cg a écrit 1433 commentaires

Tu peux aider !
Reporters sans Frontières
Amnesty International

On peut lire le grand roman de la physique quantique de Manjit Kumar pour se rendre compte de comment en quelques années tellement de choses ont changé dans la compréhension qu'on a de la physique. Je reste fasciné par les prédictions parfois faites 30 ou 50 ans avant qu'on sache faire la démonstration et fournir la preuve.

La fameuse photo du congrès Solvay de 1927 regroupe une belle brochette de chercheurs et une chercheuse aux noms célèbres.

le Typematrix a un toucher un peu similaire, un peu plus ferme peut-être.

Comme le disait Coluche, c'est pas parce qu'ils sont nombreux à avoir tord qu'ils ont raison :).

le code habituel des CB ne fait que 4 chiffres

Voilà un bon exemple de 2FA (quelque chose que tu as, quelque chose que tu sais), systématiquement couplé à une limitation à trois essais (empêche la force brute).

En combinant ces trois paramètres, on arrive à avoir des millions de cartes en circulation et assez peu de fraude.

Une fraude facile à mettre en place est de regarder quelqu'un faire son code, et lui prendre/voler sa carte ensuite, mais, risqué, relativement lent, et la carte peut être révoquée rapidement.

Au reste, on va vite comprendre qu'il est beaucoup plus rentable de pirater un mobile qui donne accès à tout. Comme c'est assez facile vu le peu de suivi de sécurité, je pense qu'on va vers de gros ennuis.

Là dessus je te rejoins complètement. C'est une des raisons pour laquelle je n'ai pas de smartphone (mais pas la principale).

Par contre l'impact entre un exploit distant et local reste énorme, ce n'est pas tout ou rien.

La sécurité, c'est parfois une sensation de fraîcheur dans la nuque :p.

Mais dans le cas du MFA, tu as des moyens simples et gratuits de la mettre en œuvre, et qui réduisent drastiquement l'impact d'un vol de mot de passe (par exemple tu te fais piquer un mot de passe commun à deux-trois sites web). Microsoft et Google disent que ça fait échouer 99.9% des tentatives. Bon, ils ont peut-être quelque chose à vendre, et comment leur faire confiance ? Divisons le nombre par deux, et disons que ça fait échouer seulement 49,95% des attaques. C'est déjà énorme !

Pour reprendre l'exemple de tes enfants et des téléphones, avec du MFA, tu fais passer le risque associé au vol des moyens d'authentification de "tous les pirates d'Internet" à "quelques dizaines de personnes".

Après, ce n'est pas parfait non plus comme solution. Mais associé à un truc genre 5 essais et verrouillage du compte (fail2ban par exemple), ça devient super efficace.

Ce doit être que ton code est Parfait™ et que l'extension horror s'est désinstallée d'elle-même au crépuscule :).

git --horror fait pareil que cat sur mon code, c'est grave ?

Ah, je n'avais pas constaté, c'est curieux comme contrainte. J'avais pu configurer ma Yubikey bien avant le TOTP (que j'ai fait en plus une fois abonné à Bitwarden, mon téléphone n'étant pas soire :D).

Merci pour le script !

Sur ce point :

Et en plus, ils ont rendu l'authentification à 2 facteurs bientôt obligatoire et j'ai pas envie de leur donner mon numéro de téléphone

Tu peux utiliser du TOTP (dans un gestionnaire de mot de passe comme bitwarden ou keepassxc et/ou une appli type FreeOTP) ou une clé matérielle type Yubikey ou Nitrokey (open hardware).

C'est une excellente chose que l'authentification à deux facteurs deviennent obligatoire dès que possible, je trouve.

Étant donné que n'importe quel système de traitement de l'information se fonde sur ce qui est disponible, en moyenne, le système va représenter l'opinion des groupes sociaux qui sont le plus visibles… C'est à dire les hommes blancs de culture occidentale¹.

En dehors des ouvrages scientifiques, qui fournissent une information objective, le reste sera plus ou moins de la propagande pour les pensées dominantes.

Cette article de NixCraft explique comment en bloquer d'autres :
https://www.cyberciti.biz/web-developer/block-openai-bard-bing-ai-crawler-bots-using-robots-txt-file/

C'est vrai que c'est plus clair.

La différence que je vois entre "côté client" et "connaissance nulle" c'est que "connaissance nulle" insiste sur le fait que le tiers n'a pas - et ne doit pas avoir - les clés. "Chiffrement côté client" n'implique pas qu'il n'y a pas aussi de clé privée chez le tiers (ce qui peut servir pour la récupération, mais là c'est un peu dommage, n'est-il pas ?).

Le chiffrement homomorphique, c'est assez fascinant vu de loin. Les maths n'ont pas fini de nous étonner :D.

La liste est tellement longue :).

C'est quand même dommage de faire une page comme celle-ci sans parler des services qui utilisent du chiffrement à connaissance nulle (technique mieux connue sous le nom de zero knowledge).

Au début c'est amusant de répondre "la surprise est totale" ou encore "qui aurait pu prévoir ?", mais bon, on se lasse de tout.

Y'a aussi la planche avec l'alarme DIY, dans laquelle le cambrioleur s'empêtre dans les fils :).

Ceci dit, j'ai un chat, et pendant les cambriolages que j'ai subi (pendant que toute la famille dormait paisiblement), il n'a pas vraiment eu le même comportement :-/.

Et j'abonde en pointant que le français du Québec n'a pas de genre de problème.

Infonuagique, TI pour IT, fin de semaine, et j'en passe…

Tant qu'à faire des blagues : une pub avec une maison connectée

Merci pour cette belle histoire !

Depuis quelques temps Martin travaille dans la cybersécurité, et sa formation l’a rendu quelque peu méfiant. On dit même que ce métier peut même rendre paranoïaque.

C'est totalement vrai :).

Alors un jour, Martin prend ses outils, et se met à regarder ce qui se passe.

Et Martin a bien fait. Mention spéciale pour le revendeur qui a fait le dos rond et n'a pas attaqué son client (oui, ça existe).

Quand tu discutes en entreprise sur la limitation des accès à Internet pour les personnes qui manipulent du contenu sensible ou de valeur (c'est à dire quasiment tout le monde, si tu y penses), chaque équipe est ok pour le mettre en œuvre, mais "sauf pour mon équipe, on est conscient des risques, nous¹".

à . chaque . fois .

Une solution simple et moderne, c'est l'isolation du navigateur (Remote Browser Isolation), qui permet d'aller visiter tout ce qu'on veut, mais limite drastiquement les téléchargements et les connexions louches. Faudrait que je fasse un journal là-dessus, tiens.

J'ai dû chercher ce que veut dire AST, alors voila, pour résumer :

Un arbre de la syntaxe abstraite est […] comme la représentation intermédiaire interne d'un programme informatique pendant qu'il est optimisé et à partir duquel la génération de code est effectuée.

Prochaineétapetouslesblancs

Oui, mais comment faire si tu es en thème sombre ? Retirer le blanc revient à supprimer certaines lettres.

Alors, tabulations et thème sombre, ou espaces et thème clair ? Slip ou caleçon ?

Au final, le must n'est-il pas de programmer du Whitespace, nu·e et sur un terminal Braille ?

Perso je suis plus tongs-chaussettes pour programmer en Shakespeare, mais chacun fait bien ce qu'il veut.

Oui, pour moi avec la gratuité pour les enfants de moins de douze ans, et des tarifs réduits via la ville de Paris, on a pu aller à six personnes aux concerts pour soixante euros. On a été que le dimanche, mais on aurait pu y aller les trois jours.

Et on a eu la pluie dedans la gare de RER bondée gratos :D !

L'appli, peut-être pas, mais la somme des personnes qui s'en servent, éventuellement. Un BBS sur modem était centralisé, pourtant on peut parler de réseau social. Idem pour le Minitel : ultra-centralisé, mais utilisateurs en réseau.

C'est une question de point de vue : point de vue service ou point de vue infrastructure.

Si j'ai 8/20 je suis content :D

Exact, j'ai confondu ! Et donc Turbo est en licence MIT aussi.

(DHH a aussi écrit le bouquin Rework avec son camarade Jason Fried, c'est le meilleur de leurs livres, je trouve)