-=[ silmaril ]=- a écrit 1470 commentaires

Note que Whatsapp utilise icloud sur iOS, resultant en de grosses difficultees pour transferer un historique entre Les deux plateformes…

Honnetement XMPP est attractif pour sont ouverture mais les implementations client/serveurs sont aux fraises par rapport à la concurrence.

Pour avoir fait tourner une PME sur XMPP pendant 15 ans et maintenant faire parti d'une grosse boite avec une instance slack je le dit très clairement: investissez dans slack

La communication texte-only dans les boites c'est fini en 2025, il te faut de la video, de l'audio, du partage d'ecran, des screenshots et ça les client Jabber ils sont pas foutu d'avoir un support correct. Et quand un client à un peu de truc fonctionnel ça ne marche qu'avec des utilisateurs du meme client…

Au final, ça pousse fort pour des solutions moins libres comme Slack / Mattermost / Matrix / …

Matrix est libre mais pouah c'est loin d'apporter la souplesse de communication de slack, mattermost je crois que j'ai testé à l'époque, il y a une base libre aussi normalement

Pour les docks tout ce qui n'est pas thunderbolt en général c'est de la m****e, et pas que chez dell d'ailleurs.
La grosse différence c'est que les dock thunderbolt chez dell en général c'est de la m****e aussi ^{^}

Sur les "nouveaux" ils ont commencé à modifier les keymap et notamment Ctrl/Fn sont maintenant comme ailleurs.
Par contre sur le x1 gen12 ils ont remplacé la touche printscr par le scanner d'empreinte, bof bof. Les photos des claviers T14s gen5 semblent montrer la touche CoPilot entre AltGr et Ctrl, pas bcp mieux …

vous avez fait le changement de téléphone il y a longtemps ?
il me semblait que l'application testait régulièrement que l'on reste propriétaire du numéro et fait des vérification tout les 30j max via un sms

Dire que crowdstrike est un anti-virus est au mieux réducteur au pire complétement faux

C'est un outil d'analyse d'intrusion par étude comportementale, il se greffe au noyaux soit via un module dédié soit via eBPF pour tracer les appels systèmes des applications et analyser leurs comportements.

(Bon en pratique c'est de la daube intersidérale vendue une fortune comme tout les XDR qui rend une machine 'juste' complètement inutilisable)

Clamav ne sait qu'analyser des fichiers pour y détecter chaînes d'octets connues comme néfastes.

Les soucis sont nombreux dans cette histoire:
- debian 8, on parle d'une distro qui date de 2015, derniere update en 2018
- asterisk 11 …

je veux bien entendre que l'admin soit deborde mais la c'est de l'inconscience a ce niveau

Au vu du "fix" il doit y avoir un watchdog/cron qui redemarre asterisk regulierement et aleatoirement le chargement du module pour gerer les fonctions dans les macros asterisk ne se charge pas.

Ma premiere reaction serait de modifier le modules.conf pour forcer le chargement du module ("load app_stack.so") voir meme le passer en required ("require app_stack.so")

Deuxieme reaction serait de mettre a jour le bouzin

Si vous souhaiter vraiment persister dans le hack, le script suivant devrait gerer le probleme en question, a executer en local depuis le serveur asterisk:

#!/bin/bash
set -o nounset -o pipefail -o errexit

if ! asterisk -x "module show" | grep -q "app_stack"; then
  asterisk -x "module load app_stack"
fi

Le concept de secureboot et de l'informatique de confiance en soit est plutôt intéressant aussi.

La possibilité de s'assurer qu'une machine n'a pas été modifiée de façon inattendue, que ton serveur situé a trois mille kilomètres n'est pas modifié par ton hébergeur, … c'est plutôt une bonne chose

Après l'implémentation c'est toujours là que le bàt blesse …

Serveur avec bi-cpu et 128Go de ram, avant que iceweasel arrive à bouffer tout ça y a de la marge quand même ^{^}

Peut-être que tes distributions live se chargeait automatiquement en ram ?
Ou alors les logiciels que tu utilisait se prêtaient bien aux latences de l'usb.

Pour avoir tester sur un serveur pour le benchmarker et avoir eu besoin de lancer un navigateur depuis le liveUSB la différence entre le ramdisk et le direct-to-usb se comptait en minutes au niveau du chargement du navigateur et en dizaines de secondes pour le chargements de pages / retours en arrière.

Même l'ouverture d'un terminal je constatait une réactivité très notablement supérieure, pour un temps de chargement global similaire voir inférieur car la copie séquentielle dans le ramdisk puis la réactivité de celui-ci était largement compensée par les lenteurs d'accès aleatoire de la clef usb

Ce n'est pas parce que les données sont "périmées" au sens HTTP que le serveur doit supprimer le cache, notamment pour ce que je cherche à faire.

Vu que tu travaille avec un serveur de type proxy cache HTTP bien sûr que si.

Je pense que tu as mal recopié la conf, la config que j'ai mis en lien c'est ça :
…

Ce sont les lignes 41/42 oui mais la ligne 59 override ce paramêtrage pour les index de paquets:

location ~ ^{/alpine/(?.*/APKINDEX.tar.gz)$} {
proxy_pass http://alpine-mirrors/$target_uri;
proxy_cache_valid 200 1m;
}

sinon si tu veut gérer plus finement ton cache le mieux est probablement de faire un vrai mirroir pour le coup:
https://wiki.alpinelinux.org/wiki/How_to_setup_a_Alpine_Linux_mirror

J'utilise un miroir avec mise en cache du dépôt Alpine Linux

ce n'est donc pas un miroir, juste un proxy cache.

Cependant je voulais savoir s'il existait un moyen pour un client HTTP de demander au miroir de lui servir une ressource en version mise en cache, même si elle est périmée

Souvent quand on pense devoir détourner le fonctionnement d'un outil c'est qu'on a soit pas compris les mechanismes racines de celui-ci ou qu'on a déployé une configuration qui ne correspond pas a nos besoins ^{^}

Dans ton exemple, la durée d'inactivité avant suppression du cache est d'un an, mais les données ne sont mise en cache au mieux que sur une journée ce n'est pas bien cohérent.

J'ai regardé du côté de l'en-tête HTTP Cache-Control, il semble que la valeur only-if-cached semble convenir. Est-ce que ma compréhension de cet en-tête est bonne, et pensez-vous qu'il s'agisse du meilleur moyen pour parvenir à mon but ?

pas vraiment non:

The “only-if-cached” request directive indicates that the client only wishes to obtain a stored response. If it receives this directive, a cache SHOULD either respond using a stored response that is consistent with the other constraints of the request, or respond with a 504 (Gateway Timeout) status code.

Si tu veut que ton cache soit utilisé en priorité sur de longues périodes il faut augmenter la durée de mise en cache et baisser les possibilitées de revalidation.
Dans ton cas l'index des APK n'est en cache que pour 1 minute a cause des lignes 57-60 du fichier en exemple:

location ~ ^/alpine/(?<target_uri>.*/APKINDEX\.tar\.gz)$ {
    proxy_pass http://alpine-mirrors/$target_uri;
    proxy_cache_valid 200 1m;
}

Ajouter "updating" à la ligne "proxy_cache_use_stale" permettra aussi à ton proxy de fournir la version précédente pendant la phase de mise à jour de la ressource ce qui devrait beaucoup aider à ton problème.

Au niveau validitées des caches, l'index je le monterai à 4h à minima, voir une journée, tandis que le reste doit pouvoir être monté à plusieurs mois, je ne connais pas alpine plus que ça mais un package n'a pas de raison d'être modifié in-place

L'intérêt est visible assez rapidement quand tu démarre un live-usb debian en mode normal vs en mode 'toram' ^{^}

Les images "live" debian (et donc probablement ubuntu et dérivés) supporte l'option "toram" pour monter le FS en mémoire, ce qui est infiniment plus utilisable que depuis le support initial.

Yep, ça arrive.

Juste un truc qui me perplexifie dans cette histoire:

On a des backups quotidiens, heureusement. Seulement on ne peut pas monter /dev et /etc du backup parce qu'on boot sur une debian-free et on est sur une debian non-free…
On les récupère en .tar.gz et on les redépose au bon endroit. On arrive à accéder en ssh à la machine, les voyants repassent au vert. Ouf…

Quel rapport entre les backups et debian-free/non-free qui sont des packets supplémentaires / firmware additionnels ?
Le backup n'est pas accessible car la carte réseau utilise un firmware closed ? si c'est ça votre "rescue" devrait être ajusté pour inclure cette contrainte…

Also "/dev/" est soit un dossier virtuel généré par udev, il suffit généralement de retrigger udev pour qu'il soit refresh:

udevadm control --reload-rules
udevadm trigger
Mais apparement vous avez rebooter donc …

Et si c'est un /dev statique il y a la commande MAKEDEV normalement, quoi qu'elle est généralement dans /dev ce qui pourrait poser un problème…

Et le 4 ?

Après avoir passé un moment à batailler avec jekyll + rouge + jekyll-assets et ne plus supporter les messages d'erreurs bizarres, les conflits et bloquages de versions de modules ruby et autres joyeusetées je suis passé sur Hugo

J'en ai profité pour refaire le theme graphique à l'identique (ou presque) visuellement mais sans tout les "helpers" JS/CSS présent initialement et en basant la structure html au plus proche des best-practices html5 (ou du moins de ce que j'ai compris du html5 ⁾ ie usage des tag articles, aside, nav, …

Je n'ai plus sous la main les chiffres exacts mais la page nécessite 40Ko la ou la base utilisé pour le theme jekyll tapait plutôt dans les 800Ko.

L'un des trucs les plus surprenant à été le bouton twitter d'ailleurs, qui rajoute discrètement 120/140Ko quand instancié via le js normal (pour au final 5/6 lignes de CSS ….)

Le projet git est connecté à cloudflare pages pour rendre l'update aussi efficace que possible.

https://github.com/bplessis/blog/
https://blog.plessis.info/

J'ai fait tourner mon blog peu actif sur jekyll pendant un moment et j'ai beaucoup souffert de l'écosystème et notamment "jekyll-assets" qui bloquait les mises à jours et avait des comportement bizarres qui m'ont fait perdre un temps fou…

La migration sur hugo à été une délivrance

Tu peut l'appeller ccslinux.com.conf mais effectivement l'extension .conf est obligatoire depuis un petit moment maintenant

Pour la partie "$corp" le soucis vient probablement d'une précédente gestion cloud de la machine, le poste à du contacter AzureAD ou windows autopilot pour et la machine s'est automatiquement reauthentifiée de part des identifiants matériels:

During setup or the OOBE wizard, Windows will connect to Microsoft services and check whether a PC is AAD joined or Windows Autopilot is set up or the like. If this is true, it will automatically reconfigure.

The PC is identified using a "hardware hash". What's in it is not documented by Microsoft.

The company that owned the device must release it from their management. Yes, the company can access it otherwise.

https://superuser.com/questions/1700523/why-does-the-company-name-and-domain-show-up-login-on-windows-10-installer

Petit complément aux solutions précédentes:

sur un parc homogène (ou en tout cas sur des OS dérivés de debian/apt) avec une volonté de contrôle apt-dater (https://github.com/DE-IBH/apt-dater) est un très chouette outil pour avoir une vision globale de l'état du parc et pour y appliquer les remédiations nécessaires.

Je dirais ça dépend surtout de combien ils vous font payer ça je pense.
Pour une petite librairie coopérative, si en plus vous disposez d'un contrat Office365 passer sur une offre business premium vous permet d'accéder à un tas de fonction dont la version "online" de defender qui à mon sens devrait être largement suffisante pour le risque

Surtout si vous avez en place des backups et un usage des outils OneDrive & co pour le travail interne

Oh bein en général les EDR sont des solutions basées sur des anti-virus classiques (ex Trend Micro Apex One est soudainement devenu Trend Micro EDR Machin Truc Bidulle, mais en fait on installe toujours ApexOne, juste il a un module de reporting supplémentaire

Si si bien sûr.

WSUS + GPO permettent d'automatiser le déploiement des patches de sécurité et certaines mises à jours.
Par contre effectivement si on parle d'un SI a base de Windows Server 2008 ça ne le mettra pas magiquement à jour en server 2019

Le mode "php" ne gère que la colloration syntaxique du code php, si tu mixe du php et autre chose (html, js, css, …) il va falloir regarder les solutions "multi-mode":

• https://www.emacswiki.org/emacs/MultipleModes
• https://web-mode.org/
• https://github.com/fgallina/multi-web-mode ..