barmic 🦦 a écrit 5976 commentaires

Pour te simplifier la vie. J'ai répondu dans un autre commentaire à tes 6 questions. En espérant que ça fasse un peu moins mille-feuilles.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Peux-tu copier/coller mon texte où je prétends que c'est facile à faire ?

Si comme tu le dis c'est facile à expliquer et difficile à implémenter, c'est que ça ne doit pas être aussi facile à expliquer. Le reste de ton commentaire le montre bien. On connais tous les 3~4 principes de bases (et encore on est pas tout à fait d'accord). C'est bien, mais ça pose un certains nombre de questions qui n'ont rien de triviales.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Estimes-tu que j'ai mal compris le besoin ?

Oui clairement et tu as préférer juger ton interlocuteur que de te poser la question.

Si oui, quel était le besoin de l'auteur du post ?

Il l'a explicité.

As-tu des arguments contre la facilité à trouver que la méthode validée depuis longtemps est du hachage, et qu'il est sain de limiter le nombre de tentatives ?

C'est tellement facile à trouver que je ne vois rien de sain dans le fais de limiter le nombre de tentatives (hors cas très particulier).

As-tu des arguments sérieux contre le hachage + sel ?

Non.

As-tu des arguments sérieux contre la limitation du nombre de tentatives ?

Oui pleins (facilement contournable, ça gène plus l'utilisateur que l'attaquant, ça permet de bloquer des comptes aussi, ça n'est pas fiable,…). Ça ne fonctionne globalement pas c'est bien pour ça que personne ne s'en sert.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Jusqu'à présent c'est toi qui distribue les qualificatifs péjoratifs à mon encontre. Chose que tu ne ferais probablement pas en présence physique.

Tu aurais envoyé :

Si tu n'as pas trouvé l'information de base en moins de 5 minutes alors tu n'as pas choisi le bon métier.

À quelqu'un que tu ne connais pas s'il était devant toi ?

Personnellement oui il m'est arrivé de dire devant quelqu'un qu'il ne devrait pas tenir de tel propos et pas forcément aussi tranquillement que là.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

humour (issue de fortune des années 1990) :

/usr/earth is 98% full … delete anyone you can

T'inquiète on a planifié un shred (c'est juste pour la blague je suis loin d'être pessimiste).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Comme je le dis souvent : une assurance coute toujours trop chere tant que l'on en a pas besoin …

Puis des fois, t'a beau en avoir besoin, elle reste trop chère

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

(Je te trouve bien magnanime après un premier message aussi condescendant…)

As-tu des arguments sérieux contre la limitation du nombre de tentatives ?

Je ne sais pas à quoi tu fais référence. Limiter le nombre de tentatives n'est pas un sujet simple. Tu te base sur quoi ? L'IP ? Et tu fais quoi pour limiter le nombre de tentative (une fois que tu as déclenché ton indicateur de trop de requêtes) ? Tu blacklist l'IP ? Tu verrouille le compte ?

Tu as les techniques anti-DDOS qui peuvent t'aider mais elles ne vont pas faire le café.

Depuis quelques temps il est également commun d'ajouter une authentification à plusieurs facteurs. Ce n'est ni reconnu comme étant top, ni pratique, ni etc. Et surtout ce n'était probablement pas facile à trouver il y a plusieurs années.

Perso j'aime pas mal OAuth. Tu laisse un service gérer ça pour toi. Il choisira lui-même la méthode d'authentification avec du double facteurs ou non. En terme de praticité, un truc comme le fait google où il tu a juste à pointer une notif' de ton téléphone, ça me paraît plutôt pratique. Je sais pas ce que vaut des trucs comme FranceConnect que je n'ai pas encore essayé.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Hors d'atteinte des failles récemment révélées sur ces processeurs ?

Je n'ai pas entendu parler de failles sur ces processeurs, mais là on parle de données qui ne sont jamais manipulées par le CPU. Ce n'est pas juste un changement de contexte. Une faille est toujours possible, mais c'est plus global au niveau du SoC qu'il faut regarder.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

j'aimerai avoir l'option de pouvoir utiliser TOTP

De ce qu'on m'a expliqué ce n'est pas légale car il faut que ce soit associé au contexte de la transaction (le montant par exemple).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le principe pour « gérer de façon sécurisé les mots de passe des utilisateurs dans une application » est connu depuis plus de 40 ans. Si tu n'as pas trouvé l'information de base en moins de 5 minutes alors tu n'as pas choisi le bon métier.

Sympathique… Généralement je me méfie de ceux qui considèrent qu'un problème de sécurité est facile. D'une part à cause de l'effet Dunning-Kruger. D'autre par comme pour beaucoup de domaine, il est toujours bon de remettre en cause les bases et de les revoir. Have I Been Pwned n'aurait pas tant de succès, si le sujet était aussi simple que ça. Les HSM ne seraient pas non plus si chères si c'était si simple.

Enfin… Il y a ce document de l'OWASP : Password Storage Cheat Sheet.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Bon le pb est pas nouveau et dans l'ensemble ça marche quand même plutôt bien, niveau qualité des discussions.

Je suis pas vraiment du même avis :)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

brennilis n'est toujours pas terminé

Ils ont pris 5 ans dans la tête à cause d'un permis de construire plus quelques années pour des raisons purement politique (Sortir du nucléaire qui s'oppose à EDF par principe).

à chooz A, le démantèlement du réacteur est sous-traité à une entreprise américaine

Je n'en ai pas trouvé trace. J'ai vu qu'Onet (français), Areva (français) et Mammoet (néerlandais) en plus d'EDF sont impliqués. Tu as un lien ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je suis pas d'accord avec toi mais je t'ai pertinenté. Je comprend pas comment on peut mettre une note négative a un commentaire aussi argumenté et développé simplement parce qu'on a une opinion différente.

Je n'ai fais ni l'un ni l'autre. Mais bon samwang aurait à redire du fait que des commentaires argumentés et développés sont mal vu :)

Ici moi je trouve sincèrement que l'argumentation est plutôt faible :

• prendre son exemple comme argument pour la consommation des ménages sans chercher à prendre en compte le système de chauffage, le type d'habitation, la situation géographique, la ruralité ou non. S'appuyer sur une moyenne globale sans regarder l'écart-type ce qui aurait mis en évidence ces disparités ;
• l'industrie plastique qui est amenée sans la moindre forme d'explication. Le fait qu'il ne l'aime pas n'est pas un argument suffisant pour imaginer qu'elle consomme particulièrement de l'énergie. Quant à la notion de bullshits job (qui est ici utilisé sans en comprendre le sens¹), il faut vraiment faire attention parce qu'il y en a qui disent la même chose de nous. Donc amener ça sans plus d'argumentation c'est vraiment pas très pertinent ;
• le paragraphe "Le biais de la sûreté par les statistiques" (alors qu'il amène des stats juste avant) ne conceptualise pas du tout ce qu'il veut dire : la notion de risque/danger. Ça rend le paragraphe compliqué, tortueux et ça tente d'amener un biais là où il n'y en a pas, il veut parler de l'omission du danger.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La carte survie à ce genre de traitements ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

DragonflyBSD est un fork de FreeBSD de ce que j'en sais il a 2 particularités :

• le SMP : à l'époque FreeBSD avait un Big Kernel Lock (maintenant ils sont passé un un lock à grain fin comme linux) dragonfly utilise un mécanisme de sérialisation par token, je crois que c'est arrivé plus tard mais il a LWKT qui sont des threads léger kernelland, je ne me suis pas plus penché dessus, mais ça doit être une implémentation de green thead/coroutine coté noyau
• le FS : ils ont revu le VFS pour tirer partie de leur multithreading et ont hammerfs qui est un fs qui s'aligne plus ou moins sur zfs et btrfs

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

j'utilise mon telephone un p30 pour telephoner et recevoir les photo par sms, comme reveil et chez moi pour certain sites. hors domicile je n'utilise jamais les données. d'ailleurs la batterie tiens 3 a 4 jours :D, je pensait que je devais recherger tous les jours mais non :p

C'est pas totalement overkill ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

dans smartphone, smart vient de "intelligence", renseignement en anglais.

Euh….

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L’allemand Simon Weckert, s’est baladé avec 99 téléphones dans les rues de Berlin, récupérés auprès de ses amis, et s’est retrouvé seul sur des rues habituellement denses !

Je ne connais pas Berlin et je ne doute pas que les capitales de l'UE sont de manière générale chargées en voitures, mais j'ai du mal à croire ce qui est présenté. Il n'y a absolument personne ni avant ni après. Il y a tout juste 2 voitures qui passent. Aucun scooter, juste 2 voitures qui passent (aucune ne passe à coté et vois que c'est vide ?), aucune voiture avant qu'il arrive dans une rue (il y a quand même une latence pour la prise en compte par gmaps + la prise en compte par les automobilistes),…

Je ne pense pas que c'est faux, juste qu'il a choisi le moment le plus propice possible pour augmenter l'impact, mais ça en devient presque mensonger (c'est plus proche du cinéma que du documentaire dans l'intention). Oui il parle d'œuvre, mais l'intention politique donne une responsabilité en plus.

Je suis d'accord avec le propos en plus c'est juste qu'il montre quelque chose qui est plus proche de du vaisseau de Wall-e que du monde actuel, il me semble.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Sinon oui, l'originalité n'est pas un critère de sécurité, il ajoute à la sécurité.

Ça peut être un critère de sécurité mais dans un approche différente. Tu peux vouloir avoir 2 implémentations différentes séquentielles (si elles sont en parallèle ça n'a pas de sens) pour éviter qu'une faille traverse tout.

Ça peut vouloir dire utiliser un système différent dans la DMZ qu'ailleurs. Si quelqu'un arrive à entrer dans la DMZ il faudra qu'il abuse d'une autre faille pour entre dans le reste du réseau.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Haiku dispose d’une implémentation d’un client HTTP, mais celle-ci est complexe à utiliser et peu performante.

Je ne comprends pas bien. Les OS exposent une API de socket plutôt qu'un protocole applicatif (il y a des fonctionnalité de plus haut niveau proposé comme la résolution de nom, mais c'est plus qu'un protocole). Là il est question d'API du noyau, d'une bibliothèque inclue de base, d'un utilitaire type curl ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je croyais que tu soutenais que c'était impossible de comparer des langages informatiques au niveau efficacité. Je sais que c'est complexe, mais pas impossible.

Désolé je n'ai pas était très clair et même certains raccourcis font penser ça. Non c'est "juste" que le bench devrait être là pour appuyer une hypothèse ou être expliqué par une hypothèse.

C'est véritablement compliqué de faire un bench et l'auteur de celui-ci a fait un travail (tester plusieurs compilateurs, donner une description de la machine sur le quel il a fait son test, donner les sources du test,…) mais ce n'est pas plus que de l'amusement perso (ce qui est très bien !).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne sais pas ce qu'il en est d'Apple, mais je trouve Google pas mal. Ils "auditent" ton téléphone pour te dire s'il n'a pas de verrouillage par exemple.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Donc à partir d'un point précis, tu pense que l'on peut faire une déduction sur des langages ? S'il n'y a pas d'hypothèses posée avant, alors ton hypothèse c'est le test. En quoi ce test là plutôt qu'un autre ? Quels sont ses propriétés ? Pourquoi choisir ses paramètres (surtout quand on ne les fais pas varier) ?

Donc on prend 2 bout de code, dont rien indique l'effort qui a était fait pour qu'ils soient pertinents. On les a lancé et on a ni hypothèses initiales qui cherchée à être vérifiée, ni conclusion qui tentent d'expliquer les résultats.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

il est contre les 'reproducible builds' car ça se contourne

Je suis pas vraiment d'accord avec :

Q. A reproducible build is a good quality build. Whether there are security benefits or not, I just want people to do it.

Whether reproducible builds are better quality or not is a matter of opinion, and we shouldn’t be trying to force our opinions on others by claiming it’s for security.

Un code déterministe est une qualité objective. On peut choisir que ce n'est pas la qualité la plus importante pour nous, mais c'est une qualité objective.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ne surtout pas devoir recompiler chaque programme

Pourquoi ? Parce que la machine de build est sous l'eau ? Ça je peux le comprendre mais par principe, sur changement d'une dépendance faire du rebuild n'est pas une mauvaise chose au contraire. Ils n'ont d'ailleurs pas le choix avec les programme go.

Je comprends mieux la volonté de partager et c'est un choix, tu as le même avec toute dépendance quelque soit la techno¹, est-ce que tu préfère optimiser pour chaque cas ou utiliser une solution réutilisable mais moins optimale.

Mais en soit rebuilder les logiciels c'est tout de même pour ça qu'ils utilisent du logiciel libre et tu as des distributions qui font ce choix. On pense bien sûr à gentoo, mais elle n'est pas seule. Et tu peux très bien demander à ta gentoo de compiler en statique il me semble.

C'est une décision qui a des impacts on est d'accord, mais une décision et pas une obligation.²

Mais au final le jdk est probablement plus à comparer aux runtimes de flatpak, c'est quelque chose qui arrive batteries inclues (qu'il ne faut pas comparer avec juste la libstdc++ ou gtk) et sa taille n'est plus si grande.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll