barmic 🦦 a écrit 6159 commentaires

Il me semble que, depuis toujours, il faut considérer un accès local sur une machine comme une machine compromise.

Ça n’est pas pour autant qu’il faut considérer que la sécurité en question n’est pas importante. D’une part parce que les dommages d’un attaquant qui ouvre un shell fortement limité sur ta machine et d’un attaquant qui ouvre un shell root ne sont pas les même. Même si tu considère les 2 machines comme compromises les dégâts ne sont pas les même. D’autre part car il y a des fois où tu dois laisser des portes ouvertes et t’appuyer sur des sécurités en profondeur pour ton travail. Un administrateur de réseaux de machine au collège ne souhaite pas que les collégiens puissent obtenir les droits root, mais il ne va pas considérer chaque machine ou l’un de s’est connecté comme compromise non plus.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ils peuvent faire tout en mieux et un peu plus encore.

Pourquoi ils peuvent tout faire mieux ? Parce qu'ils peuvent beaucoup mieux cacher ce qu'ils font. Le fait de pouvoir récrire les binaires permet d'ajouter des règles pour que tu ne puisses plus voir le nouveau deamon ou qu'un binaire n'est pas le bon.

Pourquoi ils peuvent faire plus ? Parce qu'ils peuvent déployer des configuration système permanente comme les MDM. Tu peut te retrouver avec un man in the middle sur le site de ta banque sans aucun signe visible du problème.

Après la stratégie standard c'est les processus qui écoutent sur le réseau sont sur un utilisateur autre que root. Tu sur une machine de bureau tu peux avoir cups pour tes imprimantes réseau, un serveur DLNA pour partager facilement des fichiers multimédia, du bitorren,…

Disons que sur la sécurité :

• mon réseau est sûr
• tous les ports accessibles de mon ordinateur sont
  • n'exécutent pas de code arbitraire
  • sur des comptes dédiés

Cette faille fait tomber cette dernière barrière. Ce n'est pas trop grave pour des utilisateurs, mais ça n'est pas à prendre trop à la légère parce que :

1. il peut y avoir des failles dans les autres couches, utilisée même si non publiées
2. l'automatisation des attaques sophistiquée augmente de jour en jour. Là où avant on pouvait dire "je ne suis rien, je ne me ferais pas attaquer" c'est de moins en moins le cas

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est rigolo mais tu ne comprends ce que tu lis. Ce document indique aux états des critères de souveraineté. Quand ils parlent d’avoir accès aux code source, déjà avoir accès au code source ne signifie pas qu’il est libre mais surtout ça veut dire que l’État doit y avoir accès pas nécessairement le publique.

En plus de ça je n’ai pas dis que c’est antinomique mais orthogonal, donc lister des cas où c’est à la fois libre et souverain ne constitue pas un contre argument. Il me suffit d’un exemple pour te le montrer et j’ai déjà donné la dissuasion nucléaire.

Mais en soit crois bien ce que tu veut pour ce que ça change.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

D’une part souverain et libre sont parfaitement orthogonaux. Tu peut avoir du logiciel libre sans avoir les compétences pour en faire quoique ce soit, tu peut aussi avoir du logiciel privé mais dont le développement est contrôlé entièrement sur le territoire. C’est pour ça qu’on dit par exemple que la dissuasion nucléaire est souveraine en France.

Tu veux peut être étendre la notion de souveraineté à démocratique, mais c’est faire du forcing pour rien.

J’aurais néanmoins du dire :

Dans le logiciel le coût marginal est grosso modo de 0. La duplication ne t’impose pas de coût.

C’est pour ça que des modèles économiques peuvent se créer autour du LL.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

À un moment on a le droit d'utiliser son cerveau aussi.

Il va VRAIMENT falloir arrêter de ridiculiser les victimes. La honte de se faire avoir est déjà suffisante. Il faut en parler quand ça arrive. Ce n’est pas en culpabilisant les gens que les choses vont s’améliorer. Tu peut croire être un cerveau infaillible, mais tu as clairement aussi besoin d’éducation pour gérer ça.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Disons que vu ce que ça représente comme investissement de créer de toute pièce une industrie. Si on a du mal à avoir la volonté politique pour faire du logiciel, on sera loin d’avoir du materiel. Dis autrement il faut probablement ajouter au moins deux zéro à l’enveloppe si tu veux commencer à avoir du materiel européen et la question de jusqu’où il faut aller est importante. Entre le simple assemblage final et la production de barreau de silicium européen il y a une myriades de degrés.

Le coût marginal change tout. Dans le logiciel le coût marginal est grosso modo de 0. La vente de licence ne t’impose pas de coût. Dans l’industrie il n’est pas négligeable. Une production industrielle n’a pas besoin de produire en masse uniquement pour amortir la R&D mais aussi parce qu’on ne sait pas produire en petite échelle. Ça signifie qu’il faut qu’il y ai un marché et un marché, ça ne se décrète pas ex nihilo. Il n’est pas envisageable d’interdire à des pans de l’économie d’acheter du matériel européen qui n’existe pas, même s’il faut une demande pour créer cette offre.

Bootstraper cette dynamique c’est injecter des sommes folles. TSMC c’est 200 millions initial puis des millions par an et a mis plusieurs années à être rentable. Tout ça pour faire uniquement de la fonderie. La conception est venu bien plus tard et tu as le problème avec les cartes par exemple. C’est moins chère mais c’est aussi une industrie à créer. En conception OK RISC-V arrive mais tu as aussi tout un tas d’autres contrôleur à créer.

Je ne dis pas qu’il ne faut pas le faire ou que ce n’est pas important juste que c’est des difficultés qui sont sans commune mesures. Déjà si ce projet là arrive à quelque chose ce serait déjà pas mal. Être amer pour ça c’est comme être amer quand tu vois une poubelle de tris des déchets parce que les voitures existent encore.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je suis content de voir CleverCloud de la partie. Je ne connais pas la qualité de ce qu’ils produisent, mais Quentin Adam, le patron de CleverCloud me semble être particulièrement pertinent sur le sujet de l’indépendance/souveraineté dans ce domaine. S’il y a quelqu’un qui doit avoir à la fois une casquette militante et un verni entrepreneur/business pour avoir l’oreille des décideurs et l’angle des arguments c’est bien lui (c’est en tout cas mon espoir).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je connais plusieurs services légitimes, dans le sens où ceux sont des entreprises nationales voire internationales qui déclarent leurs transactions, qui te demandent à la cool tes informations de carte bancaire par téléphone (mais t'inquiète ils passent l'appel en mode sécurisé ils arrêtent de l'enregistrer).

Je me suis déjà fais avoir par du phishing au livreur parce que oui j'attendais un colis ce jour là. Je ne me suis pas fais complètement avoir, mais oui j'ai ouvert leur lien. J'ai ouvert le lien sur PC dans une navigation privée parce que c'est le fonctionnement normal chez moi, donc je ne leur ai pas fourni plus que : le fait de confirmer mon numéro de téléphone puisque le lien a été suivi et tous le tracking lié à un hit de mon addresse IP et une session de navigation vierge.

Je me considère pourtant comme formé. Je suis des formations liées à ça de mon employeur. Je connais et comprends tout l'aspect technique au point où je devrais techniquement être en mesure d'en faire.

Oui il y a des choses organisationnelles à mettre en place. Les 2 plus gros vecteurs d'attaque sont les mails et les SMS : 2 méthodes qui peuvent être améliorées on va dire. On pourrait même s'attaquer à la manière dont la sous-traitance est faite. Aujourd'hui ce n'est pas clair pour les gens de savoir quelle entreprise va leur livrer leur colis. Je pense même que ce n'est pas clair que tout ce qui est vendu chez Amazon, Décathlon ou autre n'est pas vendu par le site lui même.

Mais quelque soit l'ensemble de ces mesures le social engineering s'attaquera toujours a nos faiblesses nos peurs et nos intentions.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il y a un intérêt particulier à opposé les 2 ? Les qualités du palais de la découverte ne se voient que si on rabaisse les autres lieux sur le même thème ? Devenir outrancier ça te soulage ?

C'est quoi ce délire ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et ces capacités sont dynamiques. Un jour on sera fatigués, on aura mal dormi ou un truc du genre et on va faire l'erreur. Se croire immuniser et avoir du dédain pour les victimes, c'est être mal positionné sur la courbe de l'effet Dunning-Kruger

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L'autrice me semble donc dénoncer avant tout une dérive autoritaire, contre laquelle l'État de droit constituerait un rempart.

Non elle m’a l’air d’être justement contre l’état de droit et populiste. Elle dit puisqu’il peut y avoir une dérive autoritaire, il ne faut pas défendre d’état de droit. Et d’après un nazi, l’État est intrinsèquement autoritaire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et surtout, empêcher quelqu’un de se présenter ne règle en rien le problème des idées qu’il ou elle porte. Interdire une candidature ne fait pas disparaître l’influence du Rassemblement national.

C’est une manière d’oublier, en particulier pour l’élection présidentielle que l’on vote pour des incarnations avec ce que ça a de bon et moins bon.

Enfin, il faut voir que ces dispositifs ne sont pas neutres : aujourd’hui, ils sont mobilisés de manière croissante contre d’autres cibles, notamment dans la répression de prises de position politiques, par exemple en lien avec la Palestine.

Donc on amalgame le détournement de fond publique et un délit d’opinion ?

Ce que ça montre, c’est que ces outils ne servent pas à défendre les intérêts de la majorité de la population. Donc on ne peut pas, sous prétexte que, ponctuellement, ils frappent une figure de la droite ou de l’extrême droite, en profiter pour en renforcer la légitimité démocratique.

Ce n’est pas une question partisane. Quiconque se sert de son mandat pour taper dans la caisse mériterait de ne plus pouvoir se présenter quelque soit la couleur de son parti politique. Pour ce qui est de l’ordre de l’opinion, il y a des limites plus floues, mais globalement quitte à prendre appuie sur des références du 3ème reich ou bolchevique elle pourrait questionner l’attachement à la personne politique.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne vais pas discuter de la forme du script auto-généré mais plutôt de la méthode employée pour résoudre un problème.

La solution, si c'en est une, ne va bénéficier qu'à l'auteur de journal et éventuellement à une ou deux lectrices qui auraient le même besoin.

La bonne démarche aurait été de commencer par chercher dans les applications tierces de Nextcloud, puis dans les tickets ouverts sur Github. Et finalement de faire un signalement demandant l'ajout de fonctionnalités(*) dans la fenêtre de résultat de recherche : ouvrir le dossier, télécharger le fichier, etc.

Rien de cela ne parle d'IA, mais de hacking.

J'ai cliqué sur inutile parce que tu ne te rend pas compte de ce que tu dis

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'ai cliqué sur inutile parce que tu es contre la culture hacker.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est un peu du téléphone arabe…

On passe de Salvatore Sanfillipo a réussi à dire que sur le long terme le libre a de la valeur qui devient valkey a pris le dessus.

Les données temporelles que j'ai donné ne corroborent pas du tout que valkey ai pu devenir une source d'inquiétude pour redis.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est un peu du téléphone arabe…

On passe de Salvatore Sanfillipo a réussi à dire que sur le long terme le libre a de la valeur qui devient valkey a pris le dessus.

Les données temporelles que j'ai donné ne corroborent pas du tout que valkey ai pu devenir une source d'inquiétude pour redis.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Valkey a pris le dessus

Comment tu vois ça ?

Sur le docker hub redis reste encore bien au dessus de valkey, google trend place encore redis devant, popcon place redis devant valkey

Valkey est en progression mais je n'ai pas l'impression qu'il est pris le dessus.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je connaissais .example et example.(com|net|org) pas les autres

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour etiertools j'ai rien trouvé https://pypi.org/search/?q=etiertools&o=
Pour itertools ça n'a rien à voir.

Pardon pour la faute de frappe. Comme tu fais principalement des iterations ça me parait tout de même proche. Je connais pas bien mais la multiplication ça donnerait ça :

d = {'a': 1, 'b': 2, 'c': 3}
n = 10

resultat = dict(zip(d.keys(), map(lambda x, y: x * y, d.values(), repeat(n))))

je suis d’accord que c’est pas fou, mais avec une compréhention c’est pas mal:

d = {'a': 1, 'b': 2, 'c': 3}
n = 10


resultat = {k: v * n for k, v in d.items()}

• un adder est un additionneur
• un suber un soustractionneur (kof kof)
• un muler un multiplicateur
• un diver un divisionneur (kof)

du coup tu as défini un adder et un suber ? c’est un peu bizarre à l’usage non ? il y a des cas où tu voudrais qu’un seul des 2 ? en plus tu peut définir l’un à partir de l’autre. De même pour muler et Skully.

Et du coup le muler hérite de l’adder (de l’héritage de mixin) ? L’héritage me parait surprenant. Si tu applique le mixin muler alors tu peut faire aussi l’addition mais pas la soustraction ? par contre si tu veut la soustraction tu aura la multiplication ?

Désolé si je pose beaucoup de question, mais ça m’intéresse.

Mais ça paraissait intelligent quand je l'ai fait.

Ne te met pas la rate au cour-bouillon pour ça. Faut juste l’expliquer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le fait que ça existe ne doit pas empêcher l'expérimentation ou l'amusement

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

OK ça se compare comment face aux compréhensions, etiertools et autres numpy/panda ?

Ah et ton schéma, il représente quoi ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ils t'ont entendu https://www.anthropic.com/news/claude-opus-4-7

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est quoi la sémantique de ces opérations ? Pourquoi est-ce que je voudrais faire { "foo" : "bar" } ÷ { "linux" : 7} par exemple ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Google n'est probablement pas la référence mais ça montre tout de même qu'on peut difficilement ignorer ipv6

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je rejoins l'avis que je comprends rien à tes descriptions et je pense que le fait de ne pas distinguer les concepts (la partie vecteur) de l'implémentation (les traits) joue beaucoup là dessus.

Tu dis que ça peut être implémenté dans n'importe quel langage objet, donc tu ne devrais pas avoir besoin de parler de traits pour en parler.

Je n'ai pas lu le code, mais déjà je suis pas clair de s'il s'agit d'utiliser un dictionnaire qui est implémenter par un vecteur ou si l'utilisateur sait qu'il utilise un vecteur. Le code que tu montre semble parler du second mais plus haut il est question d'hériter des dictionnaires.

Je ne comprends pas le schémas que tu nous as donné. Les couleurs indiquent quoi ? À première vu je me suis dis que c'était un schéma d'opération arithmétique comme on en voit souvent pour les fonctions de hashage, mais ça n'a pas l'air d'être le cas vu qu'il est mentionné des classes.

Je suis certain que c'est super intéressant et j'aimerais bien comprendre mais j'entrave rien

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll