cg a écrit 1744 commentaires

Au passage, ça peut servir, pour couper sur les espaces multiples et les tabs, je fais souvent cette séquence :

echo $un_truc | tr -s ' \t' ' ' | cut -d ' ' -f 1,2,3,5,7,11,13,17

Le -s de tr "squeeze" les répétitions.

Je ne sais pas à quel moment ça devient plus rentable de sortir sed, awk ou Perl pour le faire avec des regex, ceci dit.

Finalement j'ai fait le test en C, et mon ordi met 5ms pour un million d'itérations, et 2,4s pour 1 milliard.

void something(int a) {
    return;
}

void main(void) {
    unsigned long long i;
    for(i = 1; i <= 1000000000 ; i++) {
        something(1);
    }
}

Mais comme tu dis, si je précise -O2 ou -O3, ça devient inférieur à la milliseconde, car l'optimiseur supprime alors la boucle et les appels à la fonction, vu que ça ne fait rien.

On peut voir l'assembleur en faisant cc -S -O2 var.c, ça génère un var.s, pour celles et ceux qui ne connaissent pas.

Deux programmes simples, avec un million d'exécutions d'une fonction :

~ $ cat var.sh
#!/bin/bash

function something() {
    param=$1
    return
}

echo "avec assignation"
for i in {1..1000000}; do
    something $1
done

~ $ cat novar.sh
#!/bin/bash

function something() {
    return
}

echo "sans assignation"
for i in {1..1000000}; do
    something $1
done

Sur ma machine, la version avec assignation prend presque toujours une seconde de plus que celle sans assignation. Genre 6 secondes au lieu de 5, ce qui est en effet énorme !

Dans un langage compilé, précompilé ou avec du JIT, c'est sans doute moins un sujet. Le même genre de programme en C prend sans doute moins de quelques millisecondes (flemme totale d'essayer).

Par contre, si la clé ET la phrase sont volées, changer la phrase de passe ne sert à rien

Bémol : ça ne sert à rien pour les sauvegardes existantes. Ça reste utile pour celles à venir.

Entre-temps j'ai essayé avec un programme AVR qui affiche des trucs sur l'UART et qemu-system-avr -serial stdio, j'ai bien eu l'affichage sur la console.

Et merci pour la découverte de qemu-system-*, c'est bien sympa comme outils !

changing the passphrase after passphrase and borg key got compromised does not protect future (nor past) backups to the same repository ; qu'est-ce que cela signifie ?

Il est dit que si la phrase de passe et la clé sont volés, changer la phrase de passe ne protège pas les données qui ont été chiffrées avec cette clé, dans le passé comme le futur. Le et est très important.

Il y a trois éléments à considérer ici :

• la phrase de passe qui protège la clé.
• la clé qui protège les données.
• les données.

La phrase de passe sert à protéger la clé (c'est la clé de la clé, quoi). Si la phrase est volée sans que la clé soit volée, on peut changer cette phrase, la clé sera protégée par une nouvelle phrase de passe. C'est rapide et simple, et les données restent protégée par la clé. Youpi.

Si la clé est volée sans ce passe, les données sont encore relativement à l'abri, sauf si le voleur arrive à trouver le passe plus tard, et a accès aux données chiffrées. Changer la phrase de passe ne permet pas de garantir que la clé ne sera jamais décryptée à un moment ou un autre. Si la phrase était balèze¹ le risque n'est pas forcément énorme.

Par contre, si la clé ET la phrase sont volées, changer la phrase de passe ne sert à rien, car même avec une nouvelle passphrase, la clé reste la même, et le voleur en a donc une version déchiffrée qui lui permet d'aller lire les données.

Donc dans ce dernier cas, il faut changer la clé.

Et c'est là que c'est embêtant, car pour changer la clé de données existantes, il faut déchiffrer les données avec l'ancienne clé, et les chiffrer de nouveau avec la nouvelle clé, et ça c'est beaucoup plus long ! De plus, je ne sais pas si Borg sait faire ça facilement.

Enfin c'est ce que j'ai compris.

J'ai essayé sur ma machine, et en fait la remarque fonctionne avec un autre warning :

a_period_passed() {
^-- SC2120 (warning): a_period_passed references arguments, but none are ever passed.

Donc il te recommande de passer un paramètre à a_period_passed() explicitement pour éviter tout ambiguïté sur la nature de $1, des fois que tu croies que $1 est le premier paramètre de ligne de commande (perso je me suis fait avoir). Ta fonction met une valeur par défaut, donc pas de problème de programmation à ce niveau.

Il ne dit rien pour get_file_size() car tu passes le paramètre et $1 est donc défini sans l'ombre d'un doute, pas la peine de houspiller le programmeur :).

Sinon, oui désolé, j'avais lu un peu en diagonale et cru que tu voulais couper au bout de $1 secondes. Bref.

Je pense qu'il faut dire à qemu vers quel périphérique tu veux renvoyer la console série :

qemu-system-arm -M microbit -device loader,file=./uart.hex -s -S -serial <le device>.

D'après le manual, ce peut être stdin/stdout, une socket TCP, un "vraie" liaison série avec baudrate et tout dans /dev/ttyACM0, etc…

Si tu choisis ce dernier cas, tu pourras ensuite de connecter dessus avec picocom ou minicom.

J'ai retrouvé, c'est timemachine mais c'est un plugin Jack, moins simple que ALSA.

Ah et je vois que arecord a directement une option -d, --duration=# qui permet de donner une durée directement en secondes, aussi.

Si tu souhaites déclencher un enregistrement rapidement, j'avais vu un paquet sur Debian, dont j'ai oublié le nom, qui permettait en substance de déclencher un enregistrement de l'audio quelques secondes avant qu'on lance la commande !

En gros, il y a un démon qui tourne et converse l'audio dans un buffer circulaire de plusieurs secondes/minutes en permanence, et un second outil qui permet de capturer ce buffer et de prolonger l'enregistrement. Comme ça, quand on entend un truc intéressant, on peut l'enregistrer a posteriori.

Question peut-être bête, mais est-ce que avec timeout tu ne peux pas simplifier drastiquement la gestion du temps ? Genre :

timeout 10s arecord ...

Tu peux aider !
Reporters sans Frontières
Amnesty International

On peut lire le grand roman de la physique quantique de Manjit Kumar pour se rendre compte de comment en quelques années tellement de choses ont changé dans la compréhension qu'on a de la physique. Je reste fasciné par les prédictions parfois faites 30 ou 50 ans avant qu'on sache faire la démonstration et fournir la preuve.

La fameuse photo du congrès Solvay de 1927 regroupe une belle brochette de chercheurs et une chercheuse aux noms célèbres.

le Typematrix a un toucher un peu similaire, un peu plus ferme peut-être.

Comme le disait Coluche, c'est pas parce qu'ils sont nombreux à avoir tord qu'ils ont raison :).

le code habituel des CB ne fait que 4 chiffres

Voilà un bon exemple de 2FA (quelque chose que tu as, quelque chose que tu sais), systématiquement couplé à une limitation à trois essais (empêche la force brute).

En combinant ces trois paramètres, on arrive à avoir des millions de cartes en circulation et assez peu de fraude.

Une fraude facile à mettre en place est de regarder quelqu'un faire son code, et lui prendre/voler sa carte ensuite, mais, risqué, relativement lent, et la carte peut être révoquée rapidement.

Au reste, on va vite comprendre qu'il est beaucoup plus rentable de pirater un mobile qui donne accès à tout. Comme c'est assez facile vu le peu de suivi de sécurité, je pense qu'on va vers de gros ennuis.

Là dessus je te rejoins complètement. C'est une des raisons pour laquelle je n'ai pas de smartphone (mais pas la principale).

Par contre l'impact entre un exploit distant et local reste énorme, ce n'est pas tout ou rien.

La sécurité, c'est parfois une sensation de fraîcheur dans la nuque :p.

Mais dans le cas du MFA, tu as des moyens simples et gratuits de la mettre en œuvre, et qui réduisent drastiquement l'impact d'un vol de mot de passe (par exemple tu te fais piquer un mot de passe commun à deux-trois sites web). Microsoft et Google disent que ça fait échouer 99.9% des tentatives. Bon, ils ont peut-être quelque chose à vendre, et comment leur faire confiance ? Divisons le nombre par deux, et disons que ça fait échouer seulement 49,95% des attaques. C'est déjà énorme !

Pour reprendre l'exemple de tes enfants et des téléphones, avec du MFA, tu fais passer le risque associé au vol des moyens d'authentification de "tous les pirates d'Internet" à "quelques dizaines de personnes".

Après, ce n'est pas parfait non plus comme solution. Mais associé à un truc genre 5 essais et verrouillage du compte (fail2ban par exemple), ça devient super efficace.

Ce doit être que ton code est Parfait™ et que l'extension horror s'est désinstallée d'elle-même au crépuscule :).

git --horror fait pareil que cat sur mon code, c'est grave ?

Ah, je n'avais pas constaté, c'est curieux comme contrainte. J'avais pu configurer ma Yubikey bien avant le TOTP (que j'ai fait en plus une fois abonné à Bitwarden, mon téléphone n'étant pas soire :D).

Merci pour le script !

Sur ce point :

Et en plus, ils ont rendu l'authentification à 2 facteurs bientôt obligatoire et j'ai pas envie de leur donner mon numéro de téléphone

Tu peux utiliser du TOTP (dans un gestionnaire de mot de passe comme bitwarden ou keepassxc et/ou une appli type FreeOTP) ou une clé matérielle type Yubikey ou Nitrokey (open hardware).

C'est une excellente chose que l'authentification à deux facteurs deviennent obligatoire dès que possible, je trouve.

Étant donné que n'importe quel système de traitement de l'information se fonde sur ce qui est disponible, en moyenne, le système va représenter l'opinion des groupes sociaux qui sont le plus visibles… C'est à dire les hommes blancs de culture occidentale¹.

En dehors des ouvrages scientifiques, qui fournissent une information objective, le reste sera plus ou moins de la propagande pour les pensées dominantes.

Cette article de NixCraft explique comment en bloquer d'autres :
https://www.cyberciti.biz/web-developer/block-openai-bard-bing-ai-crawler-bots-using-robots-txt-file/

C'est vrai que c'est plus clair.

La différence que je vois entre "côté client" et "connaissance nulle" c'est que "connaissance nulle" insiste sur le fait que le tiers n'a pas - et ne doit pas avoir - les clés. "Chiffrement côté client" n'implique pas qu'il n'y a pas aussi de clé privée chez le tiers (ce qui peut servir pour la récupération, mais là c'est un peu dommage, n'est-il pas ?).

Le chiffrement homomorphique, c'est assez fascinant vu de loin. Les maths n'ont pas fini de nous étonner :D.

La liste est tellement longue :).

C'est quand même dommage de faire une page comme celle-ci sans parler des services qui utilisent du chiffrement à connaissance nulle (technique mieux connue sous le nom de zero knowledge).