Il y a aussi une extension pour navigateur, ce qui ne me semble pas trop loin de la demande. Ce que je trouvais pas mal, c'est d'avoir le même fournisseur pour la partie mobile et desktop (enfin, navigateur).
Sinon oathtool permet de gérer des TOTP assez facilement en ligne de commande, histoire de répondre à côté de la plaque une seconde fois :). Ou encore l'extension pass-otp pour pass, en ligne de commande également.
Au bout de 30 secondes, je me suis dit "non mais sérieux quel intérêt ?". Et puis j'ai vu "guitar solo" et là j'ai compris qu'avec le son, ça allait tout de suite être autre chose :).
C'est sous-entendu dans le sens "l'article est suffisamment bien écrit/documenté/exhaustif car écrit par un·e journaliste pour que les commentaires n'apportent que peu de choses". Même si ce n'est pas volontaire, cette phrase peut se lire et se développer de cette manière :
Contrairement à des sites communautaires, les articles de Next sont écrits par des journalistes, et j'ai rarement vu des commentaires apportant de vraies plus values à l'article
Contrairement à des sites communautaires, les articles de Next sont écrits par des journalistes.
Contrairement à des sites communautaires, j'ai rarement vu des commentaires apportant de vraies plus values à l'article
Corollaire : les articles des sites communautaires sont plus aisément complétés en plus-value par les commentaires.
Boh, je ne trouve pas ça déconnant qu'un État soit administré différemment d'une entreprise privée.
Concernant les absentions, si tu parles de la France, il suffit de rendre le vote obligatoire1, comme en Belgique (10-15% d'abstention). Ça ne garanti pas pour autant un vote de qualité, mais ça peut mener un bon paquet de personnes à se poser la question de ce que c'est que voter d'une manière ou d'une autre, voire de s'intéresser à la démocratie.
Le mot obligatoire sur linuxfr étant synonyme de liberticide, j'en ai bien conscience :) ↩
GLPI et OCS sont sans doute les deux les plus utilisés, mais j'imagine que tu connais déjà.
Snipe IT est assez récent, facile à déployer et peut être suffisant pour ton cas. L'inventaire est plutôt manuel.
Si tu veux de l'inventaire + de la supervision, il y a Zabbix ou Centreon qui ont des fonctions d'inventaire.
Mais attention à deux trucs :
tu risques de te retrouver à avoir un serveur exposé sur Internet pour collecter les infos, et ce serveur va contenir des données potentiellement personnelles (logiciels installés, IP, liste d'utilisateurs, emplacement géographique…).
il faut que ce soit clair pour tes proches que tu as accès à sans doute plus d'infos qu'ils et elles en sont concient·es.
Posté par cg .
En réponse au lien ping clock.
Évalué à 2.
C'est très mignon (vraiment), mais l'objet étant à l'extérieur de l'ordi/du téléphone qui fait la conf, ça ne permet pas de faire un test de bout en bout, ni de diagnostiquer si le problème est sur l'ordi (wifi déconnecté, câble Ethernet mangé par les rats…).
J'ajoute que la télémétrie n'a rien à voir avec de l'OSINT (OS voulant dire "Source Ouverte"=des trucs à la dispo de qui tout le monde), et la désactivation de la corbeille, c'est plutôt contre la recherche de preuves (forensique) d'entrée de gamme.
J'en déduis que tu ne connais pas la gamme de prix des moniteurs Eizo :D.
Mais oui j'ai des collègues qui s'en sont bricolé en Carton Plume noir. C'est même mieux car tu peux ajuster directement le format à ton environnement : par exemple beaucoup de lumière à gauche et presque pas à droite.
Il y a aussi le Black Wrap/Black Foil/Ciné Foil, qui est une feuille d'alu noir en rouleau (il existe une version adhésive). C'est assez cher mais c'est léger, fin, et ça se replie pas trop mal.
J'ai beaucoup utilisé Zoneminder, et c'est un bon outil. Il y a aussi une fonction de masques, pour cacher les endroits dans lesquels des personnes peuvent rester longtemps (un bureau, le fauteuil au coin du feu), ou pour cacher les endroits que tu n'as pas le droit de filmer, par exemple au delà de ton portail pour la caméra qui filme le toit.
C'est vrai que je ne me préoccupe pas trop du niveau d'encre. Mais pour recto-verso, brouillon, ces options sont bien découvertes correctement et dispo dans des applis comme Evince ou LibreOffice (99% de mes besoins).
Et donc, je me dis quel dommage, pour le niveau d'encre.
IPP-enabled printers are able to respond to queries investigating about their capabilities. (Can they print duplex? Can they print in color? Do they support stapling? Have they paper with A3 dimensions loaded? How much ink do they have left? etc.
Donc même l'agrafeuse est supposée être gérée !
Après une rapide recherche avec pacman, je trouve le paquet system-config-printer, l'installe.
Par jeu je vire mon imprimante de CUPS et la réinstalle via l'interface Web de CUPS. L'imprimante est découverte (ce qui consiste à cliquer sur Next plusieurs fois), et au bout d'une longue minute, j'ai :
HP Printer, driverless, 2.1.0 (grayscale, 2-sided printing)
J'ouvre l'appli system-config-printer, tiens, un volet "Ink/Toner Level". Tiens le niveau d'encre est très bas (14%), et le tambour à 65% de sa fin de vie. Il y a même le modèle du toner, ce qui me permettra de le recommander facilement ;).
Au final, tu as sans doute raison qu'il va y avoir une option obscure ou deux sur certaines imprimantes (photocopieuse, fax, envoi d'un scan par mail?) qui ne seront visibles que sur le panneau de contrôle ou le driver propriétaire.
les imprimantes récentes arrivent souvent à fonctionner sans pilote, car elles utilisent un protocole normalisé. Sans doute est-ce le cas pour cette imprimantes. La techno en question s'appelle IPP everywhere et est parfois mentionné sous le nom "Airprint".
La sécurité, ou plutôt la confidentialité offerte par un filtre est relative, mais peut être suffisante, comme toujours c'est un équilibre. Quand j'envoie des sextos à ma copine, j'apprécie que les voisin·es ne puissent pas lire :p.
À moins d'utiliser un système type "Live" (comme l'excellent Tails ou Ubuntu Live) qui utilise peu le stockage une fois en route, j'éviterai les mini-trucs : ça marche vite 5 minutes, puis ça chauffe et les perfs chutent.
Un petit SSD ou NVMe en USB-C qui a un peu de surface pour dissiper la chaleur me semble mieux adapté.
Et bien sûr, avant tout, vérifier avec le service informatique de ton employeur que c'est permis de démarrer sur un autre système que celui fourni, ce qui est loin d'être évident…
Ça ne va pas t'aider, mais j'ai découvert que mon ordi de travail a un filtre de confidentialité intégré à l'écran, qui s'active avec un raccourci clavier. J'étais comme un gamin quand on m'a montré ça ;).
60° d'angle de vue, si c'est 30° de chaque côté, c'est pas si mal, non ? Sinon j'ai vu 2 technos niveau maintient : celle qui tient sur l'écran par électricité statique, et celle ou il faut mettre des taquets moches sur les bords.
Normalement tu décorrèles l'authentification sur le serveur de la passphrase maître des mots de passe
Mmm. La différence que je vois, c'est qu'en effet, le mot de passe est dérivé et condensé dans tous les sens avant d'être envoyé au serveur. Donc dans le cas du client web chargé depuis un serveur compromis, on peut en effet voler le mot de passe "en clair" côté client, alors que dans le cas du client lourd, il reste sagement sur l'ordi sans possibilité de bricoler le code du client.
L'attaquant qui contrôle le serveur peut modifier le client web et servir un code JS qui, en plus de dériver le mot de passe pour déchiffrer le coffre, pourrait l'envoyer à l'attaquant.
En effet, ça semble logique. L'attaquant devrait même en profiter pour récupérer les secrets encore chiffrés au passage, car si le compte est protégé par de la double authentification, alors il ne pourra pas les récupérer plus tard via l'API web.
Ceux qui utilisent uniquement les clients lourds sont à l'abri, tant qu'ils ne téléchargent pas le client depuis le serveur compromis.
Par contre, je ne comprend pas bien pourquoi cela protège d'utiliser le client lourd : pour récupérer le coffre et pouvoir l'utiliser avec ledit client, il faut s'authentifier, et donc envoyer son mot de passe (et son éventuel OTP) au serveur compromis au moins une première fois, non ?
C'est plutôt chouette (et normal) de centraliser les identités pour une structure comme une université. Si un jour cette université configure la couche SSO, ce sera d'autant plus simple pour les utilisateurs ! Et ça pourrait permettre une meilleurs acceptation de la double authentification, puisqu'elle ne se ferait qu'une fois pour des dizaines de sites/services.
Posté par cg .
En réponse au lien Against /tmp.
Évalué à 2.
Il me semble bien que souvent, la partition/tmp est plus petite qu'une tique et plus volatile que l'ether1. Des logiciels comme Blender (un merveilleux logiciel de 3D libre ❤️) ou Nuke (un logiciel de compositing propriétaire 🥺) par exemple, s'en servent pour l'enregistrement automatique des scènes ouvertes. Sauf qu'une scène Blender ou Nuke, ça peut être assez volumineux, et donc peut saturer le /tmp rapidement.
Si on ajoute que la solution vite-faite-mal-faite-mais-efficace à cette saturation qui provoque des problèmes est le reboot de la machine, et bien les fichiers de sauvegardes automatiques sont perdus2.
Magique non ?
toute ressemblance avec une balade en forêt serait fortuite ↩
imagine that user John Doe, used the password hint “same as Netflix”. […]. During the real investigation, this behavior was noticed in about 30% of all the master password hints, showing that it can totally happen and may not be isolated behavior.
L'intérêt d'avoir un gestionnaire de mot de passe comme Bitwarden est précisément de pouvoir avoir des mots de passe uniques. On en conclu que environ 30% des personnes ne comprennent pas pourquoi elles utilisent un gestionnaire de mot de passe.
Si ces personnes sont "obligées" car c'est un outil fourni par l'entreprise, alors l'employeur devrait investir un peu sur la sensibilisation et la formation… À ce niveau c'est du gâchis.
C'est vrai, Bitwarden a un modèle économique freemium et open core comme GitLab. Le code du serveur est partiellement disponible et partiellement libre en AGPL 3.0, mais ça reste propriétaire pour certains morceaux (licence Bitwarden).
Par contre, on peut tout à fait héberger le serveur soi-même, même si c'est réputé lourdingue, en particulier pour la partie base de données pour les grosses installations. Il faut avoir une licence pour pouvoir profiter des fonctionnalités payantes.
Du côté auto hébergement, Vaultwarden est vraiment simple et convient parfaitement pour des petites structures (et peut-être pour des grandes aussi d'ailleurs).
[^] # Re: 2FAS
Posté par cg . En réponse au message Cherche logiciel de génération de code à deux facteur (2FA). Évalué à 4. Dernière modification le 12 novembre 2024 à 22:17.
Il y a aussi une extension pour navigateur, ce qui ne me semble pas trop loin de la demande. Ce que je trouvais pas mal, c'est d'avoir le même fournisseur pour la partie mobile et desktop (enfin, navigateur).
Sinon
oathtoolpermet de gérer des TOTP assez facilement en ligne de commande, histoire de répondre à côté de la plaque une seconde fois :). Ou encore l'extension pass-otp pour pass, en ligne de commande également.[^] # Re: Et la préquelle
Posté par cg . En réponse au lien curl -v https://google.com. Évalué à 1.
Et aussi, la DECSS song : https://www.youtube.com/watch?v=PmLpLdGzNpo
Et toujours, la Free Software Song version méta : https://www.youtube.com/watch?v=Gv7PlyR5xrY
# Epic Fail
Posté par cg . En réponse au lien curl -v https://google.com. Évalué à 4.
Au bout de 30 secondes, je me suis dit "non mais sérieux quel intérêt ?". Et puis j'ai vu "guitar solo" et là j'ai compris qu'avec le son, ça allait tout de suite être autre chose :).
# 2FAS
Posté par cg . En réponse au message Cherche logiciel de génération de code à deux facteur (2FA). Évalué à 3.
Dans un journal qui parlait des applis de ce type, 2FAS avait l'air vraiment bien.
[^] # Re: manière de filtrer les commentaires
Posté par cg . En réponse au journal Next.ink : Vous devez être abonné pour pouvoir commenter. Évalué à 5. Dernière modification le 11 novembre 2024 à 20:16.
C'est sous-entendu dans le sens "l'article est suffisamment bien écrit/documenté/exhaustif car écrit par un·e journaliste pour que les commentaires n'apportent que peu de choses". Même si ce n'est pas volontaire, cette phrase peut se lire et se développer de cette manière :
[^] # Re: Qu'en penser…
Posté par cg . En réponse au journal Next.ink : Vous devez être abonné pour pouvoir commenter. Évalué à 4.
Boh, je ne trouve pas ça déconnant qu'un État soit administré différemment d'une entreprise privée.
Concernant les absentions, si tu parles de la France, il suffit de rendre le vote obligatoire1, comme en Belgique (10-15% d'abstention). Ça ne garanti pas pour autant un vote de qualité, mais ça peut mener un bon paquet de personnes à se poser la question de ce que c'est que voter d'une manière ou d'une autre, voire de s'intéresser à la démocratie.
Le mot obligatoire sur linuxfr étant synonyme de liberticide, j'en ai bien conscience :) ↩
# GLPI, OCS, Zabbix, Centreon, Snipe IT
Posté par cg . En réponse au message Inventaire de matériel informatique. Évalué à 5.
GLPI et OCS sont sans doute les deux les plus utilisés, mais j'imagine que tu connais déjà.
Snipe IT est assez récent, facile à déployer et peut être suffisant pour ton cas. L'inventaire est plutôt manuel.
Si tu veux de l'inventaire + de la supervision, il y a Zabbix ou Centreon qui ont des fonctions d'inventaire.
Mais attention à deux trucs :
[^] # Re: La vraie question est
Posté par cg . En réponse au lien « Un geste politique » : pourquoi Firefox continue d’être utilisé, malgré l’hégémonie de Chrome. Évalué à 8.
Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison.
—Michel Audiard, ou Coluche, selon qu'on cherche avec Firefox ou Chrome
# Mignon
Posté par cg . En réponse au lien ping clock. Évalué à 2.
C'est très mignon (vraiment), mais l'objet étant à l'extérieur de l'ordi/du téléphone qui fait la conf, ça ne permet pas de faire un test de bout en bout, ni de diagnostiquer si le problème est sur l'ordi (wifi déconnecté, câble Ethernet mangé par les rats…).
[^] # Re: Un peu confus
Posté par cg . En réponse au lien OSINT : User Privacy in Linux. Évalué à 3.
J'ajoute que la télémétrie n'a rien à voir avec de l'OSINT (OS voulant dire "Source Ouverte"=des trucs à la dispo de qui tout le monde), et la désactivation de la corbeille, c'est plutôt contre la recherche de preuves (forensique) d'entrée de gamme.
[^] # Re: 60° et une "casquette" ?
Posté par cg . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 2.
J'en déduis que tu ne connais pas la gamme de prix des moniteurs Eizo :D.
Mais oui j'ai des collègues qui s'en sont bricolé en Carton Plume noir. C'est même mieux car tu peux ajuster directement le format à ton environnement : par exemple beaucoup de lumière à gauche et presque pas à droite.
Il y a aussi le Black Wrap/Black Foil/Ciné Foil, qui est une feuille d'alu noir en rouleau (il existe une version adhésive). C'est assez cher mais c'est léger, fin, et ça se replie pas trop mal.
# Bon choix
Posté par cg . En réponse au journal Souriez, vous êtes filmé. Évalué à 6.
J'ai beaucoup utilisé Zoneminder, et c'est un bon outil. Il y a aussi une fonction de masques, pour cacher les endroits dans lesquels des personnes peuvent rester longtemps (un bureau, le fauteuil au coin du feu), ou pour cacher les endroits que tu n'as pas le droit de filmer, par exemple au delà de ton portail pour la caméra qui filme le toit.
[^] # Re: filtre polarisant
Posté par cg . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 3.
Et à l'inverse, il y a des lunettes pour ne pas voir les écrans
[^] # Re: Essayer sans driver
Posté par cg . En réponse au message installer un driver pour mon imprimante. Évalué à 4.
C'est vrai que je ne me préoccupe pas trop du niveau d'encre. Mais pour recto-verso, brouillon, ces options sont bien découvertes correctement et dispo dans des applis comme Evince ou LibreOffice (99% de mes besoins).
Et donc, je me dis quel dommage, pour le niveau d'encre.
Alors je vais voir ici s'il n'y aurait pas des infos : IPP-(Everywhere) Mini Tutorial, et ça dit :
Donc même l'agrafeuse est supposée être gérée !
Après une rapide recherche avec
pacman, je trouve le paquet system-config-printer, l'installe.Par jeu je vire mon imprimante de CUPS et la réinstalle via l'interface Web de CUPS. L'imprimante est découverte (ce qui consiste à cliquer sur Next plusieurs fois), et au bout d'une longue minute, j'ai :
J'ouvre l'appli system-config-printer, tiens, un volet "Ink/Toner Level". Tiens le niveau d'encre est très bas (14%), et le tambour à 65% de sa fin de vie. Il y a même le modèle du toner, ce qui me permettra de le recommander facilement ;).
Au final, tu as sans doute raison qu'il va y avoir une option obscure ou deux sur certaines imprimantes (photocopieuse, fax, envoi d'un scan par mail?) qui ne seront visibles que sur le panneau de contrôle ou le driver propriétaire.
# Essayer sans driver
Posté par cg . En réponse au message installer un driver pour mon imprimante. Évalué à 6.
Bonjour,
les imprimantes récentes arrivent souvent à fonctionner sans pilote, car elles utilisent un protocole normalisé. Sans doute est-ce le cas pour cette imprimantes. La techno en question s'appelle IPP everywhere et est parfois mentionné sous le nom "Airprint".
[^] # Re: 60° et une casquette ?
Posté par cg . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 2.
On rigole, on rigole, mais bon, ça se fait.
La sécurité, ou plutôt la confidentialité offerte par un filtre est relative, mais peut être suffisante, comme toujours c'est un équilibre. Quand j'envoie des sextos à ma copine, j'apprécie que les voisin·es ne puissent pas lire :p.
# Un truc plus gros
Posté par cg . En réponse au message Clé USB pour système persistant . Évalué à 8.
À moins d'utiliser un système type "Live" (comme l'excellent Tails ou Ubuntu Live) qui utilise peu le stockage une fois en route, j'éviterai les mini-trucs : ça marche vite 5 minutes, puis ça chauffe et les perfs chutent.
Un petit SSD ou NVMe en USB-C qui a un peu de surface pour dissiper la chaleur me semble mieux adapté.
Et bien sûr, avant tout, vérifier avec le service informatique de ton employeur que c'est permis de démarrer sur un autre système que celui fourni, ce qui est loin d'être évident…
[^] # Re: Au passage
Posté par cg . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 2.
Oui, c'est un HP l'ordi de mon boulot, mais Dell a aussi des modèles avec filtre intégré semble-t-il.
Concernant le support en fonction de l'OS, c'est géré au niveau matériel, ça fonctionne partout.
# Au passage
Posté par cg . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 5.
Ça ne va pas t'aider, mais j'ai découvert que mon ordi de travail a un filtre de confidentialité intégré à l'écran, qui s'active avec un raccourci clavier. J'étais comme un gamin quand on m'a montré ça ;).
60° d'angle de vue, si c'est 30° de chaque côté, c'est pas si mal, non ? Sinon j'ai vu 2 technos niveau maintient : celle qui tient sur l'écran par électricité statique, et celle ou il faut mettre des taquets moches sur les bords.
[^] # Re: Compromission de l'appli web : un oubli?
Posté par cg . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 4.
Mmm. La différence que je vois, c'est qu'en effet, le mot de passe est dérivé et condensé dans tous les sens avant d'être envoyé au serveur. Donc dans le cas du client web chargé depuis un serveur compromis, on peut en effet voler le mot de passe "en clair" côté client, alors que dans le cas du client lourd, il reste sagement sur l'ordi sans possibilité de bricoler le code du client.
J'ai bien compris cette fois ?
[^] # Re: Compromission de l'appli web : un oubli?
Posté par cg . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 3.
En effet, ça semble logique. L'attaquant devrait même en profiter pour récupérer les secrets encore chiffrés au passage, car si le compte est protégé par de la double authentification, alors il ne pourra pas les récupérer plus tard via l'API web.
Par contre, je ne comprend pas bien pourquoi cela protège d'utiliser le client lourd : pour récupérer le coffre et pouvoir l'utiliser avec ledit client, il faut s'authentifier, et donc envoyer son mot de passe (et son éventuel OTP) au serveur compromis au moins une première fois, non ?
[^] # Re: La sécurité est un échec™
Posté par cg . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 4.
C'est plutôt chouette (et normal) de centraliser les identités pour une structure comme une université. Si un jour cette université configure la couche SSO, ce sera d'autant plus simple pour les utilisateurs ! Et ça pourrait permettre une meilleurs acceptation de la double authentification, puisqu'elle ne se ferait qu'une fois pour des dizaines de sites/services.
# Et la taille
Posté par cg . En réponse au lien Against /tmp. Évalué à 2.
Il me semble bien que souvent, la partition
/tmpest plus petite qu'une tique et plus volatile que l'ether1. Des logiciels comme Blender (un merveilleux logiciel de 3D libre ❤️) ou Nuke (un logiciel de compositing propriétaire 🥺) par exemple, s'en servent pour l'enregistrement automatique des scènes ouvertes. Sauf qu'une scène Blender ou Nuke, ça peut être assez volumineux, et donc peut saturer le /tmp rapidement.Si on ajoute que la solution vite-faite-mal-faite-mais-efficace à cette saturation qui provoque des problèmes est le reboot de la machine, et bien les fichiers de sauvegardes automatiques sont perdus2.
Magique non ?
toute ressemblance avec une balade en forêt serait fortuite ↩
pure fiction 😅 ↩
# La sécurité est un échec™
Posté par cg . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 4.
Très chouette article.
Ce passage m'a fait bizarre :
L'intérêt d'avoir un gestionnaire de mot de passe comme Bitwarden est précisément de pouvoir avoir des mots de passe uniques. On en conclu que environ 30% des personnes ne comprennent pas pourquoi elles utilisent un gestionnaire de mot de passe.
Si ces personnes sont "obligées" car c'est un outil fourni par l'entreprise, alors l'employeur devrait investir un peu sur la sensibilisation et la formation… À ce niveau c'est du gâchis.
[^] # Re: Un bug ?
Posté par cg . En réponse au lien bitwarden - Desktop version 2024.10.0 is no longer free software. Évalué à 3.
C'est vrai, Bitwarden a un modèle économique freemium et open core comme GitLab. Le code du serveur est partiellement disponible et partiellement libre en AGPL 3.0, mais ça reste propriétaire pour certains morceaux (licence Bitwarden).
Par contre, on peut tout à fait héberger le serveur soi-même, même si c'est réputé lourdingue, en particulier pour la partie base de données pour les grosses installations. Il faut avoir une licence pour pouvoir profiter des fonctionnalités payantes.
Du côté auto hébergement, Vaultwarden est vraiment simple et convient parfaitement pour des petites structures (et peut-être pour des grandes aussi d'ailleurs).