barmic 🦦 a écrit 5798 commentaires

Sincèrement ce type d'article du Monde est clairement dégoûtant, et le fait que ça vienne apparemment d'une enquête interministérielle est encore plus perturbant.

La Miviludes dis avoir une hausse des signalements, elle regarde ce qui se passe. C'est son rôle.

Je pense qu'il ne faut pas voir l'article du Monde comme décrivant un lien entre la pratique et des secte, mais comme une description de la relation qu'il peut y avoir et qui est décrit par l'enquête de la miviludes. Et ils sont très clair sur le fait qu'ils parlent d'une pratique en particulier. Pareil qu'un journal rende compte du travail de l'Etat ne me paraît pas choquant, même si des fois ils prennent plus de pincettes, mais ce n'est pas une remise en cause du principe.

Et oui des articles du genre il y en a tous les jours qui décrivent comment X peut mener vers Y et c'est régulièrement de grosses conneries, mais dans le cas présent je ne vois pas pourquoi douter du fait que la mivilude a bien une hausse des signalements et leur étude ne me semble pas aussi généraliste que tu le dis. Reste le titre qui n'est pas génial, mais juger au titre pousse à faire des titres putassiers.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

et dans le principe n'est pas supposé faire plus d'un écran –une vingtaine de lignes

Quel principe ? D'ailleurs chez moi :

% ls --help | wc -l
164
% ls --version
ls (GNU coreutils) 8.32
Copyright © 2020 Free Software Foundation, Inc.
License GPLv3+ : GNU GPL version 3 ou ultérieure <https://gnu.org/licenses/gpl.html>
Ceci est un logiciel libre. Vous êtes libre de le modifier et de le redistribuer.
Ce logiciel n'est accompagné d'ABSOLUMENT AUCUNE GARANTIE, dans les limites
permises par la loi.

Écrit par Richard M. Stallman et David MacKenzie.
% cp --help | wc -l
94
% cp --version
cp (GNU coreutils) 8.32
Copyright © 2020 Free Software Foundation, Inc.
License GPLv3+ : GNU GPL version 3 ou ultérieure <https://gnu.org/licenses/gpl.html>
Ceci est un logiciel libre. Vous êtes libre de le modifier et de le redistribuer.
Ce logiciel n'est accompagné d'ABSOLUMENT AUCUNE GARANTIE, dans les limites
permises par la loi.

Écrit par Torbjorn Granlund, David MacKenzie et Jim Meyering.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour l'impression, tu as essayé l'impression PDF de firefox ? (oui imprimer un pdf en pdf pour ensuite pouvoir l'imprimer…) C'est embêtant mais moins que changer de passer sous windows pour ça.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

lire/utiliser les manpages s'apprend

Il y a des gens qui prennent des cours de langues alors qu'il est tout à fait possible d'apprendre simplement en immersion total, même sans aucun notion préalable. À chaque projet et distributions de faire leurs choix d'être plus ou moins accueillant. D'avoir des petites roues pour apprendre le vélo, de commencer avec une draisienne ou de filer directement un monocycle (avec un peu d'entrainement ça se fait).

En vrai je ne comprends pas la résistance à un truc qui ne retire rien à personne sans autres argument que le principe de "les manpages devraient être …" (sans aucune références avec au contraire des exemples que les manpages ne suivent pas toujours ces principes) et s'appuyer sur une notion de difficulté qui est, ma foie, toute relative (j'ai aucun problème à utiliser tar, mais je dois toujours chercher pour utiliser cpio).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Mais c'est assez peu répandu pour que ça en vaille la peine sur les attaques généralistes

Si si je l'ai observé personnellement sur un serveur perso qui ne sert pas à grand chose (il n'y a rien de particulièrement attirant dessus). Des IPs qui reviennent un peu plus tard quand elles se font bannir, qui modules leur fréquence de tentatives,… Ça n'est pas très compliqué à mettre en place en soit et bon j'ai pu l'observer.

SSH n'est qu'un des services derrière fail2ban (limite, le honeypot, vu que toutes les attaques généralistes commencent par SSH avant de faire du web ou du mail).

J'avais pensé à ce genre de choses, mais plus rigolo en ne se basant pas sur les logs ssh, mais netfilter, mais c'était plus pour l'amusement que pour l'intérêt. Un fail2ban ça se bypass.

Si je reste sur la configuration par défaut des deux, les mots de passe sont autorisés pour SSH, avec failb

Et tu n'es pas du tout à l’abri d'une attaque à bas bruit sur ton mot de passe.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu es un connaisseur et tu dis « moi je préfère la pente raide parce que nanana ». Les gens comme toi et moi on a même pas besoin de ses pages de man. Les gens comme toi et moi on voit la maitrise du shell comme une finalité en soit ce n'est pas le cas de tout le monde et beaucoup de gens doivent l'utiliser pour juste répondre à un besoin de temps en temps. TextInfo est imbitable, c'est équivalent à dire à quelqu'un qui ne comprend pas une référence à judas de parcourir l'ancien et le nouveau testament, il pourra comprendre par lui même de quoi il s'agit.

Pour moi c'est se comporter comme un gatekeeper (même involontairement) c'est très difficile de se remettre dans les chaussures de quelqu'un qui découvre et qui est un peu perdu face à tout ça et si des trucs comme tldr peuvent aider des nouveaux c'est tant mieux (mais il faut savoir que ça existe etc).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

On va faire une citation complète, si tu veux bien :

De manière générale il convient de s'interroger sur le modèle de sécurité de ces outils et sur leur réelle utilité. Il n'empêchent pas les attaques mais permettent dans certaines circonstances de réduire leur probabilité de réussite.

C'est précisément ce pourquoi fail2ban ne me semble que rarement pertinent.

Donc non, on ne parle pas de quelque soit le modèle de sécurité et c'est une très mauvaise idée de faire des choses quelque soit le modèle de sécurité. Parce qu'ajouter des couches pour ajouter des couches peu rendre l'ensemble plus fragile tout en donnant l'impression que l'on fait pleins de choses. L'important ce n'est pas de faire pleins de choses, c'est de faire des choses efficaces.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est pertinent pour réduire (un peu) la taille des logs

Configure ton syslog

pour signaler les IP malveillantes à des tiers

C'est pas d'une très grande fiabilité ce genre de trucs et quand je vois comment ça se passe pour les listes d'IP interdites dans le monde des serveurs de mails, je ne suis pas sûre que ce soit très étique de participer à ça.

pour économiser (très peu) de la bande passante

Ça pourrait être de la sécurité, mais c'est en échange d'IO disque et de CPU, de plus la configuration de netfilter est assez lente si tu ne fais pas les choses dans les règles.

Cela peut seulement limiter la probabilité de réussite d'une attaque sur un service où l'on est obligé d'accepter des mots de passe faibles.

C'est rigolo parce qu'à chaque fois que dès qu'on parle de fail2ban, il y a immédiatement un tas de gens qui ont besoin d'accepter des mots de passes faibles. Et bien sûr j'imagine qu'il est possible de connaître à l'avance l'IP de connexion de ces comptes ? C'est dommage ça. Ça en fait des cas très rares… et c'est de la sécurité à la petite semelle.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est des choses qui se règles par des linters de configuration.

Et sincèrement c'est trop simple de bypasser fail2ban pour croire que ça apporte une telle sécurité. Ça rend les choses un peu plus lentes, mais je n'ai jamais vu quelqu'un décrire le monitoring de la pertinence de la configuration de fail2ban (durée de bannissement, nombre de tentatives réellement bloquées,…) alors que c'est une configuration qui se test très bien de l’extérieur. Tu es l'objet d'attaques automatisées ? Qu'est-ce que ça coute à un attaquant de prendre en compte ta configuration de fail2ban ? Ça réduit les risques ? Mais c'est bien moins efficace que simplement une configuration correcte de ton ssh et ça tombe bien ssh est plus simple à configurer que fail2ban (et si tu reste sur les configurations par défaut des 2 c'est aussi sécurisé).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Par ailleurs, tant que ce bug ne sera pas résolu Crowdsec restera bien moins efficace que fail2ban.

Parce que fail2ban c'est efficace ?

De manière générale il convient de s'interroger sur le modèle de sécurité de ces outils et sur leur réelle utilité. Il n'empêchent pas les attaques mais permettent dans certaines circonstances de réduire leur probabilité de réussite.

C'est précisément ce pourquoi fail2ban ne me semble que rarement pertinent.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le titre dit bien la chose : c'est libre, et une version de FFV1 est normalisée et donc en format ouvert.

C'est pas comme si c'était le cas d'OpenDocument…

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

appelons que les LTO doivent être relue et passée sur une autre LTO tous les 15-20 ans, donc on peut profiter pour changer de format au passage sans grand surcoût

C'est quoi une LTO ?

Et je comprend pour le reste.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

il ne s'agit pas d'un format libre

À pardon j'avais mal lu :)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

D'ailleurs, si on le modifie, ce n'est plus un standard, c'est, je sais pas quoi.

Tu entends quoi par modifier ? Je peux créer un format qui s'appuie sur ce standard. Ça ne modifie pas pour autant le standard et ça peut casser l’interopérabilité, mais tout le monde n'en a pas besoin ou alors ça permet d'expérimenter autour du standard.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Vous pouvez vous demander pourquoi passer du temps à normaliser.

Non mois c'est l'inverse je me demande comment ce format a pu rencontrer le succès sans normalisation.

Il sert à l'archivage de longue durée j'imagine (si non je ne vois pas pourquoi ré-encoder autant garder le format d'origine) et ça n'a d'intérêt que si ton nouveau format a une meilleure pérennité que le format d'origine. Et je vois pas ce qui pouvait convaincre qu'un format plutôt récent et avec un usage disons limité était plus pérenne que h264 par exemple.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Aller titiller Z en lui disant « ton truc il est pas libre », joli exercice.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

https://threadreaderapp.com/thread/1427648667805093888.html

Sinon il faut scroller.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En fait c'est tout le problème que tu mets bien en valeur de l’ethnocentrisme étroit de certaines normes informatiques.

Pour le coup je ne suis pas vraiment d'accord. Si tu inclus dans la norme une police CJK (il manquera toujours l'arabe, l'hébreu et sans doute d'autres) tu ajoute une centaine de Mio à tous lecteur qui veut gérer la norme.

Sachant que la majorité des langues utilisant ces glyphes ont aussi un système d'écriture en 26 caractères latin, je trouve que ne pas l'inclure dans le standard tout en permettant son usage (ceux qui utilisent ces langues apprennent très vite à intégrer les polices avec).

Pour le coup leur système d'écriture est suffisamment contraignant pour que ça ai du sens.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

on a de la dedup au niveau du système de fichier

Pas vraiment. On a de la déduplication active en option sur zfs et probablement sur btrfs. C'est très consommateur en ressource, sinon il y a de la copie en écriture, mais il faut produire les copies, les une à partir des autres (avec cp --reflink par exemple). Ce n'est pas comme ça que fonctionne les gestionnaires de paquets.

C'est facile de voir ce qui est installé avec un simple "ls".

Quel est l'intérêt par rapport à la commande de ton gestionnaire de paquet ? (qui va pouvoir en plus t'indiquer la version, une description, etc)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour les civils en question, c'est différent, mais pour les militaires, c'était peut-être un choix de privilégier la destruction des données sensibles, et de laisser les données moins sensibles.

Si c'est du matériel vraiment utilisé et pas un leurre, c'est vraiment très courageux comme stratégie. Tu as beau créer tous les protocoles que tu veux, pouvoir sur ce disque on le prend, celui-là on le laisse c'est une forme de confiance que j'ai du mal à imaginer dans le renseignement.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Plus sérieusement, connaissant les outils de forensics moderne, quel est votre meilleur moyen de rendre un disque dur illisible définitivement ?

Ça dépend du temps que tu as, de la techno de stockage, si volume de données,… et de qui tu as en face.

Si tu veux pas que ton voisin regarde tes photos de vacances ce n'est pas la même chose que si tu es un agent double (donc avec un service de renseignement qui a de gros moyens pour récupérer des données et les corréler avec d'autres).

Pour le commun des mortel, tu chiffre ton disque au départ sans utiliser "toto" comme passphrase et tu n'a rien à faire quand tu voudra t'en débarrasser. Si tu crains qu'un service de renseignement s'y intéresse de prêt la destruction physique mais méticuleuse (donc pas les trucs basés sur je roule dessus, je tape avec un marteau, je tire au fusil mitrailleur) me semble être une bonne idée. Peut-être que le feu qui tu atteint de haute température et que tu t'assure que tu maintient la combustion peut faire le travail. Les solutions logiciels sont très longues, elles consomment beaucoup d'entropie.

Partir avec et gérer ça au calme chez toi, c'est plutôt une bonne idée.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Comme chaque page contenait des polices partielles, il n’était pas possible de mutualiser les éléments du PDF sur plusieurs page, car la page 1 contenait uniquement les caractères pour afficher "M. Martin", la page 2 pour afficher "Mme Samia" etc.

C'est triste, je présume que ça aide à faire des traitements pages par page (genre sortir une page d'un document), mais j'aurais cru que les définitions de fonts embarquées seraient faites au début, puis simplement référencé.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ton reproche ne s'adresse pas au github flow.

Des gens qui écrivent de mauvais messages de commits ça existait déjà avant que git existe, reprocher ça a github me semble très osé.

Tu reproche de ne pas savoir correctement utiliser les outils à disposition pour faire des revues. Le github flow est le seul flow connu est un peu populaire (donc médiatisé, connu, repris, décris, documenté largement,…) qui intègre la notion de revue. Les forges avant github étaient rare à avoir un outil de revue intégré.¹

git est un outil mal compris, mais je ne suis absolument pas certain que laisser les gens utiliser git sans leur donner un cadre aurait donné de meilleurs résultats. Est-ce que le github flow est le meilleur cadre ? J'en doute, mais aucun autre n'a pu avoir la même popularité.

Entre autres conséquences, ça produit des pull requests de plus en plus difficiles à évaluer, vu qu’on ne peut plus étudier les changements commits par commits, il faut nécessairement étudier le diff sur la pull request complète. Évidemment, c’est beaucoup plus ardu (surtout quand, comme au-dessus, on ne sait pas faire un check out local). Et ça donne lieu à des fils Twitter lunaires comme celui-ci, où certaines réponses me donnent envie de me taper la tête contre le mur en hurlant « mais apprenez à utiliser git bordel ! »

Moi tu vois j'y vois un problème² bien plus vieux que git et qui est une pratique largement répandue même hors github : beaucoup trop de choses dans une branche. Pour moi et dans l'équipe où je suis on préfère merger rapidement, faire ce que l'on appel de l'intégration continue (pas dans le sens utiliser un outil d'intégration continue, mais intégrer de manière continue notre code). Si vous passer votre temps à refactorer des pans important du code et/ou modifier de grandes partie sans pouvoir merger sans backtrack, c'est dommage (amha il faut se poser des questions), mais ce n'est sans doute pas fait pour vous, par contre si vous pouvez le mettre en place ça permet de faire des revues infiniment plus petites tout en simplifiant beaucoup le travail collaboratif.

---

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ils sous-traitent ta partie statistique du site et toute la partie utilisateur et interne. C'est du FUD. Tout comme "pour combien de temps ?".

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est dommage tous ses projets qui s'emmerdent à maintenir leur présence sur github si seulement quelqu'un leur disait qu'ils ne sont pas obligé.

Plus sérieusement, ce n'est pas une question de savoir si github est bien ou pas, mais c'est un phénomène suffisamment important pour que :

• il a grandement contribué à populariser git
• il a grandement popularisé son propre workflow associé
• il représente une activité tellement importante que nombre de projets préfèrent être dessus ou maintenir un miroir dessus (même si ce n'est pas un succès¹ cela montre quelque chose)
• son principale concurrent est un clone de lui-même (qui a des évolutions, mais qui est parti d'une copie et qui en reprend tout l'aspect réseau social, une bonne partie du workflow, dont l'interface est toujours fortement inspiré,…)
• a par la même occasion fortement contribué à tuer mercurial et la plupart des forges (je n'ai pas vu de trac, de redmine (qui a un miroir sur github…),… ou de nouvelles qui se sont lancées (fossil a un peu fait parler)

Ça pose pleins de problèmes et pour moi qui préfère redmine et mercurial, je suis pas entrain d'encenser github. Juste reconnaitre que si github n'est clairement pas le centre du monde, il est très loin d'être une broutille.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll