Ok.
Et donc, c’est quoi ton point?
Je te rappelle qu’on discute de savoir pourquoi est ce que Firefox est tombé en décrépitude, pas de savoir si safari est vachement plus mieux que chrome.
si t’es pas capable de comprendre les chiffres au dessus, je sais pas quoi te dire. A savoir que safari fait plus de 50% sur les desktops ou il est disponible, et 95% sur les mobiles ou il est disponible, la ou Firefox fait respectivement 8% et 0%.
Et que comme par hasard, ça correspond pile poile à ce que je disait la haut.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
ouais, alors, va falloir se renseigner un peu sur les pourcentage, et le fait que safari ne peut physiquement pas faire plus de 15% du marché desktop, parce que, ben macOS ne fait que 15% du marché desktop. C’est juste physiquement pas possible.
après, si tu veux regarder le marché mobile, d’un coup ca change beaucoup.
Ca va dépendre pas mal en fonction du service/pays, mais oh, tout d’un coup, Firefox est une erreur d’arrondi, et safari se tire la bourre avec chrome.
En fait, pas vraiment, safari fait 95+% du marché iOS, chrome fait 95+% du marché android. Et en pratique, si tu regardes les services grand public, tu finit avec safari mobile en tête à 40%, chrome android dans les 20-30%, et chrome desktop/edge/safari desktop qui se battent pour le reste. Firefox, moins de 10% des 30-40% du reste, donc forcément, pas grand chose au final.
C’est marrant dis donc, ça correspond exactement à ce que je dit au dessus (a savoir: Firefox a complètement raté le virage mobile et ne s’en ait jamais remit). La vie est bien faite quand même!
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ce qui illustre surtout que les gens qui n'ont pas Safari de pré-installé et qui switchent ne le font jamais pour Safari mais d'abord pour Chrome et un peu FF qui ne bénéficie de la concurrence faussée nulle part.
Gné? Comment tu fait pour installer safari quand il est pas pre-installe, vu qu’il et uniquement dispo pré installé?
En résumé 10% = rafle la mise
Scoop, safari tourne sur autre chose que macOS. Tu sais, la ou Firefox est en dessous d’une erreur d’arrondi.
Et c’est marrant parce que quand tu regardes ce qu’il se passe la, oh, ben par magie, safari se défend très bien face à chrome (qui peut être mît en browser par défaut depuis plus d’un an, on a pas vu la déferlante de chrome la pourtant).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
ce qui est relativement tôt dans l'histoire des smartphones
Euh, ben quand même, 4 ans après l’ouverture des stores. J’appelle pas ça particulièrement tôt.
Chrome a mit du temps à arriver aussi, mais google avait un navigateur pour occuper le terrain, et surtout, ils avaient un os pour pousser chrome derrière.
Et Firefox aux abonnés absents sur iOS jusqu’en 2015. T’as le droit de pas aimer iOS, mais force est de constater que ça fait beaucoup de monde quand même.
et avec ses qualités il a donne envie aux utilisateurs de le garder et de l'installer sur leur PC.
Donc on est d’accord alors?
j'ai l'impression qu'il y a que les fanboys Apple et les papys sur leur mac qui l'utilisent.
Bon, on peut arrêter avec les « moi je connais personne qui » et les « j’ai l’impression que »? Parce que moi j’ai pas l’impression que la terre est ronde, est pourtant…
J’ai un mal de chien à trouver des stats publiques par os (tout est divisé par plateforme, donc pas intéressant vu comment windows domine).
On peut raisonnablement extrapoler des stats desktops par contre. macOS fait dans les 15% du monde desktop. Safari fait 8% des browser desktop.
On peut en conclure que safari est présent sur grosse modo la moitié des macs. Oui, chrome taille des croupières a safari, j’ai jamais prétendu le contraire, mais la discussion la, c’est Firefox, pas de savoir si safari bat chrome sur Mac.
Soit dit en passant, « les papys sur leur mac », ça représente une bonne partie du marché, hein. Les « papys sur leur Windows » aussi. Va falloir admettre à un moment que l’informatique s’applique à tout le monde, pas juste les ingénieurs hardcore.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ok, cool pour toi 👍, je suis ravi que ton entourage n’utilise pas un browser que tu n’aimes pas, mais les statistiques anecdotiques quand tu connais même pas le dénominateur, ça va 5 minutes.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ce qu’il s’est passé il y’a 10 ans a changé le marché. Les gens se sont retrouvé avec 2 à 3 machines (iphone/iPad/laptop).
Le besoin d’avoir le même navigateur sur ces 3 machines est d’un coup devenu très important. Apple et Google avait ça en place au début des années 2010. Ça a causé les gens à partir sur un autre navigateur.
Une fois parti ailleurs et que tu vois que la concurrence marche aussi bien, si ce n’est mieux, pourquoi s’emboucanner à revenir?
Ça n'intéresse que ceux qui s'extasie devant la "guerre des navigateurs" pour une utilisation courante, c'est pas argument.
C’est pas un argument en soit, mais c’est un très bon indicateur pour savoir qui mène la danse, et qui cherche à rattraper son retard.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Message argumenté qui explique que Mozilla s’est ramassé parce qu’ils ont complètement raté le virage mobile
El titi: ouais mais euh, safari sapu, tout le monde le vire, voici une stat qui montre que safari fait 8% du marché desktop. Ce qui au passage prouve que safari se porte plutôt pas mal sur MacOS, vu qu’il fait moins de 10% du marché desktop.
En fait tu illustres parfaitement la mentalité qui a mit ff au tas.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ah, si tu connais personne. Ça doit faire au moins quoi, 30 personnes?
Très pertinent comme donnée, face aux quelques centaines de millions d’iPhone, iPad et Mac en circulation.
En attendant, safari et chrome rafle la mise, la ou Mozilla meurt à feu doux depuis la as loin de 10 ans, donc quand t’auras autre chose qu’une anecdote personelle ultra biaisee a partager, tu nous feras signe.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
J’ai jamais dit que safari était à la pointe de la techno. Mais force est de constater qu’il tournait sur un iPad avec 128Mo de ram en 2010, chose que Firefox n’a jamais été capable de faire.
Et que javascriptcore mettait une tannée à Firefox en 2009, quand Mozilla se demandait encore comment tenir dans moins de 2Go de ram.
En pratique, oui, safari est léger, réactif et fully featured, et de depuis bien plus longtemps que ff.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ah, j’oubliais. Ils ont réussi à perdre le marché des ingénieurs aux alentours de 2010, parce que leur dev tools étaient foireux face à ceux de safari (qui se sont retrouvé dans chrome aussi).
Donc non seulement ils perdaient déjà du terrain, mais en plus les développeurs ont commencé à partir à la concurrence, ce qui implique une expérience de navigation inférieur vu que, ben les sites sont moins testés sur gecko que sur WebKit.
En gros, l’histoire typique d’ascension/chute dans le milieu tech. Ça tombe aussi vite que ça monte, et ils se sont endormis sur leur lauriers.
Pour être tout à fait honnête, je dirais que la seule raison pour laquelle ils sont montés ou ils étaient c’était par chance, ils étaient au bon endroit au bon moment: Microsoft a complètement raté le virage web, et a persisté dans son erreur avec IE6 qui était une merde sans nom même en 2002.
C’était les seuls à offrir une concurrence vaguement viable (apple était la tôt, mais limité aux macs, donc hors course de base vu l’époque), et Microsoft avait mit la barre tellement barre que FF à réussi à percer.
La vraie question, c’est pas pourquoi ils sont tombés, c’est comment ils ont fait pour arriver aussi haut en premier lieu. Ils ont tout simplement jamais été équipé pour rester au top, tout simplement.
Et oui, ça pique comme opinion, et oui, hindsight is 20/20, mais avec 15 ans de recul, ça me parait clair maintenant.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ça fait une paye que j’ai pas utilisé Firefox pour être honnête, mais si je devait m’y essayer.
Le TL;DR c’est qu’ils risquaient pas de s’en sortir en n’ayant pas de browser pour LA plateform qui a explosé en 2008, a savoir le monde mobile.
chrome a mit une tannée niveau performance a tout le monde lors de sa sortie, et a amorcé la perte de terrain (safari s’en sortait bien cela dit, mais vu sa présence anecdotique sous Windows et le peu de Mac à l’époque, ça changeait pas grand chose)
Firefox a complètement raté le virage mobile. Ils ont rien sorti pour android avant 2011, et rien d’utilisable avant 2013/2014 si je me souvient bien. Sur iOS, c’est encore pire, on a rien eu avant 2015 (et non, je considère pas Firefox home comme quelque chose). Pendant ce temps, apple et google ont occupé le marché. On est passé de « perte de terrain » à « hémorragie totale, par absence de produit pure et simple »
ils ont foutu en l’air leur principal différentiateur sur desktop, à savoir les extensions, ce qui a empiré une situation déjà catastrophique
s’en est suivi quelques années de « he, regardez, on fait comme chrome, mais 6 mois après eux »
Donc je dirais une combinaison de dette technique qui les a mit derrière sur desktop et les a empêché de sortir sur mobile (le code remonte à Netscape quand même) et des choix stratégiques désastreux (Apple et Google ont sorti leurs features de synchro multi machines bien avant que Mozilla n’ait réussi à sortir un truc qui marchait). Leur absence totale du marché mobile à envoyé leurs utilisateur vers un autre browser, parce que les bookmark/historique/keychain etc synchronise, c’est plus important que de savoir s’ils utilisent gecko ou WebKit.
Et par dessus le tout, une vision très années 2000 d’un browser, à savoir un software standalone qui ne repose pas sur des services en ligne pour s’enrichir.
Et venez pas me dire que c’est la faute à Apple qui empêche d’avoir un autre browser nianiania, chrome arrive à tenir 6 à 10% de ce marché.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
On peut peut être aussi se demander pourquoi Firefox a perdu la majorité de ses utilisateurs, et admettre que sorti de safari (limité à une seule meta plateforme), et chrome, y’a pas grand chose à se mettre sous la dent.
Parce que sensibiliser, c’est bien, mais si à la question « ok mais j’utilise quoi alors? » qui va inévitablement suivre, ta réponse c’est « un browser qui a perdu tout son attrait face à la concurrence, ou un browser qui n’est pas disponible pour ton matos », tu vas pas avoir beaucoup de succès.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Si t’utilise tomcat, je suppute que tu a un war, qui inclue tous les jar de ton appli.
Une autre pratique courante est d’utiliser un serveur d’appli embedded, et de shader le jar, à savoir exploser toutes les dépendances et les mettre dans un seul gros jar.
L’avantage étant que tu te fades pas tomcat (ou autre), et surtout, tu lances l’appli avec un simple java -jar monjar.jar, ce qui rend les deploiements vachement plus simple (parce que dire à tomcat d’arrêter cette web app et la relancer, c’est vachement plus compliqué qu’un kill + java -jar monjar.jar).
Bref, le problème c’est que je vois pas comment ta commande peut marcher dans ce mode.
Ah, et sinon, même si ça marchait, y’a des chances pour que des bindings log4j soit embarqués par une dépendance transitive si t’utilise slf4j. Ce qui compte c’est de ne pas avoir log4j-core si je me rappelle bien.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ben écoutes, je suis sur que t’as un paquet de bonnes raisons de faire tourner une machine en production sur un os pas supporté, ni d’appliquer les 4 mises à jour fournies par l’éditeur. Surtout pour un truc comme la compta, après tout, ça gère juste les sous, et est couvert par des obligations légales.
Je suis à peu près sûr que tout le monde a fait ça un jour.
Juste, vient pas faire le guignol derrière à dire que MS c’est de la merde quand tu fais de la merde toi aussi.
Ils ne sont accessible que depuis un réseau local et absolument pas prévu pour être en live sur le net.
Ah oui, parce que log4j nous a prouvé qu’il faut un accès direct à la machine pour exploiter une faille. Et jamais on a vu une machine interne se faire compromettre pour rebondir sur le réseau local.
C’est pas comme si Manutan s’était retrouvé hors ligne pendant 10 jours parce qu’ils faisaient tourner des machines hors support qui se sont faite plombées via le réseau interne. Et c’est pas comme si le nourjal en parlait.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Il fait tourner une 5.7 sortie y’a 11 ans, qui n’était pas couverte par le ELS qui a commencé en 2017 avec la 5.11, et s’est terminé y’a plus d’un an.
La 5.8 est sortie y’a 9 ans.
RHEL 5 est sorti en 2007, avec un kernel 2.6.18, donc presque 15 ans.
Soit ses mois sont vraiment très longs, soit il ne voit pas la poutre dans son œil (ce qui n’est pas étonnant vu la teneur de ses posts ici).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Je suis pas sur que se vanter de n’avoir pas fait un mise à jour en plus de 10 ans aille dans le sens que tu pense.
Ni de fanfaronner un os vieux de 15 ans qui n’est plus supporté.
‘Fin je dit ca, je dit rien.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Les autres failles de shellshock ont été trouvées par fuzzing si je me rappelle bien.
En règle générale, la majorité des failles sont trouvées comme ça. C’est bien plus simple de laisser une machine explorer les possibilités que de se fader des milliers de lignes de c abscons à la recherche des 3 lignes ou le mec à oublié de vérifier la taille du tableau avant d’assigner.
Le code peut ensuite aider à déterminer comment exploiter la faille, mais ça va pas trop dans ton sens.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Oui, c’est fin une façon de voir les choses.
Ton attaque ne marche que si:
le site ne propose pas d’https (oh ben tiens)
le site n’est pas sur les listes hsts preload
le site ne fait pas de hsts ET n’a jamais été visité
Note que quand on dit « offrir https », ça inclue faire du hsts, parce qu’au final, c’est juste un header à inclure, pas le bout du monde.
Ce qui réduit la surface d’attaque à peau de chagrin.
Un moteur de recherche ne va pas te donner un lien http si le https est dispo, donc il faut soit envoyer un lien http explicite à la victime et réussir à lui faire cliquer dessus, soit réussir à lui faire taper l’adresse en commençant par http://
Ce qui revient exactement à ce qu’on dit: offrir seulement du http est une très mauvaise pratique, même si ton site est trivial et utilisé par quasiment personne.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
puis fait un redirect sur https://m0m-blog.fr Je résume: j'ai un cadena mais le pirate peut lire tout le contenu de ma lecture voir remplacer mes images.
Le dns ne peut pas faire un redirect http. Il peut mentir sur l’ip, mais le browser pensera toujours parler à Mon-blog.fr, et ton certificat pour m0n-blog ne sera pas valide pour ce domaine. Tu vas te taper la page qui fait peur « le certificat n’est pas valide, vous êtes à risque bla-bla-bla ».
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Pour l’idor, c’est l’idée générale, mais c’est soit lourd, soit pas forcément trivial à implémenter.
Tu peux le faire dans le front end, mais c’est lourd et c’est facile de rater quelques endroits.
Tu peux le faire dans le backend, mais la propagation d’identité et d’autorisations dans une monde soa c’est pas trivial, surtout quand t’as des cas d’utilisations qui sont pas initiés par l’utilisateur (genre un e-mail déclenché par un événement sur un bus).
Pour repartir sur le fourchette, si t’invite des potes à ta réservation, maintenant eux aussi y ont accès. Sauf que c’est potentiellement un autre service qui gère les invit’. Maintenant ton service réservation doit comprendre ce genre de chose pour pourvoir te donner accès aux données.
Pour les PII, je suis pas sur de comprendre la question. Le problème c’est pas tant les id, qu’exposer trop de PII au monde.
Si je commande un Uber et que l’api d’uber me retourne le nom de famille et numéro de téléphone perso du chauffeur, c’est une PII leak, même si l’appli ne les montre pas.
Et ça peut arriver relativement facilement en fonction de comment ton backend marche, la vitesse à laquelle ça a été développé et l’attention portée aux problématiques de vie privée. L’ID du chauffeur peut être un uuid, ça aide pas si les dev ne font pas gaffe à ce qu’ils font.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Insecure direct object reference. En gros quand l’appli vérifies que t’es authentifié, mais pas que t’es authorisé à accéder aux données que tu demandes. En gros, t’es connecté sur Amazon sous le compte A, et crée une requête pour accéder aux détails de la commande 1234, qui appartient au compte B. C’est assez courant comme problème, surtout dans des systemes SOA, ou la propagation de l’identité/authorization est pas si simple.
persistent xss: une faille xss, mais persistee côté serveur. Typiquement, si je poste un message sur linuxfr avec des balises html/JavaScript, et que le backend ne sanitize pas le message. Toutes les personnes lisant le message exécuteront le code js, sans que j’ai besoin de leur faire cliquer sur un lien. De la, je peux me débrouiller pour leur faire poster leur cookie de session, et me faire passer pour eux.
PII leak: personally identifiable information. Fuite de données personnelles, genre nom/prénom, numéro de téléphone. Ça va pas mal dépendre du service, mais typiquement, sur un site genre la fourchette, tu peux faire des réservations sans être connecté. Ils t’envoient derrière un e-mail avec un lien « magique » pour gérer la réservation. Souvent, ces liens sont facile à casser, et pour peu que l’ID de la réservation soit une séquence/facile à deviner, tu peux scanner le site et aspirer des données persos.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 1.
Ok.
Et donc, c’est quoi ton point?
Je te rappelle qu’on discute de savoir pourquoi est ce que Firefox est tombé en décrépitude, pas de savoir si safari est vachement plus mieux que chrome.
si t’es pas capable de comprendre les chiffres au dessus, je sais pas quoi te dire. A savoir que safari fait plus de 50% sur les desktops ou il est disponible, et 95% sur les mobiles ou il est disponible, la ou Firefox fait respectivement 8% et 0%.
Et que comme par hasard, ça correspond pile poile à ce que je disait la haut.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à -2.
ouais, alors, va falloir se renseigner un peu sur les pourcentage, et le fait que safari ne peut physiquement pas faire plus de 15% du marché desktop, parce que, ben macOS ne fait que 15% du marché desktop. C’est juste physiquement pas possible.
après, si tu veux regarder le marché mobile, d’un coup ca change beaucoup.
Ca va dépendre pas mal en fonction du service/pays, mais oh, tout d’un coup, Firefox est une erreur d’arrondi, et safari se tire la bourre avec chrome.
En fait, pas vraiment, safari fait 95+% du marché iOS, chrome fait 95+% du marché android. Et en pratique, si tu regardes les services grand public, tu finit avec safari mobile en tête à 40%, chrome android dans les 20-30%, et chrome desktop/edge/safari desktop qui se battent pour le reste. Firefox, moins de 10% des 30-40% du reste, donc forcément, pas grand chose au final.
C’est marrant dis donc, ça correspond exactement à ce que je dit au dessus (a savoir: Firefox a complètement raté le virage mobile et ne s’en ait jamais remit). La vie est bien faite quand même!
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à -4.
Gné? Comment tu fait pour installer safari quand il est pas pre-installe, vu qu’il et uniquement dispo pré installé?
Scoop, safari tourne sur autre chose que macOS. Tu sais, la ou Firefox est en dessous d’une erreur d’arrondi.
Et c’est marrant parce que quand tu regardes ce qu’il se passe la, oh, ben par magie, safari se défend très bien face à chrome (qui peut être mît en browser par défaut depuis plus d’un an, on a pas vu la déferlante de chrome la pourtant).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à -2.
Euh, ben quand même, 4 ans après l’ouverture des stores. J’appelle pas ça particulièrement tôt.
Chrome a mit du temps à arriver aussi, mais google avait un navigateur pour occuper le terrain, et surtout, ils avaient un os pour pousser chrome derrière.
Et Firefox aux abonnés absents sur iOS jusqu’en 2015. T’as le droit de pas aimer iOS, mais force est de constater que ça fait beaucoup de monde quand même.
Donc on est d’accord alors?
Bon, on peut arrêter avec les « moi je connais personne qui » et les « j’ai l’impression que »? Parce que moi j’ai pas l’impression que la terre est ronde, est pourtant…
J’ai un mal de chien à trouver des stats publiques par os (tout est divisé par plateforme, donc pas intéressant vu comment windows domine).
On peut raisonnablement extrapoler des stats desktops par contre. macOS fait dans les 15% du monde desktop. Safari fait 8% des browser desktop.
On peut en conclure que safari est présent sur grosse modo la moitié des macs. Oui, chrome taille des croupières a safari, j’ai jamais prétendu le contraire, mais la discussion la, c’est Firefox, pas de savoir si safari bat chrome sur Mac.
Soit dit en passant, « les papys sur leur mac », ça représente une bonne partie du marché, hein. Les « papys sur leur Windows » aussi. Va falloir admettre à un moment que l’informatique s’applique à tout le monde, pas juste les ingénieurs hardcore.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à -3.
Ok, cool pour toi 👍, je suis ravi que ton entourage n’utilise pas un browser que tu n’aimes pas, mais les statistiques anecdotiques quand tu connais même pas le dénominateur, ça va 5 minutes.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 5.
Ce qu’il s’est passé il y’a 10 ans a changé le marché. Les gens se sont retrouvé avec 2 à 3 machines (iphone/iPad/laptop).
Le besoin d’avoir le même navigateur sur ces 3 machines est d’un coup devenu très important. Apple et Google avait ça en place au début des années 2010. Ça a causé les gens à partir sur un autre navigateur.
Une fois parti ailleurs et que tu vois que la concurrence marche aussi bien, si ce n’est mieux, pourquoi s’emboucanner à revenir?
C’est pas un argument en soit, mais c’est un très bon indicateur pour savoir qui mène la danse, et qui cherche à rattraper son retard.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 0.
Message argumenté qui explique que Mozilla s’est ramassé parce qu’ils ont complètement raté le virage mobile
El titi: ouais mais euh, safari sapu, tout le monde le vire, voici une stat qui montre que safari fait 8% du marché desktop. Ce qui au passage prouve que safari se porte plutôt pas mal sur MacOS, vu qu’il fait moins de 10% du marché desktop.
En fait tu illustres parfaitement la mentalité qui a mit ff au tas.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 4.
Ah, si tu connais personne. Ça doit faire au moins quoi, 30 personnes?
Très pertinent comme donnée, face aux quelques centaines de millions d’iPhone, iPad et Mac en circulation.
En attendant, safari et chrome rafle la mise, la ou Mozilla meurt à feu doux depuis la as loin de 10 ans, donc quand t’auras autre chose qu’une anecdote personelle ultra biaisee a partager, tu nous feras signe.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 4.
J’ai jamais dit que safari était à la pointe de la techno. Mais force est de constater qu’il tournait sur un iPad avec 128Mo de ram en 2010, chose que Firefox n’a jamais été capable de faire.
Et que javascriptcore mettait une tannée à Firefox en 2009, quand Mozilla se demandait encore comment tenir dans moins de 2Go de ram.
En pratique, oui, safari est léger, réactif et fully featured, et de depuis bien plus longtemps que ff.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 3.
Ah, j’oubliais. Ils ont réussi à perdre le marché des ingénieurs aux alentours de 2010, parce que leur dev tools étaient foireux face à ceux de safari (qui se sont retrouvé dans chrome aussi).
Donc non seulement ils perdaient déjà du terrain, mais en plus les développeurs ont commencé à partir à la concurrence, ce qui implique une expérience de navigation inférieur vu que, ben les sites sont moins testés sur gecko que sur WebKit.
En gros, l’histoire typique d’ascension/chute dans le milieu tech. Ça tombe aussi vite que ça monte, et ils se sont endormis sur leur lauriers.
Pour être tout à fait honnête, je dirais que la seule raison pour laquelle ils sont montés ou ils étaient c’était par chance, ils étaient au bon endroit au bon moment: Microsoft a complètement raté le virage web, et a persisté dans son erreur avec IE6 qui était une merde sans nom même en 2002.
C’était les seuls à offrir une concurrence vaguement viable (apple était la tôt, mais limité aux macs, donc hors course de base vu l’époque), et Microsoft avait mit la barre tellement barre que FF à réussi à percer.
La vraie question, c’est pas pourquoi ils sont tombés, c’est comment ils ont fait pour arriver aussi haut en premier lieu. Ils ont tout simplement jamais été équipé pour rester au top, tout simplement.
Et oui, ça pique comme opinion, et oui, hindsight is 20/20, mais avec 15 ans de recul, ça me parait clair maintenant.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à 7.
Ça fait une paye que j’ai pas utilisé Firefox pour être honnête, mais si je devait m’y essayer.
Le TL;DR c’est qu’ils risquaient pas de s’en sortir en n’ayant pas de browser pour LA plateform qui a explosé en 2008, a savoir le monde mobile.
Donc je dirais une combinaison de dette technique qui les a mit derrière sur desktop et les a empêché de sortir sur mobile (le code remonte à Netscape quand même) et des choix stratégiques désastreux (Apple et Google ont sorti leurs features de synchro multi machines bien avant que Mozilla n’ait réussi à sortir un truc qui marchait). Leur absence totale du marché mobile à envoyé leurs utilisateur vers un autre browser, parce que les bookmark/historique/keychain etc synchronise, c’est plus important que de savoir s’ils utilisent gecko ou WebKit.
Et par dessus le tout, une vision très années 2000 d’un browser, à savoir un software standalone qui ne repose pas sur des services en ligne pour s’enrichir.
Et venez pas me dire que c’est la faute à Apple qui empêche d’avoir un autre browser nianiania, chrome arrive à tenir 6 à 10% de ce marché.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Embrace, Extend and Extinguish
Posté par groumly . En réponse au journal Manifest V3 pour les extensions de navigateurs. Évalué à -6.
On peut peut être aussi se demander pourquoi Firefox a perdu la majorité de ses utilisateurs, et admettre que sorti de safari (limité à une seule meta plateforme), et chrome, y’a pas grand chose à se mettre sous la dent.
Parce que sensibiliser, c’est bien, mais si à la question « ok mais j’utilise quoi alors? » qui va inévitablement suivre, ta réponse c’est « un browser qui a perdu tout son attrait face à la concurrence, ou un browser qui n’est pas disponible pour ton matos », tu vas pas avoir beaucoup de succès.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Une ligne de commande pour savoir si on est impacté ou pas par la faille
Posté par groumly . En réponse à la dépêche Détectez et bloquez les tentatives d'exploitation de Log4j avec CrowdSec. Évalué à 1.
Un
mvn dependency:tree | grep log4jrépondra à cette question facilement.Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Une ligne de commande pour savoir si on est impacté ou pas par la faille
Posté par groumly . En réponse à la dépêche Détectez et bloquez les tentatives d'exploitation de Log4j avec CrowdSec. Évalué à 2.
Si t’utilise tomcat, je suppute que tu a un war, qui inclue tous les jar de ton appli.
Une autre pratique courante est d’utiliser un serveur d’appli embedded, et de shader le jar, à savoir exploser toutes les dépendances et les mettre dans un seul gros jar.
L’avantage étant que tu te fades pas tomcat (ou autre), et surtout, tu lances l’appli avec un simple java -jar monjar.jar, ce qui rend les deploiements vachement plus simple (parce que dire à tomcat d’arrêter cette web app et la relancer, c’est vachement plus compliqué qu’un kill + java -jar monjar.jar).
Bref, le problème c’est que je vois pas comment ta commande peut marcher dans ce mode.
Ah, et sinon, même si ça marchait, y’a des chances pour que des bindings log4j soit embarqués par une dépendance transitive si t’utilise slf4j. Ce qui compte c’est de ne pas avoir log4j-core si je me rappelle bien.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Linux n'est pas uniforme
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 2.
Oui, sauf que c’est pas dans une usine, c’est pas un ordinausore, et des mises à jours étaient disponibles.
Bref, comme je disais, on a toujours de bonnes excuses.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Linux n'est pas uniforme
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 5.
Ben écoutes, je suis sur que t’as un paquet de bonnes raisons de faire tourner une machine en production sur un os pas supporté, ni d’appliquer les 4 mises à jour fournies par l’éditeur. Surtout pour un truc comme la compta, après tout, ça gère juste les sous, et est couvert par des obligations légales.
Je suis à peu près sûr que tout le monde a fait ça un jour.
Juste, vient pas faire le guignol derrière à dire que MS c’est de la merde quand tu fais de la merde toi aussi.
Ah oui, parce que log4j nous a prouvé qu’il faut un accès direct à la machine pour exploiter une faille. Et jamais on a vu une machine interne se faire compromettre pour rebondir sur le réseau local.
C’est pas comme si Manutan s’était retrouvé hors ligne pendant 10 jours parce qu’ils faisaient tourner des machines hors support qui se sont faite plombées via le réseau interne. Et c’est pas comme si le nourjal en parlait.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Linux n'est pas uniforme
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 2.
Il fait tourner une 5.7 sortie y’a 11 ans, qui n’était pas couverte par le ELS qui a commencé en 2017 avec la 5.11, et s’est terminé y’a plus d’un an.
La 5.8 est sortie y’a 9 ans.
RHEL 5 est sorti en 2007, avec un kernel 2.6.18, donc presque 15 ans.
Soit ses mois sont vraiment très longs, soit il ne voit pas la poutre dans son œil (ce qui n’est pas étonnant vu la teneur de ses posts ici).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Linux n'est pas uniforme
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 7. Dernière modification le 16 décembre 2021 à 21:52.
Je suis pas sur que se vanter de n’avoir pas fait un mise à jour en plus de 10 ans aille dans le sens que tu pense.
Ni de fanfaronner un os vieux de 15 ans qui n’est plus supporté.
‘Fin je dit ca, je dit rien.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 2.
Les autres failles de shellshock ont été trouvées par fuzzing si je me rappelle bien.
En règle générale, la majorité des failles sont trouvées comme ça. C’est bien plus simple de laisser une machine explorer les possibilités que de se fader des milliers de lignes de c abscons à la recherche des 3 lignes ou le mec à oublié de vérifier la taille du tableau avant d’assigner.
Le code peut ensuite aider à déterminer comment exploiter la faille, mais ça va pas trop dans ton sens.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Praticiens
Posté par groumly . En réponse au journal À quoi bon le libre. Évalué à 1.
Si proche, et en même temps si loin.
Creuses encore un peu, et tu comprendras peut être que cette phrase d’applique surtout à toi dans ce fil.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Windows, c'est de la verole à ransomware
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 2.
Oui, c’est fin une façon de voir les choses.
Ton attaque ne marche que si:
Note que quand on dit « offrir https », ça inclue faire du hsts, parce qu’au final, c’est juste un header à inclure, pas le bout du monde.
Ce qui réduit la surface d’attaque à peau de chagrin.
Un moteur de recherche ne va pas te donner un lien http si le https est dispo, donc il faut soit envoyer un lien http explicite à la victime et réussir à lui faire cliquer dessus, soit réussir à lui faire taper l’adresse en commençant par http://
Ce qui revient exactement à ce qu’on dit: offrir seulement du http est une très mauvaise pratique, même si ton site est trivial et utilisé par quasiment personne.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Windows, c'est de la verole à ransomware
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 3.
Heu, ouais, mais attends, ça marche comment ton truc, là?
Le get sur https ne va pas passer le handshake tls, pourquoi est ce que le browser repasserait en http du coup?
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Windows, c'est de la verole à ransomware
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 3.
Le dns ne peut pas faire un redirect http. Il peut mentir sur l’ip, mais le browser pensera toujours parler à Mon-blog.fr, et ton certificat pour m0n-blog ne sera pas valide pour ce domaine. Tu vas te taper la page qui fait peur « le certificat n’est pas valide, vous êtes à risque bla-bla-bla ».
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 3.
Pour l’idor, c’est l’idée générale, mais c’est soit lourd, soit pas forcément trivial à implémenter.
Tu peux le faire dans le front end, mais c’est lourd et c’est facile de rater quelques endroits.
Tu peux le faire dans le backend, mais la propagation d’identité et d’autorisations dans une monde soa c’est pas trivial, surtout quand t’as des cas d’utilisations qui sont pas initiés par l’utilisateur (genre un e-mail déclenché par un événement sur un bus).
Pour repartir sur le fourchette, si t’invite des potes à ta réservation, maintenant eux aussi y ont accès. Sauf que c’est potentiellement un autre service qui gère les invit’. Maintenant ton service réservation doit comprendre ce genre de chose pour pourvoir te donner accès aux données.
Pour les PII, je suis pas sur de comprendre la question. Le problème c’est pas tant les id, qu’exposer trop de PII au monde.
Si je commande un Uber et que l’api d’uber me retourne le nom de famille et numéro de téléphone perso du chauffeur, c’est une PII leak, même si l’appli ne les montre pas.
Et ça peut arriver relativement facilement en fonction de comment ton backend marche, la vitesse à laquelle ça a été développé et l’attention portée aux problématiques de vie privée. L’ID du chauffeur peut être un uuid, ça aide pas si les dev ne font pas gaffe à ce qu’ils font.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 5.
Insecure direct object reference. En gros quand l’appli vérifies que t’es authentifié, mais pas que t’es authorisé à accéder aux données que tu demandes. En gros, t’es connecté sur Amazon sous le compte A, et crée une requête pour accéder aux détails de la commande 1234, qui appartient au compte B. C’est assez courant comme problème, surtout dans des systemes SOA, ou la propagation de l’identité/authorization est pas si simple.
persistent xss: une faille xss, mais persistee côté serveur. Typiquement, si je poste un message sur linuxfr avec des balises html/JavaScript, et que le backend ne sanitize pas le message. Toutes les personnes lisant le message exécuteront le code js, sans que j’ai besoin de leur faire cliquer sur un lien. De la, je peux me débrouiller pour leur faire poster leur cookie de session, et me faire passer pour eux.
PII leak: personally identifiable information. Fuite de données personnelles, genre nom/prénom, numéro de téléphone. Ça va pas mal dépendre du service, mais typiquement, sur un site genre la fourchette, tu peux faire des réservations sans être connecté. Ils t’envoient derrière un e-mail avec un lien « magique » pour gérer la réservation. Souvent, ces liens sont facile à casser, et pour peu que l’ID de la réservation soit une séquence/facile à deviner, tu peux scanner le site et aspirer des données persos.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.