devnewton 🍺 a écrit 8919 commentaires

4.2.1 Le modèle de sécurité ne repose pas
sur l’intégrité du terminal.

4.2.2 Toute détection de défaut d’intégrité
est indiquée à l’utilisateur et non
utilisée pour bloquer celui-ci.

Merci la CNIL !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

• fair-source : possibilité de faire croire que c'est libre.

Le fair source, c'est quand tu ne peux rien fair avec !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

La seule manière de pouvoir continuer à utiliser ces appli sera d'avoir un smartphone supplémentaire dédié à ces applis !

Entre sauver la planète et la certification, il faut choisir !

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Si on ne te donne pas le droit de vivre, est-ce un meurtre ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Une autre Loi pourrait être énoncée : à toute solution trouvée sur stackoverflow, il y en a une plus pertinente dans la documentation du produit.

https://github.com/AppImage/AppImageKit/wiki/FUSE

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Je n'ai lu que l'article qui parle de de postes « chief growth officer » puis « chief business officer ».

Quant à la fameuse French Tech, ça tient plus de l'élevage de subvention que de la technologie.

Il n'y a aucun sexisme dans mes posts. Mes moqueries s'appliquent indépendamment du sexe du politique peu adapté¹ au poste.

¹ c'est le politique qui est peu adapté, pas son sexe :-)

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Si je comprends elle n'a aucune compétence dans le domaine, mais son pere fait dans le commerce et la pub en ligne donc ça va?

Mon papa à moi a fait son service militaire, donc est ce que je pourrais avoir le Ministère de la Défense ?

En plus je viens de la société civile et j'ai presque terminé Advance war il y a 10 ans.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

C'est corrigé !

J'ai du mal avec ce terme "rooter". Quel en serait une bonne traduction?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

On ne voit pas grand chose sur la vidéo, mais je comprends qu'avoir affaire avec la police n'est pas toujours sympathique.

Moi même, j'ai été interpelé par la BAC qui me reprochait d'avoir l'air d'un cambrioleur, car je portais des gants et un bonnet (c'était l'hiver).

Heureusement je suis resté calme (apparemment crier et être mal poli est indispensable dans ce type d'enquête).

Bien que ma pièce indique que j'habite dans la rue (ils pensaient que je n'avais rien à faire là), ils ont quand même trouvé très louche que je sois essoufflé (au sommet d'une forte pente avec un vélo).

Peut être que la police a besoin de formations en politesse et en profiling ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Un salarié qui n'adhère pas au projet d'entreprise, aux produits qu'il développe, il vaut mieux le remplacer par un salarié à qui ça parle.

Quel est le rapport avec le lieu de travail ? Un des projets que j'ai préféré dans ma carrière, je l'ai fait 100% à distance, je n'ai même jamais rencontré mes collègues IRL.

A l'inverse, mon adhésion n'est pas totale pour les projets style "IA générative appliquée aux recettes de flammekueche" avec 42 réunions en présentiel par semaine et 4h dans les bouchons tous les jours.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Concurrence irresponsable : La DINUM joue contre son camps en se positionnant en concurrent direct des éditeurs français de logiciels libres et collaboratifs, alors qu’il existe déjà une dizaine de solutions françaises de bureautique collaborative, certaines bénéficiant de financements par l’État (Murena, XWiki, OfficeJS, BlueMind, Interstis, Jamespot, Wimi, Abilian…). Cela créé une situation de concurrence irresponsable, exacerbée par le fait que la DINUM bénéficie de financements publics à 100 %, des moyens marketing de l’État, et n’est pas obligée de se conformer aux qualifications SecNumCloud.

Je suis d'accord qu'il ne faut pas réinventé la roue, mais :

• est-ce que ces solutions sont vraiment libres ? Murena embarque un logiciel de carto privateur, XWiki a des versions "pro", les autres ont des sites tellement marketing que je n'ai pas compris s'ils font du libre ou pas.
• est-ce que les solutions vraiment libres répondent aux besoins?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Comment vont faire leurs livreurs?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Dès le début de l'entretien, je ne suis pas d'accord avec l'approche:

il faut séparer deux aspects. Il y a d’une part la fonctionnalité et d’autre part il y a la sécurité. Si on ne se préoccupe pas de sécurité, on peut concevoir des systèmes qui ont les fonctionnalités qu’on souhaite.

Une voiture qui ne tient pas la route, un site qui partage nos données avec la terre entière ou une maison sans porte… Il suffit de réfléchir un peu pour trouver des milliers d'exemple où la sécurité fait partie des fonctionnalités ;-)

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Est-ce que les derniers cas dont on parle sur linuxfr sont-ils des infractions à ces réglementations?

UN SI peut être parfaitement en règle avec la Loi et respecter plein de certifications exigeantes mais se faire trouer le slip quand même.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Le chiffrement type TLS est utilisable avec des logiciels libres (largement majoritaire d'ailleurs), on peut installer ses propres certificats… Bref c'est exactement la logique inverse de la chaîne de pas confiance dont on parle :-)

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

C'est quand même de la grosse branlette façon tiers de pas confiance ou rêve humide de RSSI en manque cette histoire.

Dans les autres domaines (DRM dans la musique et la vidéo, protections des consoles, secureboot), toute cette belle théorie s'est toujours fait troué le slip par la pratique.

Malheureusement certains semblent s'être laissé convaincre qu'un téléphone lowcost chinois avec un Android bourré de crapwares constructeur et d'applis privatrices est plus sécurisé qu'un PC normal avec Debian.

Parce que Google envoie des consultants en consulting avec de belles cravates?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Je ne comprends toujours pas : avec TOTP la clef est générée côté serveur et les codes sont validés côté serveur.

Le dev qui fait la génération ou la validation dans une appli qui tourne côté client (même closed source, signé, sur un OS certifié non rootable secure boot genuine of my official ass…) est au mieux incompétent.

Et tout l'argumentaire sur les applis clientes et les terminaux "de confiance" tombe à l'eau dès qu'on regarde deux secondes les horreurs qu'on trouvent sur les store google/apple (sans compter les gens qui acceptent des stores alternatifs de jeux chinois).

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

On peut tourner en boucle comme ça longtemps, mais tu ne fais que tenter de justifier l'existant sans réfléchir à ce qui pourrait (bien) fait.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

La question n’est pas ce que TOI tu as le plus confiance mais ce en quoi LA BANQUE a le plus confiance.

Je suis client, je m'en balec de l'avis de la banque :-)

Tu vas faire quoi si la banque impose un prélèvement ADN à chaque authentification ?

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Faut le trimbaler partout avec soit, ça casse, c’est chiant en vacances, etc… Les gens en prennent beaucoup moins soin que leur téléphone, l’oubli, le perde…

Les téléphones se cassent ou se perdent. On peut même ajouter qu'un téléphone n'est PAS un périphérique de confiance.

Tu as le plus confiance en quoi? Un téléphone facile à voler avec un android ou pire un iOS privateur et des services tout aussi privateurs ? Un PC de bureau ou un portable avec antivol et un vrai GNU/linux OS libre ?

Je le répète : si les banques aiment les applis mobiles, ce n'est pas pour la sécurité.

Comme expliqué, le côté lien dynamique (lien opération/montant/destinataire) interdit légalement ce type de solution.

Tu peux détailler pourquoi tu penses que "lien opération/montant/destinataire" n'est pas établi avec webauthn/TOTP ? (Sachant que les applis mobiles utilisent les mêmes principes…).

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Tu fais dire au texte ce que tu as envie/compris.

La BNP propose toujours le MFA par SMS + code secret, donc non toutes les solutions ne sont pas hors jeux.

Je vois aussi que certaines banques proposent des alternatives :

https://www.cic.fr/fr/particuliers/comptes/authentification-forte-digipass.html
https://www.banquepopulaire.fr/votre-banque/securite/pass-cyberplus/

Bien sûr c'est fort dommage de ne pas utiliser webauthn, TOTP ou un mécanisme équivalent…

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Surtout que contrairement à d'autres domaines, la musique générée par IA est plutôt de qualité (par rapport à pleins de groupes humains mais moyennasses).

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Ça ne dit à aucun moment qu'il faut une appli mobile privatrice, ni un OS certifié, ni même un téléphone…

Le texte semble même prévoir un garde fou pour éviter de se retrouver uniquement avec une telle solution : https://linuxfr.org/news/demarches-administratives-et-fracture-numerique#comment-1968749

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Mon job est biclassé super/pourri :

• je fais de l'architecture technique et fonctionnelle sur des sujets variés, le poste est intéressant, on privilégie l'opensource, les conditions de travail sont bonnes ;
• depuis quelques temps nos clients ne nous commandent que des projets nuls et inutiles.

Il y a quelque chose de pourri dans la startup nation.

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board

Lorsqu’elle fixe lesdites exigences, l’ABE devrait accorder une attention particulière au fait que les normes à appliquer doivent permettre d’utiliser tous les types de dispositifs courants (tels que les ordinateurs, tablettes et téléphones mobiles) pour assurer différents services de paiement.

Wikipedia indique d'ailleurs qu'un engagement a été pris dans ce sens https://fr.wikipedia.org/wiki/Directive_sur_les_services_de_paiement#cite_note-7

Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board