Apple livre des trucs et astuces très utiles pour réussir de jolies photos avec son iPhone, mais il y a un sujet qui n’est pas abordé : le RAW. Depuis iOS 10, l’iPhone 6s et les modèles suivants peuvent photographier en RAW.
Je me sers beaucoup de spotlight pour retrouver, par le contenu ou nom, pdf et doc type word ou excel
Pour les fichiers de dev c'est souvent via l'IDE
Je me sers pas mal des dossiers intelligents, ça agit comme des requêtes spotlight en live sur le file système
Dans Mail d'Apple sur macOS, ou j'ai plusieurs comptes, j'utilise
Des règles pour classer des emails envoyés par des taches, robots…
Des dossiers intelligents (ou j'ai exclu certains dossiers) :
non lu
moins de 24 heures
moins de 7 jours
qui ont un suivi
les notes du fiston non lu
J'ai du arriver un jour avec plus de 400 000 emails quand je bossais sur macOS maintenant je suis sur Windows et je pleure, je connais bien Linux, mais en ligne de commande pas en desktop.
Apple se défend et dénonce une espèce d’amalgame dans la présentation de Google, laissant faussement croire à un manquement de sécurité . « Cette attaque très sophistiquée était ciblée et n’était pas un exploit à grande échelle [destiné à compromettre] en masse les iPhone, comme il est écrit ».
D'après moi le Projet Zero perd et crédibilité (proche de zéro ??)
Le marché des failles 0-day, ces failles qui ne sont pas connues des fabricants, est « inondé » par les vulnérabilités iOS, selon Zerodium. Si bien que cela a poussé cette société qui achète ces failles à offrir des récompenses plus élevées pour les vulnérabilités Android que pour iOS.
Zerodium verse 2,5 millions de dollars aux chercheurs en sécurité capables de dévoiler comment pirater complètement un terminal Android sans aucune action de l'utilisateur, contre 2 millions de dollars pour le même type d'attaque sur iOS.
Là, on est dans un cas de full disclosure avec moult explications, détails…
Le principe responsable c'est lorsqu'un tiers trouve une faille, il prévient en privé pour que le mainteneur du code effectue le travail nécessaire, patch et diffusion de mise à jour, avant de publier sa découverte (avec CVS). Cette publication c'est le mode d'emploi de la faille…
Le Google Projet Zero laisse 90 jours pour faire le boulot.
Je me souviens qu'une fois Microsoft n'avait pas fait le boulot dans les 90 et le GPZ a publié quand même, cela a mis une énorme pression sur Microsoft.
Je pense qu'il est plus difficile pour un hacker de repérer qu'une faille a été corrigée (en interne), ou que c'est un simple ajout, ou modification apportée dans le code dans le cadre de l'évolution du logiciel.
Google a la capacité de patcher rapidement. Ce sont les constructeurs qui ont le problème. Et Google a intérêt à motiver les constructeurs à le faire rapidement (ça fait des années qu'ils essayent). Ils auraient tout intérêt à en parler justement.
Bien sûr, mais dans la pratique, surtout avec du développement en mode open source, ce n'est pas viable, car le code source patché mais pas distribué c'est du pain béni pour les hackers !!!
Google a voulu fourrer Android dans le plus de poches possible, quitte à laisser tomber la sécurité, avec la complicité des fabricants de téléphones et aussi des opérateurs téléphoniques. Ça fait 3 couches ! On ajoute là-dessus des téléphones low cost à la limite de la rentabilité, donc des fabricants non motivés pour les mettre à jour, et on obtient un gros parc de téléphones qui ne seront jamais à jour.
Tout ceci à un cout !
Apple ne fait pas totalement bien son travail, je parle de la qualité du code, son bug bounty lancé récemment pourrait changer la donne…
Je commence à avoir de sérieux doutes sur l'objectivité du projet Zero, c'est vraiment dommage, car ce type de projet c'est bon pour tous.
Je suppose que Google project zero ne peut pas parler objectivement des failles qu'il trouve dans Android, car Google est dans l'incapacité de patcher rapidement ou même simplement. On ne peut pas parler de failles si l’on n’a pas envoyé de patch, cela serait catastrophique.
Apple est dans la capacité de fournir des patch au plus grand nombre et du coup on peut parler des failles trouvées.
"Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone."
J'ai eu un jour un problème avec France Télécom (oui je suis vieux) et lors de la résiliation de ma ligne Numeris (https://www.orange-business.com/fr/produits/numeris). FT à continuer à prélever par RIB, j'ai été voir ma banque et demandé le retour de l'argent (et de l'être aimé, mais ils ne font pas ce service) plus blocage de TF. J'ai eu l'argent et des frais de blocage, j'ai gardé leur gros boitier en amont du modem pour les faire chier…
Il y a quelque temps j'ai regardé les conditions d'utilisation du virement instantané, qui arrive déjà chez quelques banques, il est considéré comme irrévocable comme le virement normal. Alors je ne comprends pas pourquoi ma banque avait réussi à faire revenir l'argent…
Pour ma part mes préconisations dans l'ordre de préférence décroissante :
- Apple Pay au max (Apple ne voit pas notre numéro de carte et générè un ID pour chaque payement)
- Placer sa carte Chez PayPal, cela devrait aussi empêcher quelqu'un d'autre de le faire ;), utiliser alors PayPal un max
- Amazon/Google/Microsoft, on peux faire confiance, car cela ferait énormément de mal à leur activité en cas de problème.
- Pour les autres utiliser des numéros de carte jetable
Bref je trouve dangereux de ne pas utiliser PayPal quand c'est disponible.
Pour l’anecdote la carte Apple à venir d'aura pas de numéro présent ;) Seulement utilisable avec la puce donc plutôt chez les commerçants qui n'ont pas Apple Pay
Bon je ne cherche pas à troller, mais Apple Pay commence à arriver sur le web (pas encore fait d'achats avec sur le web) mais je l'utilise de plus en plus en boutique. Certaines joues le jeu et respecte le plafond de la carte rattachée, cela veut dire qu'en sans contact tu peux payer des gros trucs SANS COMPOSER ton code… Apple Pay c'est derrière un truc qui n'avait pas décollé avant qu'Apple s'en serve : Visa Token, un jeton utilisé pas payement. La carte Apple arrive pour les retardataires, mais elle n'a pas le sans contact top "insecure", il faut avoir un iPhone ou un Apple Watch pour le sans contact…
Quand même, payer 300 boules au supermarché ou Décathlon en sans contact avec sa montre c'est la classe. Si on veut me voler ma montre, il faut la re-authentifier ou me couper le bras… ;)
Il y a eu plein de cas d'infection avant vente, directement à l'usine
J'avais vu un article ou il y avait une double attaque, un PC sous Windows et le téléphone sous Android, spécialement fait pour coordonner les actions nécessitant des validations via sms.
Apple a encore bien bossé pour protéger ses clients… (mais le jailbreak continue alors ce n'est pas fini)
C'est ce qui m'est arrivé aussi, mais quand je lui ai demandé de me dire combien de qbit là j'ai rigolé, car j'ai lu quelques trucs là-dessus, et autant de qbit "cététrop rigolo" (improbable) ;) Par contre il a eu du mal a me croire…
Quelqu'un qui n'a jamais rien lu sur le sujet peut se faire avoir… Après si on doit remettre en cause tout ce que l'on voit sur le NET ça va être chaud…
Je ne pige pas pourquoi vous parlez de GAFAM, ici la problématique c'est une infrastructure cloud, donc il ne reste que GAM : Google, Amazon, Microsoft. Ni Apple, ni Facebook n'ont d'offres clouds.
Il y a quelques temps, on a pu voir qu'Apple pourrait être le plus gros client d'Amazon avec plus de 30 millions $ par mois de dépenses, car elle n'arrive pas encore à s'auto-suffire. Apple aurait dev iCloud sans s'appuiller sur un système cloud particulier, à une époque ils annonçaient utiliser mesos.
Mode méchant : si ça se trouve la page de statut des services d'Apple à plus visite que Qwant (méchant pour qui ? hehe)
[^] # Re: La solution
Posté par bunam . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 1.
Sans oublier https://www.macports.org aussi ;)
# Protocole alerte zataz
Posté par bunam . En réponse au journal Les cons? ça ose tout!. Évalué à 4.
Si on peut considérer ceci comme une fuite de donnée alors :
https://www.zataz.com/protocole-alerte-zataz/
[^] # Re: service public
Posté par bunam . En réponse au journal Dopamine !. Évalué à 1.
"contenu" heuww !! l'absence de contenu…
[^] # Re: Photographie.
Posté par bunam . En réponse au journal Apple casse les prix, la concurrence en sueur. Évalué à 0.
raw :
https://www.igen.fr/iphone/2017/12/tirez-parti-du-raw-pour-realiser-des-photos-insoupconnees-avec-votre-iphone-102169
il a des api pour ça et l'application par défaut ne le fait pas
[^] # Re: tags, spotlight, dossiers intelligents dans macOS
Posté par bunam . En réponse au journal Où sont les filesystems orientés DB?. Évalué à 1.
oups oui bien sûr j'avais oublié le changement de nom.
# tags, spotlight, dossiers intelligents dans macOS
Posté par bunam . En réponse au journal Où sont les filesystems orientés DB?. Évalué à 3.
une description de l'usage des tags
https://forums.cnetfrance.fr/topic/1209488-mac-os-x-mavericks--bien-utiliser-les-tags-du-finder/
dans les programmes on peut aussi le gérer (et aussi renommer/déplacer un fichier pendant qu'il est ouvert)
https://www.macrumors.com/how-to/files-folders-tags-macos/
section "How to Tag Open Files You're Working On"
le système de fichier HFS+ de macOS et donc aussi d'iOS à su évoluer au cours du temps, sans reformater, il a maintenant des capacités intéressantes comme la déduplication, acl en plus des droits Unix de base, métadonnée, commentaire…
voici un avis éclairé ;) :
https://www.macg.co/os-x/2015/01/hfs-est-certainement-le-pire-systeme-de-fichiers-selon-linus-torvalds-86727
Je me sers beaucoup de spotlight pour retrouver, par le contenu ou nom, pdf et doc type word ou excel
Pour les fichiers de dev c'est souvent via l'IDE
Je me sers pas mal des dossiers intelligents, ça agit comme des requêtes spotlight en live sur le file système
Dans Mail d'Apple sur macOS, ou j'ai plusieurs comptes, j'utilise
Des règles pour classer des emails envoyés par des taches, robots…
Des dossiers intelligents (ou j'ai exclu certains dossiers) :
non lu
moins de 24 heures
moins de 7 jours
qui ont un suivi
les notes du fiston non lu
J'ai du arriver un jour avec plus de 400 000 emails quand je bossais sur macOS maintenant je suis sur Windows et je pleure, je connais bien Linux, mais en ligne de commande pas en desktop.
# réponse d'Apple : on passe de deux ans à deux mois, elle confirme l'attaque ciblée et sophistiquée
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 0.
https://www.mac4ever.com/actu/146475_iphone-apple-dement-un-piratage-de-masse-compromettant-leur-securite
D'après moi le Projet Zero perd et crédibilité (proche de zéro ??)
# c'est loin d'aller dans le bon sens pour iOS
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 1.
https://www.igen.fr/ios/2019/09/ios-cible-privilegiee-des-chercheurs-en-securite-109665
…
[^] # Re: Merci la Chine
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 2. Dernière modification le 03 septembre 2019 à 14:48.
Oui bien sûr !
Là, on est dans un cas de full disclosure avec moult explications, détails…
Le principe responsable c'est lorsqu'un tiers trouve une faille, il prévient en privé pour que le mainteneur du code effectue le travail nécessaire, patch et diffusion de mise à jour, avant de publier sa découverte (avec CVS). Cette publication c'est le mode d'emploi de la faille…
Le Google Projet Zero laisse 90 jours pour faire le boulot.
Je me souviens qu'une fois Microsoft n'avait pas fait le boulot dans les 90 et le GPZ a publié quand même, cela a mis une énorme pression sur Microsoft.
Je pense qu'il est plus difficile pour un hacker de repérer qu'une faille a été corrigée (en interne), ou que c'est un simple ajout, ou modification apportée dans le code dans le cadre de l'évolution du logiciel.
[^] # Re: Merci la Chine
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 5.
Bien sûr, mais dans la pratique, surtout avec du développement en mode open source, ce n'est pas viable, car le code source patché mais pas distribué c'est du pain béni pour les hackers !!!
Google a voulu fourrer Android dans le plus de poches possible, quitte à laisser tomber la sécurité, avec la complicité des fabricants de téléphones et aussi des opérateurs téléphoniques. Ça fait 3 couches ! On ajoute là-dessus des téléphones low cost à la limite de la rentabilité, donc des fabricants non motivés pour les mettre à jour, et on obtient un gros parc de téléphones qui ne seront jamais à jour.
Tout ceci à un cout !
Apple ne fait pas totalement bien son travail, je parle de la qualité du code, son bug bounty lancé récemment pourrait changer la donne…
[^] # Re: Pourquoi Rust ?
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 1.
Je suppose que cet article peut aider à comprendre, avec la partie "Comparing Rust with C" ?
https://hub.packtpub.com/rust-is-the-future-of-systems-programming-c-is-the-new-assembly-intel-principal-engineer-josh-triplett/
Il faudrait avoir l'avis d'un spécialiste ;)
[^] # Re: Merci la Chine
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 3.
Je commence à avoir de sérieux doutes sur l'objectivité du projet Zero, c'est vraiment dommage, car ce type de projet c'est bon pour tous.
Je suppose que Google project zero ne peut pas parler objectivement des failles qu'il trouve dans Android, car Google est dans l'incapacité de patcher rapidement ou même simplement. On ne peut pas parler de failles si l’on n’a pas envoyé de patch, cela serait catastrophique.
Apple est dans la capacité de fournir des patch au plus grand nombre et du coup on peut parler des failles trouvées.
ici on parle d'Android
https://www.volexity.com/blog/2019/09/02/digital-crackdown-large-scale-surveillance-and-exploitation-of-uyghurs/
[^] # Re: Merci la Chine
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 6.
"Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone."
https://www.igen.fr/iphone/2019/09/piratages-diphone-les-ouighours-vises-android-et-windows-seraient-aussi-concernes
vous avez iOS vous êtes patché depuis février avec iOS 12.1.4 (iOS 12.x installé sur plus de 85% du parc à ce jour)
pour android…
[^] # Re: Seulement WebKit sur IOS
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 1.
Apple ne veut pas que du code trouvé n'importe où soit exécuté dans iOS, sauf le javascript lancé dans le moteur maison soi-disant protégé.
Avec ce principe, il est impossible de faire un moteur pour un navigateur.
Après certaines app peuvent lancer du code, et je ne sais pas pourquoi elles ont réussi à être présentes sur le store d'Apple :
http://omz-software.com/pythonista/
https://apps.apple.com/fr/app/swift-playgrounds/id908519492 (fait par Apple)
…
# Merci la Chine
Posté par bunam . En réponse au journal Une exploitation massive de failles dans iOS depuis plus de 2 ans. Évalué à 3.
https://9to5mac.com/2019/09/01/china-iphone-attack-uyghur-muslims/
c'est orchestré par l'état Chinois contre sa population musulmane du Ouïgoure
[^] # Re: Le virement bancaire
Posté par bunam . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 1. Dernière modification le 29 juin 2019 à 12:58.
J'ai eu un jour un problème avec France Télécom (oui je suis vieux) et lors de la résiliation de ma ligne Numeris (https://www.orange-business.com/fr/produits/numeris). FT à continuer à prélever par RIB, j'ai été voir ma banque et demandé le retour de l'argent (et de l'être aimé, mais ils ne font pas ce service) plus blocage de TF. J'ai eu l'argent et des frais de blocage, j'ai gardé leur gros boitier en amont du modem pour les faire chier…
Il y a quelque temps j'ai regardé les conditions d'utilisation du virement instantané, qui arrive déjà chez quelques banques, il est considéré comme irrévocable comme le virement normal. Alors je ne comprends pas pourquoi ma banque avait réussi à faire revenir l'argent…
# Préconisations ?
Posté par bunam . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 0.
Pour ma part mes préconisations dans l'ordre de préférence décroissante :
- Apple Pay au max (Apple ne voit pas notre numéro de carte et générè un ID pour chaque payement)
- Placer sa carte Chez PayPal, cela devrait aussi empêcher quelqu'un d'autre de le faire ;), utiliser alors PayPal un max
- Amazon/Google/Microsoft, on peux faire confiance, car cela ferait énormément de mal à leur activité en cas de problème.
- Pour les autres utiliser des numéros de carte jetable
Bref je trouve dangereux de ne pas utiliser PayPal quand c'est disponible.
Pour l’anecdote la carte Apple à venir d'aura pas de numéro présent ;) Seulement utilisable avec la puce donc plutôt chez les commerçants qui n'ont pas Apple Pay
[^] # Re: Même cas pour moi
Posté par bunam . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 3.
J'ai prévenu le journaliste Damien Bancal, un de ses sites web https://www.zataz.com/ https://twitter.com/Damien_Bancal
Il est très bien informé des problèmes de sécurité informatique…
# Apple Pay Rulez ?
Posté par bunam . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 0. Dernière modification le 26 juin 2019 à 22:08.
Bon je ne cherche pas à troller, mais Apple Pay commence à arriver sur le web (pas encore fait d'achats avec sur le web) mais je l'utilise de plus en plus en boutique. Certaines joues le jeu et respecte le plafond de la carte rattachée, cela veut dire qu'en sans contact tu peux payer des gros trucs SANS COMPOSER ton code… Apple Pay c'est derrière un truc qui n'avait pas décollé avant qu'Apple s'en serve : Visa Token, un jeton utilisé pas payement. La carte Apple arrive pour les retardataires, mais elle n'a pas le sans contact top "insecure", il faut avoir un iPhone ou un Apple Watch pour le sans contact…
Quand même, payer 300 boules au supermarché ou Décathlon en sans contact avec sa montre c'est la classe. Si on veut me voler ma montre, il faut la re-authentifier ou me couper le bras… ;)
# recherche google : android malware pre installed
Posté par bunam . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 4.
Il y a eu plein de cas d'infection avant vente, directement à l'usine
J'avais vu un article ou il y avait une double attaque, un PC sous Windows et le téléphone sous Android, spécialement fait pour coordonner les actions nécessitant des validations via sms.
Apple a encore bien bossé pour protéger ses clients… (mais le jailbreak continue alors ce n'est pas fini)
[^] # Re: Random crappish website
Posté par bunam . En réponse au journal journalistes -> ça m'énerve.... Évalué à 1.
J'ai plusoyer !! pour de vrai ;)
[^] # Re: et toujours qqun pour tomber dedans
Posté par bunam . En réponse au journal journalistes -> ça m'énerve.... Évalué à 1.
C'est ce qui m'est arrivé aussi, mais quand je lui ai demandé de me dire combien de qbit là j'ai rigolé, car j'ai lu quelques trucs là-dessus, et autant de qbit "cététrop rigolo" (improbable) ;) Par contre il a eu du mal a me croire…
Quelqu'un qui n'a jamais rien lu sur le sujet peut se faire avoir… Après si on doit remettre en cause tout ce que l'on voit sur le NET ça va être chaud…
[^] # Re: Random crappish website
Posté par bunam . En réponse au journal journalistes -> ça m'énerve.... Évalué à -5.
Très bonne réponse pour gagner du karma !!! MDR :)
# avoir des qbits c'est bien, mais il faut encore qu'ils ne soient pas en décohérence
Posté par bunam . En réponse au journal journalistes -> ça m'énerve.... Évalué à 5.
L'état de l'art actuellement ?
72 qubits MAX pour Google
50 qubits MAX pour IBM
Je prédis qu'il faudra quelques années avant de faire travailler ensemble 20 millions de qubits (mouaahaahaha désolé ;)
https://thenextweb.com/artificial-intelligence/2018/03/06/google-reclaims-quantum-computer-crown-with-72-qubit-processor/
https://fr.wikipedia.org/wiki/Calculateur_quantique#Principe_de_fonctionnement_des_calculateurs_quantiques
[^] # Re: Sale temps et Qwant
Posté par bunam . En réponse au journal [HS] Microsoft ♥ Linux - Episode V "Qwantanamera". Évalué à 2. Dernière modification le 19 mai 2019 à 22:00.
Je ne pige pas pourquoi vous parlez de GAFAM, ici la problématique c'est une infrastructure cloud, donc il ne reste que GAM : Google, Amazon, Microsoft. Ni Apple, ni Facebook n'ont d'offres clouds.
Il y a quelques temps, on a pu voir qu'Apple pourrait être le plus gros client d'Amazon avec plus de 30 millions $ par mois de dépenses, car elle n'arrive pas encore à s'auto-suffire. Apple aurait dev iCloud sans s'appuiller sur un système cloud particulier, à une époque ils annonçaient utiliser mesos.
Mode méchant : si ça se trouve la page de statut des services d'Apple à plus visite que Qwant (méchant pour qui ? hehe)