devnewton 🍺 a écrit 9061 commentaires

une lib c++ peut-être utilisé avec quasiment tous les langages

A condition de ne pas péter l'ABI :-)

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Tu veux m'attribuer une position qui n'est pas la mienne juste pour le plaisir d'avoir raison ? :-)

Si non, essaye de relire le résumé: https://linuxfr.org/news/pypi-deploie-le-systeme-2fa-pour-les-projets-critiques-ecrits-en-python#comment-1896454

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Pourquoi ils n'utilisent pas Go pour ça ? Parce que le Go est lent ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Ça marche aussi avec des communications synchrones:

- comment on se connecte au wifi, je dois rejoindre la visioconférence ?
- je ne sais pas regarde dans la doc.
- elle est où ?
- bah sur le site de la boite.
- j'ai pas le wifi pour y accéder.
- ah oui lol.


Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Relis bien le thread, mais en résumé je dis:

• qu'il ne faut pas choisir des facteurs "emmerdants" : le confort d'utilisation est un élément de sécurité ;
• que le 2FA n'est pas fait pour protéger en cas de compromission des périphériques/terminaux : si tu veux te protéger contre ça, il faut d'autres mesures.

La sécurité, c'est by design par by what could go wrong.

A propos, est-ce que quelqu'un a vu mon post-it avec marqué "root pwd : ***" dessus ? J'en ai besoin pour faire une mep.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Il y a beaucoup de combinaisons d'attaques / facteurs / mitigations. Difficile de tout résumer, mais je le répète : croire que le MFA protège en cas de vol / hack d'un terminal / périphérique est une erreur.

Selon les facteurs, cela peut réduire les impacts, mais ce n'est pas fait pour ça.

Exemple :

• tu as un accès ultra sécurisé au wifi de ta boite via un login+mot de passe + une yubikey + empreinte + TOTP ;
• tu oublies ton téléphone dans un coin, un vile hackeur regarde ton appli mail et trouve ton login+mdp ;
• il écrit au support "ça marche pas" et se fait réinitialiser la clef, le TOTP et la prise d'empreinte par un support gonflé par le nombre de gens qui perdent des facteurs…

Cet exemple est bien sûr fictif, toute ressemblance avec des personnages et des sociétés réels ou imaginaires ne seraient que vraiment pas de bol.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

C'est sans doute le bon compromis: selon le type d'opération que tu dois faire, tu as besoin de plus ou moins de facteurs.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Je le répète: le multifacteur ne protège pas contre la compromission du terminal.

C'est fait pour limiter les dégats en cas de compromission d'un facteur (on récupère ton login/password).

Si on installe un rootkit sur ton PC ou ton mobile, tu es foutu.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Le top? Mais… pour qui?

C'est envisagé dans la santé, car les CPS sont insatisfaisantes et surtout on veut gérer des autorisations en plus de la simple authentification.

Exemple :

• Docteur on lui coupe la jambe ?
• Oui, mais fait la demande sur velpo.fr/chirurgie que je confirme.
• Voilà c'est fait !
• Attends je sors mon mobile, je lance l'appli eBoucherie, ah voilà je vois ta demande, je valide.

Cela pourrait s'appliquer à bien d'autres domaines.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

L'enrôlement du périphérique est un second facteur (quelque-chose que je possède). Le premier est par exemple ton couple login + mot de passe (quelque-chose que je connais).

Attention le multi-facteur ne protège pas contre la compromission du périphérique, y compris avec des code SMS ou Push. Exemple: beaucoup de gens font leurs achats avec leur téléphone.

Si tu veux du multi-facteur résistant au vol de terminal, il te faut trouver un moyen de forcer les utilisateurs à utiliser :

• deux terminaux => possible, mais il faut du budget ;
• un terminal et une interdiction de sauvegardes des mots de passe sur ce terminal (difficile, il est toujours possible de coller un post it sur l'écran) ;
• un terminal et un dispositif physique => c'est ce qui existe dans la santé avec les Cartes de Professionnel de Santé, pas toujours un gros succès à l'hôpital…
• un terminal et de la biométrie => pas terrible pour la révocation (on a dupliqué vos empreintes? il va falloir couper vos doigts).

Le top serait d'avoir un mini terminal dédié à l'authentification / autorisation. Au niveau protocole, c'est l'idée d'OpenID CIBA: https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/openid-ciba

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

J'ai l'impression que "l'informatique c'est compliquai" est une excuse pour avoir un niveau d'incompétence et de médiocrité qu'on ne tolèrerait jamais pour d'autres domaines.

• la maîtresse ne sait pas nager? => on la laissera se débrouiller pour le cours de natation quand même, on ne va tout de même pas embaucher un maître nageur !
• une cantine ? => trop cher, les élèves n'ont qu'à sortir s'acheter des kebabs.
• comment ça le chauffeur du bus scolaire est dangereux ? => il n'a pas eu le temps de passer son permis, faut voir que c'est compliqué ces nouveaux engins à moteur.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Non ce n'est pas normal :-)

Saisir 42 mots de passe / clef / code par jour, c'est un tel inconfort que les gens préfèrent contourner les systèmes de sécurité plutôt que les utiliser.

L'enrôlement du périphérique veut dire déposer une "clef" sur le PC/téléphone/tablette/terminal/… de l'utilisateur. Cette "clef" est le second facteur en plus du mot de passe.

Les avantages par rapport aux codes OTP par SMS / PUSH mobile :

• aucune saisie supplémentaire à chaque connexion ;
• pas besoin d'un second terminal ;
• pas de risque d'interception du code à chaque connexion ;
• la clef peut éventuellement faire l'objet d'une sursécurité, par exemple en la faisant chiffrer par le périphérique (si on change de PC, il faut la régénérer) ou en étant elle même chiffré par un autre dispositif (comme les périphériques usb de chiffrement).

Comme implémentations de concept, il y a:

• navigator.credentials en javascript ;
• les bons vieux certificats https client.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Heureusement qu'ils sont là ces organismes, sans eux, je n'aurais jamais eu l'idée d'avoir un bureau et je télétravaillerais encore depuis ma baignoire (excusez la tenue) !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

3/4

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Quand l'école réclame de l'argent, est-ce qu'ils utilisent leur page facebook ?

Ici, ils ont toujours une sortie ou une kermesse à financer et là bizarrement plus d'applis, plus de machins sociaux, mais du bon vieux mail + SMS + oral pour toucher un max.

Comme quoi ils savent faire…

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Si tu bloques sur git, mets le de côté et utilise ce bon vieux cpold :-)

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Les systèmes à deux facteurs qui se basent sur un objet physique ou la saisie de code sont pénibles.

Pourquoi pas un simple enrôlement du périphérique ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Pour une partie du public ici, on ferait une partie de notre taf gratuitement si on avait les moyens, et on a sans doute l'habitude de le faire de chez nous avant d'avoir un contrat.

Je ne pense pas: un projet perso n'a rien avoir avec un projet pro.

Mais il y a plein de gens pour qui

Des noms !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Et je pense qu'on ne parle pas non plus assez des demandes des salariés. Les gens qui veulent avoir une coupure entre le travail et chez eux, les gens qui veulent voir des collègues et qui vont donc demander à ne pas être seuls au bureau.

Attention à ne pas confondre le besoin et la solution : il est tout à fait possible de faire des coupures et de voir des collègues sans aller au bureau.

On peut aller au café ou au restaurant par exemple.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Git et sites statiques, même soucis

Pourquoi ne pas prendre le temps d'apprendre ces outils ? Editer du html simple n'est pas plus compliqué que maîtriser les logiciels que tu as cité. Git est un peu ardu, mais il suffit de se noter les commandes de base.

Les avantages:

• tu ne seras plus dépendant des offres des plateformes de blog: n'importe quel hébergeur web générique fera l'affaire ;
• tu ne seras dépendant d'un logiciel de blog qui peut casser la compatibilité entre deux versions ;
• l'utilisation de git te sert de sauvegarde : un exemplaire sur ton PC, un exemplaire chez l'hébergeur web, un exemplaire chez ton hébergeur de dépôt git préféré ;
• ces connaissances sont réutilisables dans d'autres domaines.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Ça veut dire qu'il fait souvent se relever la nuit pour corriger des bugs ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Ça aurait pu être le premier main en jeux vidéo !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Attention selon la Loi Macaron qui sera voté en 2023, les vélos devront prendre une assurance obligatoire avant chaque trajet via une microtransaction dans la blockchain de Capgemimi. Faute de pouvoir présenter le NFT de l'assurance, un forfait post trajet de 42€ sera à régler auprès des OMO (Opérateurs de Mobilité) de toutes les communes traversées.

Les livreurs à vélo seront exemptés s'ils sont autoentrepreneurs affiliés à une plateforme certifié par l'Etat (aujourd'hui seule la société Huber est certifiée).

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Ce calendrier n'est pas révolutionnaire, mais bourgeois : au lieu d'un repos tous les 7 jours, il proposait un repos tous les 10 jours !

Un vrai calendrier révolutionnaire aurait une semaine de 5 jours avec 4 dimanches !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

D'après la plaquette, Roma est copain avec le web3 ! Enfin !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board