Glandos a écrit 1203 commentaires

Ça résiste quand même à la photographie / copie manuelle.

Ça ne résiste pas au vol.

Disons que c'est un peu mieux.

Sauf que à partir de là, le contexte est donné. On peut utiliser n'importe quel autre moyen de facteur d'authentification, et ça marche.
En l'occurrence, c'est souvent code par courriel ou SMS. Parfois les deux. Donc avec mon identifiant d'espace client, ça fait triple authentification. C'est bourrin…
Mais au moins je n'ai pas à rentrer d'informations dans une iframe à l'URI louche.

Oui, et chez Boursorama, ils ont résolu ça de la bonne manière (attention, adjectif non-objectif).

L'iframe 3D-Secure dit simplement « Allez sur votre espace bancaire ». Je reçois quand même un SMS avec le lien pour me connecter. Quand je vais sur clients.boursorama.com, le premier écran c'est la transaction en attente de validation. Avec : le montant, le motif, le marchand. Je peux la valider, et le site va me demander d'autres facteurs d'authentification, mais directement sur l'espace en ligne de la banque.

La confiance est maximale, pour un paiement en carte bancaire.

Oui, je ne sais pas trop comment parler de mon propre journal, fait il y a plus d'un an sur le sujet : https://linuxfr.org/users/glandos/journaux/bpce-et-les-paiements-avec-authentification-a-deux-facteurs

Bonne lecture. Je pense que les commentaires n'ont pas trop changés. Plein de bonnes idées, saines, et que les banques ne veulent pas implémenter. Surement pour des bonnes raisons, comme la dette technique. Et aussi pour pleins de très mauvaises raisons.

DeepL est un excellent outil. Il affiche des traductions supplémentaires quand on clique sur un mot dans une phrase traduite, les définitions de chaque mot sélectionné dans la langue source, etc.

Firefox fait un boulot rapide, mais n'a pas vocation à être un outil de linguiste.

Moi, je me sers des deux, et ma vie est géniale. Vu que c'est bon pour le moral !

Ils peuvent même redéfinir le mot de passe Wifi, (dés)activer tel ou tel truc…

Redéfinir un mot de passe peut se faire sans avoir besoin de pouvoir le lire.

Source : Unix/Linux, depuis quoi… 30 ans ?

J'ai dû fouiller loin pour trouver : https://sli.dev/guide/install.html#install-globally

Oui, c'est un peu un problème dans la communauté JS, de faire un node_module de 700 Mo pour chaque petit projet, plutôt que de réutiliser des outils déjà installés…

slidev semble être un outil à la mode, mais honnêtement, utiliser 350Mo d'espace disque rien que pour initialiser une présentation vide me laisse sans voix ;

Je comprends. Je travaille beaucoup avec du JS en ce moment, et node_modules qui a le poids d'un trou noir, c'est sidérant.

Cependant :

root@poulpe ~ [1]# apt install --install-recommends wiki2beamer
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Les paquets supplémentaires suivants seront installés : 
   dvisvgm (3.0.3-1)
   fonts-texgyre (20180621-6)
   fonts-texgyre-math (20180621-6)
   libgumbo1 (0.10.1+dfsg-5)
   libptexenc1 (2022.20220321.62855-5)
   libteckit0 (2.5.11+ds1-1+b1)
   libtexlua53-5 (2022.20220321.62855-5)
   libtexluajit2 (2022.20220321.62855-5)
   libzzip-0-13 (0.13.72+dfsg.1-1.1)
   lmodern (2.005-1)
   mupdf-tools (1.21.1+ds2-1+b4)
   tex-common (6.18)
   tex-gyre (20180621-6)
   texlive-base (2022.20230122-3)
   texlive-binaries (2022.20220321.62855-5)
   texlive-fonts-recommended (2022.20230122-3)
   texlive-latex-base (2022.20230122-3)
   texlive-latex-recommended (2022.20230122-3)
   tipa (2:1.3-21)
Paquets suggérés :
   perl-tk (1:804.036-1+b2)
   xzdec (5.4.1-0.2)
   texlive-fonts-recommended-doc (2022.20230122-3)
   texlive-latex-base-doc (2022.20230122-3)
   wp2latex (3.112+ds-1)
   texlive-latex-recommended-doc (2022.20230122-3)
   texlive-luatex (2022.20230122-3)
   texlive-pstricks (2022.20230122-4)
   tipa-doc (2:1.3-21)
Les NOUVEAUX paquets suivants seront installés :
   dvisvgm (3.0.3-1)
   fonts-texgyre (20180621-6)
   fonts-texgyre-math (20180621-6)
   libgumbo1 (0.10.1+dfsg-5)
   libptexenc1 (2022.20220321.62855-5)
   libteckit0 (2.5.11+ds1-1+b1)
   libtexlua53-5 (2022.20220321.62855-5)
   libtexluajit2 (2022.20220321.62855-5)
   libzzip-0-13 (0.13.72+dfsg.1-1.1)
   lmodern (2.005-1)
   mupdf-tools (1.21.1+ds2-1+b4)
   tex-common (6.18)
   tex-gyre (20180621-6)
   texlive-base (2022.20230122-3)
   texlive-binaries (2022.20220321.62855-5)
   texlive-fonts-recommended (2022.20230122-3)
   texlive-latex-base (2022.20230122-3)
   texlive-latex-recommended (2022.20230122-3)
   tipa (2:1.3-21)
   wiki2beamer (0.10.0-5)
0 mis à jour, 20 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 124 Mo/124 Mo dans les archives.
Après cette opération, 327 Mo d'espace disque supplémentaires seront utilisés.

327 Mo. Donc dans mon cas, où je n'ai pas déjà LaTeX d'installé, c'est pareil :)

Chez Free, c'est débrayable. On peut avoir son IP pour soi tout seul, à la demande.

Ça parle également de croissance. C'est un facteur important de tout investissement, mais je n'ai jamais compris comment les investisseurs pouvaient uniquement regarder la croissance passée ou potentielle, sans imaginer que, selon le produit vendu, cette croissance a un plafond.

Pour les réseaux sociaux et moteur de recherches, c'est assez connu : le nombre de personnes avec un accès Internet. Facebook est déjà dans ce plafond. Il n'y a plus rien à croître. Pour continuer à faire du revenu, il faut surtout pivoter leur modèle économique. C'est ce qui est dénoncé dans cet article pour moi : le changement maladroit de modèle de revenus, pour extraire la moindre goutte de ressources des utilisateurs, qui dans ce cas sont les produits. Au lieu de capitaliser sur la qualité initiale de leurs produits, qui a fait leur succès, et qui aurait pu leur amener un revenu stable, mais… sans croissance. Ou alors trop faible par rapport à leur standard.

Cet article a 3 ans. Il n'est pas inintéressant, mais dans le monde des nouveaux langages Go/Rust, c'était il y a très longtemps. Y a-t-il eu un retour d'expérience après ça ?

Ah, je vais me mettre en avant, mais j'avais déjà posté un journal sur le sujet : https://linuxfr.org/users/glandos/journaux/fdn-propose-du-dns-plus-securise-avec-doh-et-dot

J'en rajoute une couche : en Java, les caractères Unicode peuvent être utilisés dans les noms de variables. Ce n'est pas très conseillé, mais c'est possible.
Et je pense que ce n'est pas le seul langage à le permettre.

Comment reconstruire son environnement à l'identique, après un crash disque par exemple ? Comment maintenir la cohérence dans une équipe de dév si chacun y va de sa propre collection de plugins ?

Il y a la notion de Recommended plugins qu'on peut mettre dans un fichier à commiter dans son code source. Ça permet de mettre quelqu'un sur un nouveau projet très rapidement.
De même, un grand nombre de paramètres peuvent être enregistrés dans le projet lui-même (je pense aux paramètres de formatage, entre autres), qui va avec le code source.

Je n'ai qu'un seul avis concernant les IDE : laisser les gens utiliser celui qu'ils veulent. Des fois, le choix est réduit (faire du Vue.js, c'est presque obligatoirement par VSCode/Codium, bien que des LSP soient pris en charge dans d'autres éditeurs (https://github.com/vuejs/language-tools) mais c'est quand même beaucoup plus facile.

Dans mon bureau, on est 5 développeurs, on utilise 4 IDE différents. Parfois sur le même projet. On est grand, ça marche, on se sent bien dans ses pantoufles, c'est cool.

Y a la même table pour bcrypt dans l'article de Hive : https://www.hivesystems.io/blog/are-your-passwords-in-the-green

Mot de passe de 10 caractères, lettres minuscules seulement : 24 ans de brute force pour un RTX 3090 contre 4 ans pour les instances AWS.

Je crois que ça va, non ?

Password tables comparing MD5 hashes cracked by one RTX 4090 against 8 A100 GPUs from Amazon AWS.

Voilà voilà. Donc MD5 pour des mots de passe, ce n'est plus efficace, et on le savait déjà :)

J'attends le tableau avec du sha256 salé. Ou du Argon2, soyons modernes !

C'est un peu alarmiste non ?

Alors, certes, Google a très fortement contribué à l'ignorance des utilisateurs : ne pas afficher https:// devant l'URI pour faire « plus joli », c'est un argument, mais ça rend les choses plus difficiles à expliquer. Surtout quand tu fais un copier/coller, et que MAGIE, le préfixe réapparait dans ton presse-papiers.

Google a grandement intérêt à devenir un « gardien de l'Internet ». C'est d'ailleurs ce qui lui a été reproché lors de l'arrêt de son support de DNSSEC, en disant que X.509, c'était mieux (attention, le débat, n'est pas clos). C'est donc à surveiller.
Mais ce n'est pas ce que je vois arriver pour l'instant non ?

En tout cas, je trouve qu'une solution à base de https://addons.mozilla.org/fr/firefox/addon/indicatetls/ (mais en plus basique) pourrait être un meilleur indicateur. Noter la qualité de sécurisation de la transmission, et pas la fiabilité du site final.

Je sais, je suis utopiste, je prends les gens pour des intelligents curieux. Mais j'en ai marre que les gros éditeurs de logiciels prennent les gens pour des cons insouciants, en cachant tous les détails techniques à chaque fois.

Non, c'est une IP privée.

La boîte est grosse, et on vient à peine d'avoir une PKI interne. L'accès est verrouillé, donc pour avoir un certificat, c'est compliqué. Quand on veut monter son site vite fait en interne, c'est pas jouable de compter sur un certificat valable sur tous les périphériques de l'entreprise.

Apparemment, personne ne parle d'intranet.

Je sais que le Zero Trust, c'est la nouvelle bible, mais des fois, un simple site Web dans un Intranet ne peut pas s'offrir un certificat X.509…

L'enquête est sur https://limitesnumeriques.fr/travaux-productions/obsolescence-logicielle-smartphone/ et les portraits mis en lien dans les toots sont sur https://limitesnumeriques.fr/travaux-productions/obsolescence-logicielle-smartphone/portraits

Mais je trouve un peu ironique que Limites Numériques se présente comme « un projet de recherche en design sur l’empreinte environnementale du numérique » qui « [s'intéresse] aux choix de conception, aux usages et aux fonctions d’un numérique s’inscrivant dans les limites planétaires. », alors que le site ne fonctionne pas sans JavaScript. Pourtant, les fonctionnalités proposées ne me semblent pas requérir ce genre de technologie. Je suis peu être un peu trop critique quand même, je vais plutôt aller lire les portraits :)

Ça sent le footwar

le numérique doit être la solution à tous les problèmes et qui justifient le choix du numérique par un raisonnement inepte.

Et ce qui est mis en avant vers la fin de l'article, c'est que les moyens de mesure d'efficacité de ces choix se rendent aveugle de tout le reste : on mesure l'efficacité de la dématérialisation par le nombre de rendez-vous pris en ligne.

Le DiploWeb est une excellente ressource. Mais là, on n'est pas sur le bon réseau pour y diffuser ses informations. Peut-être si ça avait un vague rapport avec l'informatique.

Oui, je sais, y a d'autres liens sans rapport.

La chimie et les approches rationnelles de la productivité agricole, ça marche;

Pendant 50 ans. Et après ça s'arrête, parce que le sol n'a plus rien. C'est ce qui est en train de nous arriver. Pour combler ce problème, on peut mettre encore plus d'intrants, mais ça augmente le coût, et dégrade la productivité.

Les agriculteurs épandent des produits chimiques toxiques en partie par besoin, et en partie par simple habitude. On leur a dit que c'était le seul moyen de bien faire pendant 30 ans. Certains n'ont probablement pas entendu autre chose de leur vie. Le changement est une chose déjà très difficile quand on parle de méthode de management dans une entreprise de service. Alors pour des agriculteurs qui passent (littéralement) leur vie à produire de la nourriture, je peux comprendre que se remettre en question sur ce sujet ne peux que créer une dissonance cognitive répugnante.

La non-viabilité d'une entreprise agricole est justement remise en question par le système des multinationales et coopératives qui monopolisent un circuit de distribution, avec leurs tarifs. Si on veut se mettre à faire autre chose, il faut vendre à un prix plus élevé, aussi parce que la PAC ne subventionne qu'un certain mode de production.

Je crois que le métier d'agriculteur n'est envié de personne. C'est dur, c'est mal payé, c'est mal considéré. Alors je ne peux que comprendre le besoin de se sentir acteur en choisissant son positionnement de production.

Investigating this further we can see that the packages are sent via the HTTP protocol and are not encrypted using HTTPS, SSL or TLS. That means that anyone else on the network, including hackers, government agencies, network administrators, telecom operators, local and foreign can easily spy on us by collecting this data, store them, and establish a record history using the phone’s unique ID and serial number Qualcomm is sending over to their mysteriously called Izat Cloud.

Y a pas que les deux requêtes DNS !

Par contre, je peux comprendre que, si la puce Qualcomm contourne tout l'OS, ils aient choisi de faire du HTTP en clair. C'est compliqué de mettre du TLS dans une petite puce…