Je bosse chez Google. Si tu me donnes une IP je peux voir à ouvrir un ticket en interne parce que ça me semble pas normal que les régions d'outre mer soient considérées différemment pour ça. Mais je pourrai sans doute pas répondre ici avec le résultat, au mieux tu constatera que le problème est résolu dans quelques jours, au pire c'est intentionnel (pour une raison qui m'échappe mais que je ne pourrai vraisemblablement pas divulguer) et tu aura toujours le problème.
Si tu veux pas donner d'adresse spécifique, tu peux donner le range correspondant (whois $ton_ip) (google "what is my ip address?" pour savoir ton IP).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
De mon expérience une certification ne risque pas de t'apporter grand chose. Il serait sans doute plus judicieux de lire quelques bouquins et/ou pratiquer (par exemple en bénévole ou en commençant avec un poste junior).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
L'auteur a une adresse e-mail clairement indiquée sur le site upstream et dans la page de man. Lui envoyer un patch de cette manière me semble plus simple que d'ouvrir un compte github.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Mais une mesure de « sécurité » qui ne fonctionne que dans l’hypothèse heureuse où l’attaquant n’a pas beaucoup de moyens, et ne me donne comme seule garantie que « vous n’êtes probablement pas attaqué, sauf si vous l’êtes »… je n’appelle pas ça un « gain net en sécurité ».
Avec un raisonnement pareil, autant abandonner tout de suite. Il n'y a pas de sécurité absolue. Un attaquant qui a suffisamment de moyens finira toujours par arriver à ses fins.
c’est difficile, la sécurité
De manière générale il me semble qu'on augmente bien plus la sécurité en rendant les mesures de sécurité plus accessibles qu'en mettant en place un système « parfait » et inutilisable. Voire par exemple https://www.google.com/search?q=usability+site:schneier.com
On peut débattre de savoir si le modèle de CA est « corrigible » ou s'il faut mettre en place un truc complètement différent mais ta conception de la « sécurité » ne me semble pas très réaliste.
Pour en revenir à la question de ted : ça dépend du modèle de menace. Si tu veux pas te casser la tête, Let's Encrypt me semble un bon point de départ et sera plus pratique qu'un certificat autosigné pour tes utilisateurs. Si tu ne fais pas confiance en ton hébergeur / ton serveur, HTTPS ne t'aidera de toute façon pas.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee…
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
On peut aussi argumenter que le fait que Let's Encrypt force le renouvellement de certificat régulier force les utilisateurs à automatiser et sécuriser le processus. Alors qu'auparavant c'était souvent fait de manière ad hoc.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
On pourra relier cette adresse au nom de domaine, d’une part parce que c’est une information publique et d’autre part car ton poste, avant que ton navigateur affiche la page, aura déjà demandé de résoudre le nom de domaine machin.com au serveur DNS de ta boîte :)
taux "garantis 48h", tu imagines bien qu'ils ne collent pas du tout au marché. Ou alors il y a d'autres produits accessibles via ces plateformes ?
CurrencyFair (et les courtiers forex plus traditionels) permet de mettre des « limit orders ». C'est mentionné sur https://www.currencyfair.com/how-it-works/
Ils se prennent une marge (bien plus raisonnable que les banques traditionnelles) mais ils te mettent bien en correspondance avec un acheteur/vendeur pour la transaction et du coup il n'est pas rare d'avoir des transactions qui s'effectuent en plusieurs fois à des prix différents (tout comme pour les actions).
Tu ne trouveras pas de bourse dédiée au marché du change. Ca n'existe pas.
Si on prend la définition du wikipedia francophone à la révision actuelle, effectivement, techniquement une bourse ne fait pas d'échange de devises. J'insiste cependant que le principe est le même et la distinction est assez académique. Si tu vas voir l'article anglophone par exemple, la traduction de « bourse » est « exchange » qui est subdivisé en plusieurs catégories dont « forex ». D'ailleurs l'article anglophone suggère qu'historiquement il y avait bien des « bourses » dédiées au marché du change (« Foreign exchange market – is rare today in the form of a specialized institution »).
Tu peux aussi échanger des actions, obligations et autres instruments financiers avec ton voisin de palier un dimanche matin (de gré à gré quand la bourse est fermée donc) sans passer par une bourse.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Outre ma réponse précédente (la boîte préfère investir en elle-même et les actionnaires espèrent revendre plus cher), une autre réponse possible au « pourquoi » est que dans certaines juridictions fiscales, on est taxé sur les dividendes mais pas sur les gains à la revente.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Quand j'achète des devises via TransferWise, CurrencyFair, idealFX ou autre il y a bien un intermédiaire qui gère un carnet d'offres et demandes dans chaque cas. Quand je vend une action Vodafone je peux le faire sur NASDAQ, LSE, SGX et probablement d'autres et ils ne vont pas forcément offrir le même prix.
C'est pas les mêmes types d'instruments financiers et les intermédiaires sont différents mais c'est le même principe : je suis mis en relation avec quelqu'un qui veut acheter/vendre ce que je veux vendre/acheter.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Si le but c'est d'investir dans le sens de faire croître une boîte, miser sur des dividendes me semble contre productif. C'est de l'argent que la boîte aurait pu investir en elle-même plutôt que de le distribuer aux actionnaires. Alors que si tu revends à un prix plus élevé, la boîte gagne en valeur tout en pouvant réinvestir et croître.
A priori les deux approches me semblent valide mais j'ai du mal à comprendre pourquoi certains commentaires trouvent problèmatique le gain sur la revente.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Pour être franc, je déteste l'idée que quelqu'un achète une action dans le but de la revendre plus tard à un meilleur prix. Je ne suis pas contre le fait de revendre les obligations/actions mais d'après moi lorsqu'on investit on devrait le faire sur du long terme et pas sur du court terme.
Ça sonne un peu comme une contradiction. Si j'achète une action et la revend à un meilleur prix 10 ans plus tard, c'est Bien ou Mal ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ils mentionnent effectivement que leurs archives sont disponibles à l'achat mais je ne trouve rien sur leur site qui permette d'effectuer cet achat. Il y a un lien spécifique que j'ai raté quelque part ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Nous nous marrons noirs
Posté par Krunch (site web personnel) . En réponse au journal Je ne demande qu’à payer !. Évalué à 10.
Je bosse chez Google. Si tu me donnes une IP je peux voir à ouvrir un ticket en interne parce que ça me semble pas normal que les régions d'outre mer soient considérées différemment pour ça. Mais je pourrai sans doute pas répondre ici avec le résultat, au mieux tu constatera que le problème est résolu dans quelques jours, au pire c'est intentionnel (pour une raison qui m'échappe mais que je ne pourrai vraisemblablement pas divulguer) et tu aura toujours le problème.
Si tu veux pas donner d'adresse spécifique, tu peux donner le range correspondant (whois $ton_ip) (google "what is my ip address?" pour savoir ton IP).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Nous nous marrons noirs
Posté par Krunch (site web personnel) . En réponse au journal Je ne demande qu’à payer !. Évalué à 4.
Tu peux donner un exemple d'adresse IP en Outre-Mer qui n'est pas considéré comme en France par Google Play ou Youtube ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: erreur de recruteur...
Posté par Krunch (site web personnel) . En réponse au journal Etude comparée de la popularité des langages de programmation sur linuxfr. Évalué à 4.
Je suis particulièrement déçu que cette étude ne tienne pas compte du jour de la semaine qui est bien connu pour influencer la réception des journaux : https://linuxfr.org/users/krunch/journaux/dlfp-journalyser-2-0-pas-de-veille-techologique-le-weekend
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# certification ou auto-apprentissage
Posté par Krunch (site web personnel) . En réponse au message Certification AWS et formation devOps. Évalué à 3.
Qu'est-ce que tu entends exactement par devops ?
De mon expérience une certification ne risque pas de t'apporter grand chose. Il serait sans doute plus judicieux de lire quelques bouquins et/ou pratiquer (par exemple en bénévole ou en commençant avec un poste junior).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: UUoG
Posté par Krunch (site web personnel) . En réponse au journal Noyau vulnérable ou pas ?. Évalué à 6.
Aucune de ces solutions ne me semble aussi pratique que grep.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: UUoG
Posté par Krunch (site web personnel) . En réponse au journal Noyau vulnérable ou pas ?. Évalué à 10.
Tu vois un autre moyen pratique d'afficher à la fois le nom de chaque fichier et leur contenu?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Merci pour vos réponses
Posté par Krunch (site web personnel) . En réponse au message Pas possible de répondre au message. Évalué à 3.
Tu peux effectuer une demande de fonctionalité sur https://linuxfr.org/suivi/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Intérêt d'un patch
Posté par Krunch (site web personnel) . En réponse au journal ZIP et fcrackzip. Évalué à 4.
J'ai jamais ouvert de compte github mais envoyer un e-mail m'a certainement l'air plus simple.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Intérêt d'un patch
Posté par Krunch (site web personnel) . En réponse au journal ZIP et fcrackzip. Évalué à 3.
L'auteur a une adresse e-mail clairement indiquée sur le site upstream et dans la page de man. Lui envoyer un patch de cette manière me semble plus simple que d'ouvrir un compte github.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# le thème du spatial, depuis 2011
Posté par Krunch (site web personnel) . En réponse à la dépêche 34C3 à Leipzig — Compte‐rendu de conférences 2017 sur le Libre & Open Source . Évalué à 2.
C'était déjà un des thèmes principaux au Chaos Communication Camp 2011 avec le Hacker Space Program : https://media.ccc.de/tags/Hacker%20Space%20Program
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 3.
Avec un raisonnement pareil, autant abandonner tout de suite. Il n'y a pas de sécurité absolue. Un attaquant qui a suffisamment de moyens finira toujours par arriver à ses fins.
De manière générale il me semble qu'on augmente bien plus la sécurité en rendant les mesures de sécurité plus accessibles qu'en mettant en place un système « parfait » et inutilisable. Voire par exemple https://www.google.com/search?q=usability+site:schneier.com
On peut débattre de savoir si le modèle de CA est « corrigible » ou s'il faut mettre en place un truc complètement différent mais ta conception de la « sécurité » ne me semble pas très réaliste.
Pour en revenir à la question de ted : ça dépend du modèle de menace. Si tu veux pas te casser la tête, Let's Encrypt me semble un bon point de départ et sera plus pratique qu'un certificat autosigné pour tes utilisateurs. Si tu ne fais pas confiance en ton hébergeur / ton serveur, HTTPS ne t'aidera de toute façon pas.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 2.
Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee…
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 3.
L'attaque est un peu plus difficile comme même. De plus, si une attaque a lieu il est plus facile de la détecter a posteriori.
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
https://en.wikipedia.org/wiki/Certificate_Transparency
On peut aussi argumenter que le fait que Let's Encrypt force le renouvellement de certificat régulier force les utilisateurs à automatiser et sécuriser le processus. Alors qu'auparavant c'était souvent fait de manière ad hoc.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: HTTPS
Posté par Krunch (site web personnel) . En réponse au message Requête en clair dans url du moteur de recherche ... Évalué à 3.
Aussi, parce que le nom de domaine est souvent passé en clair dans la requête : https://fr.wikipedia.org/wiki/Server_Name_Indication
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# HTTPS
Posté par Krunch (site web personnel) . En réponse au message Requête en clair dans url du moteur de recherche ... Évalué à 9.
(flemme d'expliquer, t'as juste à lire la page wikipedia)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 3.
CurrencyFair (et les courtiers forex plus traditionels) permet de mettre des « limit orders ». C'est mentionné sur https://www.currencyfair.com/how-it-works/
Ils se prennent une marge (bien plus raisonnable que les banques traditionnelles) mais ils te mettent bien en correspondance avec un acheteur/vendeur pour la transaction et du coup il n'est pas rare d'avoir des transactions qui s'effectuent en plusieurs fois à des prix différents (tout comme pour les actions).
Si on prend la définition du wikipedia francophone à la révision actuelle, effectivement, techniquement une bourse ne fait pas d'échange de devises. J'insiste cependant que le principe est le même et la distinction est assez académique. Si tu vas voir l'article anglophone par exemple, la traduction de « bourse » est « exchange » qui est subdivisé en plusieurs catégories dont « forex ». D'ailleurs l'article anglophone suggère qu'historiquement il y avait bien des « bourses » dédiées au marché du change (« Foreign exchange market – is rare today in the form of a specialized institution »).
Tu peux aussi échanger des actions, obligations et autres instruments financiers avec ton voisin de palier un dimanche matin (de gré à gré quand la bourse est fermée donc) sans passer par une bourse.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 2.
Même sans revendre les actions, leur valeur peut être utilisée comme contrepartie pour emprunter de l'argent par exemple.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 2.
Outre ma réponse précédente (la boîte préfère investir en elle-même et les actionnaires espèrent revendre plus cher), une autre réponse possible au « pourquoi » est que dans certaines juridictions fiscales, on est taxé sur les dividendes mais pas sur les gains à la revente.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 2.
Quand j'achète des devises via TransferWise, CurrencyFair, idealFX ou autre il y a bien un intermédiaire qui gère un carnet d'offres et demandes dans chaque cas. Quand je vend une action Vodafone je peux le faire sur NASDAQ, LSE, SGX et probablement d'autres et ils ne vont pas forcément offrir le même prix.
C'est pas les mêmes types d'instruments financiers et les intermédiaires sont différents mais c'est le même principe : je suis mis en relation avec quelqu'un qui veut acheter/vendre ce que je veux vendre/acheter.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 1.
Si le but c'est d'investir dans le sens de faire croître une boîte, miser sur des dividendes me semble contre productif. C'est de l'argent que la boîte aurait pu investir en elle-même plutôt que de le distribuer aux actionnaires. Alors que si tu revends à un prix plus élevé, la boîte gagne en valeur tout en pouvant réinvestir et croître.
A priori les deux approches me semblent valide mais j'ai du mal à comprendre pourquoi certains commentaires trouvent problèmatique le gain sur la revente.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 3.
Ça sonne un peu comme une contradiction. Si j'achète une action et la revend à un meilleur prix 10 ans plus tard, c'est Bien ou Mal ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Moi, oracle
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 6.
Tu peux expliquer la différence que tu penses qu'il y a entre « un marché de gré à gré » et « une place boursière » ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# ta compréhension des instruments financiers me semble pour le moins ténue
Posté par Krunch (site web personnel) . En réponse au journal Conséquences sociales des cryptomonnaies - 2. Évalué à 10.
Tu peux déjà te chauffer en brûlant de l'argent indirectement, il suffit de miner des bitcoins.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: un petit don
Posté par Krunch (site web personnel) . En réponse au journal Adieu Linux Journal. Évalué à 2.
Ils mentionnent effectivement que leurs archives sont disponibles à l'achat mais je ne trouve rien sur leur site qui permette d'effectuer cet achat. Il y a un lien spécifique que j'ai raté quelque part ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Respect des lectrices et des lecteurs
Posté par Krunch (site web personnel) . En réponse à la dépêche Dernière ligne droite pour l’appel à conférencier·e du PHPTour 2018. Évalué à 10.
Tes contributions orthographiques et grammaticales sont les bienvenues sur https://linuxfr.org/redaction pour la relecture des futurs dépêches.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.