cg a écrit 1924 commentaires

Merci pour la précision ! Je n'étais pas certain, alors j'ai mis (spécieux).

C'est un peu toujours le même refrain dès que ça parle société ;). Reste frais !

Les intérêts d'utiliser les résolveurs de son FAI sont :

• la vitesse : les noms souvent demandés sont en cache, ça répond beaucoup plus vite
• la répartition de charge : comme tu le dis si bien, ça évite la saturation
• la conformité à la loi : (spécieux) utiliser des serveurs sur le territoire permet de se conformer à la loi en respectant le blocage administratif de certains domaines.

Pour les deux premiers cas, avoir un résolveur local qui fait cache permet de limiter pas mal le problème.

Mais les serveurs racine sont bels et bien publics.

Voici par exemple comment faire pour linuxfr.org depuis chez moi (Free grand public) :

D'abord, comment interroger .org ? On demande à un serveur racine.

~ $ dig -t ns org. @2001:7fd::1

; <<>> DiG 9.18.27 <<>> -t ns org. @2001:7fd::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40870
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 13
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;org.               IN  NS

;; AUTHORITY SECTION:
org.            172800  IN  NS  a0.org.afilias-nst.info.
org.            172800  IN  NS  a2.org.afilias-nst.info.
org.            172800  IN  NS  b0.org.afilias-nst.org.
org.            172800  IN  NS  b2.org.afilias-nst.org.
org.            172800  IN  NS  c0.org.afilias-nst.info.
org.            172800  IN  NS  d0.org.afilias-nst.org.

;; ADDITIONAL SECTION:
a0.org.afilias-nst.info. 172800 IN  AAAA    2001:500:e::1
a2.org.afilias-nst.info. 172800 IN  AAAA    2001:500:40::1
b0.org.afilias-nst.org. 172800  IN  AAAA    2001:500:c::1
b2.org.afilias-nst.org. 172800  IN  AAAA    2001:500:48::1
c0.org.afilias-nst.info. 172800 IN  AAAA    2001:500:b::1
d0.org.afilias-nst.org. 172800  IN  AAAA    2001:500:f::1
a0.org.afilias-nst.info. 172800 IN  A   199.19.56.1
a2.org.afilias-nst.info. 172800 IN  A   199.249.112.1
b0.org.afilias-nst.org. 172800  IN  A   199.19.54.1
b2.org.afilias-nst.org. 172800  IN  A   199.249.120.1
c0.org.afilias-nst.info. 172800 IN  A   199.19.53.1
d0.org.afilias-nst.org. 172800  IN  A   199.19.57.1

;; Query time: 6 msec
;; SERVER: 2001:7fd::1#53(2001:7fd::1) (UDP)
;; WHEN: Tue Jul 02 13:28:56 CEST 2024
;; MSG SIZE  rcvd: 434

Ensuite, comment interroger linuxfr.org ?

~ $ dig -t ns linuxfr.org @2001:500:e::1

; <<>> DiG 9.18.27 <<>> -t ns linuxfr.org @2001:500:e::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27218
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;linuxfr.org.           IN  NS

;; AUTHORITY SECTION:
linuxfr.org.        3600    IN  NS  ns1.tuxfamily.net.
linuxfr.org.        3600    IN  NS  ns2.tuxfamily.net.

;; Query time: 256 msec
;; SERVER: 2001:500:e::1#53(2001:500:e::1) (UDP)
;; WHEN: Tue Jul 02 13:29:25 CEST 2024
;; MSG SIZE  rcvd: 89

Enfin, on peut demander l'IPv4 du site au bon serveur :

~ $ dig -t a linuxfr.org @ns1.tuxfamily.net

; <<>> DiG 9.18.27 <<>> -t a linuxfr.org @ns1.tuxfamily.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47186
;; flags: qr aa rd ad; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;linuxfr.org.           IN  A

;; ANSWER SECTION:
linuxfr.org.        900 IN  A   213.36.253.103

;; AUTHORITY SECTION:
linuxfr.org.        86400   IN  NS  ns1.tuxfamily.net.
linuxfr.org.        86400   IN  NS  ns2.tuxfamily.net.

;; Query time: 13 msec
;; SERVER: 2a02:2178:1000:201::9#53(ns1.tuxfamily.net) (UDP)
;; WHEN: Tue Jul 02 13:29:54 CEST 2024
;; MSG SIZE  rcvd: 94

Oui, sauf que sur le site de test…

Ce programme fonctionne :

#!/bin/bash

./weather.sh | grep -c Thunderstorm

Et celui-ci ne fonctionne pas, mais fonctionne bien sur ma machine :

#!/bin/bash

weather="$(./weather.sh)"
count=$(echo "$weather" | grep -c Thunderstorm)
echo $count

Du coup je pense que shella a buté sur un bête bug du site de test. Pas cool.

Bon courage pour la suite !

C'est bien plus simple : il faut afficher le nombre de fois qu'on trouve Thunderstorm. C'est tout. Rien d'autre. Juste un nombre. Pas des phrases. J'ai pu vérifier en faisant le test est j'ai eu 100% (nananère).

Pourquoi est-ce important de suivre la consigne ? Parce qu'en programmation, on défini des formats, des interfaces, des types de données, pour pouvoir les traiter et faire des opérations avec sans surprise.

Imagine que tu fais un truc qui compte les carottes dans ton garde-manger, et qui détermine combien de carottes tu dois acheter pour en avoir 10 :

carottes_a_acheter = 10 - carottes_dans_le_garde_manger

Si carottes_dans_le_garde_manger vaut aucune au lieu de 0, ben ta soustraction ne va pas fonctionner, ton programme va planter et tu vas crever de faim.

Donc simplifie ton programme et croque une carotte :).

Une idée comme ça… la consigne est :

outputs the number of days with a "Thunderstorm" forecast

Et non pas :

outputs the number of days with a "Thunderstorm" forecast, unless it's 0 or 4.

Pour compléter la réponse de Ted, à moins de 5€ par mois, tu auras ça :

• https://www.kimsufi.com/fr/
• https://www.infomaniak.com/fr/hebergement/vps-lite

Les deux entreprises font des efforts sur l'écologie : cycle d'utilisation des serveurs longs (plutôt 10-15 ans que 3-5 ans¹) et refroidissement passif (type free-cooling) quand c'est possible. Infomaniak donne même une partie de la chaleur de leur DC de Genève à la ville pour l'eau chaude.

Il faudrait préciser tes contraintes : prix, ligne éthique, localisation… Parce que comme ça, tu as l'embarras du choix.

Pour les plus connus (je donne pas les hyperscalers États-uniens) :

• Infomaniak (Suisse mais respecte le RGPD)
• OVH
• Scaleway
• Ikoula
• Hetzner

Salut Fred¹,

dans la causerie sur la diversité, on entend que les générations Z et alpha sont plus sexistes que les générations précédentes. Ça m'a vraiment surpris : je suis pas mal en contact avec des personnes qui ont 20 ans de moins que moi et je n'ai jamais ressenti ça. Mais en effet, tout n'est pas si idéal, semble-t-il !

Voici quelques pointeurs sur ce sujet :

• https://www.radiofrance.fr/franceinter/podcasts/mentionne-e/mentionne-e-7697864
• https://www.blick.ch/fr/news/monde/etude-internationale-la-generation-z-et-les-millennials-sont-plus-sexistes-que-les-boomers-id17310510.html
• https://phys.org/news/2022-01-sexual.html

Merci pour l'émission <3 !

C'est un peu comme de mettre du double-vitrage contre les bruits de la rue, ça fonctionne très bien, mais si quelqu'un veut spécifiquement te faire ch…, il monte le son et ça ne sert plus à rien.

Je sais pas pourquoi mais j'ai immédiatement pensé à cette scène de Je suis mort mais j'ai des amis :D. (avancer à 58 secondes pour le moment pertinent)

Ici :

• https://mastodon.gougere.fr/@bortzmeyer/112695142423379541
• https://www.bortzmeyer.org/opendns-quitte-france.html

Il y a une question de périmètre aussi. La sécurité par obscurité ne concerne pas que les logiciels : ne pas divulguer son archi réseau, la marque, la version et l'emplacement des firewalls, etc… C'est de la sécurité par obscurité, et ça complémente - dans une moindre mesure - la qualité des protections en place. Mettre un honeypot, par exemple, ne fonctionne que si tu caches que c'en est un ;).

Ne pas aller raconter sur ton profil LinkedIn que tu viens de décrocher une habilitation SuperAdmin à la DGSI en est aussi.

La page Wikipedia en Anglais le décrit bien mieux que celle en Français

Oui, tu peux mettre du port-knocking pour activer le VPN.

Mon message est ambigu, désolé. Dans le cas spécifique de Wireguard, un scan de port ne permet pas de détecter que ce dernier écoute sur un port. Il faut fournir les bons identifiants pour avoir du trafic.

Le VPN permet ensuite de masquer la nature du trafic qui passe dedans, que ce soit du ssh, du https ou autre, ce que ne fait pas le port knocking¹.

Bien sûr, une fois le tunnel connecté, un attaquant sur le chemin peut voir que le tunnel existe. La différence avec du port knocking, c'est qu'en sniffant le trafic, tu peux enregistrer et reproduire le toc-toc, alors qu'avec un VPN, tu ne peux pas reproduire l'authentification clé privée/clé publique.

Bref, un VPN bien conçu comme Wireguard me semble une bonne réponse à : "une solution plus robuste" et "pousser le concept plus loin" ;).

En fait, je me dis que le port knocking est une technique qui a du apparaître à une époque à laquelle monter un VPN était un truc compliqué et coûteux en perf.

En espérant être plus clair :).

Joli journal merci.

Mais, à terme, j’aimerais trouver quelque chose de mieux, peut-être faudrait-il pousser le concept plus loin.

Comme ça je me dis : un VPN type Wireguard, c'est discret et facile.

En parlant d'intégration, j'ai vu une info qui m'a coupé le souffle ce matin concernant Outlook sur Windows 11.

En résumé, quand on configure un compte avec l'application Outlook, les identifiants sont transmis aux serveurs Microsoft. À l'usage, l'application Outlook contacte les serveurs MS, qui contactent eux-même les serveurs de mail.

[Outlook] <-> [Serveurs MS] <-> [Votre serveur de mail]

• Ceci permet de synchroniser les contacts pour les applis Cloud de Office 365.
• Ceci implique que Microsoft stocke l'identifiant et le mot de passe du compte, soit en clair, soit dans un chiffrement réversible.
• Ceci veut dire que MS peut accéder à votre serveur de mail sans restrictions, lire (et stocker s'il le souhaite) les courriers, les analyser, faire de l'apprentissage dessus et les monétiser.
• Rappel: MS est contrainte par les lois États-uniennes.

Je n'ai pas compris si ce fonctionnement était désactivable.

C'est "étonnant" que MS-Copilot ne mentionne pas les concurrents commerciaux. Il est loyal ce copilot !

Ça ferait une chouette expérience pourtant, pour un stagiaire de 3ème ;).

En fait, le modèle de maintenance de ce genre d'objet difficile d'accès, c'est de considérer un taux de panne global. Je ne sais plus le vrai nombre, mais c'est genre à partir de 30% de nœuds en panne dans le container, ce dernier est sorti et les éléments cassés sont réparés/remplacés.

De la même manière que tu ne changes pas le disque dur d'une grappe RAID au premier secteur défectueux, pour reprendre ton exemple.

Si tu ne connais pas, tu peux regarder Courrier International. Ça appartient au groupe Le Monde, donc plutôt "centre-gauche" je dirais, mais c'est assez chouette pour voir comment l'info est traitée depuis d'autres pays. Et comme c'est un hebdomadaire, c'est pas trop prenant non plus.

Chouette ! Est-il prévu de filmer puis mettre à dispo certaines présentations ?

À rapprocher de la divulgation responsable (responsible disclosure) qui est maintenant fréquente dans le monde du logiciel.

Cette phrase me semble importante :

"Je suis reconnaissante que le calvaire de mon fils touche enfin à sa fin. Cela montre l'importance et le pouvoir de la diplomatie discrète", a déclaré Christine Assange

Purée c'est navrant. Ça reste possible de s'en sortir en collant un firewall libre derrière le NAT.

À ce moment là, la Freebox peut continuer à servir pour les lignes téléphoniques et faire un Wifi invité (pas d'accès au LAN).

Non, pas sur un serveur qui dispose d'une IP statique et d'une conf DNS statique.

J'essayais d'expliquer les cas d'usages qui font que parfois, un fichier statique n'est plus suffisant, et avoir une interface pour accéder à des paramètres cruciaux est un avantage.

Oui, il y a plus de serveurs sous Linux que de desktop. Ceci étant j'ai géré des centaines de "Linux sur le desktop" en entreprise¹, en plus de serveurs, avec l'aide de Puppet notamment, et dans ce contexte tu prends le temps de faire les confs qui conviennent à ton environnement. Ça me semble exagérer de dire que c'est imposé. C'est pas comme essayer d'enlever la base de registre de Windows non plus :).

J'utilise Sway, perso, mais à chaque fois que je me retrouve sur un bureau plus classique (genre dans Kali Linux), je suis assez impressionné par les progrès faits au fil des années, et la facilité d'utilisation des réglages de base.

Par contre j'ai vu des trucs vraiment débiles en réglage par défaut dans systemd, comme par exemple le fait qu'il génère une adresse MAC random sur les liens agrégés (bonding). Du coup tu fais une réservation DHCP pour ton serveur, il s'installe (sans le bonding), Puppet le configure, et au reboot boum, plus de réseau car le serveur DHCP ne trouve pas l'adresse MAC dans sa config. C'est chiant. Mais… C'est documenté, désactivable et automatisable facilement.

Pour conclure, je dirais que nos différences de point de vue se résument à comment on répond à la question « la config par défaut est-elle une config imposée ou non ? »

et foutent tout en l'air. Comme Boeing par exemple

Ton exemple est totalement claqué au sol ;).

Je vois une différence significative entre Social Justice Warrior et Woke : l'aspect actif, militant et combatif.

Le Social Justice Warrior va en effet être hyper expansif et militant pour défendre la justice sociale (en ligne, en réunion, en manif, en tractage).

Woke désigne, au départ, simplement des personnes qui conscientisent et se préoccupent des problèmes de justice sociale subies par d'autres groupes sociaux que le sien, et tâchent d'en prendre compte dans leurs choix (politiques ou plus quotidiens).

Il y a peut-être eu un rapprochement du sens des termes, lorsque que le sens de Woke a glissé vers l'insulte, mais pour moi Woke n'implique pas SWJ.

Pour PeerTube, je ne sais pas, mais en attendant, tu peux essayer un de ces plugins : https://addons.mozilla.org/en-US/firefox/search/?q=invidious