cg a écrit 1738 commentaires

Tu fais le tie break en regardant ce que fait le test unitaire. Comme ça tu as trois points de vue. Le commentaire dans le test, quatre. Du coup tu regardes la spec ou le cahier des charges, cinq. Enfin, tu cherches dans les mails si des fois… Six.

Et si à partir de ces six infos, tu n'arrives pas comprendre ce qu'il eut fallu que ça fasse, ben tu appelles ça de l'IA et tu deviens milliardaire :).

Quand j'avais essayé, on m'avait expliqué qu'il fallait aller voir un site quand on fait une mise à jour pour suivre les éventuelles opérations manuelles à faire. C'est toujours le cas ?

Oui, enfin c'est deux trois fois par an qu'il y a des manips à faire à la main. Sur mon ordi personnel je fais des mises à jours tous les 3-4 jours, ça se passe plutôt bien :).

Une grosse différence entre Debian et Arch, sur ce point, est que Debian va inclure des migrations automatiques sur des configs (par exemple sur OpenLDAP), alors que Arch part du principe que tu as lu les release notes.

Ce qui découle du point précédent, est qu'il faut mettre Arch à jour très régulièrement, car il y a parfois des situations problématiques si les sauts de versions sont trop grands (par exemple une dépendance de pacman ou une liste de clés GPG qui changent).

Je suis tombé, un peu par hasard, sur une page qui propose une alternative à FranceConnect+, qui mène à une doc de l'ANSSI, qui mène chez des entreprises tierces privées.

En gros, il faut avoir un certificat numérique, qu'on peut se procurer chez un de ces tiers, pour une centaine d'euros par an.

Ça rappelle fortement l'avant Let's Encrypt, ou le moindre certificat SSL était payant.

Sans doute que la brique qui manque dans FranceConnect+ est de pouvoir générer un tel certificat.

Comme dit par Cyprien, le pinning d'apt permet de choisir ses repos par package. Mais attention, ça demande une sacré discipline !

Le seul moment où je m'en suis servi, c'est avec le dépôt backports pour les drivers NVidia propriétaires.

Il est sur ma table, je l'ai reçu et lu il y a quelques jours. L'histoire est très sympa, et les dessins sont chouettes. Et l'aventure autour est très enthousiasmante !

Alors merci et bravo pour le livre !

Je ne l'ai pas encore lu à mes filles, qui se méfient que je leur bourre le crâne avec ces histoire de bidouilles et de libre :p.

Au client, oui. À l'opérateur… non ^.^ !

De plus, la loi (française ou européenne, je ne sais plus) à changé et pour faire de l'envoi de SMS automatique, il faut avoir un numéro déclaré pour l'usage pour ne pas passer dans les filtres "pas entre 20h-8h" des SMS de démarchage. Il en découle que souvent les plateformes type Twilio facturent chaque message plus cher. Bref, faire de la MFA par SMS, c'est devenu en 2023 compliqué et cher, en plus d'être un moyen de moins en moins sûr (même si mieux que rien, qui à rabâcher :D).

C'est essentiel de pouvoir protéger son code source, pour éviter des attaques de la chaîne de fabrication, par exemple.

La MFA par SMS est efficace, mais moins robuste, et plus coûteuse que par TOTP ou clé de sécurité.

Et donc, puisque tu en parles du mail… Protéger son mail (via webmail) par de la double authentification est très très très important : c'est souvent le mécanisme de récupération pour les mots de passe perdus. Et nos boîtes à lettres contiennent des historiques souvent copieux.

Pour connaître des personnes qui se sont fait hacker leur boîte mail, je peux te dire que ça fait du dégât.

Et c'est valable que ce soit dans le monde "pro" ou pas !

En alternative, il y a les horloges atomiques miniatures. Ça se vend entre 2200€ à 5500€ à l'unité. Voilà une idée de cadeau bien plus originale qu'un vélo électrique moisi ou un bijou vaniteux :D.

C'est moins bête que ça en a l'air : ça devient plus comme un mot de passe qui change à chaque fois, plutôt qu'un vrai MFA. Si le mot de passe est intercepté, et le code TOTP aussi, ça ne permet pas pour autant de se reconnecter plus tard sur le service. C'est juste super naze en cas de compromission de l'ordi, ce qui n'est pas le cas le plus courant.

Mais c'est comme dire que les SMS pour la MFA c'est inutile : en soi c'est attaquable avec du SIM-swapping, mais la majorité du temps, ça fonctionne bien et élève tout de même le niveau de sécurité de plusieurs ordres de magnitude, par-rapport au mot de passe seul.

Gros poncif du dimanche; C'est une question d'équilibre entre sécurité et aspect pratique :).

La langue a ses modes, ses tendances. On trouve des trucs du genre "le mot de l'année". Ou tout à coup, un quart d'heure de gloire.

Pire : ces gens qui veulent des pantalons.

github: l'application mobile est maître sans elle pas d'autre MFA possible tant que l'appli n'est pas liée

Ça fait plusieurs fois que je lis ça, et pourtant sans avoir l'appli Github, j'ai bien les MFA avec Yubikey ou TOTP d'actifs (et avant ça j'avais les SMS). C'est un changement récent ?

N'ayant pas de smartphone, j'utilise Bitwarden pour stocker les TOTP. Ma femme aussi et ça la suit sur son smartphone. Quand le service le permet, je met aussi ma Yubikey¹.

Pour déverrouiller mon coffre Bitwarden, il faut la Yubikey, ce n'est pas toujours très pratique, dans le cas d'un ordi avec seulement de l'USB-C ou quand tu es en bureau à distance.

J'avais lorgné sur le Mooltipass mais c'est encombrant, et finalement un bon gestionnaire de mot de passe fonctionne dans quasiment tout le temps.

Il y a justement une plateforme de tests, sur laquelle tu ne te feras pas taper sur les doigts :

Please refrain absolutely from using any URL suffixed by ".gouv.fr" to prevent production disruption and therefore being targeted as a real threat.

Tout pareil. Mais je l'ai rarement fait (deux ou trois fois en 20 ans).

Attention, ça ne fait pas un miroir dans les deux sens !

La première commande va supprimer de 192.168.104.9 tout ce qui n'existe pas sur la source.
La seconde va supprimer de l'ordi local tout ce qui n'existe pas sur 192.168.104.9.

Selon l'ordre dans lequel c'est fait, tu peux perdre des données !

Avec l'option -n de rsync, tu peux faire un essai à blanc.

Pour faire du miroir bidirectionnel, il y a des outils comme Syncthing ou Unison.

La communication entre les machines est bien chiffrée.

Envoyer un mail, c'est souvent envoyer des données confidentielles dans des systèmes externes qu'on ne connaît pas, souvent avec des protocoles non sécurisés, avec tous les risques de protection des données qu'on peut imaginer (coucou le RGPD)

Quand on connaît le nombre de personnes qui sont sur GMail et autres fournisseurs qui lisent et analysent le courrier, ne pas avoir ses données de santé, d'emploi, bancaires… Mais juste des pointeurs vers les documents et les infos, dans des espaces séparés, en fait c'est bien. C'est chiant mais c'est bien.

Oui, et tu as vu le prix ? D'occasion tu peux avoir la carte AVEC 2 SFP+ dedans pour à peine plus cher.

Si tu as des interfaces 10GE cuivre, un câble CAT6a te coûtera encore moins :).

J'ai jeté un œil et la Intel X520-DA2 semble un bon choix pour pfSense, on la trouve sur ebay pour environ 80€ avec ses deux SFP+.

Je suis bien d'accord avec toi. En l'occurrence, à cette époque on se servait de ces camionnettes pour transporter 9 personnes + 300kg de matériel.

J'ai constaté en conduisant que c'était plus agréable. Maintenant j'ai une petite voiture¹ et mon regard est revenu sous la ligne de flottaison des SUV ;).

Le fait de conduire en position haute dans un véhicule volumineux donne peut-être une impression de sécurité

J'ai eu trois camionnettes genre minibus, et dans les bouchons (principale activité de l'automobilus urbanis), c'est très reposant d'être plus en hauteur que la plupart du trafic, oui.

Le côté marqueur social était sans doute vrai, mais ne tiendra plus trop, vu que ce sont les plus grosses ventes, ça devient très peuple :).

Intéressant, une enquête sur 26000 personnes, c'est rare !

Ces appréciations m'ont surpris :

Les développeurs Scala, Go et Kotlin sont les mieux payés en 2023. Les employeurs reconnaissent la valeur de spécialistes capables de gérer les complexités de ces langages

Kotlin et Go sont donc des langages plus complexes que C++ ? Pour référence, Kotlin (inventé par l'entreprise qui a fait l'enquête) est présenté comme concis et fun.

73% des développeurs ont fait un burnout au cours de leur carrière.

Ça paraît tout bonnement énorme, il y a sans doute un gros biais dans la population qui a répondu à l'enquête ! (genre celles et ceux qui sont content·es préfèrent faire autre chose que de répondre à des enquêtes ?)

Les cartes réseaux contiennent un firmware. Les SPF+ contiennent un firmware aussi. Tu devines la suite…

Dès que je vois marqué "SFP+" je sais que c'est compatible ?

Et non !

Certains constructeurs (Cisco, Brocade/Broadcom…) font des cartes compatibles uniquement avec leurs SPF+. Par conséquent, des fabricants tiers (FS (Chinois, qualité variable), PureOptics (Français, plus cher que FS)) font des SPF+ reprogrammables¹, que tu peux commander préprogrammés avec un firmware compatible avec ta carte réseau (ouf).

Le plus sûr est de commander le module optique SPF+ avec la carte. Les cartes Intel sont bien, et sans doute supportées par pfSense. Je pense qu'en occasion tu peux en trouver des centaines à vil prix ! Se méfier du matériel Broadcom qui vient souvent avec un microcode blob proprio un peu chiant à gérer.

Il y a aussi les câbles "DAC", qui sont en gros des câbles cuivre avec les modules soudés direct dessus. Ces câbles ont aussi des firmwares, mais dans certains cas c'est moins cher que deux modules optiques SPF+ et une fibre (mais ça fait moins turfu :D).

Bonjour,

merci beaucoup, ça m'a l'air pas mal du tout !

Oui, je me suis grave fait enduire d'erreur par le biais REST ~= API.

Du bon vieux CGI et zou la soupe est prête ;) !