Tu peux pas comparer un MDP salé haché avec un MDP simplement haché en terme de robustesse, puisque le sel permet d'augmenter le nombre de hashs à faire pour l'attaquant, en fonction du nombre d'utilisateurs dans la base. Par exemple, si tu as 1000 utilisateurs, l'attaquant va devoir hacher chaque mot de passe candidat 1000 fois, une fois pour chaque sel.
Et donc la comparaison avec une fonction brute (raw sha1) perd son sens sans la dimension du nombre d'utilisateurs.
Cependant, un sha1 salé reste quelque chose de suffisamment lent à condition d'avoir beaucoup d'utilisateurs : c'est rarement le cas de yunohost.
Il y a donc un risque assez élevé en cas de fuite de la base de MDP, sauf si MDP sont très robustes (quasi-aléatoires).
C'est en cours, j'ai pas mal avancé cette après midi et logiquement ça devrait pas mettre le foutoir. Je vais pas proposer de .deb pour gplayweb, mais seulement une install via pip. La même pour gplaycli. C'est plus simple à gérer pour les dépendances. Pour la désinstalle, pour le moment dans le readme je liste les dossiers à dégager, à l'avenir il peut être intéressant d'intégrer un cleanup avec le setup.py (pip supporte ça ?) ou au sein du programme lui-même (ce qui m'embête un peu).
J'ai mis à jour le Readme en fonction de tes remarques, y'a une partie uninstall à la fin pour procéder à la purge de gplayweb : https://github.com/matlink/gplayweb
Pour gplaycli, ça devrait être moins compliqué sachant que tout est packagé dans son coin, un pip uninstall gplaycli suffit, et un rm -rf /etc/gplaycli /etc/cron.daily/gplaycli pour retirer les fichiers de confs et de cronjob au cas où ils auraient été installés.
Ton idée d'un wiki est intéressante, pour le moment j'ai 15 mille trucs à faire donc c'est dans ma TODO list.
J'ai été réticent à déployer un .deb car cela implique plein de conflit au niveau de dpkg+apt alors qu'avec pip (PyPi) tout est bien plus simple et peut se gérer dans un virtualenv pour plus de propreté (mais donc ne bénéficie pas des màj quasi-automatiques).
Je suis d'accord avec toi. C'est assez casse-tête avec Python pour inclure des librairies externes, packager tout ça et déployer en .deb ou avec pip.
Je suis en train de déployer GPlayWeb avec pip aussi, qui facilitera l'installation de tout le bazar. Logiquement, un "pip install gplaycli" suivi d'un "pip install gplayweb" devrait faire l'affaire. N'hésite pas à utiliser des virtualenv python pour faciliter le cloisonnement et la suppression de tout ce qui a été installé (vu que tout se situe dans le même dossier, tu dégages le dossier et t'as plus rien).
Cette erreur est dû au fait qu'il ne trouve pas GPlayCli. Et plutôt que de te casser la tête, pourquoi ne viens-tu pas poster une issue sur github ? en général je réponds assez vite (sauf si je dors) et ça t'évitera des galères surtout si tu es un utilisateur lambda comme tu dis.
Je conçois que mon projet n'est pas "Michu compliant", mais c'est un projet naissant, qui a besoin de grandir, d'avoir des retours comme les tiens, pour me dire qu'on manque d'info pour l'install', que tel ou tel bug fait planter l'appli, …
Je me suis concentré sur l'aspect installation que récemment, d'où le manque terrible de doc à ce propos et les bugs qui peuvent survenir en fonction des différents distributions…
En effet, mon script ne gère pas du tout les applications payantes, même déjà achetées. J'ai mis une issue sur le dépôt github https://github.com/matlink/gplaycli/issues/8, je m'y pencherai quand j'aurai le temps, probablement ce week-end.
En effet, tu dois utiliser mon fork de F-Droid server, qui contient cette méthode. Regarde le README à la racine du projet. J'ai pas encore eu le temps de push les modifs sur le master du dépôt d'origine.
Car je conçois ça comme un projet différent avec une problématique différente. GPlayCli est orienté côté serveur, GooglePlayDownloader est fait pour l'utilisateur final. Et GooglePlayDownloader importe des modules pas forcément utiles en ligne de commande.
Et comme j'avais dans l'optique d'ajouter une interface web, avoir le fork sous la main rend les choses plus simples.
[^] # Re: Mot de passe en md5 ?
Posté par matlink (site web personnel) . En réponse au journal Retour d'expérience Yunohost. Évalué à 3.
Tu peux pas comparer un MDP salé haché avec un MDP simplement haché en terme de robustesse, puisque le sel permet d'augmenter le nombre de hashs à faire pour l'attaquant, en fonction du nombre d'utilisateurs dans la base. Par exemple, si tu as 1000 utilisateurs, l'attaquant va devoir hacher chaque mot de passe candidat 1000 fois, une fois pour chaque sel.
Et donc la comparaison avec une fonction brute (raw sha1) perd son sens sans la dimension du nombre d'utilisateurs.
Cependant, un sha1 salé reste quelque chose de suffisamment lent à condition d'avoir beaucoup d'utilisateurs : c'est rarement le cas de yunohost.
Il y a donc un risque assez élevé en cas de fuite de la base de MDP, sauf si MDP sont très robustes (quasi-aléatoires).
-- Matlink --
[^] # Re: Compliqué...
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 1.
C'est en cours, j'ai pas mal avancé cette après midi et logiquement ça devrait pas mettre le foutoir. Je vais pas proposer de .deb pour gplayweb, mais seulement une install via pip. La même pour gplaycli. C'est plus simple à gérer pour les dépendances. Pour la désinstalle, pour le moment dans le readme je liste les dossiers à dégager, à l'avenir il peut être intéressant d'intégrer un cleanup avec le setup.py (pip supporte ça ?) ou au sein du programme lui-même (ce qui m'embête un peu).
-- Matlink --
[^] # Re: Compliqué...
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 1.
J'ai mis à jour le Readme en fonction de tes remarques, y'a une partie uninstall à la fin pour procéder à la purge de gplayweb : https://github.com/matlink/gplayweb
Pour gplaycli, ça devrait être moins compliqué sachant que tout est packagé dans son coin, un pip uninstall gplaycli suffit, et un rm -rf /etc/gplaycli /etc/cron.daily/gplaycli pour retirer les fichiers de confs et de cronjob au cas où ils auraient été installés.
Ton idée d'un wiki est intéressante, pour le moment j'ai 15 mille trucs à faire donc c'est dans ma TODO list.
J'ai été réticent à déployer un .deb car cela implique plein de conflit au niveau de dpkg+apt alors qu'avec pip (PyPi) tout est bien plus simple et peut se gérer dans un virtualenv pour plus de propreté (mais donc ne bénéficie pas des màj quasi-automatiques).
-- Matlink --
[^] # Re: Compliqué...
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 2.
Je suis d'accord avec toi. C'est assez casse-tête avec Python pour inclure des librairies externes, packager tout ça et déployer en .deb ou avec pip.
Je suis en train de déployer GPlayWeb avec pip aussi, qui facilitera l'installation de tout le bazar. Logiquement, un "pip install gplaycli" suivi d'un "pip install gplayweb" devrait faire l'affaire. N'hésite pas à utiliser des virtualenv python pour faciliter le cloisonnement et la suppression de tout ce qui a été installé (vu que tout se situe dans le même dossier, tu dégages le dossier et t'as plus rien).
Cette erreur est dû au fait qu'il ne trouve pas GPlayCli. Et plutôt que de te casser la tête, pourquoi ne viens-tu pas poster une issue sur github ? en général je réponds assez vite (sauf si je dors) et ça t'évitera des galères surtout si tu es un utilisateur lambda comme tu dis.
Je conçois que mon projet n'est pas "Michu compliant", mais c'est un projet naissant, qui a besoin de grandir, d'avoir des retours comme les tiens, pour me dire qu'on manque d'info pour l'install', que tel ou tel bug fait planter l'appli, …
Je me suis concentré sur l'aspect installation que récemment, d'où le manque terrible de doc à ce propos et les bugs qui peuvent survenir en fonction des différents distributions…
Merci de ton retour en tous cas, et n'oublie pas : https://github.com/matlink/gplayweb/issues
-- Matlink --
[^] # Re: applications non accessibles
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 1.
Il est possible que ces applications ne soient pas disponibles pour le type d'appareil correspondant à l'androidID que tu utilises.
-- Matlink --
[^] # Re: applications non accessibles
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 2.
En effet, mon script ne gère pas du tout les applications payantes, même déjà achetées. J'ai mis une issue sur le dépôt github https://github.com/matlink/gplaycli/issues/8, je m'y pencherai quand j'aurai le temps, probablement ce week-end.
-- Matlink --
[^] # Re: Applis payantes
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 4.
J'ai ajouté une Issue (https://github.com/matlink/gplaycli/issues/8) si tu veux pouvoir suivre l'état de l'avancement. Je vais jeter un oeil à cette demande ;)
-- Matlink --
[^] # Re: Contact...
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 1.
matlink@matlink.fr
-- Matlink --
[^] # Re: Grand merci ! :)
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 1.
C'est une bonne idée, j'y ai pensé mais pas encore eu le temps. Je mets ça dans ma todo list ! :)
-- Matlink --
[^] # Re: Super idée!!! Mais... petite erreur...
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 3.
En effet, tu dois utiliser mon fork de F-Droid server, qui contient cette méthode. Regarde le README à la racine du projet. J'ai pas encore eu le temps de push les modifs sur le master du dépôt d'origine.
-- Matlink --
[^] # Re: Parce qu'il faut bien demander
Posté par matlink (site web personnel) . En réponse à la dépêche GPlayCli et GPlayWeb : profiter de Google Play Store sans installer les Google Apps. Évalué à 5.
Car je conçois ça comme un projet différent avec une problématique différente. GPlayCli est orienté côté serveur, GooglePlayDownloader est fait pour l'utilisateur final. Et GooglePlayDownloader importe des modules pas forcément utiles en ligne de commande.
Et comme j'avais dans l'optique d'ajouter une interface web, avoir le fork sous la main rend les choses plus simples.
-- Matlink --