barmic 🦦 a écrit 6114 commentaires

Une lib dynamique packager par APT donc un mainteneur de ta distro (donc fix sur un apt update), c'est la même chose qu'une lib static tirer par une autre dépendance que tu as utilisé, et maintenue par 1/4 de personnes qui sait même pas que ça lib est utilisé sur ta distro ?

Pas forcément un mainteneur de ta distro, tu peut avoir de multiples sources, tu peut aussi avoir une bibliothèque qui arrive par ailleurs en soit c’est la sécurité de ton système de fichier qui est en jeu.

Parce que en Rust la majorité de tes dépendances sont statiques, et tu peux avoir plusieurs fois la même, mais a des versions diférents dans le même projet. (ce qui arrive à peu près jamais en C).

Dans le même projet ? Tu veut dire qu’une crate aurait linké statiquement une dépendance que tu récupère par ailleurs ? Les crates étant non compilées je ne vois pas comment ça pourrait arriver.

Et si ta dépendance casse, bah, tu gardes la faille tant que ton binaire n'a pas étais packager.

Les usines de build sont la norme, ça n’est plus un si gros problème. Le linkage dynamique élève d’un cran la complexité des problèmes qui peuvent arriver comme l’a très bien montré CVE-2024-3094 sur xz l’an dernier.

Donc cargo est meilleur pour te prendre pleins de dépendances que tu sais même pas que tu les utilises, et qui sont maintenus par personnes.

Je trouve en soit toujours très surprenant quand dans une communauté autour du libre on pointe de doigt le fait de réutiliser du code comme un problème.

L’approche consistant à avoir peu de dépendances et ne pas trop gérer leurs versions en délégant ça aux distributions n’est pas sans conséquence. Il est mathématiquement largement plus simple de sécuriser une supply chain que l’ensemble des machines des utilisateurs.

Mais tout ça pour dire que c’est un problème indépendant du langage et qu’ils sont plus système que des problèmes de programmation. Ils apparaîtront plus si un jour on arrive à supprimer tous les problèmes mémoire, mais on sera bien content de voir ça arriver (tout comme tu es content de ne plus voir d’erreur de collision de hash arriver quand tu passe à une bonne fonction de hash).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

il y aurait surement moins d'erreurs mémoire, mais c'est aussi possible qu'il y ait plus d'erreurs par supply chaines.

Les supply chaines ne sont pas des erreurs mes des attaques. C’est tout de même bien différent.

Parce que cargo ressemble beaucoup plus à npm qu'à make.

Ça ne me parait pas très pertinent, tu va récupérer tes dépendances par apt, dnf, pkgsrc ou autre ça revient au même. Tu peut même avoir écrit un logiciel sans la moindre faille et tes utilisateurs et utilisatrices se font avoir parce qu’une lib dynamique qu’ils utilisent s’est fait péter. Ça n’est vraiment pas à observer de la même manière.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Bref c'est moins facile que parcourir l'IPv4 mais c'est pratiqué par des pénibles quand ils sont un peu motivés.

C’est drastiquement plus compliqué ça ne veut pas dire que ça n’existe pas.

Aujourd’hui le premier énergumène qui se croit malin scanne en boucle IPv4. Je bloque des milliers d’IP qui tentent de faire des trucs pour un serveur qui pour le moment n’héberge rien. En IPv6 j’ai les même protections mais j’ai aucune IP bloquée.

Le volume de noms de domaine est tel qu’il devient bien moins probable qu’on vienne te trouver.

Et il y a des moteurs dédiés à la recherche de failles connues ou d'équipements à problèmes.

Là ça devient de l’attaque ciblée ce qui n’a, il me semble pas grand chose à voir.

Se protéger des scripts kiddies qui balancent leur sauce à l’aveugle sur tout ce qu’ils peuvent trouver n’est pas la même chose que de se protéger d’un attaquant motivé qui t’en veut.

Mon serveur SSH est sur IPv6 pour éviter que les premiers ne saturent ma bande passante avec des tentatives de connexion, il n’accepte des connexions que par clef pour bloquer les second.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /file2.php HTTP/1.1" 404 27 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 301 162 "-" "-"
4.216.107.25 - - [06/Nov/2025:14:25:08 +0100] "GET /vee.php HTTP/1.1" 404 27 "-" "-"

Tu peut tracker les débits de requêtes et ban l’IP un certain temps, non ?

Je suis pas encore passé à la partie WAF, mais mon serveur perso j’ai fais en sorte que si tu envoi un paquet n’importe où de bizarre (c’est dire ailleurs que sur les services que j’expose), tu prends un ban de 31 jours (et j’ai ban de manière statique les /24 dont beaucoup d’IP génèrent du trafic. J’ai aussi mis mon serveur SSH uniquement sur IPv6 et si tu envoi un paquet en IPv4 sur le port 22, tu prends le ban de 31 jours.

Je me demande si passer en IPv6 ne réglerais pas le problème. Est-ce que tu pense qu’ils sont venu à toi par ta notoriété ou parce qu’ils scannent tout IPv4 ? Scanner les noms de domaines me parait « un peu » compliqué.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

déclenche une alarme tonitruante

c’est le genre de choses qui endommages les objets.

plus des vrais barreaux aux fenêtres

C’est interdit, tu n’a pas le droit de changer la façade du palais.

Tout le reste n’aurais pas fais grand chose dans le cas présent. Ils n’ont pas cherché la discrétion. Leur faire perdre 1 minutes sur 7 c’est juste sauver peut être un bijou.

Sauf les gardes armés… Mais sur linuxfr on est pour la prolifération d’arme ? Pour 3 bijoux d’empereurs ? Avec comme explication « c’est comme ça que ça se passe lol » ?

On peut aussi ne montrer que des reproduction et garder les objets dans des lieux sûrs, non ? Ça me parait préférable à faire de nos musées des lieux de fusillades.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il manque un objectif à ce benchmark. Très clairement il est fait pour le fun, mais on ne peut pas dire tel language est plus formant que tel autre aussi facilement. Il faut un contexte. Est-ce qu'on doit prendre en compte le temps de démarrage, le démarrage à froid, la consommation mémoire doit-elle être prise en compte, est-ce qu'on regarde des programmes écrits par les gens les plus techniques de chaque langages, quel usages (beaucoup de mathématiques, beaucoup de manipulation de chaînes de caractères, des I/O,…), qu'est ce que c'est la performance ? Un temps d'exécution ? Une capacité à traiter des volumes plus grands ? Une capacité à s'exécuter sur du matériel petit ?

Si on regarde le programme le mieux écrit possible. Aucun langage compilé statiquement ne peut faire mieux que l'assembleur car si un language compilé statiquement fait mieux il suffit de le décompiler pour obtenir le programme assembleur équivalent. Est-ce que c'est une raison d'utiliser de l'assembleur certainement pas puisqu'il y a d'autres facteurs que la performance à prendre en compte

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

surtout qu'avant que ce soit dans des vitrine blindé actuel , un système de descente automatique ou de repli des objets dans un coffre sécurisé existait

ce qui a été modifié pour rendre l’expérience utilisateur plus spectaculaire ! par l'actuel directeur du Louvre, car cette technologie nécessite une surface vitré plus faible

Tu vois c’est l’exemple de l’hystérie. Tu n’en sais rien, tu as entendu, tu répète avec aplomb, mais les intéressés expliquent que ça ne fonctionnait tout simplement plus et que ça posait des problèmes de conservation.

Faut se détendre un peu avant de s’emporter comme ça. Ce ne sont que des bijoux produit grâce à l’exploitation de colonies et qui ont servi à couronner des personnes qui ont mis à mort notre démocratie.

sur une simple visite de la sécurité cela aurait du choquer le directeur que c'etait d'un autre temps, les tubes cathodiques et la qualité désastreuse des images.

Il peut être chokbar de bz comme dise certains, ça ne fait pas apparaître de l’argent pour autant. Ça fait des années que les professionnels du patrimoine le disent : ils n’ont même pas les moyens de maintenir en état les choses. Le vol de 3 dorures fait de grands bruit, mais la simple incapacité que l’on a maintenir notre patrimoine détruit bien plus que ce simple vol.

Encore une fois, si tu veut que les choses soit bien faites elles ne doivent pas être la responsabilité d’une personne, mais cela demande des moyens (financiers, humains et organisationnel). On ne peut pas passer 2 décennies à chercher à réduire les effectifs et les coûts et être surpris que ça ne marche plus ensuite. Question rhétorique : quand ça devient concret quel choix fais-tu ? De combien on augmente ton impôt pour améliorer la sécurité de nos musés ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Boarf même une phrase de passe de 6 million de caractères ne protègera pas de la disqueuse qui est passé au travers de la fenêtre. Au lieu de s’acharner tout azimute, il faut d’une part regarder les dangers les plus immédiats/effectif puis se poser des questions à plusieurs niveaux. Moi les joyaux de nobles ou bourgeois, je m’en fou un peu, mais si c’est important on devrait se demander pourquoi l’ANSI n’est pas impliqué. Le directeur de l’époque c’est bien beau, mais en quoi c’est une bonne idée que la sécu repose sur une personne ? Si je me souviens bien la tour de Londres (qui contient les joyaux de la couronne) la salle d’exposition est sans fenêtre, les portes sont blindée à outrance (type porte ronde de coffre de banques), tu n’y a pas accès depuis la rue et il y a des hommes en arme.

Je ne dis pas que l’informatique n’est pas importante, juste qu’en sécurité il me semble qu’ici il y a des problèmes plus sensibles et qu’il faut savoir garder la tête froide plutôt que de demander la tête de tel ou tel personne.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je comprends pas comment quelqu’un a pus cliquer sur pertinent. Même si tu ne confondait pas examen et concours, ce que tu dit n’a aucun sens dans une discussion qui parle d’une certification professionnelle qui coûte 300 balles (ce qui est très bas pour une certification pro).

Tu t’es perdu parce que j’ai parlé du bac ? Il 90% des candidats l’obtiennent (et 80% d’une classe d’age l’obtiens). Tu es sûr que ça sert ton propos ?

Non je pense que le pertinent est un miss click, ça arrive.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'ai utilisé txt2tags pour saisir mes cours dans la seconde moitié des années 2000. J'aimais bien l'idée d'avoir mes propres macro dans le document. Je m'étais posé la question de contribuer à l'époque, mais j'ai trouvé trop con l'idée qu'il faille à tout prix que ça reste un seul fichier que j'ai préféré passer mon chemin

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

ACL n'est pas lié au réseau. En tant que dev ça vaudrait le coup d'y jeter un œil.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ben déjà le réseau, ce n'est pas Cisco.

L'autre nom de CCNA sur le site de Cisco c'est quand même "Implementing and Administering Cisco Solutions". Ton assertion est vraie dans le cas général mais pas ici. CCNA est littéralement faite pour que tu apprenne à utiliser leurs produits.

Le problème vient peut-être de là, j'ai l'impression d'après ta description que tu découvres des concepts via une préparation à un examen alors qu'un examen et une certification, c'est fait pour valider et certifier des acquis.

C'est une belle idée mais c'est globalement faux sinon il n'existerait pas de préparations aux examens. D'autant que c'est pas simple de faire la distinction. Un lycéen est-il entrain d'avoir des acquis et il va juste sanctionner cet acquis grâce au bac ou est-ce qu'il achète des annales pour préparer son exam ? Si ça peut être subtile dans le plupart des cas, pour la philosophie d'expérience c'est exclusivement de la préparation à l'examen, parce que tu ne fais pas de dissertation correct en ayant simplement compris des concepts philosophiques.

On avait eu un autre retour d'expérience, je crois que c'était pour préparer OSCP qui montrait les même choses.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

• CCNA Cisco Certified Network Associate et CCNP Cisco Certified Network Professional sont 2 certifications Cisco CCNP est encore plus exigeante que CCNA
• OSPF Open Shortest Path First : un protocole de routage réseau
• ACL Access Control List : une manière de gérer les autorisations
• GNS3 Graphical Network Simulator 3 C'est un logiciel pour tester des réseaux que tu simule. Tu crée des machines dans GNS et tu les connecte et tu test les quels peuvent se parler ou non par exemple
• VLAN (tu l'avais oublié) Virtual Local Area Network C'est me fait de configurer des réseaux différents sans avoir à toucher au câblage. Le routeur peut par exemple s'il a 4 ports considérer les 2 premiers dans un même réseau et les deux autres dans un autre
• QCM (tu l'avais aussi oublié) Questionnaire à Choix Multiple, c'est une façon de tester des connaissances où au lieu de laisser le candidat écrire la réponse qu'il veut, il doit choisir entre plusieurs propositions

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dingue d'avoir à expliquer des évidences pareilles.

Je suis certain que le commentaire auquel tu répond sait très bien tout ça et dit simplement que tu peut faire plus léger avec juste SSH et ton urxvt en local et qu’il n’avait pas besoin de ton fiel.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

On nous a vendu plein de supers applications

Tu as un exemple ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je persiste à penser que SFTP pourrait en bénéficier

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est moi ou le raccourci c'est Maj + Ctrl left ? Je comprends que l'ordre est là pour protéger justement les Ctrl + Maj + * et ça se fait de la main gauche en ISO comme en AINSI (quelque soit le layout).

J'utilise des gestionnaires de fenêtres pavant donc je peux pas vérifier

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est en tout cas ce qu’ils annoncent : Anthropic explore-t-il les données du web, et comment les propriétaires de sites peuvent-ils bloquer le robot d'exploration ?

Ça reste de l’op-tout

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Les smileys c'est un truc d'Américains qui vivent dans le premier degré et le politiquement correct.

L’existence des emojis japonais montre que c’est faux. D’après wikipedia, le point d’ironie a était inventé en 1841 par un belge. Ce qui est dommage en plus c’est d’expliquer que quelque chose n’est pas du sexisme en ajoutant des stéréotypes.

Utiliser des éléments pour s’assurer que le lecteur comprenne c’est accepter qu’il y a des personnes qui peuvent lire ton texte qui ont des cultures ou des sensibilités différentes. Ne pas le faire par fierté assumée ça me parait être de l’égo mal placé.

« c'était de l'humour »

Le problème ce n’est pas d’y croire ou pas. Faire de l’humour n’y change rien. Ce n’est pas parce que tu fais de l’humour que c’est réussi. Ce type d’humour n’est pas simple. Se défendre en disant que c’est de l’humour et expliquer que c’était une tentative d’humour et qu’on est surpris que ce soit pris ainsi ce n’est pas la même chose. Tous les humoristes que tu vois faire de l’humour noir on passé des années a remettre en cause leurs sketchs et leurs blagues avant d’avoir leur pertinence d’aujourd’hui.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

He ben je ne savais pas. J'ai proposé une correction, je sais pas ce que je peux faire de plus.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne savais pas que lauréat n’était pas épicène.

Sur 79 prix (depuis 1966, il y en a jusqu’à 3 par an), il y a 3 remis femmes.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J’apprécie les portraits que tu fais

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J’aime bien prendre l’exemple du prix Turing. Sur 79 lauréats (depuis 1966, il y en a jusqu’à 3 par an), il y a 3 femmes.

Si on omet toutes les hypothèses sexistes par nature qui veulent expliquer ça parce que les femmes aurait quelque chose intrinsèque qui les pousserait à ne pas faire un travail qui les rendrait éligible, il reste :

• montrer aux femmes que l’informatique c’est aussi pour elles
• s’assurer qu’elles peuvent faire carrière dedans :
  • ne pas les pousser à devenir chef de projet
  • les payer aussi bien que les hommes
  • ne pas les harceler
  • considérer leur travail
• s’assurer qu’on détruit déconstruit (faudrait pas que le féminisme paraisse trop radical… sic) tous les biais aux divers étages :
  • dans l’orientation
  • dans le recrutement
  • dans les évaluations en cours
  • dans le jury de prix Turing
• etc

C’est l’amélioration de l’ensemble qui permettra de passer de 3.80% de femmes à quelque chose qui se rapproche de 50. Oui il y a du boulot et c’est bien pour ça qu’il faut s’y mettre et il est difficile d’affirmer qu’on a aucun rôle à jouer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dans SSH il n'y pas vraiment d'intérêt au multiplexage vu qu'il n'y a qu'un shell.

Ça dépend des usages. Avec SFTP il n’y a pas qu’un shell, avec les bastions SSH non plus. C’est bien pour ça qu’il y a des fonctionnalités de multiplexage intégrées.

Et du coup pour le gain, il faut tester pour le vérifier, mais on peut imaginer qu’un rsync -e ssh puisse en bénéficier.

Niveau sécurité je ne vois pas vraiment d'avancée, SSH supporte déjà pléthore de méthodes d'authentifications et son protocole est éprouvé, au contraire de QUIC.

QUIC et HTTP/3 n’ont rien à voir avec l’authentification. Pour ce qui est de la couche de chiffrement, je préfère effectivement le modèle de confiance de SSH à celui de TLS. Par contre dire que TLS n’est pas éprouvé ça demande des arguments. Même en ne s’intéressant qu’à la version 1.3, elle reprend une majorité d’éléments de la version 1.2 et depuis maintenant 7 ans il est massivement utilisé.

De plus HTTP/2 et QUIC ont déjà pas mal de CVE à leur actif, forcément gérer du multiplexage rend les implémentations assez complexes.

HTTP/2 est un protocole conçu de manière un peu trop précipité et a reçu une adoption toute relative. QUIC a effectivement des CVE dans ces implémentations, mais ce à mon avis pas un argument suffisant. Le multiplexage a déjà était implémenté malgré le risque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est en cours donc on verra dans quelques années.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll