Glandos a écrit 1325 commentaires

C'est vrai que c'est une bonne nouvelle. Les courriels depuis les serveurs Microsoft seront mieux sécurisés.

Mais maintenant, on peut leur demander d’accepter les messages en provenance des serveurs qui ont mis en place tous ces mécanismes ?

Hé ben, c'est le complément : https://linuxfr.org/users/milo/liens/pegasus-mail-et-gmail-le-probleme-oauth2

Je découvre ça sur l'article de la FSFE :

In contrast, the situation in Germany is quite the opposite. AusweisApp2 is the German identification app, which is available in F-Droid, Debian and many other Free Software repositories.

Car oui, on peut faire de la transparence pour établir un lien de confiance avec les citoyens. Ça me semble fou qu'il faille l'expliquer aux politiciens.

Oui et non. Je laisse les professionnels en parler : https://aide.trainline.fr/article/215-verification-3d-secure

À part rendre l'achat plus pénible, la vérification 3DSecure ne change pas grand chose pour vous. Elle est là pour protéger le commerçant, car c’est à lui de rembourser les victimes en cas d’utilisation frauduleuse d’une carte bancaire. Avec ou sans 3DS, la transaction sera toujours aussi sécurisée pour vous.

« Je suis avocat en brevets depuis plus de 30 ans et je suis un ancien examinateur de brevets de l'Office américain des brevets et instructeur de révision du barreau des brevets, donc je suis un fervent partisan du système des brevets », a déclaré Smith à l'OSI par e-mail. « En tant que personne qui a également travaillé comme avocat open source pendant plus de 20 ans, je suis également un fervent partisan d'un domaine public robuste. Lorsque j'ai découvert pour la première fois le procès contre GNOME, j'ai lu le brevet en cause et, comme beaucoup d'autres, j'ai conclu que ce brevet était invalide et n'aurait jamais dû être accordé. J'ai donc fait en sorte que l'objet de ce brevet soit remis dans le domaine public, où il a toujours appartenu ».

Intéressant, de la part d'un interne au système, de combattre ces abus.

Je voterai pour https://candybox2.github.io/ pour convaincre les gens qu'on peut faire des trucs chouettes en texte simple.

Autre question de béotien : la faille ne serait-elle pas plutôt dans systemd que dans Linux ?

C'est même dans networkd plutôt. systemd en tant que gestionnaire des processus n'est pas impacté. En tout cas, c'est ce que je lis.

Oui, le partage inégal est demandé, et c'est pas simple de l'afficher … simplement ! On veut garder la simplicité de IHateMoney, mais je crois qu'on va finir par faire cette fonctionnalité.

Par contre, j'ai essayé la démo de Tirelire, et je vois un comportement que j'aime bien : ajouter les utilisateurs lors de l'ajout d'une facture. C'est gênant si je vole / copie cette manière de faire ? L'avantage est que c'est contextuel : on ajoute une facture, et paf, on déclare tous les gens dedans.

Je crois que c'est la même demande que https://github.com/spiral-project/ihatemoney/issues/523

Je n'ai pas réagi dans le ticket ouvert sur GitHub, mais quelle que soit la décision à prendre niveau interface utilisateur, ce qui est sûr, c'est que c'est un gros changement côté modèle de données.

Rien n'est impossible bien sûr :)

L'envoi par courrier électronique, c'est un peu avoir trouvé un remède pire que le mal. Le transport et le stockage est très coûteux en ressources, probablement plus que le papier recyclé des caisses.
Ce papier génère des déchets dans nos poubelles, certes, mais là, c'est mettre les déchets dans la poubelle du voisin.

Ça fait longtemps qu'on aurait pu avoir des solutions, à base de code barre unique. D'ailleurs, les grosses sociétés de distributions ont déjà ça sur leur ticket, elle ne s'embête pas à lire le texte à la main. Qui n'a pas déjà ramené un truc chez LeroyMerlin ou Castorama ?

Faudra créer nanodnf, avant l'apparition de femtodnf.

C'est toujours décevant de voir la confusion entre peur et confiance…

Visible aussi sur https://y.com.sb/watch?v=wqn3gR1WTcA

John Oliver explique dans son émission Last Week Tonight le commerce des data brokers. Je pense que le lectorat le connaît plutôt pas mal, mais il rappelle que ce marché est complètement non régulé aux États-Unis.

Et dans le final, il se dit que la seule chose qui peut motiver les sénateurs à changer la loi, c'est de leur montrer que ça les touche eux aussi. Donc son équipe a acheté des profils de personnes autour de Washington DC, et affiché des publicités. Les personnes qui cliquent sur les publicités sont « ferrées » et cataloguées avec le plus grand nombre de détails possibles.

Alors oui, il ne fait pas de révélation fracassante (dommage, hein ?), mais je trouve le procédé louable. On verra bien si ça change un truc.

Pourquoi j'ai pas fait un journal moi ?

Quand bien même on aurait accès au code source, il faudrait être capable de l'interpréter.

Et en plus, ça se base sur des systèmes chaotiques, dont l'évolution est impossible à prévoir sur le long terme sans une précision infinie quant aux données de départ.

J'crois qu'on peut s'brosser.

On peut essayer de comparer nos bulletins de vote à ceux des USA alors.

l'intelligence est dans la CB.

Je serais tatillon : l'intelligence est dans le boîtier, mais le secret est dans la puce de la CB.

Deux choses importantes :
- scp utilise sftp par défaut
- un algorithme d'échange de clé potentiellement résistant aux attaques par ordinateur quantique est utilisé par défaut

Y a sûrement d'autres trucs, mais vous croyez que j'ai tout lu ? Et si c'était le cas, vous croyez que j'aurais tout compris ?

La version en Rust est plus rapide chez moi :

coreutils on  main is 📦 v0.0.13 via 🦀 v1.57.0 ⏰6s491ms[32] ❯ /usr/bin/yes | pv > /dev/null
^C,3GiO 0:00:03 [5,25GiB/s] [            <=>                         

coreutils on  main is 📦 v0.0.13 via 🦀 v1.57.0 ⏰17s327ms❯ ./target/release/yes | pv > /dev/null
^C52GiO 0:00:08 [19,1GiB/s] [                                <=>                                                            

C'est peut-être lié aux options de compilation de ma Debian, va savoir…

Préparatifs:

/tmp ❯ touch ahah
/tmp ❯ chmod +x ahah

Et c'est parti

/tmp ❯ hyperfine "./ahah" "/bin/true"
Benchmark #1: ./ahah
  Time (mean ± σ):       1.4 ms ±   0.3 ms    [User: 0.4 ms, System: 0.1 ms]
  Range (min … max):     1.0 ms …   4.8 ms    1409 runs

  Warning: Command took less than 5 ms to complete. Results might be inaccurate.
  Warning: Statistical outliers were detected. Consider re-running this benchmark on a quiet PC without any interferences from other programs. It might help to use the '--warmup' or '--prepare' options.

Benchmark #2: /bin/true
  Time (mean ± σ):       0.1 ms ±   0.1 ms    [User: 0.2 ms, System: 0.0 ms]
  Range (min … max):     0.0 ms …   1.2 ms    3048 runs

  Warning: Command took less than 5 ms to complete. Results might be inaccurate.
  Warning: Statistical outliers were detected. Consider re-running this benchmark on a quiet PC without any interferences from other programs. It might help to use the '--warmup' or '--prepare' options.

Summary
  '/bin/true' ran
   17.52 ± 25.03 times faster than './ahah'

Donc en fait, ça marche plus vite avec un gros fichier. Va savoir pourquoi.

Je crois même qu'il n'est pas spécifique à une banque. Si je ne me trompe pas (merci de me corriger sinon), il implémente un protocole de génération de jeton de validation à base :
- d'un secret (le code de la carte)
- d'un périphérique physique (la puce de la carte)
- d'un code initial (fourni par le vendeur/boutique/créancier)

Et le jeton final permet, par des algorithmes cryptographiques, de valider que le code initial a bien été validé par le possesseur de la carte.

Baobab (a.k.a. Disk Usage Analyzer) is written in Vala. Vala does not have access to a great ecosystem of libraries, and the tooling has left something to be desired. Rust, however, has a flourishing library ecosystem and wonderful tooling. Rust also has great GTK bindings that are constantly improving. By rewriting Baobab in Rust, I will be able to take full advantage of the ecosystem while improving the performance of it’s main function: analyzing disk usage.

Je ne connais pas Vala, donc j'ai du mal à me prononcer, mais est-ce une décision pour dire Vala est une tentative ratée ? Attention, je ne veux pas être médisant, le chemin du succès est pavé d'échecs, et il est impossible de savoir qui brillera à l'avenir. Par exemple, on aurait eu du mal à prévoir la cote de popularité actuelle de Perl il y a 20 ans…

Alors je n'ai pas de sources, mais ça fait partie de la DSP2 qui introduisait et « normalisait » l'usage d'un deuxième facteur d'authentification, notamment pour les paiements, mais avec la contextualisation. Ça veut dire que lors de l'envoi du jeton, il doit y avoir les détails de la transaction associée. Et ça, ce n'est pas possible avec T-OTP, puisqu'il n'y a que le jeton, il ne peut pas y avoir le montant, le bénéficiaire, etc.

Je fais partie des gens qui aimeraient bien ça. Et ma compagne, qui est Belge, a baigné là-dedans. Ils appellent ça le PC Banking, et tout le monde a un lecteur de carte chez soi. Bon, ça a peut-être changé depuis 10 ans.

En tout cas, au Crédit Coopératif, quand j'ai ouvert ce compte en 2019, on nous a dit que ce n'était disponible que pour les clients professionnels.

Je crois qu'ils ne veulent pas ;)

T-OTP était un truc bien à une époque du offline, complètement hors sujet ici où on fait du push en indiquant le nom du commerçant et le montant, et où on a juste à appuyer sur "j'approuve" (communication bidirectionnelle), pas à se faire chier à entrer un code à la main

Oui, avec Bitwarden, je ne le rentre pas à la main. C'est très facile. Mais là, ma banque me l'envoie par SMS, c'est très fastidieux. Sinon, la solution du lien cliquable dans le courriel, c'est encore mieux. J'ai juste à lire et à cliquer.

"avant on avait un agent de voyage, c'était mieux", d'une il en existe toujours et de 2 personne ne les a interdits, s’il y en a moins c'est juste que les gens trouvent ça dépassé

Il y a le contre-exemple de la SNCF. Quand on va sur le site en ligne, on trouve difficilement ce qu'on veut. Quand on va en gare, il y a trop peu de guichets d'ouverts pour la masse de gens qui patientent. La conclusion est que les gens veulent des humains, mais que l'entreprise qui les paye trouve sûrement ça trop cher, et supprime ces postes. Ce n'est pas dépassé, c'est trop cher.
Dans un bureau de La Poste aujourd'hui, il y a des gens qui nous expliquent comment se servir d'un automate.

La technologie est une solution, mais c'est une solution pour travailler moins, par pour faire faire aux utilisateurs le travail pour lequel l'entreprise ne veut plus payer : l'agent de voyage est capable de trouver en moins de deux minutes un Savigny-sur-Orge -> Bangkok -> Lima. Maintenant, c'est à l'utilisateur d'apprendre à se servir du logiciel de l'entreprise, qui est certes plus performant, mais c'est quand même à lui de faire le travail.

Effectivement, je n'ai pas de smartphone, pour ceux qui suivent ;)

Et même si j'en avais un, je n'installerai pas l'application de ma banque. Que ce soit celle de Boursorama Banque ou du Crédit Coopératif, c'est enfreindre les règles de base de la sécurité informatique : la compartimentation. L'application d'authentification à deux facteurs devrait ne faire que ça. Rien d'autre.

Et dans ces applications, il y a du code que les banques elles-mêmes ne maîtrise pas. Le smartphone est très loin d'être une solution. Les jetons matériels RSA existaient depuis bien longtemps. Le T-OTP est standardisé et existe dans plein d'implémentation open-source. La solution ne peut pas être retenue dans le cadre des transactions bancaires car le contexte est requis, mais honnêtement, il y a également ce que fait Cozy Cloud ou Scaleway : l'envoi d'un jeton ou lien unique par courriel. Car quand on paie sur Internet, on a normalement accès à son compte de messagerie. Mais pas forcément à son téléphone.