce domaine. Et oui, certains décideront peut-être de lâcher leur boulot d'infirmier/ère vu le peu de considération qu'ils/elles reçoivent. C'est sûr en tout cas que ça va bien améliorer la situation dans les hôpitaux.
Par ailleurs, il me semble que les vaccinés restent contagieux, ils ont simplement une probabilité extrêmement faible de développer une forme dangereuse du virus. C'est en tout cas ce qu'expliquait l'article du monde que j'ai lu, pour clarifier la situation de ce qui se passe en Israël.
Je ne retrouve nulle part dans la communication tous azimuts (propagande ?) cette version du vacciné qui est en fait un porteur sain, pourtant, je l'ai lu deux fois dans des références sérieuses. Quelqu'un pourrait confirmer ou infirmer ?
[^] # Re: Passionnant
Posté par Philippe F (site web personnel) . En réponse au journal Le petite histoire derrière SQLite (une interview de Richard Hipp). Évalué à 7.
Tu as du lire l'interview en diagonal car il me semble qu'il donne un nom explicite: DO-178B. It’s a quality standard for safety-critical aviation products
Comment tu fais pour valider que tes tests testent ?
Rien ne laisse penser dans l'interview qu'il s'agisse de tests unitaires. Il parle juste de tests en général. Ton commentaire sonne comme si tu voulais expliquer la bonne façon de faire des tests, alors qu'on est justement en train de contempler un des logiciels libres qui est probablement le plus et le mieux testé au monde. Perso, je m'extasie juste sur le qualité et la pugnacité de ce développeur. Je ne pense pas pouvoir lui apprendre quoi que ce soit mais j'ai certainement beaucoup à apprendre de lui.
[^] # Re: SQLite Code of Ethics
Posté par Philippe F (site web personnel) . En réponse au journal Le petite histoire derrière SQLite (une interview de Richard Hipp). Évalué à 10.
Je ne vois rien de tel dans le document qui est décrit. Ce que dit le document qui est leur "Code of Ethics", c'est que l'auteur et les développeurs principaux de SQLite entendent suivre ces règles, qui inclut de rendre un culte au Dieu de la vision chrétienne.
En ce qui concerne les autres:
Ça me semble assez clair. Si quelqu'un est Athée, il peut tout à fait contribuer à SQLite. Et il peut même leur dire que leur Règle, ils peuvent se la foutre au cul, ils sont OK avec ça. Eux ne le feront pas en revanche.
Autrement dit, ton commentaire est un pur FUD.
# Passionnant
Posté par Philippe F (site web personnel) . En réponse au journal Le petite histoire derrière SQLite (une interview de Richard Hipp). Évalué à 10.
Ça fait plaisir de voir qu'un logiciel aussi utilisé que SQLite a une suite de test de malade, avec couverture à 100% de tout le code et de toutes les branches de code.
Si seulement tous les logiciels pouvaient être aussi bien testés, on aurait moins de problèmes.
[^] # Re: Attention à pytest-cov
Posté par Philippe F (site web personnel) . En réponse à la dépêche Python — partie 9 ― formateur de code, analyse statique. Évalué à 2.
Merci pour le tuyau !
[^] # Re: Type Checking
Posté par Philippe F (site web personnel) . En réponse à la dépêche Python — partie 9 ― formateur de code, analyse statique. Évalué à 5.
Intéressant. Je me serai attendu à ce que mypy soit le leader sur le sujet.
Sinon, en passant, j'ai découvert un outil pour convertir les annotations style Python 2 (commentaires) en Python 3: https://github.com/ilevkivskyi/com2ann .
[^] # Re: "panne mondiale"
Posté par Philippe F (site web personnel) . En réponse au journal Gitlab, Github & Stackoverflow sont inaccessibles simultanément. Évalué à 5.
C'est hyper vrai. J'en avais parlé il y a longtemps à propos de LuaUnit que j'ai migré sur GitHub. L'effet est juste phénoménal !
[^] # Re: Attaques hardware
Posté par Philippe F (site web personnel) . En réponse à la dépêche La voiture allergique à la glace à la vanille, et autres bugs. Évalué à 4.
Tu as un peu pressenti la réponse: on utilise que trois langages dans la carte à puce. Le C, l'assembleur et le javacard. On pourrait dire quatre langages puisqu'une boite à succès utiliser une machine virtuelle avec du Forth et a sorti pas mal d'applications certifiées avec (sauf que c'était limite plus pénible à programmer que de l'assembleur à la main).
En tout cas, très clairement, un langage trop éloigné de l'assembleur qui réorganise le code en fonction des informations qu'il a pourrait poser problème. Cela dit, si on passait à un langage plus haut niveau, j'espère qu'on pourrait intégrer la notion de sécurité par une approche haut-niveau dans le code, genre un sorte de "secured if" sous forme de fonction.
Dans le cas de Javacard, on peut intégrer des sécurités dans cet esprit au niveau de la VM Java, ce qui est parfois pratique.
[^] # Re: Attaques hardware
Posté par Philippe F (site web personnel) . En réponse à la dépêche La voiture allergique à la glace à la vanille, et autres bugs. Évalué à 6.
La technique s'est modernisée au fil des années. Les labos utilisent maintenant des laser pour cibler très précisément la zone de la puce qu'ils veulent saturer. Et donc ils bypassent tranquillement ce genre de détecteur.
# Attaques hardware
Posté par Philippe F (site web personnel) . En réponse à la dépêche La voiture allergique à la glace à la vanille, et autres bugs. Évalué à 10.
Pour l'exemple du Rapsberry Pi, c'est quelque chose qu'on connait bien dans l'industrie de la carte à puce, qu'on appelle simplement les attaques "flash". C'est utilisé depuis des années. L'intérêt est que pendant le flash et pendant quelque micro-secondes après, le processeur effectue des NOP au lieu d'instructions valides, mais il incrémente quand même le compteur d'instruction. Ca permet donc de sauter quelques instructions assembleur.
L'attaque est très peu coûteuse en matériel, il faut un appareil photo en gros, gratter un peu la puce pour que la lumière pénètre et un bon système de synchronisation pour déclencher le flash au bon moment.
Il suffit de déclencher à la fin du IF qui vérifie que ton code PIN est faux et se termine par un return pour arriver dans le ELSE où ton code PIN est censé être juste. C'est déclinable selon plein de variantes et les labos de tests de sécurité s'amusent beaucoup avec ça. Inutile de préciser que c'est dévastateur en terme de cassage de cartes/algo/sécurité.
Pas cher en matériel et dévastateur en sécurité, autant dire qu'on a pas intérêt à laisser passer de près ou de loin ce genre de truc.
Du coup, on déploie plein de contre-mesures, qui vérifient qu'on est bien arrivé dans un bout de code pour une bonne raison. Ces contre-mesures n'ayant aucune validité si on analyse le flot de code logique, elles se font parfois virer lors de la compilation ou à l'édition de lien des compilos performants. Ou bien ça marche une fois et la version mineure suivante du compilo va elle virer la contre-mesure. Donc on s'amuse à auditer une partie du code assembleur pour vérifier que le compilo a pas tout sagouiner notre code. Bref, on s'amuse bien par chez nous.
L'un dans l'autre, on se prend dans les 10% de code en plus rien que pour cette attaque. Et les labos de tests un peu sournois commencent à nous balancer des doubles ou triples attaques flash, où ils vont nous nicker le code principal dans un premier temps, puis la contre-mesure. Là, ça peut vraiment faire mal et être pénible à protéger.