PDF.js par défaut, j'ai tenu 30s avant de désactiver le truc: le rendu des fontes était vraiment moche
Et encore quand ça s'ouvre ! Je sais pas combien j'ai tenu, en temps, avant de le désactiver mais je dirais une dizaine de PDF qui posaient problème…
Toujours est-il que comparer à une fichier de suite bureautique le rendu visuel est plus homogène sur les différentes plate-formes avec un PDF.
On pourrait bien-sûr utiliser PS, LaTeX ou encore TIFF mais va falloir l'imposer dans les usages :)
D'ailleurs avec un format d'image comme TIFF on s'évite purement et simplement les problèmes de polices ou de règles de mise en page, le destinataire reçois bien ce que l'expéditeur a devant le nez…
En tous cas ce que j'en retiens c'est que seule Debian était impactée[1], l'upstream openssl et tous les autres qui se basaient[1] dessus n'ont pas été inquiétés.
Un bel argument en faveur d'un écosystème GNU/Linux avec, mettons, 5 grosses distrib' qui se partageraient 90% du marché desktop, ici seule l'une (et Ubuntu je suppose, donc deux) d'entre elles était impactée[1].
[1] Le premier Jack AllGood d'arrière-garde qui s'avise de me faire une seule remarque sur l'emploi de ces vocables dans mon commentaire je le fais disparaître à grands coups de poudre verte.
J'avais lu qu'un dév' avait initialisé cette variable avec une valeur fixe à des fins de test et avait oublié de la réinitialiser à partir d'une valeur aléatoire avant de livrer son code. Mais je me goure probablement, ton explication est sûrement la bonne.
personne ne relit le code, ceux qui le font n'ont pas les competences pour le faire bien, et ceux qui ont les competences ont bien trop de boulot pour le faire gracieusement.
Il y a bien des gens qui lisent le code, en témoignent toutes les découvertes régulières de failles potentielles.
Pour le openssl de Debian je me dis que la faille était tellement grosse et openssl étant réputé bien écrit, personne n'a eu l'idée d'auditer ce code en particulier. Je vais même jusqu'à penser qu'aucun black hat n'a eu l'idée de chercher ce genre de faille ici tellement ça paraissait saugrenue :)
Je me demande si le dév' Debian qui a introduit cette faille par mégarde se faire toujours charrier avec ça ?
Je reste convaincu que si la déclaration de cession est rédigée sur papier libre et qu'elle reprend bien les mêmes termes que le formulaire cerfa, avec les mêmes formulations (pas comme mon exemple, très simplifié), ça reste valable. Tout comme on peut rédiger un chèque sur papier libre de la même manière.
En tous cas j'ai jamais eu de problème pour faire immatriculer un véhicule de cette manière. C'était il y a quelques années c'est vrai, ça a peut-être changer et maintenant ils sont plus exigeants.
Quand ils disent que le formulaire cerfa est obligatoire ils parlent à mon avis de son contenu, pas de l'imprimé lui-même…
Posté par Marotte ⛧ .
En réponse au journal C'est un scandale !.
Évalué à 2.
Dernière modification le 11 octobre 2013 à 13:22.
C'est assez hypothétique que des gens qui se sont embêté a faire une spécification de 600 pages, plusieurs fois mise a jour, fasse exprès de casser des implémentation libre.
C'est assez hypothétique mais pas impossible. Pourquoi Adobe n'a pas adopté le standard ISO pour les formulaire PDF ? Il y a peut-être des raisons techniques je ne sais pas, je pose la question.
Si Adobe change le format personne ne peux le forker pour garder une compatibilité, le format appartient à Adobe, il n'est ni une norme de l'ISO ni libre…
C'est un format documenté mais propriétaire. Ce qui signifie qu'on peut très certainement l'implémenter dans un outil libre mais qu'Adobe peut le modifier comme bon lui semble et donc casser les implémentations libres.
Posté par Marotte ⛧ .
En réponse au journal C'est un scandale !.
Évalué à 2.
Dernière modification le 10 octobre 2013 à 22:16.
Et pas facile à combattre
Ça vaudrait limite le coup de se pointer à la préfecture et faire la queue pour obtenir le formulaire déjà imprimé, en signalant que tu ne peux pas l'obtenir via internet car tu refuses d'installer un logiciel propriétaire (qui en plus fait dans les 40 Mo).
Notre cher premier ministre n'a-t-il pas publié une circulaire préconisant l'utilisation de logiciel open-source ?
C'est vrai que ça fait peur. Lorsque je clique sur le lien pour télécharger Adobe Reader :
« Le logiciel Adobe® Reader® est la norme internationale libre, permettant de visualiser, imprimer et commenter des documents PDF de façon fiable. »
« Il s'agit du seul logiciel de visualisation de fichiers PDF capable d'ouvrir tous types de contenus PDF, y compris des formulaires et du multimédia, et d'interagir avec ces éléments. »
Monde de merde.
Après je reste convaincu que ce formulaire n'est pas obligatoire et que l'on peut très bien rédiger soi-même sur papier libre comme je l'ai dit plus haut.
En tous cas moi j'ai acheté deux véhicules et j'en ai vendu un, j'ai (ou le vendeur) jamais eu besoin de remplir un cerfa pour ça… Bref ce formulaire me semble être juste une aide, comme il existe des formulaires pour un bail ou autre, mais en aucun cas obligatoire.
J'ai l'espoir, ou la naïveté, de croire que les mots de passe des utilisateurs de ce site ne sont pas enregistrés en clair. Ça pourrait être marrant de tenter un « brute forçage » sur ceux-ci pour voir la proportion de mots de passe cassables facilement…
Je suis d'accord avec toi, entre un mot de passe qui protège un fichier chiffré, celui qui protège ton BIOS et celui qui protège un service en ligne ce n'est pas la même chose.
Le service en ligne va pouvoir bloquer au bout d'un certain nombre d'essais, pour le BIOS c'est pareil, je me demande comment on pourrait le brut-forcer (peut-être en réalisant une image du BIOS…) mais par contre si on récupère un fichier chiffré c'est pas dur d'essayer N passwords par seconde, N étant directement proportionnel à la puissance de calcul disponible.
J'ai un mot de passe de 8 caractères pour mon compte Facebook j'ai même pas peur :)
Par contre si on peut brut-forcer (dans le cas d'un fichier chiffré) je pense qu'il faut un truc quand même plus robuste, dont on ne peut pas « améliorer » le brute-forçage par des techniques comme celle décrite dans le lien cité par ce journal, ou encore des chaînes de Markov.
Bref un mot de passe résistant au brut forçage doit être assez long et totalement aléatoire, genre 4h,'6Lh7bN!J=y6)g8Q_0F2
Mettons qu'il y ait un keylogger (classique, juste l'enregistrement des touches du clavier) et pas de capture de l'écran à chaque clic de souris, que les touches du clavier virtuel soient mélangées ou pas ne change rien, non ? Le clavier virtuel rend inefficace le keylogger.
Dans le cas de capture de l'écran à chaque clic de souris, pareil, ça ne change rien. Le mot de passe est récupéré dans les deux cas (mélangé ou pas).
Il doit y avoir une raison mais ta réponse ne me satisfait pas.
Si on reste sur 6 caractères le fait qu'il y ait des lettres en plus des chiffres ça ne doit pas être vraiment plus difficile à retenir. C'est surtout la longueur qui fait que c'est plus dur à retenir. Enfin il me semble.
Ou alors les gens ne sont pas capables de retenir 6 chiffres aléatoirement choisis et collent une date de naissance. Mais dans ce cas, si on ajoute les lettres ils n'auront qu'à mettre leur plaque minéralogique :)
J'utilise des mots de passe plus simples que les tiens, style °°852kouteG:B36+, je peux en retenir quelques uns, à condition de les utiliser souvent (genre au moins 2 à 3 fois par semaine). Mais si je devais en retenir un pour une utilisation dans 3 mois je l'oublierai à coup sûr.
Si tu n'as pas une faculté de mémorisation exceptionnelle c'est que c'est moi qui suis franchement à la ramasse de ce côté là, ce qui est fort probable… :)
D'après le même article, à la vue de la puissance moyenne de calcul en 2013, avec 12 caractères on est pas mal ! Prends en 15 si t'es parano.
TrueCrypt qui recommande 25 caractères c'est pour le fun ?
Qu'entends-tu par « puissance moyenne de calcul en 2013 » ?
Si cette puissance de calcul moyenne représente la moyenne entre tous les ordinateurs (smartphones, super calculateurs et botnets inclus) ça ne donne pratiquement aucune indication sur la puissance de calcul des dispositifs les plus puissants.
[^] # Re: PDF
Posté par Marotte ⛧ . En réponse au journal Qualite des disques blu-ray enregistrables pour l’archivage des donnees numeriques. Évalué à 5.
Et encore quand ça s'ouvre ! Je sais pas combien j'ai tenu, en temps, avant de le désactiver mais je dirais une dizaine de PDF qui posaient problème…
Toujours est-il que comparer à une fichier de suite bureautique le rendu visuel est plus homogène sur les différentes plate-formes avec un PDF.
On pourrait bien-sûr utiliser PS, LaTeX ou encore TIFF mais va falloir l'imposer dans les usages :)
D'ailleurs avec un format d'image comme TIFF on s'évite purement et simplement les problèmes de polices ou de règles de mise en page, le destinataire reçois bien ce que l'expéditeur a devant le nez…
[^] # Re: Encore un point
Posté par Marotte ⛧ . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 3.
Je ne vois pas ce qui te permet d'affirmer ça.
[^] # Re: Encore un point
Posté par Marotte ⛧ . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 2. Dernière modification le 14 octobre 2013 à 19:04.
En tous cas ce que j'en retiens c'est que seule Debian était impactée[1], l'upstream openssl et tous les autres qui se basaient[1] dessus n'ont pas été inquiétés.
Un bel argument en faveur d'un écosystème GNU/Linux avec, mettons, 5 grosses distrib' qui se partageraient 90% du marché desktop, ici seule l'une (et Ubuntu je suppose, donc deux) d'entre elles était impactée[1].
[1] Le premier Jack AllGood d'arrière-garde qui s'avise de me faire une seule remarque sur l'emploi de ces vocables dans mon commentaire je le fais disparaître à grands coups de poudre verte.
[^] # Re: Encore un point
Posté par Marotte ⛧ . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 2.
J'avais lu qu'un dév' avait initialisé cette variable avec une valeur fixe à des fins de test et avait oublié de la réinitialiser à partir d'une valeur aléatoire avant de livrer son code. Mais je me goure probablement, ton explication est sûrement la bonne.
[^] # Re: Encore un point
Posté par Marotte ⛧ . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 1.
Il y a bien des gens qui lisent le code, en témoignent toutes les découvertes régulières de failles potentielles.
Pour le openssl de Debian je me dis que la faille était tellement grosse et openssl étant réputé bien écrit, personne n'a eu l'idée d'auditer ce code en particulier. Je vais même jusqu'à penser qu'aucun black hat n'a eu l'idée de chercher ce genre de faille ici tellement ça paraissait saugrenue :)
Je me demande si le dév' Debian qui a introduit cette faille par mégarde se faire toujours charrier avec ça ?
[^] # Re: Cerfa 13754
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 3.
Je reste convaincu que si la déclaration de cession est rédigée sur papier libre et qu'elle reprend bien les mêmes termes que le formulaire cerfa, avec les mêmes formulations (pas comme mon exemple, très simplifié), ça reste valable. Tout comme on peut rédiger un chèque sur papier libre de la même manière.
En tous cas j'ai jamais eu de problème pour faire immatriculer un véhicule de cette manière. C'était il y a quelques années c'est vrai, ça a peut-être changer et maintenant ils sont plus exigeants.
Quand ils disent que le formulaire cerfa est obligatoire ils parlent à mon avis de son contenu, pas de l'imprimé lui-même…
[^] # Re: Les formats!
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 2.
Et dire que c'est probablement la même chose si tu écris avec comme destinataire « Service informatique de la Préfecture Tartempion » /o\
[^] # Re: ou est le probleme?
Posté par Marotte ⛧ . En réponse au journal D'après Vidberg, la contrefaçon c'est le vol. Évalué à -1.
Comparer Vidberg à Britney Spears aussi…
[^] # Re: C'est pas standard, mais c'est pas fermé non plus
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 2. Dernière modification le 11 octobre 2013 à 13:22.
C'est assez hypothétique mais pas impossible. Pourquoi Adobe n'a pas adopté le standard ISO pour les formulaire PDF ? Il y a peut-être des raisons techniques je ne sais pas, je pose la question.
Si Adobe change le format personne ne peux le forker pour garder une compatibilité, le format appartient à Adobe, il n'est ni une norme de l'ISO ni libre…
Dans la même veine que XFA il y a RTF…
[^] # Re: C'est pas standard, mais c'est pas fermé non plus
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 3.
C'est un format documenté mais propriétaire. Ce qui signifie qu'on peut très certainement l'implémenter dans un outil libre mais qu'Adobe peut le modifier comme bon lui semble et donc casser les implémentations libres.
Ce n'est pas acceptable.
[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Tu devrais peut-être leur parler de
LDAPActiveDirectory…[^] # Re: Fuck Adobe
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 2. Dernière modification le 10 octobre 2013 à 22:16.
Ça vaudrait limite le coup de se pointer à la préfecture et faire la queue pour obtenir le formulaire déjà imprimé, en signalant que tu ne peux pas l'obtenir via internet car tu refuses d'installer un logiciel propriétaire (qui en plus fait dans les 40 Mo).
Notre cher premier ministre n'a-t-il pas publié une circulaire préconisant l'utilisation de logiciel open-source ?
# Fuck Adobe
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 10.
C'est vrai que ça fait peur. Lorsque je clique sur le lien pour télécharger Adobe Reader :
« Le logiciel Adobe® Reader® est la norme internationale libre, permettant de visualiser, imprimer et commenter des documents PDF de façon fiable. »
« Il s'agit du seul logiciel de visualisation de fichiers PDF capable d'ouvrir tous types de contenus PDF, y compris des formulaires et du multimédia, et d'interagir avec ces éléments. »
Monde de merde.
Après je reste convaincu que ce formulaire n'est pas obligatoire et que l'on peut très bien rédiger soi-même sur papier libre comme je l'ai dit plus haut.
En tous cas moi j'ai acheté deux véhicules et j'en ai vendu un, j'ai (ou le vendeur) jamais eu besoin de remplir un cerfa pour ça… Bref ce formulaire me semble être juste une aide, comme il existe des formulaires pour un bail ou autre, mais en aucun cas obligatoire.
[^] # Re: Cerfa 13754
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 4.
Un certificat de vente sur papier libre ne suffit pas ?
(avec le certificat de non-gage bien entendu)
?
# Cerfa 13754
Posté par Marotte ⛧ . En réponse au journal C'est un scandale !. Évalué à 3.
Je sais que je pourrais me renseigner moi-même sur mon moteur de recherche favoris mais je préfère poser directement la question ici.
Depuis quand il faut remplir un formulaire administratif pour acheter une bagnole ?
# Un petit test en réel ?
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 1.
J'ai l'espoir, ou la naïveté, de croire que les mots de passe des utilisateurs de ce site ne sont pas enregistrés en clair. Ça pourrait être marrant de tenter un « brute forçage » sur ceux-ci pour voir la proportion de mots de passe cassables facilement…
[^] # Re: Alors que penser de tout ça?
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 2. Dernière modification le 10 octobre 2013 à 20:06.
Gni ?!
Je suis d'accord avec toi, entre un mot de passe qui protège un fichier chiffré, celui qui protège ton BIOS et celui qui protège un service en ligne ce n'est pas la même chose.
Le service en ligne va pouvoir bloquer au bout d'un certain nombre d'essais, pour le BIOS c'est pareil, je me demande comment on pourrait le brut-forcer (peut-être en réalisant une image du BIOS…) mais par contre si on récupère un fichier chiffré c'est pas dur d'essayer N passwords par seconde, N étant directement proportionnel à la puissance de calcul disponible.
J'ai un mot de passe de 8 caractères pour mon compte Facebook j'ai même pas peur :)
Par contre si on peut brut-forcer (dans le cas d'un fichier chiffré) je pense qu'il faut un truc quand même plus robuste, dont on ne peut pas « améliorer » le brute-forçage par des techniques comme celle décrite dans le lien cité par ce journal, ou encore des chaînes de Markov.
Bref un mot de passe résistant au brut forçage doit être assez long et totalement aléatoire, genre
4h,'6Lh7bN!J=y6)g8Q_0F2[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 3.
Ça doit être ça. Chez l'une des banques chez qui je suis le pavé numérique virtuel n'apparaît en plus pas à la même place à chaque fois…
[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 3.
Et bien oui mais quoi…
[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 3.
Mettons qu'il y ait un keylogger (classique, juste l'enregistrement des touches du clavier) et pas de capture de l'écran à chaque clic de souris, que les touches du clavier virtuel soient mélangées ou pas ne change rien, non ? Le clavier virtuel rend inefficace le keylogger.
Dans le cas de capture de l'écran à chaque clic de souris, pareil, ça ne change rien. Le mot de passe est récupéré dans les deux cas (mélangé ou pas).
Il doit y avoir une raison mais ta réponse ne me satisfait pas.
[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Bien vu…
D'ailleurs, ça sert à quoi de changer les digits de place actuellement ?
[^] # Re: le truc des banques : un clavier virtuel pour saisir son pass
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 3.
Si on reste sur 6 caractères le fait qu'il y ait des lettres en plus des chiffres ça ne doit pas être vraiment plus difficile à retenir. C'est surtout la longueur qui fait que c'est plus dur à retenir. Enfin il me semble.
Ou alors les gens ne sont pas capables de retenir 6 chiffres aléatoirement choisis et collent une date de naissance. Mais dans ce cas, si on ajoute les lettres ils n'auront qu'à mettre leur plaque minéralogique :)
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 6. Dernière modification le 10 octobre 2013 à 13:24.
J'utilise des mots de passe plus simples que les tiens, style °°852kouteG:B36+, je peux en retenir quelques uns, à condition de les utiliser souvent (genre au moins 2 à 3 fois par semaine). Mais si je devais en retenir un pour une utilisation dans 3 mois je l'oublierai à coup sûr.
Si tu n'as pas une faculté de mémorisation exceptionnelle c'est que c'est moi qui suis franchement à la ramasse de ce côté là, ce qui est fort probable… :)
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 1.
TrueCrypt qui recommande 25 caractères c'est pour le fun ?
Qu'entends-tu par « puissance moyenne de calcul en 2013 » ?
Si cette puissance de calcul moyenne représente la moyenne entre tous les ordinateurs (smartphones, super calculateurs et botnets inclus) ça ne donne pratiquement aucune indication sur la puissance de calcul des dispositifs les plus puissants.
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Marotte ⛧ . En réponse au journal La proche fin des mots de passe. Évalué à 7.
Si tu dis vrai je trouve personnellement que tu as une faculté de mémorisation très au dessus de la moyenne.