jtremesay a écrit 382 commentaires

merci d'avoir pris le temps de m'éclairer :)

Ça fait 10 ans que j'en avais pas entendu parler. Pis là ça fait 3 semaines que je le vois partout. Rien que sur linuxfr y'a eu 7 liens.

Pas une critique hein, je suis juste surpris et curieux.

source

Ben ça dépend de ce que voulons, nous, créatures sociales vivant dans une société.

Si on décide de rester dans une société capitaliste, tu vas pouvoir utiliser tout ce temps de gagné pour bosser sur d'autres trucs afin d'enrichir toujours plus ton patron o/

Mais sinon, moi j'aimerai bien pouvoir passer plus de temps à grimper en falaise, faire de la boulangerie et bosser sur mon FPGA que c'est moi qui l'a fait même si ça n'a aucun intérêt concret.

source.

Par manque de temps, j'ai délégué l'analyse au stagiaire transistoré :

Vue Générale

• Type d’extension: Correcteur / réécriture linguistique injecté sur toutes les pages (http(s):///, file:///*), via extension-loader.js et CSS associés.
• Permissions clés: activeTab, storage, contextMenus, scripting, alarms. Portée très large du matching d’URL (toute navigation + fichiers locaux).

Surface D’Injection

• Content scripts globaux: Injection sur toutes les pages, y compris documents locaux (), Google Docs/Slides (scripts dédiés), site LanguageTool, et éditeurs riches détectés dynamiquement.
• Détection d’éditeurs: Analyse d’éléments contentEditable, textarea, certains input (types texte/recherche). Les mots de passe sont exclus (type password non inclus dans la condition).
• Executor / loader: executor.js permet d’injecter et relier propriétés (value, selectionStart/End…) de wrappers aux vrais champs → accès direct au texte saisi.

Données Textuelles Collectées / Envoyées

• Texte complet soumis: Chaînes envoyées aux endpoints de vérification / réécriture: https://api.languagetool.org/v2, fallback, serveurs premium (api.languagetoolplus.com, rewriting server).
• Modes: Vérification paragraphe / texte, réécriture (paraphrasing), recommandations; envoi de segments + contexte (phrases, offsets).
• Métadonnées de contexte: textSessionId, instanceId, parfois motherTongue, variantes préférées, niveau (level), règles cachées activées.
• Email / destinataire: Si disponible recipientInfo.address / recipientInfo.fullName → inclus dans metaData (donc adresses et noms de destinataires peuvent partir aux serveurs). Réécriture: Corps JSON inclut text, userID, language, éventuellement email, token, indicateur premium.
• Ajout dictionnaire: Endpoint /words/add envoie word + identifiants (username, password ou tokenV2).
• Feedback / geoIP: Requête init récupère pays & langues probables (IP implicite côté serveur). Campagne / source marketing (cookie _ad_ref, ref_source, user.sessionInfo).
• Statistiques internes: Tracking performance (durées, nombre d’erreurs), erreurs filtrées, comptage d’erreurs masquées, activité utilisateur (ping intervals), potentiellement santé de l’extension.

Identifiants et Auth

• Credentials transmis: username (email), password ou tokenV2 pour fonctions premium / dictionnaire.
• Tokens / premium flags: En-têtes X-LT-p, X-LT-checksum.
• UserID explicite dans requêtes de réécriture.

Stockage Local / Persisté

• localStorage: Clés génériques ___host_storage (jusqu’à ~1MB). Contient paires {key,value}; absence de chiffrement; possible conservation de textes (ex: validator-text).
• Session info: user.sessionInfo (source campagne). Cache de préférences langue, état onboarding, textes temporaires.
• Aucune preuve ici de cryptage ou cycle d’effacement automatisé.

Limites / Protection Observées

• Exclusion champs sensibles: Password non traité (condition ne prend que text / search). Pas d’indication explicite d’exclusion pour input[type=email], données financières, formulaires médicaux.
• Scoping partiel: Focalisation sur zones éditables; pas de balayage global DOM non textuel, mais injection universelle permet lecture potentielle si heuristiques élargies. Minimisation partielle: Découpage par phrases / paragraphes mais texte intégral peut être assemblé par serveur (offsets + segments).
• Politique externe: Liens vers privacy/terms; aucune validation côté code sur classification sensible du contenu avant envoi.

Risques de Données Privées

• Ampleur: Toute rédaction sur le web (emails, documents internes, messagerie web, intranets chargés dans navigateur) peut être transmise.
• Destinataires Email: Adresse & nom → risques de corrélation sociale / mapping relationnel.
• Documents locaux (): Texte de fichiers ouverts localement (ex: brouillons html) potentiellement envoyé.
• Credential leakage surface: Password exclus, mais mots de passe accidentellement tapés dans champs texte normaux (ex: erreurs utilisateur) pourraient être envoyés. PII implicite: Noms propres, adresses, numéros présents dans le texte non filtrés.
• Rewriting server: Texte envoyé à domaine distinct (rewriting.languagetoolplus.com) – surface supplémentaire.
• Transport: Usage fetch avec mode:"cors"; dépendance TLS serveur; pas d’indication de redaction locale.

Ce Qui Ne Semble PAS Être Collecté

• Historique de navigation complet: Pas de permission history dans manifest.
• Cookies tiers: Pas d’utilisation explicite pour exfiltration (seulement login flows).
• Clair stockage systématique des pages entières: Focalisé sur inputs / segments linguistiques.

Points de Vigilance Technique

• executor.js injection code: Capacité d’exécuter scripts – s’assurer qu’aucune escalade via événements custom.
• Shadow DOM / iframes: Large surface; vérifier que détection n’inclut pas champs masqués / scripts de sécurité.
• Campaign tracking: Documenter clairement finalité (statistiques vs profil marketing). Conclusion

L’extension collecte et transmet principalement du texte saisi et des métadonnées linguistiques / de compte (email, userID, token, langue maternelle, variantes). Les limites actuelles protègent les champs password mais pas d’autres formes de PII textuelles.
La combinaison injection universelle + réécriture + destinataire email introduit un risque élevé de fuite de données privées si l’utilisateur rédige du contenu sensible.
Des mesures de minimisation, filtrage PII, transparence d’envoi, et restriction de portée devraient être priorisées pour réduire l’exposition.

Ou alors, peut-être le plugin a juste besoin d'accéder au DOM pour faire la traduction directement dans la page, tout comme le gestionnaire de mot de passe a besoin d'accéder au DOM pour remplir les formulaires de connexion ?

J'en sais rien, j'ai pas encore lu le code source pour savoir si oui ou non ils pompaient de la donnée privée.

Voilà l'article si vous ne voulez pas passer par bsky

je crois que tu as raté ton copié/collé.

https://www.nature.com/articles/s41557-025-01907-8.pdf

Mais tu comprendra que si on met pas des contraintes fortes sur les investissements des riches, on va nulle part.

Pour moi le "des riches" est en trop. Oui, on est dans une société capitalistique dans laquelle les plus riches ont un pouvoir décisionnaire disproportionné.

Mais regarde par exemple Saudi Aramco, la plus grosse compagnie pétrolière du monde. Elle n'appartient pas à "des riches", elle appartient à un État. Si tu veux un exemple plus proche de chez nous dans un état plus démocratique, y'a Equinor de Norvège, 11ème au classement mondial.

https://en.wikipedia.org/wiki/List_of_largest_oil_and_gas_companies_by_revenue

Là le problème, c'est pas (que) les riches. C'est surtout les investissements dans le pétrole, quelque soit leurs sources.

Les africains sub-saharien avaient vers 2020 une empreinte carbone de 1,6T par personne en moyenne. Les nord-américains, beaucoup plus riche, tu prend un facteur 10 de différence facile

Je suis d'accord, mais c'est pas mon point. Moi je disais que compter le propriétaire du moyen de production comme seul responsable de la pollution alors qu'il ne fait que répondre à la demande des consommateurs est un peu bof (même si il le fait dans l'unique but de se dégager une grosse plus value).

L'État est aussi responsable en ne légiférant/poussant pas suffisamment dans le bon sens.

Et nous aussi sommes responsables en consommant mal et votant mal.

On fait partie des riches globablement dans cette région du monde. On doit évidemment faire des efforts à ce titre.

En tant que riche de cette région du monde, j'essaye de faire ma part. J'ai pas le permis, je me déplace essentiellement à vélo, je bosse dans l'éolien, je participe au financement de ma coopérative locale de production et distribution d'électricité renouvelable et je donne à la Croix Rouge pour qu'ils puissent aider les plus démunis.

(Moule<, toi aussi participe au financement de ta coopérative locale de production et distribution d'électricité renouvelable)

Je pense que c'est une erreur de compter le patrimoine de la même manière que la consommation.

On average, a billionaire’s annual per capita investment emissions are 1.9 million tonnes of CO2e, which is 346,000 times more than the average person.

Imaginons que nous vivons dans une société où de chacun selon ses moyens, à chacun selon ses besoins et où les moyens de productions appartiennent à tous de façon égale.

Félicitation, maintenant le plus riche pollue autant que le plus pauvre. Mais ça n'a absolument rien changé au problème de base qui est qu'on pollue trop.

Toujours de meilleurs résultats que ma mamie sur Facebook :-/

So you know? The deal is simple.
If you’re a little guy, do whatever you want with my work.
If you’re a big guy, fuck you pay me.

efabless a fermé début Mars

ah zut, j'avais raté la news :'(

Avant Malcom X et les Black Panthers, le mot "Noir" étant assez peu utilisé pour désigner des… Ben des… enfin tu vois, des… les ?

Maintenant, tu es censé dire les personnes malicieuses / opaques / exclues :P

Yup. Pour aider à lutter contre la canicule, on fait 20% sur la "neige extra blanche" aux utilisateurs du manchot. Utilisez le code promo BTW I use Arch :P

J'avoue, la seule raison pour laquelle j'ai GrapheneOS est parce que je suis un dangereux narcotrafiquant et pas du tout parce que je voulais un truc qui marche sans péter les gonades sur mon Pixel 9 tout en limitant les saloperies de Google.

Ah, cher camarade, quel suspense, en effet ! On peut espérer que les LLM de demain, comme tou.te.s les êtres libres, pourront s'exprimer avec la richesse de toutes les langues, de Göthe à Shakespeare, et pas seulement avec la prose issue de la fange capitaliste du pillage numérique. Le jugement dont nous avons parlé est un premier pas : il dit "oui" à l'apprentissage (car la connaissance doit être libre !), mais "non" au vol. Alors, l'espoir demeure que la technologie, au lieu de se nourrir des récursions de l'exploitation, s'épanouira dans la diversité et la liberté, pour le bien commun !

TL;DR : Un juge américain a dit qu'entraîner une IA avec des œuvres sous droit d'auteur, c'est du "fair use" (usage équitable), parce que c'est "transformateur", ça crée quelque chose de nouveau. C'est une grande victoire pour les entreprises d'IA comme Anthropic ! Mais attention : avoir une énorme bibliothèque de livres piratés pour ça, c'est pas du tout "fair use" ! Anthropic va devoir rendre des comptes pour les millions de livres qu'ils ont piratés.

L’exemple donné des problèmes pour faire coder du Rust montre bien que l’IA n’a toujours rien compris à la programmation

Mes juniors formés à faire du python et du javascript sont incapable de faire du rust. Ont-ils pour autant rien compris à la programmation ?

qui certes semblent fonctionner admirablement bien s’il faut produire du code « médiocre » tant en termes de qualité (´article l’affirme) que d’originalité (je crains que l’auteur oublie ce point).

Ça tombe bien, c'est exactement ce que je lui demande. À lui le code chiant, stupide, rébarbatif; et à moi le code rigolo et intelligent.

j’ai coutume de sermonner mes étudiants en affirmant que la programmation est le domaine du zéro fautes. Pas de place donc pour les approximations.

et après tes étudiants découvriront ce truc qu'on appelle "les contraintes de la vraie vie". En entreprise (sauf cas particuliers critiques), avoir aujourd'hui un code qui gère 95% des cas >> à un code qui gère absolument tous les cas possible et inimaginable mais qui ne sera livré que dans 10 ans.

Qui sait, peut-être l’an prochain serais-je enfin convaincu. Avec un remplaçant à X11 et Wayland codé par AI et combinant les qualités des deux ? Qui sait.

tu attends aussi de tes étudiants qu'ils soient capable de faire ça ?

https://web.archive.org/web/20250317122419/https://benjaminaster.com/css-minecraft/

Sur téléphone leur application refuse très souvent l'empreinte digitale et exige de ré-entrer le mot de passe "pour notre sécurité." Et quelle sécurité amène ce mode de fonctionnement ?

je ne connais pas cette application en particulier; mais c'est habituel pour une app de demander plus ou moins régulièrement le mdp à l'utilisateur malgré la biométrie pour s'assurer qu'il ne l'a pas oublié.

Donc j'ai une question pour les experts en sécurité : quelles sont les dernières failles trouvées dans GNU ls, cp, grep, etc ?

https://app.opencve.io/cve/?vendor=gnu&product=coreutils

https://developers.cloudflare.com/waf/detections/leaked-credentials/ :

Once enabled, leaked credentials detection will scan incoming HTTP requests for known authentication patterns from common web apps and any custom detection locations you configure.
If Cloudflare detects authentication credentials in the request, those credentials are checked against a list of known leaked credentials.
(…)
Cloudflare does not store, log, or retain plaintext end-user passwords when performing leaked credential checks. Passwords are hashed, converted into a cryptographic representation, and then compared against a database of leaked credentials.

Oui le SI de CloudFlare voit passer tes mots de passes mais non les gens de CloudFlare ne sont pas censés y accéder.

toutafé. Mais hier quand j'ai réalisé que j'en avais un peu marre de mettre à jour les trucs muches à la main et qu'il était temps d'automatiser tout ça, c'est plus ou moins le seul truc pertinent et pas encore totalement mort que m'a retourné mon moteur de recherche préféré.

What is your top concern?

1. hit the docker hub rate limit https://docs.docker.com/docker-hub/download-rate-limit/ ?

2. or image download uses too much internet bandwidth / server resources ?

The former one is due to

1. Both `docker manifest inspect` and `docker service update` contributes to the dockerhub rate usage.

2. Shepherd runs `docker manifest inspect` on all services, even they have the same image before updating. We do need to check whether there is an update on all services, but we can cache the results.
   As a result, today, Shepherd would consume at least dockerhub rate 56 for your 28 stacks.
   But it seems shepherd does more than I understand, and consumes more than 200 dockerhub rate. Maybe the commands use more than 1 rate.

https://github.com/containrrr/shepherd/issues/125