Glandos a écrit 1364 commentaires

Y a la même table pour bcrypt dans l'article de Hive : https://www.hivesystems.io/blog/are-your-passwords-in-the-green

Mot de passe de 10 caractères, lettres minuscules seulement : 24 ans de brute force pour un RTX 3090 contre 4 ans pour les instances AWS.

Je crois que ça va, non ?

Password tables comparing MD5 hashes cracked by one RTX 4090 against 8 A100 GPUs from Amazon AWS.

Voilà voilà. Donc MD5 pour des mots de passe, ce n'est plus efficace, et on le savait déjà :)

J'attends le tableau avec du sha256 salé. Ou du Argon2, soyons modernes !

C'est un peu alarmiste non ?

Alors, certes, Google a très fortement contribué à l'ignorance des utilisateurs : ne pas afficher https:// devant l'URI pour faire « plus joli », c'est un argument, mais ça rend les choses plus difficiles à expliquer. Surtout quand tu fais un copier/coller, et que MAGIE, le préfixe réapparait dans ton presse-papiers.

Google a grandement intérêt à devenir un « gardien de l'Internet ». C'est d'ailleurs ce qui lui a été reproché lors de l'arrêt de son support de DNSSEC, en disant que X.509, c'était mieux (attention, le débat, n'est pas clos). C'est donc à surveiller.
Mais ce n'est pas ce que je vois arriver pour l'instant non ?

En tout cas, je trouve qu'une solution à base de https://addons.mozilla.org/fr/firefox/addon/indicatetls/ (mais en plus basique) pourrait être un meilleur indicateur. Noter la qualité de sécurisation de la transmission, et pas la fiabilité du site final.

Je sais, je suis utopiste, je prends les gens pour des intelligents curieux. Mais j'en ai marre que les gros éditeurs de logiciels prennent les gens pour des cons insouciants, en cachant tous les détails techniques à chaque fois.

Non, c'est une IP privée.

La boîte est grosse, et on vient à peine d'avoir une PKI interne. L'accès est verrouillé, donc pour avoir un certificat, c'est compliqué. Quand on veut monter son site vite fait en interne, c'est pas jouable de compter sur un certificat valable sur tous les périphériques de l'entreprise.

Apparemment, personne ne parle d'intranet.

Je sais que le Zero Trust, c'est la nouvelle bible, mais des fois, un simple site Web dans un Intranet ne peut pas s'offrir un certificat X.509…

L'enquête est sur https://limitesnumeriques.fr/travaux-productions/obsolescence-logicielle-smartphone/ et les portraits mis en lien dans les toots sont sur https://limitesnumeriques.fr/travaux-productions/obsolescence-logicielle-smartphone/portraits

Mais je trouve un peu ironique que Limites Numériques se présente comme « un projet de recherche en design sur l’empreinte environnementale du numérique » qui « [s'intéresse] aux choix de conception, aux usages et aux fonctions d’un numérique s’inscrivant dans les limites planétaires. », alors que le site ne fonctionne pas sans JavaScript. Pourtant, les fonctionnalités proposées ne me semblent pas requérir ce genre de technologie. Je suis peu être un peu trop critique quand même, je vais plutôt aller lire les portraits :)

Ça sent le footwar

le numérique doit être la solution à tous les problèmes et qui justifient le choix du numérique par un raisonnement inepte.

Et ce qui est mis en avant vers la fin de l'article, c'est que les moyens de mesure d'efficacité de ces choix se rendent aveugle de tout le reste : on mesure l'efficacité de la dématérialisation par le nombre de rendez-vous pris en ligne.

Le DiploWeb est une excellente ressource. Mais là, on n'est pas sur le bon réseau pour y diffuser ses informations. Peut-être si ça avait un vague rapport avec l'informatique.

Oui, je sais, y a d'autres liens sans rapport.

La chimie et les approches rationnelles de la productivité agricole, ça marche;

Pendant 50 ans. Et après ça s'arrête, parce que le sol n'a plus rien. C'est ce qui est en train de nous arriver. Pour combler ce problème, on peut mettre encore plus d'intrants, mais ça augmente le coût, et dégrade la productivité.

Les agriculteurs épandent des produits chimiques toxiques en partie par besoin, et en partie par simple habitude. On leur a dit que c'était le seul moyen de bien faire pendant 30 ans. Certains n'ont probablement pas entendu autre chose de leur vie. Le changement est une chose déjà très difficile quand on parle de méthode de management dans une entreprise de service. Alors pour des agriculteurs qui passent (littéralement) leur vie à produire de la nourriture, je peux comprendre que se remettre en question sur ce sujet ne peux que créer une dissonance cognitive répugnante.

La non-viabilité d'une entreprise agricole est justement remise en question par le système des multinationales et coopératives qui monopolisent un circuit de distribution, avec leurs tarifs. Si on veut se mettre à faire autre chose, il faut vendre à un prix plus élevé, aussi parce que la PAC ne subventionne qu'un certain mode de production.

Je crois que le métier d'agriculteur n'est envié de personne. C'est dur, c'est mal payé, c'est mal considéré. Alors je ne peux que comprendre le besoin de se sentir acteur en choisissant son positionnement de production.

Investigating this further we can see that the packages are sent via the HTTP protocol and are not encrypted using HTTPS, SSL or TLS. That means that anyone else on the network, including hackers, government agencies, network administrators, telecom operators, local and foreign can easily spy on us by collecting this data, store them, and establish a record history using the phone’s unique ID and serial number Qualcomm is sending over to their mysteriously called Izat Cloud.

Y a pas que les deux requêtes DNS !

Par contre, je peux comprendre que, si la puce Qualcomm contourne tout l'OS, ils aient choisi de faire du HTTP en clair. C'est compliqué de mettre du TLS dans une petite puce…

BitWarden (et son pendant libre Vaultwarden) permet de configurer des accès d'urgence.

Grosso modo, un utilisateur en déclare un autre comme « contact d'urgence ». Si le premier vient à disparaître, le deuxième peut faire une demande d'accès d'urgence au serveur. Pendant une période de grâce, rien n'est accessible. Si le premier ne répond pas, sa clé maîtresse devient transférée au deuxième.

Ce n'est pas la solution à tout… Il faut notamment que les deux utilisateurs soient sur la même instance du serveur.

7 ans, c'est déjà pas mal.

Pour les clés TLS, c'est de la cryptographie asymétrique, donc je pense que tu parles des algorithmes de types RSA et ED25519. Oui, ça tient plus longtemps.

Là, on parle des algorithmes de dérivation de clé, ça a été très attaqué, et rendu possible par la montée en puissance des GPU. Argon2 devrait calmer le jeu pendant un certain temps, mais… je ne suis pas futurologue.

DAG, c'est Directed Acyclic Graph, qui en français donne Graphe Orienté Acyclique.

Oui, c'est un peu pédant comme commentaire, mais je me suis dit que pour les curieux qui cherche les détails d'un graphe dirigé, ils n'allaient pas trouver grand-chose…

Alors, sebsauvage cite Slashdot qui cite PCWorld qui base son article sur Neowin.

Y a une mise-à-jour de l'article qui détaille le fait que ça concerne pas seulement Firefox.

This page crashed.

window.gtag is not a function

Apparemment, bloquer Google Tag Manager n'est pas admis. Tant pis :)

https://www.ghacks.net/2023/04/16/keepassxc-security-audit-published-recommends-this-security-setting/

En une phrase :

Select KDBX 4 (recommended) from the menu.

Il est possible que vous soyez encore sur le vieux format si vous utilisez KeePassXC depuis longtemps.

Et ça pue.

Pardon, mais bon, je sais que c'est pas inutile de parler de ce que font les puissants, mais parfois, c'est trop.

Starship, c'est le gros vaisseau de Space X dont le but serait de faire des vols habités vers Mars. En tout cas au début.

Je précise parce que j'avais AUCUNE idée de ce qu'était Starship. À part un joli prompt.

https://blog.ferretdb.io/ferretdb-1-0-ga-opensource-mongodb-alternative/#sqlite-and-future-database-backends

Je ne sais pas comment est implémenté MongoDB, mais je trouve ça pas mal de s'appuyer sur des moteurs existants. Et utiliser SQLite est un atout dans pas mal de cas : ça marche, c'est rapide à installer et facile à maintenir.

surtout si la personne qui l’a générée sait ce qu’elle fait et comment manipuler l’entrée pour avoir un résultat le plus réaliste possible.

Oui, si la personne sait manipuler Photoshop ou Gimp, c'était déjà pareil :)

Bon évidemment, dans quelques itérations, ça sera réaliste avec une demande moisie genre « Trump se fé arrêtait par des chtroumphes »

L'aspect esthétique n'est pas le plus important, l'ergonomie, par contre.

Pour les utilisateurs, c'est vrai. Mais pas pour les acheteurs. Ce ne sont pas les mêmes personnes.

https://nitter.fdn.fr/jonsneyers/status/1642039947719745537?t=HV1TA90KMykEXrXyYtJj2A#m

Le pire, c'est que ça a été relayé sur le gestionnaire de ticket de Chromium : https://bugs.chromium.org/p/chromium/issues/detail?id=1178058#c396

Vu que Mozilla a 11 jours de moins que cURL, est-ce que Mozilla s'est appuyé sur cURL ? Est-ce que cURL s'est développé à l'aide de Mozilla puis Firefox ? Est-ce que dans 25 ans ils seront toujours là tous les deux ? Est-ce que les pâtes cuites jetées dans l'eau froide puis chauffées sont-elles plus digeste bien que moins bonne gustativement ?

Le peuple demande des réponses. Et moins de commentaires inutiles aussi.

Il me semble que c'est une société qui a son siège dans un autre pays de l'UE au Royaume-Uni.