gUI a écrit 6015 commentaires

Question : les mails vers les boites en hotmail et outlook ? Ils arrivent bien ?

Oui bonne question à laquelle j'ajoute orange.fr . C'est là où on a le plus de soucis avec mon asso (email géré par Gandi).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Dans l'ordre :

• augmenter la taille du disque virtuel => faut voir selon ton gestionnaire de VM
• augmenter la taille de la partition => fdisk
• augmenter la taille du filesystem => resize2fs

Seule la première étape a besoin d'éteindre la VM, le reste est faisable en 'live' (au moins avec fdisk et resize2fs, pour gparted je ne sais pas).

Bien évidemment, avant de tenter tout ça, backup, backup et backup :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

J'ai ajouté le lien vers ASBL (PAO est quand même assez connu - sans offense bien sûr :) )

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Ah mais oui bien sûr ^^

quel con :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

le système n'a pas besoin que ce fichier soit lisible par les utilisateurs eux-même : /etc/shadow n'est pas lisible, alors que le système en a bien besoin pour vérifier le mot de passe.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

les yusers ont toujours accès à /etc/passwd

Oui j'ai fait un (gros) raccourcis. Mais du coup tiens, pourquoi les users ont besoin d'accéder à /etc/passwd ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Tu peux partir sur le hash dans un fichier texte. Tout comme ton /etc/passwd en fait ;)

Mais attention, ça restera facile pour le hacker de générer un nouveau hash dans ce fichier et ainsi être admin.

Du coup faudrait que tu signes ce fichier (avec ton certificat embarqué). Mais là aussi, le certificat ne doit pas être en clair dans le code sinon il pourra le modifier, ou s'en servir… Et de toutes façons, si c'est pour à la fin faire un simple if procedure_super_secure() un coup de debugger et toute ta procédure gicle.

En gros, si tu mets le produit dans les mains du hacker, il arrivera tôt ou tard à le hacker (regarde les consoles de jeu…). C'est à toi de voir où tu mets la limite selon la situation que tu vises.

Bon sinon :
- si ton produit vaut cher, est sensible, a de fortes chances d'être une cible, alors rapproche-toi d'un cabinet de cybersécu, c'est leur métier
- si c'est un produit maison et que tu veux juste pas que ce soit la fête du slip, un hash avec sel dans un fichier (et oui, le sel est en clair dans le binaire, tant pis… choisis un sel qui passe inaperçu quand tu fais un strings mon_appli.exe) ça me semblerait déjà pas dégueu.

Encore une fois, en matière de sécu faut savoir de quoi on veut se protéger : quels scénarios. Sinon on fini par se protéger de la mauvaise menace.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est ça. Parce que "Robert l'a dit à Gérard mais tu le dis à personne", ou parce que "Jean-René a été viré et a pas apprécié et du coup a cherché à foutre le bordel"… Si le mot de passe sort du cercle, c'est mort.

Un mot de passe doit être révocable, tout comme un certificat.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

[stocker le hash] Ça n'est toujours pas hyper sécurisé j'imagine

c'est ce que fait le fichier /etc/password non ? J'imagine donc que c'est déjà une protection correcte.

Sinon encore plus évolué : stocker dans un TPM (donc pas dans le binaire). Là oui t'es sécure :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Tout simplement tu le mets en "dur" mais pas en "clair". Tu mets par exemple son SHA256 (et tu t'assures qu'il est vraiment, vraiment très long pour être robuste à l'attaque par force brute).

Après ça reste une mauvaise idée de le mettre en "dur" : si pour une raison ou une autre il fuite, t'es mort, faut recompiler (et redéployer) l'appli.

Autre chose, tout le monde aura le même, je ne sais pas si il y a plusieurs instances de ton applis (plusieurs clients), et donc si ça fuite, ça fuite en grand (tu peux être sûr que c'est demain sur les forums spécialisés).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

n'importe que fournisseur d'OpenID pourrait faire l'affaire non ?

oui, mais je doute fortement que leur problème soit de trouver des fournisseurs OpenID. Si ils utilisent ceux-là et uniquement ceux-là, il doit bien y avoir une raison autre que "ce sont les plus utilisées". On a quand même un beau trio Google-Facebook-Microsoft.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

En bas de la page je vois "Jitsi on mobile - download our apps" avec les liens des apps officielles jitsi.org

Serait-ce le service officiel de jitsi.org, qui entre autre permettrait le financement du développement de l'appli par exemple ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

On est plus au comique de répétition qu'à la récursivité là…

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

https://linuxfr.org/users/gbetous/liens/qu-est-ce-que-la-recursivite

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Et les motos jusqu'à peu : ma moto précédente avait encore un starter, ZZR1200 modèle 2004.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Première Clio, avec starter. Entre l'hiver à froid et l'été à chaud, si tu sais pas t'en servir tu peux jeter ta voiture à la poubelle tu démarreras pas 1x sur 2.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

L'employeur peut-il imposer l'utilisation d'un logiciel ou d'un service donné ?

Évidemment. Ton métier c'est ton métier. Après si t'as pas besoin du logiciel t'es pas obligé de l'utiliser (style j'utilise pas le logiciel de compta de l'entreprise), mais si tu dois faire de la compta, c'est sur le logiciel imposé par l'employeur (et rien d'autre).

Et si tous les postes sont sous Windows, alors tous les postes sont sous Windows (et pas Linux).

imaginez le cas d'un service en ligne avec des conditions craignos, genre qui stocke des infos, voire fuite des infos personnelles vous concernant

La loi c'est la loi, en France il y a le RGPD qui s'applique. Même (et surtout d'ailleurs) en entreprise. Donc ce cas n'est théoriquement pas possible.

Par exemple, un employeur peut-il imposer à un employé d'être fiché sur Facebook ou LinkeIn ?

L'employeur ne peut t'imposer que des trucs ayant un rapport avec ton activité. J'ai du mal à voir en quoi ce pourrait être obligatoire (même pour un community manager par exemple tu ferais un compte "pro").

Ou d'avoir un compte Google pour installer des logiciels sur son téléphone pro

Tu auras un compte Google pro oui.

voire sur son téléphone perso ?

Là c'est plus compliqué. J'ai déjà eu ça (le BYOD) mais c'était au volontariat. Par contre du coup tu prends des contraintes sur ton téléphone perso, à toi d'accepter ou pas.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Les insultes peuvent être acceptables?

Non en aucun cas.

En annonçant ça je dis simplement que je ne vais pas me sentir insulté par ton comportement, et que si je me sens insulté c'est ma faute. Donc vas-y, envoie l'info, et le reste (politesse, normes sociales) je m'en contre-carre.

Au risque d'être déstabilisé émotionnellement?

C'est moi qui prend ce risque (que j'estime quasi nul), d'où le disclaimer : n'annoncez ça que si vous en êtes convaincu (et pas pour faire plaisir).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

tu peux faire n'importe quoi avec le logiciel concerné

Non. Faut pas non plus tomber dans l'autre excès et penser que parce que t'as rien signé t'as droit à tout. La loi reste la loi.

Et dans ton entreprise tu as en général autre chose : le règlement intérieur (et souvent la charte Informatique en plus).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

J'ai eu à plusieurs reprises dans mon boulot accès à la suite Microsoft, je ne me souviens pas avoir dû accepter le CLUF. Ou alors je l'ai fait machinalement ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

pour ne pas passer 50% de mon temps à résoudre des PEBKAC

Je ne connaissais pas l'acronyme (alors que je connais bien le concept :) ) aussi je me suis permis d'ajouter la ref Wikipedia.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Oui c'est parfois un peu compliqué le mélange des genres, moi qui suis plutôt du côté des règles de Croker.

Mais on se dira que c'est justement ça fait tout le charme des relations humaines :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

La perméabilité entre le temps pro et le temps perso est grande (hélas parfois)

Je ne comprends pas que les gens en général ne sachent pas ça. Vu que l'EN est le premier employeur de France, on a tous et toutes des enseignants dans notre entourage (rien qu'avec mon voisinage immédiat j'ai une prof d'Anglais en lycée et une instit, j'ai également un cousin instit/directeur d'école, et une cousine prof de math au lycée).

Bon en gros ils bossent tous le soir et le week-end, et pas qu'un peu.

Ça veut pas dire pendant tout le week-end, ça veut pas dire tous les week-end, ni chaque soir jusqu'à 2h du mat', mais oui, ça bosse régulièrement hors des heures ouvrables.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Curieux, sur leur site on dirait pas.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

J'avoue ne pas comprendre. C'est quoi le soucis ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.