C'est essentiel de pouvoir protéger son code source, pour éviter des attaques de la chaîne de fabrication, par exemple.
La MFA par SMS est efficace, mais moins robuste, et plus coûteuse que par TOTP ou clé de sécurité.
Et donc, puisque tu en parles du mail… Protéger son mail (via webmail) par de la double authentification est très très très important : c'est souvent le mécanisme de récupération pour les mots de passe perdus. Et nos boîtes à lettres contiennent des historiques souvent copieux.
Pour connaître des personnes qui se sont fait hacker leur boîte mail, je peux te dire que ça fait du dégât.
Et c'est valable que ce soit dans le monde "pro" ou pas !
En alternative, il y a les horloges atomiques miniatures. Ça se vend entre 2200€ à 5500€ à l'unité. Voilà une idée de cadeau bien plus originale qu'un vélo électrique moisi ou un bijou vaniteux :D.
C'est moins bête que ça en a l'air : ça devient plus comme un mot de passe qui change à chaque fois, plutôt qu'un vrai MFA. Si le mot de passe est intercepté, et le code TOTP aussi, ça ne permet pas pour autant de se reconnecter plus tard sur le service. C'est juste super naze en cas de compromission de l'ordi, ce qui n'est pas le cas le plus courant.
Mais c'est comme dire que les SMS pour la MFA c'est inutile : en soi c'est attaquable avec du SIM-swapping, mais la majorité du temps, ça fonctionne bien et élève tout de même le niveau de sécurité de plusieurs ordres de magnitude, par-rapport au mot de passe seul.
Gros poncif du dimanche; C'est une question d'équilibre entre sécurité et aspect pratique :).
github: l'application mobile est maître sans elle pas d'autre MFA possible tant que l'appli n'est pas liée
Ça fait plusieurs fois que je lis ça, et pourtant sans avoir l'appli Github, j'ai bien les MFA avec Yubikey ou TOTP d'actifs (et avant ça j'avais les SMS). C'est un changement récent ?
N'ayant pas de smartphone, j'utilise Bitwarden pour stocker les TOTP. Ma femme aussi et ça la suit sur son smartphone. Quand le service le permet, je met aussi ma Yubikey1.
Pour déverrouiller mon coffre Bitwarden, il faut la Yubikey, ce n'est pas toujours très pratique, dans le cas d'un ordi avec seulement de l'USB-C ou quand tu es en bureau à distance.
J'avais lorgné sur le Mooltipass mais c'est encombrant, et finalement un bon gestionnaire de mot de passe fonctionne dans quasiment tout le temps.
la bleue pas chère qui fait seulement FIDO2/U2F/Webauthn. Avec le recul j'aurai pris une plus chère qui peut stocker aussi les certificats, mais j'avais pas bien saisi l'intérêt quand je l'ai achetée. ↩
Posté par cg .
En réponse au message miroir miroir.
Évalué à 6.
Dernière modification le 30 novembre 2023 à 19:56.
Attention, ça ne fait pas un miroir dans les deux sens !
La première commande va supprimer de 192.168.104.9 tout ce qui n'existe pas sur la source.
La seconde va supprimer de l'ordi local tout ce qui n'existe pas sur 192.168.104.9.
Selon l'ordre dans lequel c'est fait, tu peux perdre des données !
Avec l'option -n de rsync, tu peux faire un essai à blanc.
Pour faire du miroir bidirectionnel, il y a des outils comme Syncthing ou Unison.
La communication entre les machines est bien chiffrée.
Posté par cg .
En réponse au journal Incompétence Web.
Évalué à 10.
Dernière modification le 27 novembre 2023 à 13:12.
Envoyer un mail, c'est souvent envoyer des données confidentielles dans des systèmes externes qu'on ne connaît pas, souvent avec des protocoles non sécurisés, avec tous les risques de protection des données qu'on peut imaginer (coucou le RGPD)
Quand on connaît le nombre de personnes qui sont sur GMail et autres fournisseurs qui lisent et analysent le courrier, ne pas avoir ses données de santé, d'emploi, bancaires… Mais juste des pointeurs vers les documents et les infos, dans des espaces séparés, en fait c'est bien. C'est chiant mais c'est bien.
Je suis bien d'accord avec toi. En l'occurrence, à cette époque on se servait de ces camionnettes pour transporter 9 personnes + 300kg de matériel.
J'ai constaté en conduisant que c'était plus agréable. Maintenant j'ai une petite voiture1 et mon regard est revenu sous la ligne de flottaison des SUV ;).
Le fait de conduire en position haute dans un véhicule volumineux donne peut-être une impression de sécurité
J'ai eu trois camionnettes genre minibus, et dans les bouchons (principale activité de l'automobilus urbanis), c'est très reposant d'être plus en hauteur que la plupart du trafic, oui.
Le côté marqueur social était sans doute vrai, mais ne tiendra plus trop, vu que ce sont les plus grosses ventes, ça devient très peuple :).
Intéressant, une enquête sur 26000 personnes, c'est rare !
Ces appréciations m'ont surpris :
Les développeurs Scala, Go et Kotlin sont les mieux payés en 2023. Les employeurs reconnaissent la valeur de spécialistes capables de gérer les complexités de ces langages
Kotlin et Go sont donc des langages plus complexes que C++ ? Pour référence, Kotlin (inventé par l'entreprise qui a fait l'enquête) est présenté comme concis et fun.
73% des développeurs ont fait un burnout au cours de leur carrière.
Ça paraît tout bonnement énorme, il y a sans doute un gros biais dans la population qui a répondu à l'enquête ! (genre celles et ceux qui sont content·es préfèrent faire autre chose que de répondre à des enquêtes ?)
Les cartes réseaux contiennent un firmware. Les SPF+ contiennent un firmware aussi. Tu devines la suite…
Dès que je vois marqué "SFP+" je sais que c'est compatible ?
Et non !
Certains constructeurs (Cisco, Brocade/Broadcom…) font des cartes compatibles uniquement avec leurs SPF+. Par conséquent, des fabricants tiers (FS (Chinois, qualité variable), PureOptics (Français, plus cher que FS)) font des SPF+ reprogrammables1, que tu peux commander préprogrammés avec un firmware compatible avec ta carte réseau (ouf).
Le plus sûr est de commander le module optique SPF+ avec la carte. Les cartes Intel sont bien, et sans doute supportées par pfSense. Je pense qu'en occasion tu peux en trouver des centaines à vil prix ! Se méfier du matériel Broadcom qui vient souvent avec un microcode blob proprio un peu chiant à gérer.
Il y a aussi les câbles "DAC", qui sont en gros des câbles cuivre avec les modules soudés direct dessus. Ces câbles ont aussi des firmwares, mais dans certains cas c'est moins cher que deux modules optiques SPF+ et une fibre (mais ça fait moins turfu :D).
Le programmateur n'étant pas bon marché, bien sûr ↩
Vu le timing, c'est à dire juste après la sortie de Blender 4.0, qui génère beaucoup de téléchargements, ça fait à la fois de la mauvaise pub pour le projet, et une occasion d'installer des malwares chez pas de monde en postant des liens pourris par-ci par-là.
Ah alors sans JavaScript, et si tu veux que ça fonctionne depuis un navigateur (drôle d'idée pour une API mais bon, je comprend l'envie de simplicité), tu es condamné à insérer le verbe dans l'URL1.
Un peu dans ce genre pour les quatre opérations CRUD :
Comme tu le dis, typiquement pour faire une suppression, on utilise la méthode DELETE de HTTP. Mais après tout, tu peux l'accepter avec un GET ou un POST, c'est ton API :).
L'idée c'est que souvent, dans le navigateur, les méthodes d'accès à l'API vont être exécutées par du JavaScript, et JavaScript peut préciser s'il veut faire du GET, POST, DELETE.
Quitte à avoir un ou une comptable, autant ne rien saisir ! Je connais des indeps qui envoient leur paquets de trucs une fois par mois, et l'intermédiaire comptable s'occupe de tout (saisie, déclarations, communication avec l'AGA). Toutefois je préfère m'en occuper moi-même, et donc je trouve plus simple de tout faire.
Et donc quitte à payer, je préfère mettre des sous dans un logiciel libre, soit en don, soit en service (genre Dolibarr ou OpenConcerto en SaaS).
Le seul truc que j'avais trouvé compliqué, c'était l'année de la fermeture de l'entreprise, où j'ai du passer en créances/dettes, c'était totalement nouveau pour moi et un peu alambiqué j'ai trouvé !
Merci ! Disons que s'il y a des fonctions en trop genre CRM, ça n'est pas très gênant, je ne m'en servirai pas, voilà tout. Je n'avais même pas imaginé un générateur de facture :p.
Merci oui je l'ai lue, c'est copieux mais je voulais avoir des avis circonstanciés :
J'ai bien lu la dépêche sur le sujet en rédaction, mais que de choix, il me faut des témoignages ! (témoignages qui pourraient servir pour la dépêche, d'ailleurs)
[^] # Re: excusez ma naïveté
Posté par cg . En réponse au journal Périphérique d'authentification TOTP. Évalué à 5.
C'est essentiel de pouvoir protéger son code source, pour éviter des attaques de la chaîne de fabrication, par exemple.
La MFA par SMS est efficace, mais moins robuste, et plus coûteuse que par TOTP ou clé de sécurité.
Et donc, puisque tu en parles du mail… Protéger son mail (via webmail) par de la double authentification est très très très important : c'est souvent le mécanisme de récupération pour les mots de passe perdus. Et nos boîtes à lettres contiennent des historiques souvent copieux.
Pour connaître des personnes qui se sont fait hacker leur boîte mail, je peux te dire que ça fait du dégât.
Et c'est valable que ce soit dans le monde "pro" ou pas !
[^] # Re: horloge interne se dérègle
Posté par cg . En réponse au journal Périphérique d'authentification TOTP. Évalué à 10.
En alternative, il y a les horloges atomiques miniatures. Ça se vend entre 2200€ à 5500€ à l'unité. Voilà une idée de cadeau bien plus originale qu'un vélo électrique moisi ou un bijou vaniteux :D.
[^] # Re: un extension firefox
Posté par cg . En réponse au journal Périphérique d'authentification TOTP. Évalué à 10.
C'est moins bête que ça en a l'air : ça devient plus comme un mot de passe qui change à chaque fois, plutôt qu'un vrai MFA. Si le mot de passe est intercepté, et le code TOTP aussi, ça ne permet pas pour autant de se reconnecter plus tard sur le service. C'est juste super naze en cas de compromission de l'ordi, ce qui n'est pas le cas le plus courant.
Mais c'est comme dire que les SMS pour la MFA c'est inutile : en soi c'est attaquable avec du SIM-swapping, mais la majorité du temps, ça fonctionne bien et élève tout de même le niveau de sécurité de plusieurs ordres de magnitude, par-rapport au mot de passe seul.
Gros poncif du dimanche; C'est une question d'équilibre entre sécurité et aspect pratique :).
[^] # Re: Normalisation
Posté par cg . En réponse au lien Avec la langue — Sur l'échelle du purisme, vous vous situez où? (Une tentation très française). Évalué à 2.
La langue a ses modes, ses tendances. On trouve des trucs du genre "le mot de l'année". Ou tout à coup, un quart d'heure de gloire.
[^] # Re: Normalisation
Posté par cg . En réponse au lien Avec la langue — Sur l'échelle du purisme, vous vous situez où? (Une tentation très française). Évalué à 5.
Pire : ces gens qui veulent des pantalons.
[^] # Re: Le bon token et le mauvais token
Posté par cg . En réponse au journal Périphérique d'authentification TOTP. Évalué à 8.
Ça fait plusieurs fois que je lis ça, et pourtant sans avoir l'appli Github, j'ai bien les MFA avec Yubikey ou TOTP d'actifs (et avant ça j'avais les SMS). C'est un changement récent ?
# Bitwarden + Yubikey
Posté par cg . En réponse au journal Périphérique d'authentification TOTP. Évalué à 4.
N'ayant pas de smartphone, j'utilise Bitwarden pour stocker les TOTP. Ma femme aussi et ça la suit sur son smartphone. Quand le service le permet, je met aussi ma Yubikey1.
Pour déverrouiller mon coffre Bitwarden, il faut la Yubikey, ce n'est pas toujours très pratique, dans le cas d'un ordi avec seulement de l'USB-C ou quand tu es en bureau à distance.
J'avais lorgné sur le Mooltipass mais c'est encombrant, et finalement un bon gestionnaire de mot de passe fonctionne dans quasiment tout le temps.
la bleue pas chère qui fait seulement FIDO2/U2F/Webauthn. Avec le recul j'aurai pris une plus chère qui peut stocker aussi les certificats, mais j'avais pas bien saisi l'intérêt quand je l'ai achetée. ↩
[^] # Re: interressant
Posté par cg . En réponse au lien Bug bounty sur France Connect. Évalué à 6. Dernière modification le 02 décembre 2023 à 10:53.
Il y a justement une plateforme de tests, sur laquelle tu ne te feras pas taper sur les doigts :
[^] # Re: alors
Posté par cg . En réponse au message Acteurs du libre : est-ce que votre boîte vous paie pour aller sur des conférences ?. Évalué à 3.
Tout pareil. Mais je l'ai rarement fait (deux ou trois fois en 20 ans).
# Oula
Posté par cg . En réponse au message miroir miroir. Évalué à 6. Dernière modification le 30 novembre 2023 à 19:56.
Attention, ça ne fait pas un miroir dans les deux sens !
La première commande va supprimer de 192.168.104.9 tout ce qui n'existe pas sur la source.
La seconde va supprimer de l'ordi local tout ce qui n'existe pas sur 192.168.104.9.
Selon l'ordre dans lequel c'est fait, tu peux perdre des données !
Avec l'option
-nde rsync, tu peux faire un essai à blanc.Pour faire du miroir bidirectionnel, il y a des outils comme Syncthing ou Unison.
La communication entre les machines est bien chiffrée.
[^] # Re: Les mails, c'est compliqué....
Posté par cg . En réponse au journal Incompétence Web. Évalué à 10. Dernière modification le 27 novembre 2023 à 13:12.
Quand on connaît le nombre de personnes qui sont sur GMail et autres fournisseurs qui lisent et analysent le courrier, ne pas avoir ses données de santé, d'emploi, bancaires… Mais juste des pointeurs vers les documents et les infos, dans des espaces séparés, en fait c'est bien. C'est chiant mais c'est bien.
[^] # Re: Intel X520
Posté par cg . En réponse au message Ça marche comment le SFP+ ?. Évalué à 3.
Oui, et tu as vu le prix ? D'occasion tu peux avoir la carte AVEC 2 SFP+ dedans pour à peine plus cher.
Si tu as des interfaces 10GE cuivre, un câble CAT6a te coûtera encore moins :).
# Intel X520
Posté par cg . En réponse au message Ça marche comment le SFP+ ?. Évalué à 4.
J'ai jeté un œil et la Intel X520-DA2 semble un bon choix pour pfSense, on la trouve sur ebay pour environ 80€ avec ses deux SFP+.
[^] # Re: Question peut-être stupide, que-ce qui attire les automobilistes chez les SUV
Posté par cg . En réponse au lien Sans l'engouement pour les SUV, les émissions des moteurs auraient pu baisser de 30% . Évalué à 4.
Je suis bien d'accord avec toi. En l'occurrence, à cette époque on se servait de ces camionnettes pour transporter 9 personnes + 300kg de matériel.
J'ai constaté en conduisant que c'était plus agréable. Maintenant j'ai une petite voiture1 et mon regard est revenu sous la ligne de flottaison des SUV ;).
Mais je fais principalement du vélo en ville. ↩
[^] # Re: Question peut-être stupide, que-ce qui attire les automobilistes chez les SUV
Posté par cg . En réponse au lien Sans l'engouement pour les SUV, les émissions des moteurs auraient pu baisser de 30% . Évalué à 2.
J'ai eu trois camionnettes genre minibus, et dans les bouchons (principale activité de l'automobilus urbanis), c'est très reposant d'être plus en hauteur que la plupart du trafic, oui.
Le côté marqueur social était sans doute vrai, mais ne tiendra plus trop, vu que ce sont les plus grosses ventes, ça devient très peuple :).
# Commentaires étonnants
Posté par cg . En réponse au lien État de l'Écosystème des Développeurs 2023. Évalué à 5.
Intéressant, une enquête sur 26000 personnes, c'est rare !
Ces appréciations m'ont surpris :
Kotlin et Go sont donc des langages plus complexes que C++ ? Pour référence, Kotlin (inventé par l'entreprise qui a fait l'enquête) est présenté comme concis et fun.
Ça paraît tout bonnement énorme, il y a sans doute un gros biais dans la population qui a répondu à l'enquête ! (genre celles et ceux qui sont content·es préfèrent faire autre chose que de répondre à des enquêtes ?)
# Oui et non
Posté par cg . En réponse au message Ça marche comment le SFP+ ?. Évalué à 9.
Les cartes réseaux contiennent un firmware. Les SPF+ contiennent un firmware aussi. Tu devines la suite…
Et non !
Certains constructeurs (Cisco, Brocade/Broadcom…) font des cartes compatibles uniquement avec leurs SPF+. Par conséquent, des fabricants tiers (FS (Chinois, qualité variable), PureOptics (Français, plus cher que FS)) font des SPF+ reprogrammables1, que tu peux commander préprogrammés avec un firmware compatible avec ta carte réseau (ouf).
Le plus sûr est de commander le module optique SPF+ avec la carte. Les cartes Intel sont bien, et sans doute supportées par pfSense. Je pense qu'en occasion tu peux en trouver des centaines à vil prix ! Se méfier du matériel Broadcom qui vient souvent avec un microcode blob proprio un peu chiant à gérer.
Il y a aussi les câbles "DAC", qui sont en gros des câbles cuivre avec les modules soudés direct dessus. Ces câbles ont aussi des firmwares, mais dans certains cas c'est moins cher que deux modules optiques SPF+ et une fibre (mais ça fait moins turfu :D).
Le programmateur n'étant pas bon marché, bien sûr ↩
[^] # Re: OpenConcerto + Tese
Posté par cg . En réponse au message Logiciel de comptabilité pour micro-entreprise (BNC, libéral). Évalué à 2.
Bonjour,
merci beaucoup, ça m'a l'air pas mal du tout !
[^] # Re: Des API directement dans le navigateur ? Ou des routes
Posté par cg . En réponse au message Choix des URL "propres" pour du REST. Évalué à 2.
Oui, je me suis grave fait enduire d'erreur par le biais REST ~= API.
Du bon vieux CGI et zou la soupe est prête ;) !
[^] # Re: Motif d'une attaque aujourd'hui
Posté par cg . En réponse au lien Après quatre jours de cyberattaque, le site de Blender passe derrière Cloudflare. Évalué à 1.
Tu as sans doute raison.
Vu le timing, c'est à dire juste après la sortie de Blender 4.0, qui génère beaucoup de téléchargements, ça fait à la fois de la mauvaise pub pour le projet, et une occasion d'installer des malwares chez pas de monde en postant des liens pourris par-ci par-là.
[^] # Re: OpenAPI
Posté par cg . En réponse au message Choix des URL "propres" pour du REST. Évalué à 2.
Ah alors sans JavaScript, et si tu veux que ça fonctionne depuis un navigateur (drôle d'idée pour une API mais bon, je comprend l'envie de simplicité), tu es condamné à insérer le verbe dans l'URL1.
Un peu dans ce genre pour les quatre opérations CRUD :
Mais peut-être qu'on peut faire des liens en précisant le verbe genre de nos jours ? ↩
# OpenAPI
Posté par cg . En réponse au message Choix des URL "propres" pour du REST. Évalué à 4. Dernière modification le 23 novembre 2023 à 10:53.
Hello,
tu peux suivre la norme OpenAPI.
Comme tu le dis, typiquement pour faire une suppression, on utilise la méthode DELETE de HTTP. Mais après tout, tu peux l'accepter avec un GET ou un POST, c'est ton API :).
L'idée c'est que souvent, dans le navigateur, les méthodes d'accès à l'API vont être exécutées par du JavaScript, et JavaScript peut préciser s'il veut faire du GET, POST, DELETE.
Il y a sans doute d'autres "normes".
[^] # Re: ton comptable
Posté par cg . En réponse au message Logiciel de comptabilité pour micro-entreprise (BNC, libéral). Évalué à 3.
Quitte à avoir un ou une comptable, autant ne rien saisir ! Je connais des indeps qui envoient leur paquets de trucs une fois par mois, et l'intermédiaire comptable s'occupe de tout (saisie, déclarations, communication avec l'AGA). Toutefois je préfère m'en occuper moi-même, et donc je trouve plus simple de tout faire.
Et donc quitte à payer, je préfère mettre des sous dans un logiciel libre, soit en don, soit en service (genre Dolibarr ou OpenConcerto en SaaS).
Le seul truc que j'avais trouvé compliqué, c'était l'année de la fermeture de l'entreprise, où j'ai du passer en créances/dettes, c'était totalement nouveau pour moi et un peu alambiqué j'ai trouvé !
[^] # Re: Dépêche en cours d'écriture
Posté par cg . En réponse au message Logiciel de comptabilité pour micro-entreprise (BNC, libéral). Évalué à 2.
Merci ! Disons que s'il y a des fonctions en trop genre CRM, ça n'est pas très gênant, je ne m'en servirai pas, voilà tout. Je n'avais même pas imaginé un générateur de facture :p.
[^] # Re: Dépêche en cours d'écriture
Posté par cg . En réponse au message Logiciel de comptabilité pour micro-entreprise (BNC, libéral). Évalué à 3. Dernière modification le 22 novembre 2023 à 11:09.
Merci oui je l'ai lue, c'est copieux mais je voulais avoir des avis circonstanciés :