Glandos a écrit 1433 commentaires

Je comprends pas pourquoi on voudrait que les écrans tactiles pour les codes sont pas simplement interdits.

Parce que taper un code devrait se faire en toute discrétion. Pour exagérer, il faudrait que le clavier soit au fond d'un sac opaque, dans lequel on glisse sa main, et qu'on soit le seul à voir. Bon, évidemment, on va pas faire comme ça, mais on demande aux gens de masquer le clavier quand ils tapent dessus.

Une des fraudes connues aux distributeurs de billets est de positionner une petite caméra au-dessus, qui filme. Ensuite, vol à l'arrachée, et comme le voleur connaît le code, il est assez difficile de se retourner vers la banque et de se faire rembourser.

Donc oui, les claviers de code sans touches physiques sont antinomiques avec leur fonction. Je persiste :)

Ça fait longtemps que j'ai ce problème… aux stations-services (oui, je sais, dernièrement, y a d'autres problèmes dans ces endroits).

Je suis grand, ma tête est haute. Quand les écrans tactiles sont arrivés dans ce milieu (c'est moins cher, facile à nettoyer, je sais pas), c'est devenu difficile. Les écrans sont robustes, et pour ceux qui le savent, tous les écrans ont une mauvaise luminosité dans le sens de la hauteur. Ensuite, il y a un large cache au dessus de l'écran pour le protéger du soleil.
Donc déjà, je dois me pencher à la hauteur d'un enfant de 8 ans pour voir ce qu'on me demande. Ensuite, il est écrit :

Veuillez taper votre code à l'abri des regards indiscrets

Donc je mets mon portefeuille (ou ma main, ou un truc) entre moi et l'écran. Et c'est tactile, y a plus rien. Ça marche pour moi, parce que les zones tactiles sont énormes, que j'ai pu me calibrer correctement, mais c'est déjà difficile.

Je comprends pas pourquoi les écrans tactiles pour les codes sont pas simplement interdits.

Oui alors, je cherchais d'où venait l'auteur. Visiblement, il a la culture entrepreneuriale du crush permanent :

My approach is to work as hard as I can and THEN to expect the same of everyone. I learned this from the best in the business (Mark, Dustin, Schrep, Drew, Arash). I will never ask the team to work harder than I do.
[…]
One other note on commitment—it is poisonous to have even one person who isn't giving their all. The rest of the team immediately notices and it brings down morale and productivity. You can get away with it at larger companies but in a startup there is nowhere to hide.

OK, le contexte, c'est dans les startups seulement. Mais quand même, c'est une culture, qu'il a fait évoluer quand la structure est plus grosse, mais qui n'est pas celle de tout le monde.

Ah oui, c'est un commentaire partial, je ne pense pas que ça enlève du crédit à l'article initial.

https://www.lemonde.fr/actualite-medias/article/2022/10/06/la-justice-interdit-au-site-reflets-poursuivi-par-altice-de-publier-de-nouveaux-articles-fondes-sur-des-documents-voles_6144743_3236.html

Bon, c'est la reprise d'une dépêche AFP, mais quand même, ça donne de la visibilité. D'ailleurs, c'est sûrement pas les seuls, mais j'ai la flemme de faire le tour du Web. Vous pouvez rajouter vos liens :)

Je vais répondre pour les deux. Je n'ai pas de téléphone qui a besoin de se ressourcer toutes les 24h, mais un bon vieux téléphone qui tient la semaine.
L'ordinateur portable, je l'ai exclu, c'est vrai qu'il est possible de le recharger en USB-C, mais avec un minimum de 65W souvent.

Et quand je parle d'ordinateur, c'est un fixe, avec ses prises USB. En général, j'ai mon téléphone (une fois par semaine), une aide auditive (tous les soirs), et une enceinte portable. Mais c'est vrai que je suis parti du principe que tout ce que j'ai peux tenir la journée.

le sac apprécie de ne pas avoir 36 chargeurs à la con

Et même, aujourd'hui, je voyage juste avec le câble USB-C. Je prends même plus de chargeur, y a des prises USB là où je vais en général (voiture, train, et sur place, l'ordinateur fait très bien l'affaire).

Je pense que la partie intéressante pour les lecteurs ici est :

Afin de s'adapter aux produits numériques (logiciels, abonnement à une chaîne numérique, applications mobiles…), de nouvelles informations portant sur les mises à jour de sécurité et leur durée doivent être communiquées par le professionnel de manière visible et compréhensible :
- les logiciels du bien faisant l'objet des mises à jour, y compris les mises à jour de sécurité ;
- la durée de fourniture de la mise à jour ou la date à laquelle cette fourniture prend fin ;
- l'objet de la mise à jour (exigence de sécurité ou évolution des fonctionnalités du bien) ;
- les versions du système d'exploitation, du logiciel ou du pilote informatique concerné avec lesquelles cette mise à jour est compatible ;
- l'espace de stockage que requiert la mise à jour ;
- les conséquences possibles de la mise à jour sur les performances du bien (sur l'espace de stockage disponible, la disponibilité de la mémoire vive ou la durée de vie de la batterie).

Même peut-être dans le paragraphe précédent :

s'il y a lieu, les fonctionnalités du contenu numérique, y compris les mesures de protection technique applicables, ainsi que toute compatibilité et interopérabilité pertinentes avec certains biens, contenus numériques ou services numériques ainsi qu'avec certains matériels ou logiciels, dont le professionnel a ou devrait raisonnablement avoir connaissance ;

Par exemple, Sisvel vend des licences AV1 : https://www.sisvel.com/licensing-programs/audio-and-video-coding-decoding/video-coding-platform/license-terms/av1-license-terms

Et ils ont un argumentaire pour le grand public : https://www.sisvel.com/blog/audio-video-coding-decoding/av1-is-a-copy-cat-codec

J'ai pas l'impression que grand monde y croit pour l'instant…

Je pige pas très bien la logique. Y a un docker compose, qui prend deux images Docker Ubuntu 20.04, et qui compile nginx sur chacune d'entre elle. La première est l'entrée HTTPS, qui redirige vers la seconde qui, à l'aide du module stream et une map redirige sur le point final (les serveurs de Signal). Et certbot.

Tout ça, alors qu'un simple fichier de conf nginx suffisait, quand on a une machine qui a déjà un serveur avec un certificat.

Il n'a pas un appétit de moineau. Surtout quand on voit l'API. C'est quand même un langage chouette.

À vous les calembours. Mais c'est pas moi qui ai commencé !

J’ai pas regardé mais Gaspar doit pouvoir faire la même chose.

Non, ce n'est pas possible, car Gaspar étant un compteur de gaz, il ne fournit pas d'énergie sur un port USB. Je pense qu'il faut se tourner vers des capteurs Zigbee (ou équivalent), et avoir une centrale Zigbee. Pourquoi pas sur un RaspberryPi ;) Mais du coup, ça vaut également le coup d'avoir un capteur Zigbee sur son compteur d'électricité. Et aussi sur son compteur d'eau. C'est un peu plus agile.

Alors, ce commentaire mérite clairement d'être en avant.

Déjà, un point extrêmement positif : la météo. Sur l'espace GrDF, on trouve la température extérieure, et j'avais trouvé ça très pertinent. Vu que ma source principale de chauffage, c'est le gaz, ben c'est normal de… normaliser (qu'est-ce qu'on se marre) la consommation face à la température. Mais dans GrDF, y a juste une valeur par jour, on sait pas trop si c'est une moyenne… Là, y a une analyse vraiment performante. Et je trouve que c'est le gros point fort de æneria pour l'instant.

Après, oui, il n'y a que l'électricité, mais une fois que l'interface est faite pour une source, c'est « plus facile » pour les autres. Un gros bémol, le connecteur est jamais facile à coder… Et pour l'eau, il y a beaucoup de fournisseurs. Donc je mettrai dans ces logiciels la possibilité d'importer manuellement des données, quitte à les marquer comme telles. Mais ça permettrait de faire une analyse quand même.

En tout cas, le proxy.aeneria.com est évidemment une très bonne chose pour attirer des gens. Sinon, c'est complètement impossible de se faire son instance. À moins de… faire comme j'ai suggéré au paragraphe précédent : rendre possible l'intégration d’agrégation de données par l'utilisateur, et pourquoi pas depuis des sources de domotique ?

Je me trompe ou æneria est destiné à être une source de revenus ? Ça fait très pro en tout cas. Bravo.
EDIT: Ah oui, je viens de voir les offres sur https://aeneria.com/#offres donc j'avais bien raison :)

De plus c'est un bon exercice pour travailler son self-control et maitriser ses émotions. Avant de passer le coup de fil, se mettre en bonne condition mentale, prévoir de quoi noter, se mettre à l'aise dans un endroit calme,avoir un peu de temps devant soi et de quoi se désaltérer, ne jamais appeler quand on est dans un moment de tension, même quand ça vient de péter et qu'on a un besoin relativement urgent du service en question
———
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

J'applaudis la signature, raccord avec la conclusion :)

Je suis parfaitement d'accord.

Maintenant, parlons de la stdlib du C++, qui a attendu C++11 pour avoir une hash map. Tout le monde s'attend à ce qu'une map soit hashé sur les clés avec un ordre non garanti sur l'itération (oui, même si Python a changé d'avis), permettant d'avoir un temps amorti sur la recherche. C'est dommage je trouve. J'ai été très perturbé d'avoir des std::map au comportement si différent des autres langages.

Peut-être que j'ai été trop drogué au HashMap de Java et de Perl ?

Aaaah, je me souviens, j'utilisais ProcessExplorer de sysinternals.com fait par Mark Russinovich bien avant qu'il ne soit embauché chez Microsoft.

Et depuis, ProcessExplorer reste mieux que l'utilitaire fourni par Microsoft. Mais bon, hein, je dis ça, je dis rien :)

Je savais que je pouvais compter sur le public de ce site.

Merci pour ces précisions !

Ça change d’un précédent boulot où le directeur et co-fondateur considérait que si c’était sur Internet, il pouvait l’utiliser comme il voulait…

Mais… si c'est sur Internet, c'est que c'est vrai !

Mais ? Évidemment qu'on s'en tape de l'avertissement !

Pourquoi ? Parce que I don't care about cookies ne s'utilise pas tout seul, mais soit avec uMatrix, soit avec Cookie AutoDelete, qui rend ces panneaux d'avertissement visibles. À. Chaque. Visite. C'est horrible.

Et puis, j'utilise l'abonnement à la liste AdBlockPlus (dans uBlock Origin), comme ça, pas de code JS supplémentaire dans mon navigateur.

Oui, je ne suis pas un utilisateur lambda, c'est évident…

Je plussoie. Pour avoir installé des Ubuntu partout (sauf pour moi, je suis en Debian/testing, la rolling-release de Debian ;)), les màj de version majeure se font sans efforts. Et les màj de LTS aussi, tous les deux ans seulement.

Ça lui apprendra à s'opposer à la Sainte Propriété.

Han mais Guillaume Champeau fait encore des articles sur Numérama ! https://www.numerama.com/pop-culture/27401-la-plus-vieille-video-de-chats-visible-sur-internet-date-de-1894.html (via https://www.numerama.com/author/guillaumechampeau/)

Comment ça, ça n'a rien à voir ?

Donc il suffira que tu confirmes la première connexion pour que la personne puisse ensuite ajouter sa passkey au compte. Et ça fait un compte partagé sans avoir à partager de mot de passe. Ça me semble pas mal comme fonctionnement.

Merci de me souligner ce fonctionnement, que j'avais… zappé.

Mais tous tes mots de passe sont aussi stockés au même endroit, dans le cloud de Bitwarden (à moins que tu l'auto-héberge à la maison) et dans le cache de ta machine.

C'est ça, je l'auto-héberge. Et aussi, même dans l'autre cas, je choisis mon prestataire. Là, on va être un peu bloqué. Y a Apple, Microsoft et Google, mais grosso-modo, ça dépend du matériel qu'on a acheté, point-barre.

Pour l'un comme pour l'autre je ne pense pas qu'un attaquant d'envergure FBI ait trop de difficultés à y accéder.

Ah ben les forces de l'ordre peuvent accéder à mes mots de passe, mais ça doit être validé par un juge. Et mettre des procédures légales n'empêche pas de mettre des gardes-fous techniques pour éviter la pente savonneuse d'un pouvoir politique qui change les procédures légales.

Et donc soit te doivent le service que tu paies, soit ont intérêt à ce que tu restes pour continuer à se faire du pognon avec tes données.

Dans le deuxième cas, il y a beaucoup d'exemple de gens qui se font fermer l'intégralité de leur compte pour une « entorse » aux conditions générales dans un autre service du fournisseur (tentaculaire…).

Pourquoi avoir 1 passkeys par site voir compte ? Au pire, on crée une clé public que pour ce site.

Avoir différentes identités est une chose très importante je trouve. J'aime bien garder ce principe. Si une clé est corrompue, il ne faut pas tout révoquer.

Pourquoi vouloir enfermer cela dans la mémoire interne et sécurisé du tél ?
Parce que c'est quand même vachement mieux à l'abri d'un casse chez LastPass quand même. C'est un peu le but des TPM, et pour le coup, elles le font bien…

Quelque part… on peut dire que c'est une bonne idée. C'est d'ailleurs le concept même de l'échange défi-réponse de la carte à puce avec un code PIN, autant dire que c'est pas tout jeune. J'ai pas regardé la crypto de ces « passkeys » (est-ce que j'y comprendrais quelque chose ?), mais c'est sûrement plus moderne.

Cependant… Comme le laisse penser le titre ironique de ce lien, c'est sûrement une Fausse Bonne Idée. Déjà, comme le dit l'article, on peut rien sortir soi-même. C'est pas top, au mieux, c'est laborieux. Ensuite, on ne peut pas le partager. Alors là, pardon, mais dans mon foyer, on va pas se créer un compte par personne dans un magasin pour commander. Ou sur LeBonCoin. Non, on a une organisation BitWarden, avec un mot de passe généré partagé. Ça marche.

Et le dernier clou, la sauvegarde dans le cloud. Ahah. Ça, c'est l'argument massue pour me faire m'en aller : tous mes mots de passe, au même endroit, chez un prestataire que je paie pas et qui ne me dois rien. Moui, bon, c'est pas que c'est louche, mais ça ressemble à un test de phishing ? ;)

Si j'avais été un troll, j'aurais dit : Traditional packaging is not suitable for non-Green IT applications.

La plupart des applications qui supportent mal le système traditionnel de paquets sont des trucs basés sur Electron, Node.js, et dans une certaine mesure, Python. Donc des trucs fabriqués avec des briques logicielles qui évoluent tellement vite (Y a une nouvelle version majeure de NodeJS par an) qui rendent l'écosystème forcément fragmenté.

L'exemple de OBS avec FFMpeg est cependant intéressant.

Mais pour avoir observé le comportement de Flatpak et de Nix, ben je préfère le deuxième. Mais c'est une préférence personnelle…

Mais… elle est à l'envers !

Si c'est un clou Microsoft, il se plante tout seul !