Glandos a écrit 1413 commentaires

Je vais donc creuser cette piste. En fonction de mon temps libre, c'est sûr.

Mais c'est bien, c'est exactement ce que je demandais, merci beaucoup.

Alors là, ça m'avait échappé. Oui, il y a bien le module rpfilter. Le genre de commentaire bien qu'on trouve sur linuxfr. Et ça a le GROS GROS avantage d'être visible au même niveau que les règles de pare-feu. Plutôt que dans l'obscur /etc/sysctl.conf.

Merci !

Merci pour la référence. J'en ai trouvé pas mal des explications comme ça. Mais dans les rares qui mentionnaient rp_filter, personne ne disait pourquoi. Mais au moins, c'est une référence synthétique et en français. C'est bien :)

C'est ce que j'ai cru comprendre, mais j'ai rien trouvé de clair.

Mais le contraire serait quand même surprenant :)

Y a même un modèle de sécurité : https://docs.clip-os.org/clipos/security.html

Bon, OK, je sais que c'est pas des incompétents à l'ANSSI, mais ça fait plaisir à voir un truc qui intègre dès le départ ce genre de chose.

https://github.com/antirez/redis/issues/5335

L'article de blog vaut le coup aussi : http://antirez.com/news/122

c'est le soin qui est pris par l'équipe de dev de Python pour garantir au maximum la compatibilité ascendante.

Et ils ont rajouté deux mots-clés. Non mais vraiment, j'aime bien python, j'aime bien son développement, mais on ne rajoute pas des mots-clés sur des versions intermédiaires. Ça casse tout.

S'il y a du deuxième degré, de l'auto-critique, ou de l'auto-critique, cela ne transparaît pas du tout dans l'article.

Ne le laisse pas tomber,
Il est si fragile,
C'est un code libéré,
Tu sais c'est pas si facile.

En tout cas en France. À défaut de licence explicite, on ne peut pas faire grand chose de ce code, à part le regarder. Et peut-être l'installer.
Enfin, c'est une belle première étape, c'est évident :)

https://netbeans.apache.org/

Mais ça ne fait que Java pour l'instant (même pas J2EE).

… la fête est plus (m|f)olle !

Bref, sans JS, pas d'embêtement, juste le contenu. C'est pas mal des fois. Souvent, c'est pas comme ça.

N'appeler le captcha sur l'identifiant qu'à partir du 3ème ou 5ème échec, quelle que soit l'IP ? Ça me semble pas mal.

Pour éviter les bruteforce sur les login.

Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !

Oui, c'est pas faux, les solutions clés en main ont un vrai historique, bien gros.

Par contre, c'est en général pas impossible de récupérer les identifiants d'un collègue. Surtout quand les communications internes vers le système d'authentification ne sont pas chiffrées.

Il me semble compliqué d'exiger des entreprises qu'elles identifient les sites des banques des employés (pour ne parler que de ça).

Ma boîte le fait très bien. Les sites « sensibles » comme les banques, ameli.fr, impots.gouv.fr, etc, ne sont pas interceptés. Par contre, le reste… Si :) Souvent l'interception sert à faire une redirection vers une page interne de blocage. Parfois (comme linuxfr ou GitHub, mais pas tout le temps), c'est juste pour rechiffrer.

Apparemment, ça utilise WebSense. Je n'ai pas plus creusé que ça.

Bah, tu sais, il y a reCaptcha pour s'identifier. Donc Google connaît déjà ton login et ton mot de passe.

reCaptcha pour créer un compte, pourquoi pas… Mais pour s'identifier, je ne comprendrais jamais.

Au début de la page 29 du document de l'ANSSI, il est clairement mentionné la chose suivante :

« La mise en place par une entité d’un mécanisme de déchiffrement des flux doit s’accompagner du respect des principes généraux suivants :
– transparence et loyauté de l’employeur vis-à-vis de ses salariés en les informant sur la nature des mesures informatiques prises sur le réseau informatique de l’entité et en recueillant leur consentement individuel sur la charte informatique ainsi qu’en consultant les
instances représentatives
du personnel »

Donc CHAQUE individu doit avoir signé un papier.

Ensuite, il faut savoir que cette note rappelle aussi un point important : ce n'est plus l'utilisateur qui fait la connexion, mais l'entreprise. En effet, à partir du moment où c'est elle qui chiffre, c'est elle qui devient responsable de la communication sortante. Je ne sais pas si les entreprises ont bien compris ce qu'implique cette responsabilité. En cas d'activité frauduleuse, ce sera donc à l'entreprise de démontrer que ce n'est pas elle qui est à l'origine de l'activité, et surtout de désigner le coupable. C'est pas évident.

Il faut avouer que le droit d'auteur est de moindre importance face à l'accord de Paris, les règles sociales et environnementales, et même au secret de la négociation, qui, même s'il n'est que de la forme, conditionne justement tout le reste de l'accord.

Ceci dit, c'est intéressant de voir qu'effectivement, « l'Occident » impose sa vision des choses. Enfin, j'imagine que ça ne déplaît pas non plus au Japon d'étendre les droits d'auteur.

Et ça n'a toujours aucun sens de le faire, du point de vue de la société. Évidemment, du point de vue des producteurs, ça a beaucoup plus de sens.

Stallman n'a rien fait pour empêcher les comportements que tu évalues comme non éthique d'une part, mais pire il a voulu accorder des droits larges.

Cf. le débat sur la licence JSON qui mentionne « […] for good, not evil », ou dans le genre, et qui n'est du coup pas considérée comme libre, parce que la notion de bien et de mal réduit la liberté des utilisateurs.

C'est vrai que c'est un point important. On peut légitimement vouloir que ses logiciels ne contribuent pas à l'extinction de la race humaine, ou d'autres choses, mais c'est une notion orthogonale à la liberté d'utilisation et de modification.

Oui, oui. Comme le vote sur le Brexit : https://www.lemonde.fr/referendum-sur-le-brexit/article/2018/07/17/au-royaume-uni-la-campagne-pour-le-brexit-sanctionnee-pour-infraction-au-code-electoral_5332744_4872498.html

La campagne a été un peu irrégulière (dépassement de budget), mais maintenant que c'est fait, le résultat est le même. C'est pas possible de revenir en arrière.

Commission européenne : http://europa.eu/rapid/press-release_IP-18-4581_fr.htm

UPDATE : Google : https://twitter.com/googleeurope/status/1019539840457723904

Bon, attention avant de tout remplir : il y a un Google reCAPTCHA, à la fin.

Donc, si vous voulez remplir ce formulaire, plutôt simple d'ailleurs, n'oubliez pas de débloquer les ressources externes en provenance de notre Grand Ami.

Thermal Grizzly a son guide. Alors, OK, c'est un vendeur de pâte thermique. Mais pour eux, c'est avec leur applicateur, ou bien, sans ça, avec une surface plane, lisse et légèrement flexible, en appuyant doucement et continuellement.

Moi, j'en sais rien. Je me rends juste compte qu'il n'y a strictement aucun avis objectif et étudié sur cette question.

J'ai pris un produit au hasard : https://www.materiel.net/pate-thermique/arctic-silver-arctic-ceramique-2-68953.html

Sur la fiche du commerçant, rien. Bon, il y a la fiche produit du constructeur : http://www.arcticsilver.com/cmq2.html

Toujours rien. Bon, il y a la fiche de sécurité, on ne sait jamais : http://www.arcticsilver.com/PDF/CMQ2_SDS.pdf

Résultat : impossible de trouver la conductivité thermique de ce produit. Ni électrique d'ailleurs. Ni pas grand chose, on sait juste qu'on peut mettre 70 particules de « trucs » dans 1/1000ème de pouce. Ce qui est très intéressant.

MISE-À-JOUR : pour d'autres produits, c'est plus facile. Genre https://www.materiel.net/pate-thermique/prolimatech-pk-1-56270.html