Glandos a écrit 1217 commentaires

Ceci dit, il est assez simple de désactiver les notifications.

Ah oui, mais moi, ça m'intéresse d'être notifié d'un message. Mais je ne veux pas qu'il me le rappelle constamment à chaque nouveau message, ça me rend fou. Et désagréable avec mes collègues.

Il y a peu, on m'a forcé mis un smartphone dans les mains, que j'utilise pour Teams. Quand des gens envoient des messages un peu hachés (vous savez du genre « Salut » « ça va ? » « tu peux m'aidé » « aider » « j'ai un pb » « gros » en 10 secondes), ça fait autant de notifications.

Je me suis dit « nooooooooon, mais ça, Android propose forcément une limitation des notifications. Genre 1 notification sonore par application toutes les 10 secondes maximum.

Je suis bien tombé des nues. Visiblement, personne n'a dû trouver ça intéressant de le faire, et préfère se faire harceler par son smartphone. Oui, ça bip-bip en permanence jusqu'à ce que tu le regardes : c'est du harcèlement.

Oh, Android est verrouillé, je ne peux pas installer d'application non autorisée. Si ce n'est pas dans Android, il faut que je laisse tomber… Mais si vous avez des solutions / pistes, n'hésitez pas à en parler, ça peut également servir à DeltaChat.

Évidemment, pour Thunderbird, c'est pas pareil… Mais ma remarque vaut également pour les ordinateurs de bureau !

Vous avez vraiment tout lu ? chapeau !

Oui, car l'accès à Internet à la maison qui marche, ça m'intéresse. Je ne sais pas pourquoi on peut payer un VPS 3€/mois avec un accès Internet complètement sympa, et chez soi, on a de la merde pour 49€/mois. Bref.

D'après ce que je vois, tu (ah, oui, je tutoie, mais si ça dérange, je peux changer) as l'air de te débrouiller pour router des trucs. Et le grand conseil que j'ai pu glaner, c'est donc d'éviter la Livebox. Elle ne sait pas faire. Il te faut un fournisseur qui accepte le mode bridge sur son modem, et faire soi-même, pour un service qui marche.

La Livebox, je l'avais mise en mode DMZ, mais dès que je faisais du DHT scraping (quelques centaines de connexions UDP parallèles), elle s'effondrait au bout de 2h.

C'est vrai que le /56 de Orange IPv6, c'est cool, mais sur les Freebox par exemple, on peut rediriger des /64 sur l'hôte de son choix. Faut le faire une fois manuellement par sous-réseau… C'est clairement pas dans l'idée de l'IPv6, mais disons que pour un réseau personnel, c'est suffisant.

Mais d'autres fournisseurs ont un mode bridge il me semble…

En tout cas, merci pour le retour !

J'ai l'impression qu'on redécouvre une énième fois que le cycle en V, c'est beau sur le papier, mais plus le projet est gros, et moins ça marche.

Je me trompe peut-être, mais je commence à avoir de l'expérience sur le démarrage de projets informatique. Ah, évidemment, je n'ai pas démarré des machins aussi gros, et ça se voit : je ne porte jamais de cravate.

le même test, sur le même serveur, sur un fichier statique hébergé sur cette même machine, via nginx et HTTPS, plafonne plutôt vers 450 requêtes

Essaye en http, sans TLS. Sur mon serveur, c'est le jour et la nuit. L'établissement d'une connexion TLS, avec la négociation d'une clé de chiffrement symétrique via un protocole de chiffrement asymétrique, c'est vraiment très lourd.

Non, mais c'était couru d'avance en fait. Comme Skype et Teams.

Et ce n'est pas un commentaire négatif, c'est la vie : on ne s'amuse pas à faire deux éditeurs de texte très similaires, avec le même objectif, et qui consomment chacun autant de ressources intellectuelles.

C'est vrai l'argument est valide. Mais dans les primes, aides, modulation de TVA, il n'y a pas une telle dépense en terme d'organisation, d'administration et de frais fixe.
Un commerçant qui accepte un titre restaurant donne en moyenne 3,5%. Et c'est bien plus élevé qu'une commission de carte bancaire standard.

Les sociétés qui gèrent ses titres sont devenues énormes. Par exemple Edenred fait plus de 1,6 milliards d'euros de chiffre d'affaires, même si évidemment, elle ne gère pas que les titres restaurant.

Au lieu de ça, quand mes représentants syndicaux demandent de transformer les TR en « panier repas » intégré au salaire de base, l'employeur fait la gueule. Parce que pour lui, ça lui coûterai plus cher. Même si pour le système global, ça coûterai bien moins cher.

Je classerai les Chèques Vacances en dessous des Titres Restaurant sur la liste des monnaies de singe quand même. C'est valable deux ans, sans limite de montant, dans des musées, parcs d'attraction, jardins, restaurant, etc. Les conditions sont beaucoup plus clémentes.

Rares sont les salariés à bénéficier de chèques-vacances dématérialisés. Pour ceux-là, il faut obligatoirement passer par une dématérialisation. Il faut pour cela se rendre sur la page dédiée aux échanges du site de l’ANCV, rentrer à la main les informations des chèques-vacances à échanger, puis se connecter via France Connect et enfin envoyer par La Poste les chèques-vacances papier. Après quoi le pli est traité et le solde des chèques vacances transformé disponible quelques jours après via l’application, prêt à être utilisé.

La page https://cheque-vacances-connect.com/collaborateur/aide/payer-en-cheque-vacances-connect/ confirme que :

Tous les paiements en Chèque-Vacances Connect s’effectuent depuis mon application Chèque-Vacances

Et c'est perdu. Ah, quel dommage Mme MICHU, vous avez été victime de la fracture numérique. On vous souhaite bon courage pour la suite.

https://videos.thinkerview.com/w/twu8mzSaetfzGbA9NwBt96

La dame là, elle a l'air de dire que si on se focalise sur la globalité des ressources, faire des véhicules électriques c'est aller droit dans le mur.

On est d'accord que ce n'est pas la seule solution. Il faut vraiment réduire le besoin de transport individuel.

Oui, désolé, j'étais tout seul dans mon trip.

Je pensais à une prise de courant, en charge, c'est-à-dire actuellement branchée à un élément consommant du courant électrique. C'est en général une mauvaise idée de toucher ce genre de chose, pour éviter tout arc électrique.

Oui, évidemment, la prise en charge avait un sens bien différent, mais le verbe prendre juste avant m'y a fait penser.

Quand il faut passer autant de temps à expliquer sa blague, c'est qu'elle était nulle :)

D'accord, mais… c'est pas un peu dangereux de se prendre une prise en charge ?

Y a déjà plein de bonnes raisons pour ne pas acheter (enfin… se précipiter) sur une voiture électrique, mais effectivement, le style d'organisation prônée ne donne pas envie.

minimum (and I mean minimum) of 40 hours per week or depart Tesla. This is less than we ask of factory workers.

Ahah, ça sert à quoi de fabriquer des voitures si les gens sont plus 60h par semaine au travail sans pouvoir s'en servir ?

J'avais écrit ceci, le jour même, au service client :

Bonjour,

Je viens de constater que Crédit Coopératif vient de mettre en place l'authentification à deux facteurs lors du paiement en ligne. Théoriquement, c'est une bonne chose, mais ce que j'ai vu m'impose de tirer la sonnette d'alarme : votre implémentation est dangereuse. Elle rompt la confiance et force les utilisateurs à devenir moins méfiant face aux arnaques.

En effet, j'ai un paiement à effectuer sur montoulouse.fr Pour le paiement, celui-ci me redirige sur paiement.systempay.fr qui semble être son prestataire de paiement. Il est déjà difficile pour un utilisateur de savoir s'il peut rentrer ses informations sur un site qui n'est ni celui de ses achats, ni celui de sa banque, et qui a un nom qui ne se rapporte à aucun groupe bancaire connu.

Ensuite, lors de la mise en place de 3D-Secure, une iframe s'affiche au milieu de la page, avec une fausse barre d'adresse pour indiquer l'adresse de ce cadre, qui est un sous-domaine de wlp-acs.com. C'est dans ce cadre que je dois d'abord rentrer mon code reçu par SMS, puis ensuite vient la deuxième étape problématique : je dois fournir mon mot de passe à un site tiers.

Je tiens à vous rappeler que, selon les termes des conditions générales (disponibles sur https://www.credit-cooperatif.coop/votre-banque/tarifs-et-informations-reglementaires/conditions-generales-produits-services/ ) au paragraphe 5.2 :

En cas d’utilisation d’un dispositif d’authentification mis en place par le Crédit Coopératif, le Client doit prendre
toutes les mesures nécessaires afin d’éviter (i) la divulgation à des tiers non autorisés, et/ou (ii) la copie, et/ou (iii)
toute utilisation non autorisée des facteurs d’authentification.

Je suis développeur informatique depuis plus de 15 ans. Je gère mon propre hébergement de ressources Internet (courriel, cloud, etc.). J'ai donc une expérience certaines des transferts de données, des noms de domaines et du chiffrement. Et pourtant, il m'est impossible de satisfaire cette clause lors du paiement :

• Je ne sais pas qui est wlp-acs.com et personne n'explique qui ils sont
• Il n'y a pas non plus d'explication sur la gestion des données
• En gros : mon mot de passe d'accès au compte personnel transite sur Internet à des tiers.

Il se trouve que j'ai également un compte bancaire chez Boursorama Banque qui ont implémenté le paiement avec authentification à deux facteurs de la façons suivante :
On rentre ses informations de carte sur le site marchand.
3D-Secure se met en marche, avec une iframe, et celle de Boursorama dit qu'il faut se connecter sur son espace client, dans un nouvel onglet.
Sur l'accueil de l'espace client apparaît le paiement avec le détail.
Pour valider le paiement, il y a l'envoi d'un SMS ou d'un courriel.
Retour sur l'onglet du paiement, c'est validé.

Dans ce cas-là, je me connecte comme d'habitude à mon espace client, et je ne transmet donc mon mot de passe qu'à ma banque, qui se charge de faire le lien avec le prestataire de paiement. La confiance est garantie.

De manière plus personnelle, tout au long de ma vie, je me suis échiné à faire de la prévention aux arnaques sur Internet, en mentionnant la confiance, les URL (et pas les images affichées qui ne veulent rien dire) et les informations transmises. Dans ce cas d'utilisation, tout est piétiné : les URL ne sont pas connues, la confiance ne peut pas être établie, et les données transmises sont hautement sensibles.

Merci donc de corriger cela au plus vite. Il me semble très douteux que ce genre d'expérience utilisateur aie pu être validé par un audit de sécurité externe. C'est dangereux, et très contre-productif pour la sécurité de vos clients.

Oui, j'étais un peu agacé, j'ai même laissé les fautes dedans :)

La réponse est arrivée aujourd'hui :

J’ai pris connaissance de vos échanges avec votre conseiller de clientèle, Monsieur Maxime GRESLE, par lesquels vous exprimez votre insatisfaction portant sur la sécurisation de nos paiements en ligne.

Je comprends votre sentiment et tiens à vous assurer que vos interrogations ont été pleinement prises en considération.

En effet, le système de sécurisation évoqué dans vos échanges semble concerner l’authentification à 2 facteurs avec saisie du code reçu par SMS et du mot de passe « banque en ligne » (OTP SMS renforcé).

Celle-ci répond à un besoin de disposer d’une solution complémentaire afin de couvrir une part de nos clients ne disposant pas de smartphone par exemple, afin de répondre à la réglementation européenne DSP2.

Aussi, pour reprendre les éléments de comparaison de votre mail, je souhaite vous confirmer que nous proposons une solution équivalente à celle proposée par Boursorama.

Cette solution nommée SECUR’PASS a été préconisée par le Groupe BPCE pour assurer un niveau de sécurité optimal dans le cadre de la validation des opérations de paiement.

Vous trouverez en pièce-jointe de ce mail une Foire Aux Questions qui, je l’espère, permettra de répondre à vos interrogations.

Donc voilà, on se fout de moi, mais ça ne sera pas le premier service client qui répond à côté, ni le dernier.
Évidemment, entre répondre à côté de la plaque et ne pas me répondre du tout, je ne sais pas ce qui est le pire…

Oui, effectivement, l'écran d'accueil est très sommaire. Il ne s'appelle pas BLISS pour rien.

Mais comme tout le reste, il est possible de le changer. Après, c'est la foire des applications… Donc j'ai aucun conseil à donner.

D'autres ont déjà répondu mais oui, le problème, c'est la chaîne d'intégrité.

Aujourd'hui, si on se retrouve face à des bibliothèques malicieuses sur NPM, c'est parce qu'elles ne sont pas signées. yarn.lock et package-lock.json font heureusement de la vérification d'intégrité, mais sur une version donnée. Attention, ce problème existe également avec du typosquatting sur PyPI et RubyGems.

Le gestionnaire de paquets de ma distribution utilise des signatures pour ce genre de choses. S'ils se font pirater, oui, c'est perdu pour moi, à tous les niveaux. Mais il est plus facile de « voler » un nom de domaine (voire simplement de le perdre) que de pénétrer la sécurité de Debian/Ubuntu/RedHat et n'importe quelle grosse distribution.

export PYENV_ROOT="$HOME/.pyenv"

😞

Ça aurait été tellement bien dans ~/.local/share/ avec des binaires dans ~/.local/bin. Alors oui, ça semble possible de le faire, mais par défaut, ça crée un énième répertoire, dommage.

Après, moi, je râle gratuitement contre tout ce qui me demande curl | bash

C'est vrai que c'est une bonne nouvelle. Les courriels depuis les serveurs Microsoft seront mieux sécurisés.

Mais maintenant, on peut leur demander d’accepter les messages en provenance des serveurs qui ont mis en place tous ces mécanismes ?

Hé ben, c'est le complément : https://linuxfr.org/users/milo/liens/pegasus-mail-et-gmail-le-probleme-oauth2

Je découvre ça sur l'article de la FSFE :

In contrast, the situation in Germany is quite the opposite. AusweisApp2 is the German identification app, which is available in F-Droid, Debian and many other Free Software repositories.

Car oui, on peut faire de la transparence pour établir un lien de confiance avec les citoyens. Ça me semble fou qu'il faille l'expliquer aux politiciens.

Oui et non. Je laisse les professionnels en parler : https://aide.trainline.fr/article/215-verification-3d-secure

À part rendre l'achat plus pénible, la vérification 3DSecure ne change pas grand chose pour vous. Elle est là pour protéger le commerçant, car c’est à lui de rembourser les victimes en cas d’utilisation frauduleuse d’une carte bancaire. Avec ou sans 3DS, la transaction sera toujours aussi sécurisée pour vous.

« Je suis avocat en brevets depuis plus de 30 ans et je suis un ancien examinateur de brevets de l'Office américain des brevets et instructeur de révision du barreau des brevets, donc je suis un fervent partisan du système des brevets », a déclaré Smith à l'OSI par e-mail. « En tant que personne qui a également travaillé comme avocat open source pendant plus de 20 ans, je suis également un fervent partisan d'un domaine public robuste. Lorsque j'ai découvert pour la première fois le procès contre GNOME, j'ai lu le brevet en cause et, comme beaucoup d'autres, j'ai conclu que ce brevet était invalide et n'aurait jamais dû être accordé. J'ai donc fait en sorte que l'objet de ce brevet soit remis dans le domaine public, où il a toujours appartenu ».

Intéressant, de la part d'un interne au système, de combattre ces abus.

Je voterai pour https://candybox2.github.io/ pour convaincre les gens qu'on peut faire des trucs chouettes en texte simple.

Autre question de béotien : la faille ne serait-elle pas plutôt dans systemd que dans Linux ?

C'est même dans networkd plutôt. systemd en tant que gestionnaire des processus n'est pas impacté. En tout cas, c'est ce que je lis.

Oui, le partage inégal est demandé, et c'est pas simple de l'afficher … simplement ! On veut garder la simplicité de IHateMoney, mais je crois qu'on va finir par faire cette fonctionnalité.

Par contre, j'ai essayé la démo de Tirelire, et je vois un comportement que j'aime bien : ajouter les utilisateurs lors de l'ajout d'une facture. C'est gênant si je vole / copie cette manière de faire ? L'avantage est que c'est contextuel : on ajoute une facture, et paf, on déclare tous les gens dedans.