David Marec a écrit 472 commentaires

C'est historique. C'est la première condamnation du délit d'« d'obsolescence programmée », promulguée fin 2019, si je ne me trompe pas.

En Italie, Apple a été condamné à verser 10 millions€.

Avis aux possesseurs de iPhone, l'article précise:

Selon l’avocat de l’association, Me Emile Meunier, cette condamnation ouvre la voie à des demandes en dommages et intérêts de la part des clients.
HOP se réserve ainsi le droit d’accompagner les plaignants dans leur action et les appelle à se manifester via ce formulaire en ligne :

Reste à étendre cette loi à toute l' Union Européenne.

donc on est bien dans un cas où l'ordre est indéfini, non ?

… Ce qui signifie que le compilateur fait ce qu'il veut.

Il y a même eu une dépêche publiée sur le sujet.

On accède au premier lien en suivant le chemin:

• Entreprises -> création de site internet

Il s'agit donc d'une information dont le cadre est professionnel.

Le lien donné par devnewton comporte un volet pour les sites non-professionnels qui colle à l'article 6.

Si je suis (presque) d'accord avec cette opinion, 2 exemples ne suffisent pas à prouver la véracité du propos.
Au contraire, il suffirait d'avoir un contre exemple pour prouver que l'affirmation est fausse.

C'est renverser la charge de la preuve. C'est à ceux qui font la promotion de la vidéo-surveillance de démontrer qu'elle est efficace.

La question alors n'est pas la vidéo surveillance, mais la dérive sociétale qui pousse le pouvoir
a la rendre systématique pour assurer la sécurité des citoyens et le modèle de contrôle social associé

Sauf qu'il ne s'agit pas de sécurité mais de limiter les incivilités et les dégradations.

Je suppose que la facture de 250k€ n'est pas à honorer chaque année, contrairement à celle de 300k€.

A noter l'arrivée en 4.18 d'un framework FPGA pour linux.

Celui ci permettra de charger des bitstreams depuis le soc lui-même, à condition que le constructeur développe un driver qui prend en charge cette API. Donc, à terme, d'uniformiser un peu le processus entre les différents fondeurs.

J'ai vu passer des drivers pour au moins Xilinx et Altera.

---

Voire, de faire des trucs rigolos en changeant de bitstream à la volée -

Exact, j'ai confondu, c'est un warning qui indique que le prototype n'a pas été trouvé.

Oh!

Une photo de gens qui ouvrent un carton à coté d'une autre photo de PC portable sur une table avec plein de câble !

j'ai un warning sur mot[i]

Parce que vous lui donner des valeurs sans jamais l' utiliser ensuite. En bref, il ne sert à rien.

-Wunused-but-set-variable

Le problème vient de scanf qui ne va pas vider complètement le tampon d'entrée (stdin ).
Il prend ce qui l'intéresse et va laisser le traîner le retour à la ligne que vous l'utilisateur a envoyé en appuyant sur Entrée.

Il faut vider proprement le tampon d'entrée après un scanf:

{
int c;
while ((c = getchar()) != '\n' && c != EOF);
}

Laisser l'utilisateur taper un login de plus de 9 caractères et vous un problème similaire: le mot de passe va consommer le surplus.

Enfin, dans mon code. Dans le votre, avec gets -qu'il-ne-faut-pas-utiliser-, vous aurez un dépassement de tampon qui va empiéter sur le code lui-même.

Vous utilisez la bibliothèque conio, un vieux truc pour MS-DOS, sans la donner à l'éditeur de lien.
(-lconio ou un truc du genre).

C'est parce que pour répondre à la question du scanf, vous appuyez sur entrée.

Cette touche qui n'est pas avalée par le scanf est alors transmise à gets.

Videz le tampon par un getch(stdin) ou getchar().

Ensuite, si l'on tape un login de plus de 9 caractères, tout part en vrille.

#include <termios.h>
#include <stdio.h>
#include <stdlib.h>

static struct termios before;
void initTerm(void)
{
        tcgetattr(0, &before);
}
void resetTerm(void)
{
        tcsetattr(0, TCSANOW, &before);
}

void setTerm(int echo)
{
        struct termios state;
        tcgetattr(0, &state);
        state.c_lflag &= ~ICANON;
        if (echo){
                state.c_lflag |= ECHO;
        } else {
                state.c_lflag &= ~ECHO;
        }
        tcsetattr(0, TCSANOW, &state);
}

int main()
{
        char login[10];
        char mot[8], cg;
        size_t i;
        int rep;

        initTerm();
        do{
                printf("enter le login:");

                fgets(login,sizeof login,stdin);
                printf("enter le password:");
                setTerm(0);
                for(i=0;i<5;i++){
                        cg = getchar();
                        mot[i]=cg;
                        cg='*';
                        printf("%c",cg);
                }
                setTerm(1);
                mot[i]='\0';
                printf("\nnon(0) ou oui(1):");
                scanf("%d",&rep);
                getc(stdin);
        }while(rep==1);
        resetTerm();

        return 0;
}

Si l'on tape des logins trop longs, le buffer stdin va déborder de la même manière sur le getchar du mot de passe.

CVE annoncé le 29 janvier apparemment, chez moi les attaques ont commencées le 30 janvier.

L'annonce «ouverte» la plus ancienne date du 28 au soir.
Des attaques lancées en à peine une journée donc.

Dingue.

À noter que si on a configuré OpenSmtpd pour stocker les mails au format Maildir, la faille est sans effet.

Tout à fait, seul le format mbox pose problème.

En attendant c'est marrant je vois passer des tentatives d'exploitation de la faille,

Eh bé, ça n'a pas trainé.

Je serais curieux de savoir si les attaques ont démarré dès l'annonce de la faille, ou à partir de la publication du CVE.

Cela signifie que sur des entiers de 32 bits les matrices en dessous de 64×64 tiennent dans un
cache L1, puis dans L2 jusqu'à 128×128, puis L3 jusqu'à 512×512.
Au delà il faudra aller chercher les données en RAM.

En fait, la situation est pire encore: au delà, on se paye des défaut de cache et on perd des centaines de cycles.

Reste à voir si les performances sont meilleures parce qu’on a supprimé les branches, ou parce que l'on a réussi à se coller pile poil à la taille des caches…

Après, ça devient compliqué puisque l'on optimise en fonction du hardware qui tourne en dessous.

Il faut activer dans le script, l'option qui autorise cette syntaxe (Pathname Expansion):

shopt -s extglob
rm !(file1|file2)

---

Ce serait mieux, AMHA, avec un find, plutôt qu'un cd+rm

j'ai essayé cette commande mais il modifie la varaible dans tout le script

Il existe un syntaxe de GNU sed pour s'arrêter à la première occurrence:

sed -i '/ORG_NAME/ s//# /' Nom_du_script
# should be
sed -i '0,/ORG_NAME/ s/ORG_NAME/# ORG_NAME/' Nom_du_script

Et, est-ce qu'ils ont pensé à
cette parade très humaine
les bons développeurs ?

En quoi [0-9]([0-9])?[/.-][0-9]([0-9])?[/.-][0-9]{4} ça marcherais pas?

Parce que ça ne valide ni le nombre de jours, ni le nombre de mois ?

juste des regex sans explications, la…

Il y a un énorme schémas explicatif dans la page, sous la formule.

En effet, c'est indiqué dans le CVE:

(pwfeedback is a default setting in Linux Mint and elementary OS; however, it is NOT the default for upstream and many other packages, and would exist only if enabled by an administrator.)

Par curiosité, sur quel OS/Distro sudo était réglé avec cette option activée  ?

Hurd sera-t-il à terme basé sur un noyau Windows ?

Pourquoi pas, il me semble que la gamme des Windows-NT était basée sur un micronoyau, du moins à l'origine.

On pourrait peut-être en faire un OS utilisable, du coup.

L'annonce.