barmic 🦦 a écrit 6011 commentaires

4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 404 27 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 404 27 "-" "-"

Tu peut tracker les débits de requêtes et ban l’IP un certain temps, non ?

Je suis pas encore passé à la partie WAF, mais mon serveur perso j’ai fais en sorte que si tu envoi un paquet n’importe où de bizarre (c’est dire ailleurs que sur les services que j’expose), tu prends un ban de 31 jours (et j’ai ban de manière statique les /24 dont beaucoup d’IP génèrent du trafic. J’ai aussi mis mon serveur SSH uniquement sur IPv6 et si tu envoi un paquet en IPv4 sur le port 22, tu prends le ban de 31 jours.

Je me demande si passer en IPv6 ne réglerais pas le problème. Est-ce que tu pense qu’ils sont venu à toi par ta notoriété ou parce qu’ils scannent tout IPv4 ? Scanner les noms de domaines me parait « un peu » compliqué.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

déclenche une alarme tonitruante

c’est le genre de choses qui endommages les objets.

plus des vrais barreaux aux fenêtres

C’est interdit, tu n’a pas le droit de changer la façade du palais.

Tout le reste n’aurais pas fais grand chose dans le cas présent. Ils n’ont pas cherché la discrétion. Leur faire perdre 1 minutes sur 7 c’est juste sauver peut être un bijou.

Sauf les gardes armés… Mais sur linuxfr on est pour la prolifération d’arme ? Pour 3 bijoux d’empereurs ? Avec comme explication « c’est comme ça que ça se passe lol » ?

On peut aussi ne montrer que des reproduction et garder les objets dans des lieux sûrs, non ? Ça me parait préférable à faire de nos musées des lieux de fusillades.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il manque un objectif à ce benchmark. Très clairement il est fait pour le fun, mais on ne peut pas dire tel language est plus formant que tel autre aussi facilement. Il faut un contexte. Est-ce qu'on doit prendre en compte le temps de démarrage, le démarrage à froid, la consommation mémoire doit-elle être prise en compte, est-ce qu'on regarde des programmes écrits par les gens les plus techniques de chaque langages, quel usages (beaucoup de mathématiques, beaucoup de manipulation de chaînes de caractères, des I/O,…), qu'est ce que c'est la performance ? Un temps d'exécution ? Une capacité à traiter des volumes plus grands ? Une capacité à s'exécuter sur du matériel petit ?

Si on regarde le programme le mieux écrit possible. Aucun langage compilé statiquement ne peut faire mieux que l'assembleur car si un language compilé statiquement fait mieux il suffit de le décompiler pour obtenir le programme assembleur équivalent. Est-ce que c'est une raison d'utiliser de l'assembleur certainement pas puisqu'il y a d'autres facteurs que la performance à prendre en compte

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

surtout qu'avant que ce soit dans des vitrine blindé actuel , un système de descente automatique ou de repli des objets dans un coffre sécurisé existait

ce qui a été modifié pour rendre l’expérience utilisateur plus spectaculaire ! par l'actuel directeur du Louvre, car cette technologie nécessite une surface vitré plus faible

Tu vois c’est l’exemple de l’hystérie. Tu n’en sais rien, tu as entendu, tu répète avec aplomb, mais les intéressés expliquent que ça ne fonctionnait tout simplement plus et que ça posait des problèmes de conservation.

Faut se détendre un peu avant de s’emporter comme ça. Ce ne sont que des bijoux produit grâce à l’exploitation de colonies et qui ont servi à couronner des personnes qui ont mis à mort notre démocratie.

sur une simple visite de la sécurité cela aurait du choquer le directeur que c'etait d'un autre temps, les tubes cathodiques et la qualité désastreuse des images.

Il peut être chokbar de bz comme dise certains, ça ne fait pas apparaître de l’argent pour autant. Ça fait des années que les professionnels du patrimoine le disent : ils n’ont même pas les moyens de maintenir en état les choses. Le vol de 3 dorures fait de grands bruit, mais la simple incapacité que l’on a maintenir notre patrimoine détruit bien plus que ce simple vol.

Encore une fois, si tu veut que les choses soit bien faites elles ne doivent pas être la responsabilité d’une personne, mais cela demande des moyens (financiers, humains et organisationnel). On ne peut pas passer 2 décennies à chercher à réduire les effectifs et les coûts et être surpris que ça ne marche plus ensuite. Question rhétorique : quand ça devient concret quel choix fais-tu ? De combien on augmente ton impôt pour améliorer la sécurité de nos musés ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Boarf même une phrase de passe de 6 million de caractères ne protègera pas de la disqueuse qui est passé au travers de la fenêtre. Au lieu de s’acharner tout azimute, il faut d’une part regarder les dangers les plus immédiats/effectif puis se poser des questions à plusieurs niveaux. Moi les joyaux de nobles ou bourgeois, je m’en fou un peu, mais si c’est important on devrait se demander pourquoi l’ANSI n’est pas impliqué. Le directeur de l’époque c’est bien beau, mais en quoi c’est une bonne idée que la sécu repose sur une personne ? Si je me souviens bien la tour de Londres (qui contient les joyaux de la couronne) la salle d’exposition est sans fenêtre, les portes sont blindée à outrance (type porte ronde de coffre de banques), tu n’y a pas accès depuis la rue et il y a des hommes en arme.

Je ne dis pas que l’informatique n’est pas importante, juste qu’en sécurité il me semble qu’ici il y a des problèmes plus sensibles et qu’il faut savoir garder la tête froide plutôt que de demander la tête de tel ou tel personne.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je comprends pas comment quelqu’un a pus cliquer sur pertinent. Même si tu ne confondait pas examen et concours, ce que tu dit n’a aucun sens dans une discussion qui parle d’une certification professionnelle qui coûte 300 balles (ce qui est très bas pour une certification pro).

Tu t’es perdu parce que j’ai parlé du bac ? Il 90% des candidats l’obtiennent (et 80% d’une classe d’age l’obtiens). Tu es sûr que ça sert ton propos ?

Non je pense que le pertinent est un miss click, ça arrive.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'ai utilisé txt2tags pour saisir mes cours dans la seconde moitié des années 2000. J'aimais bien l'idée d'avoir mes propres macro dans le document. Je m'étais posé la question de contribuer à l'époque, mais j'ai trouvé trop con l'idée qu'il faille à tout prix que ça reste un seul fichier que j'ai préféré passer mon chemin

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ACL n'est pas lié au réseau. En tant que dev ça vaudrait le coup d'y jeter un œil.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ben déjà le réseau, ce n'est pas Cisco.

L'autre nom de CCNA sur le site de Cisco c'est quand même "Implementing and Administering Cisco Solutions". Ton assertion est vraie dans le cas général mais pas ici. CCNA est littéralement faite pour que tu apprenne à utiliser leurs produits.

Le problème vient peut-être de là, j'ai l'impression d'après ta description que tu découvres des concepts via une préparation à un examen alors qu'un examen et une certification, c'est fait pour valider et certifier des acquis.

C'est une belle idée mais c'est globalement faux sinon il n'existerait pas de préparations aux examens. D'autant que c'est pas simple de faire la distinction. Un lycéen est-il entrain d'avoir des acquis et il va juste sanctionner cet acquis grâce au bac ou est-ce qu'il achète des annales pour préparer son exam ? Si ça peut être subtile dans le plupart des cas, pour la philosophie d'expérience c'est exclusivement de la préparation à l'examen, parce que tu ne fais pas de dissertation correct en ayant simplement compris des concepts philosophiques.

On avait eu un autre retour d'expérience, je crois que c'était pour préparer OSCP qui montrait les même choses.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

• CCNA Cisco Certified Network Associate et CCNP Cisco Certified Network Professional sont 2 certifications Cisco CCNP est encore plus exigeante que CCNA
• OSPF Open Shortest Path First : un protocole de routage réseau
• ACL Access Control List : une manière de gérer les autorisations
• GNS3 Graphical Network Simulator 3 C'est un logiciel pour tester des réseaux que tu simule. Tu crée des machines dans GNS et tu les connecte et tu test les quels peuvent se parler ou non par exemple
• VLAN (tu l'avais oublié) Virtual Local Area Network C'est me fait de configurer des réseaux différents sans avoir à toucher au câblage. Le routeur peut par exemple s'il a 4 ports considérer les 2 premiers dans un même réseau et les deux autres dans un autre
• QCM (tu l'avais aussi oublié) Questionnaire à Choix Multiple, c'est une façon de tester des connaissances où au lieu de laisser le candidat écrire la réponse qu'il veut, il doit choisir entre plusieurs propositions

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dingue d'avoir à expliquer des évidences pareilles.

Je suis certain que le commentaire auquel tu répond sait très bien tout ça et dit simplement que tu peut faire plus léger avec juste SSH et ton urxvt en local et qu’il n’avait pas besoin de ton fiel.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

On nous a vendu plein de supers applications

Tu as un exemple ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je persiste à penser que SFTP pourrait en bénéficier

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est moi ou le raccourci c'est Maj + Ctrl left ? Je comprends que l'ordre est là pour protéger justement les Ctrl + Maj + * et ça se fait de la main gauche en ISO comme en AINSI (quelque soit le layout).

J'utilise des gestionnaires de fenêtres pavant donc je peux pas vérifier

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est en tout cas ce qu’ils annoncent : Anthropic explore-t-il les données du web, et comment les propriétaires de sites peuvent-ils bloquer le robot d'exploration ?

Ça reste de l’op-tout

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Les smileys c'est un truc d'Américains qui vivent dans le premier degré et le politiquement correct.

L’existence des emojis japonais montre que c’est faux. D’après wikipedia, le point d’ironie a était inventé en 1841 par un belge. Ce qui est dommage en plus c’est d’expliquer que quelque chose n’est pas du sexisme en ajoutant des stéréotypes.

Utiliser des éléments pour s’assurer que le lecteur comprenne c’est accepter qu’il y a des personnes qui peuvent lire ton texte qui ont des cultures ou des sensibilités différentes. Ne pas le faire par fierté assumée ça me parait être de l’égo mal placé.

« c'était de l'humour »

Le problème ce n’est pas d’y croire ou pas. Faire de l’humour n’y change rien. Ce n’est pas parce que tu fais de l’humour que c’est réussi. Ce type d’humour n’est pas simple. Se défendre en disant que c’est de l’humour et expliquer que c’était une tentative d’humour et qu’on est surpris que ce soit pris ainsi ce n’est pas la même chose. Tous les humoristes que tu vois faire de l’humour noir on passé des années a remettre en cause leurs sketchs et leurs blagues avant d’avoir leur pertinence d’aujourd’hui.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

He ben je ne savais pas. J'ai proposé une correction, je sais pas ce que je peux faire de plus.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne savais pas que lauréat n’était pas épicène.

Sur 79 prix (depuis 1966, il y en a jusqu’à 3 par an), il y a 3 remis femmes.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J’apprécie les portraits que tu fais

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J’aime bien prendre l’exemple du prix Turing. Sur 79 lauréats (depuis 1966, il y en a jusqu’à 3 par an), il y a 3 femmes.

Si on omet toutes les hypothèses sexistes par nature qui veulent expliquer ça parce que les femmes aurait quelque chose intrinsèque qui les pousserait à ne pas faire un travail qui les rendrait éligible, il reste :

• montrer aux femmes que l’informatique c’est aussi pour elles
• s’assurer qu’elles peuvent faire carrière dedans :
  • ne pas les pousser à devenir chef de projet
  • les payer aussi bien que les hommes
  • ne pas les harceler
  • considérer leur travail
• s’assurer qu’on détruit déconstruit (faudrait pas que le féminisme paraisse trop radical… sic) tous les biais aux divers étages :
  • dans l’orientation
  • dans le recrutement
  • dans les évaluations en cours
  • dans le jury de prix Turing
• etc

C’est l’amélioration de l’ensemble qui permettra de passer de 3.80% de femmes à quelque chose qui se rapproche de 50. Oui il y a du boulot et c’est bien pour ça qu’il faut s’y mettre et il est difficile d’affirmer qu’on a aucun rôle à jouer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dans SSH il n'y pas vraiment d'intérêt au multiplexage vu qu'il n'y a qu'un shell.

Ça dépend des usages. Avec SFTP il n’y a pas qu’un shell, avec les bastions SSH non plus. C’est bien pour ça qu’il y a des fonctionnalités de multiplexage intégrées.

Et du coup pour le gain, il faut tester pour le vérifier, mais on peut imaginer qu’un rsync -e ssh puisse en bénéficier.

Niveau sécurité je ne vois pas vraiment d'avancée, SSH supporte déjà pléthore de méthodes d'authentifications et son protocole est éprouvé, au contraire de QUIC.

QUIC et HTTP/3 n’ont rien à voir avec l’authentification. Pour ce qui est de la couche de chiffrement, je préfère effectivement le modèle de confiance de SSH à celui de TLS. Par contre dire que TLS n’est pas éprouvé ça demande des arguments. Même en ne s’intéressant qu’à la version 1.3, elle reprend une majorité d’éléments de la version 1.2 et depuis maintenant 7 ans il est massivement utilisé.

De plus HTTP/2 et QUIC ont déjà pas mal de CVE à leur actif, forcément gérer du multiplexage rend les implémentations assez complexes.

HTTP/2 est un protocole conçu de manière un peu trop précipité et a reçu une adoption toute relative. QUIC a effectivement des CVE dans ces implémentations, mais ce à mon avis pas un argument suffisant. Le multiplexage a déjà était implémenté malgré le risque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est en cours donc on verra dans quelques années.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu veux tester quoi le projet a 2 mois ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est vrai. J’avoue que c’est avant tout de la curiosité intellectuelle.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Vu ces derniers jours sur Mastodon : nixCraft poste un lien vers le repo moribond. Korben poste un article, Stéphane Bortzmeyer poste un lien vers l'article de Korben.

Je trouve dommage de se faire le relais de choses sans s’être intéressé au truc. Ce n’est vraiment pas un gros travail de se rendre compte que le projet n’a aucune filiation avec ssh et qu’il est mort. Pour des personnes comme korben dont c’est le métier, je trouve que c’est un problème. Si son travail n’est que de rédiger des articles à la va vite à partir de README hasardeux trouvé sur github, il n’a pas besoin d’un humain pour le faire.

Bon, peut-être que ça va piquer l'orgueil des personnes qui développement SSH et qu'elles vont ajouter QUIC rapidement :).

De ce que j’imagine d’eux, ils vont surtout faire bien attention à continuer à faire ce qu’ils font sans rien changer.

Ce qui est compréhensible, c'est sans doute un projet assez vaste.

Il y a vraiment des trucs qui me font tiquer dans ce qui était proposé comme le fait de passer à TLS (techniquement d’avoir du SSH dans du TLS) ce qui change le modèle de sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll