Il y a plusieurs fait qui font que les DRMs ne peuvent pas être efficaces :
- La facilité de copie des données numériques :
Toute donnée numérique est très facilement copiable à l'identique. C'est un des intérets du numérique.
Cela implique que, malgré les protections mises en place, si une seule copie non protégé est faite à un moment par quelqu'un dans le monde, cet unique exemplaire non protégé pourra être reproduit en de mutiples copies. La protection n'aura donc plus aucun moyen d'agir. Avec les technologies de communications qui évoluent, une seule copie non protégée d'un document peut permettre à tout le monde d'obtenir une copie non-protégée du document.
Il faudrait donc que le système de protection soit vraiment très éfficace et inviolable pour que des documents protégés ne puissent pas être diffusés. On en arrive donc au deuxième point.
- Une protection qui ne peut vraisemblablement pas être efficace :
Le principe d'un DRM, c'est de donner à un utilisateur un document qu'il ne peut pas lire (donc crypté), et d'un autre coté de lui fournir un outil pour lire le document (décrypteur).
Donc l'utilisateur a en main le message codé et le décodeur. Déjà, ça sent pas bon pour l'efficacité de la protection. Même si effectivement les choses peuvent être fait de manière à brouiller les pistes, si un grand nombre de personnes (des consomateurs exaspérés par exemple :p ) mettent leurs travaux en commun de manière à analyser le décodeur et le message codé, je ne donne pas longtemp au décodeur avant qu'il ne délivre son secret. On finira bien par avoir un mec qui obtiendra une version déprotégé du document, et là on retourne au point 1.
De plus, pour que les documents soient exploitable, il faut évidemment que le système de cryptage ne soit pas trop complexe pour pouvoir être décodé en live. Imaginez qu'il faille faire précharger son fichier quelques secondes/minutes/heures avant de pouvoir le lire... ça passerait pas. Et le fichier DOIT être lu en live, il ne peut pas être décodé à l'avance, car sinon il serait stocké décodé quelque-part et donc grosse faille.....
La vitesse de calcul des machines évolue, donc on peut se dire que ce point ne sera bientôt plus vrai, on pourra avoir des protections très complexes lu en live. Mais d'un autre coté les machines des crackers évoluent aussi. Donc ils auront aussi plus de puissance de calcul pour décoder.....
Enfin bon... vous avez compris :)
- Un protection qui se contourne :
Prenons le cas de la musique. On a un document qui est protégé, et un lecteur.
La protection, elle touche le fichier musical. Mais par contre la musique elle arrive bien à mes oreille non crypté.
Donc, même si je ne peux pas décrypter le fichier protégé, il y a un certain nombre de moyens de récupérer la musique entre le moment ou le fichier est lu par le lecteur et le moment ou les ondes arrivent à mes oreilles.
On peut gérer ça en numérique, dans le PC, en enregistrant le son qui sort du logiciel de lecture. Ou alors en récupérant les données dans la memoire du PC, ou en allant fouiller dans la memoire de sa carte son.... mais pour tout ça il y a tout de même les supers systèmes de protection materiel. Donc bon, on peut continuer plus loin, en récupérant le son qui sort de la prise son du pc, ou dans le cas d'une sortie numérique avec protection poussée jusqu'aux enceintes, on peut aller démonter ses enceintes et récupérer le signal analogique sur les branchements sur le HP.
Et puis si les enceintes ont un système d'alarme anti-bidouillage, on peut toujours s'installer dans une pièce bien silencieuse, installer des micros comme il faut et enregistrer le son qui sort.
Le son sera peut-être moins bon, mais de toute façon quel est la qualité de la musique en général sur le net ? C'est pas terrible non plus. Donc ça changera pas grand chose, mais on sera pas embété par des protections.
Donc au final, tant que les humains n'auront pas des puces de décryptage implanté sur le nerf auditif pour décripter les sons autorisés, les DRM ne pourront pas avoir une vraie efficacité. (et même, si on implante un décrypteur sur le nerf auditif, qu'est-ce qui empêche d'implanter aussi un enregistreur sur ce même nerf, juste derière le decrypteur ?? :D
En contre partie, la motivation pour faire sauter ces "protections" qui sont de vrais emmerdements pour les utilisateurs, cette motivation sera très forte, et réunira de plus en plus de monde. Donc les tentatives de contournement ne pourront que s'intensifier, ce qui réduira d'autant l'efficacité des système de protection.
Donc je confirme que les systèmes de protections ne peuvent pas être efficaces, et que donc les tentative de lutte contre le "piratage" comme cette loi DADVSI sont totalement vaines.
En passant, si la loi devient effective, ce message devra s'autodétruire car il décrit des systèmes de contournement de DRM. Je risque gros :D
Tient d'ailleur je me demande ce qu'ils attendent pour mettre en place une taxe sur le cannabis et sur l'ecstasy.
C'est incompréhenssible de ne pas avoir mis ça en place plus tôt. J'vais aller voir notre pote R2DV pour lui en toucher deux mots. Il doit bien avoir des relations lui permettant de lancer un projet de loi dans ce genre, il gère bien les projets de loi merdique :)
Ce dont j'ai peur, c'est le gros impact que risque d'avoir cette annonce sur l'économie Française :
60 millions de français incapable de s'assoir pour les prochains jours pour cause de sod**** trop profonde.
Les arrets de travail vont pleuvoir !! heureusement que c'est l'week-end.
Le problème, avec DADVSI, c'est bien l'impossibilité de jouir d'une oeuvre légalement achetée comme on l'entend, à *titre personnel* (ou familial).
Il n'y a pas que ça de problèmatique dans DADVSI, et la question de la légalité du téléchargement est un point très important.
Concernant la légalité du téléchargement, le gros problème c'est qu'ils ne prennent absolument pas en compte la réalité de l'évolution technologique actuelle.
Nous sommes dans une société ou les moyens de communication sont de plus en plus nombreux. Donc il est de plus en plus facile d'échanger n'importe quel information avec n'importe qui.
Si on veut continuer dans cette évolution des moyens de communication, il est impossible d'éviter les échanges entre particuliers de musique, de films ou autres données dont la redistribution est actuellement reglementée.
Certains diront que justement les DRM sont fait pour ça, mais il est évident que les DRM ne pourront jamais fonctionner, et qu'ils seront toujours uniquement un boulet pour les personnes cherchant à être dans la légalité (je ne m'étend pas la dessus, mais si quelqu'un veut des précisions... :p ).
Donc les seules solutions pour sortir de cette situation, c'est soit de stopper l'évolution des technologies de communication, et abandonner internet, le wifi etc...
Soit il faut changer notre perception des échanges entre particuliers et accepter le fait que ces échanges ne peuvent pas être contrôlés.
La première solution étant inaplicable, il n'y a en fait qu'une solution.
Il faut donc prendre acte de l'évolution de notre société, et adapter nos habitudes et nos lois à cette évolution.
Cette adaptation passe par une légalisation des échanges non commerciaux entre particuliers.
Comme il faut évidemment que les artistes et autres auteurs des données échangées puissent vivre, et étant donné que c'est la société dans laquelle nous vivons nous donne accès à ces systèmes d'échanges nouveaux, il me semble normal qu'un système équivalant à une taxe (quelque-chose que l'on paye à la société) sur ces échanges soit mis en place, les bénéfices de cette taxe devant être redistribués aux ayants droit.
Cette solution est loin d'être précisément défini ici, beaucoup de choses peuvent découler de cette base (dont par exemple la proposition de licence globale qui avait été faite, mais pas uniquement), mais il me semble qu'il est inévitable d'en arriver à un système de ce type dans le futur.
Donc le point sur la penalisation des échanges, justement, je ne m'en fout pas dut tout, et je pense même que c'est une des grosses erreurs de ce texte de loi.
Aux USA, tu dois souscrire des assurances. En France on te prélève directement et pas qu'un peu.
Mais pendant ce temps la, le gars au chomage ou qu'a pas un bon boulot, avec une maladie grave, en France il est soigné, et aux USA il crève.
Donc effectivement on paye aussi en france, mais on le fait de manière plus humaine.
Et moi qui ne suis jamais malade et qui n'achète jamais de médoc ou qui ne vais jamais chez le medecin, je suis très content de voir mon salaire amputé chaque mois, car ça me sauvera peut-être la vie un jour, et surtout ça sauve la vie à beaucoup d'autre.
chaque système a sa manière d'installer des polices et de les gérer, je ne pense pas que cela soit compatible.
A ma connaissance, il n'est pas necessaire qu'un police soit installé sur le système pour pouvoir l'utiliser.
Il suffi que le programme est le chemin d'accès au fichier/données de la police et c'est suffisant non ?
Donc si une police est intégré au document ODT, cela n'implique même pas forcemment que cette police soit installée chez le destinataire.
Donc je ne vois effectivement pas de raison que ça ne se fasse pas. Ce serait une fonctionnalité intéressante.
Je suis tout à fait d'accord sur l'analyse.... mais pas sur la conclusion :)
Il faut absolument faire évoluer les capacité du protocoles Jabber et des clients IM, et prendre en compte les divers truc eye-candy qui sont dispo sur MSN.
Mais en quoi cela demande à ce qu'une passerelle MSN soit proposé sur les serveur Jabber ??
Il me semble justement que c'est une perte de temps de maintenir un truc comme ça. Ca demande visiblement beaucoup de temps et de ressources, sans apporter un réel avantage. Donc pourquoi conserver ça ?
Il serait plus profitable de placer le temps et les ressources pour des projets d'évolution des clients IM ou des protocoles Jabber.
Pour lancer simplement une commande avec les permission de superUtilisateur sous ubuntu il suffit de faire :
sudo Commande
Donc dans ton cas, pour lancer le programme dhclient, il faut faire :
sudo dhclient
Il te demandera ton mot de passe utilisateur, et c'est gagné.
Si le simple fait d'appeler dhclient permet de régler ton problème, cela veut dire que ta carte réseau est bien installée mais que c'est la configuration qui n'est pas bonne.
Dans ce cas, il faut que tu reconfigure ta carte réseau pour qu'elle obtienne automatiquement une adresse ip auprès d'un serveur DHCP (ce que fait dhclient). Pour ça je pense qu'il doit y avoir des applications graphique sous Ubuntu qui gère bien ça.
Le risque est que quelqu'un (humain ou virus ou autre) prenne le controle de ta session, et puisse faire ce qu'il veut de ta machine car étant en utilisateur Root.
Il y a obligatoirement une autre solution bien meilleure. Reste à la trouver :D
Effectivement, le LiveCD ne se comporte pas forcemment comme l'installation finale. Pour moi aussi la connection réseau fonctionnait parfaitement avec le LiveCD.
Pour ta carte, il semble que le module s'appelle "8139too"
Donc tu peux vérifier si ce module est bien chargé en faisant un :
lsmod | grep 8139too
La manip à faire à mon avi est avant tout de voir si ta carte réseau est chargée.
Tu fais un ifconfig, et si tu as un eth0 c'est que la carte est chargée.
Dans ce cas, tu peux la décharger en faisant un :
ifdown eth0
Puis tu décharge le module actuel :
modprobe -r NomDuModule
Après il faut charger le bon module pour ta carte :
modprobe 8139too
Puis relancer ton eth0 :
ifup eth0
Tu devrais te retrouver avec une carte réseau chargée avec le bon module.
Après, il faut voir pour qu'au redémarrage ton pc se remette pas sur la config qui merde. Donc pour ça il faut blacklisté le module qui est actuellement utilisé. Pour ça tu trouvera des fichier blacklist dans /etc/mod (ou un truc dans le genre, je sais plus exactement le chemin.
Surement pas. Si l'installation précédente n'a pas donné de bon résultat, une réinstallation ne donnera probablement pas grand chose de plus.
La solution à mon avi est de verifier comment ta carte est installée.
Vérifier sur le matériel est bien détecté (visiblement oui, cf lspci)
Verifier le module (driver) utilisé
Vérifier la configuration utilisée.
Je ne suis pas spécialiste, mais j'avais eu également des problèmes avec ma carte réseau sur Ubuntu.
Le problème était lié à la détection du module pour ma carte. L'installation avait jugé que le module adapté à ma carte était le module "tulip", alors que le bon module pour gérer ma carte était le module "dmfe".
Dans ce cas, j'ai donc du désactver le module tulip (blacklisté) et lancer le module dmfe.
Après ça, plus de problème pour moi.
Pour pouvoir t'aider plus précisement, il faudrait que tu donne des infos sur ta carte (marque, nom etc....), et sur le module utilisé pour la gestion de cette carte (avec un lsmod tu peux voir les modules chargés, pour connaitre celui utilisé pour ta carte réseaux... je sais pas comment faire :p )
Beaucoup de client IM gérant le protocole Jabber proposent aussi d'autres protocoles il me semble.
Quand on utilise Gaim, ou Kopete, quel est l'interet d'avoir une passerelle MSN sur le serveur Jabber ? (ou alors j'ai pas compris ce qu'était cette passerelle :p )
Donc au final, il me semble que l'interet de la passerelle n'est pas très grand. Sa disparition ne devrait pas poser trop de problèmes aux utilisateurs Jabber, qui sont généralement des utilisateurs avertis en informatique et qui trouveront donc sans problème un client leur permettant de garder des contacts avec leurs amis MSNiens.
Après, on peut déplorer la perte d'une certaine interopérabilité suite à la disparition de cette passerelle. Mais MSN n'étant de toute facon pas un système déstiné à être interopérable, la perte n'est pas vraiment grave IMHO.
Salut, et felicitation ! C'est vraiment sympa cette appli.
Maintenant, étant moi même dans mes heure perdu un amateur de codage en JS, doublé d'un coté pointilleux sur le respect des standards W3C et de l'accessibilité, j'ai quelques suggestions à te soumettre.
Une des principales critiques que l'on entend à propos du JS, c'est que ça pose des problèmes d'accessibilité.
Ta librairies pourrait à ce niveau être un peu améliorée il me semble.
Un point sur l'accessibilité
Pour l'ajout d'images à un slideshow, tu demande de remplir un tableau JS. Ne serait-il pas préférable de charger des données tirées du fichier HTML ?
Ainsi, si les images sont intégrées au document HTML, même si le JS est désactivé, les images peuvent être vue. Et les données se rapportant aux images également (titre, description, etc...). Ensuite, ta librairie JS peut récolter les informations, masquer les images d'origine et proposer une interface interactive comme tu l'a si bien fait.
Au lieu de mettre dans la page HTML une balise vide <div id="mySlideshow"></div>, on pourrais très bien imaginer que la liste des images à afficher soient placées dans cette balise DIV.
Pour la cohérence sémentique, je pense que ces images pourraient être placées dans une liste.
Et pour éviter que les images soient chargées si le navigateur du visiteur utilise du JS (ce qui peut ralentir le chargement, surtout s'il y a beaucoup d'images, et il me semble que ton script gère le chargement des images non ?) tu peux placer le tout dans une balise <noscript>, ce qui fait que le tout sera ignoré en cas d'activation du Javascript chez le client (à verifier ce point tout de même). Par contre les client sans Javascript pourront voir le contenu et en profiter.
exemple :
<div id="mySlideshow">
<noscript>
<ul>
<li>
<a href="URL_de_destination.html" title="Titre de l'image">
<img src="Fichier imge.jpg" alt="description de l'image" />
</a>
</li>
etc....
</ul>
</noscript>
</div>
(le titre pourrait être placé dans la balise IMG ou A, peu importe. On pourrait également ajouter des attributs rel aux balises A ou IMG, pour associer d'autres informations complementaires)
Il suffit ensuite de faire une simple fonction JS d'initialisation analysant le contenu de la balise #mySlideshow et en tirant les informations avec quelques outils DOM. (Tout cela se déroulant donc avant l'appel de la fonction initSlideShow(), ou étant intégré à cette fonction).
Autre suggestion...
Un point sur la simplicité d'utilisation
La gestion de l'évenement 'onload' de la page pourrait il me semble être intégré à tes scripts. Ainsi, avec ma remarque précédente en plus, la seule ligne de code que l'on aurait à ajouter au document (en plus des lignes de chargements des fichiers JS) HTML pourrait être du genre :
preLoadSlideShow('IdDeLaBaliseDivDuSlideShow');
Cette ligne pourrait même être intégré direct au fichier JS, et si l'utilisateur veut la modifier il peux éditer le fichier JS. Ainsi on à une bonne séparation du HTML et du JS.
Dans la fonction préload, tu te chargerais de lancer l'écoute de l'évenement onload, et d'enregistrer l'ID de la balise contenant les données du slideShow, pour analyse une fois la page HTML chargée.
Et enfin, dernière choses ...
Un point sur la manière de coder
Tu devrais essayer de rendre ton code plus OO. On vois déjà que le principe est là, mais tout est séparé dans des fonctions multiples...
Ca demanderais probablement pas grand chose pour obtenir la même chose, mais en OO.
Tu devrais IMHO former une classe dans laquelle tout serait bien à sa place.
Un avantage direct pour toi, c'est que t'aura plus X variables globales de déclarées (une s'eule suffit), et donc t'aura plus à te torturer l'esprit pour trouver des nom de variable sans redondance (et ça évite les noms très long, et les conflits de variables avec d'autres scripts.
Et puis tu pourra tiré profit du coté OO du JS, qui est intéressant IMHO.
Par contre, niveau performences, je n'ai aucune idée de l'impact que ça peu avoir. Quelqu'un saurait dire ??
Si tu te demande ce que j'entend par plus OO, tu peux voir un exemple dans la lib Prototype que tu utilise. C'est en lisant cette lib que j'ai découvert le fonctionnement des objets JS, et ça à changé ma manière de faire du JS.
Voila, c'était mes trois copek de contribution cognitive.
En espèrant que ça pourra t'aider et t'inspirer pour la suite :)
Et si t'as besoin d'coups d'main, de conseil, ou autre (je prétend pas être très doué, ou meileur que toi, mais une ame exterieur peut parfois aider :p), hésite pas à m'contacter, j'aime vraiment beaucoup l'concept et j'trouverais bien une tite poigné d'minutes pour répondre :)
Je m'interroge sur la facilité de la chose tout de même....
le code génétique de l'OGM reste nécessaire publiquement accessible, puisque distribué dans chacune des cellules de l'OGM
Certe le code génétique final est disponible plus ou moins librement. Mais cela ne permet absolument pas de savoir comment les modifications/évolutions on étés obtenues.
Or, suivant le prossédé utilisé, je suppose que les concequences sur divers parties du génome peuvent varier.
il est dès lors relativement trivial d'identifier les modifs qui ont été faites, et de là déduire ce qu'elles impliquent sur le plan métabolique, puis d'imaginer les conséquence sur le plan de la santé publique.
S'il était si trivial de trouver des déformations génétiques depuis un echantillon d'ADN, je pense que la génétique serait nettement plus évoluée et omniprésente dans nos vies de tous les jours.
Il me semble au contraire qu'il est plutôt complexe de trouver exactement les modifications apportées à une chaine ADN. Il ne faut tout de même pas oublié que l'ADN contient beaucoup d'infos, et qu'il est donc complexe de tout analyser et de tout comparer (surtout que chaque être est différent. Comment savoir sur tel changement est dû à une modif génétique ou à un particularité naturelle de la plante d'origine ?)
Et vu la complexité des organismes vivants, retrouver toutes les concequences éventuelles d'une simple modification sur un gène relève il me semble de la prouesses technologique. Je doute que nos capacités scientifique actuelle le permettent vraiment (comment savoir qu'en changeant tel géne qui à un rôle dans la génération de tel substance, cela ne va pas aussi jouer sur tel autre subtance et dérègler tout le système imunitaire par exemple ?).
Pour faire une allusion à l'informatique, on pourrait dire par exemple qu'il est trivial de faire des tests sur un driver propriétaire, et donc d'en analyser le fonctionnement. On se demande bien pourquoi nous n'avons pas encore des équivalant libre aussi bon, voir meilleur car débarassé d'éventuels bugs.....
Un non informaticien pourrait se dire que effectivement, c'est incompréhensible. Mais en tant qu'informaticiens, nous savons bien ici que c'est très complexe à faire.
Il existe des lecteurs d'écrans ou autres outils spécialements conçu pour les mal-voyant. Et ces outils là ils savent gérer les formulaires normaux. Il sauront dire à l'utilisateur que y a un champ appelé identifiant et un autre champs appelé code confidentiel.
Par contre, sur un truc comme le clavier virtuel, il n'y a que des images (donc pas de champs de formulaire), sans texte alternatif (et mis en page n'importe comment).
Donc au mieux le lecteur d'écran il pourra dire : Il y a 20 images appelés "case 01", "case 02", "case 03"........ "case 20". Mais il sera incappable de dire ce que représente l'image. Donc le non-voyant il a aucun moyen de passer une système comme ça.
Donc, automatiquement il faut un système alternatif pour les non-voyant (ou alors on brule les non-voyant, ce serait peut-être plus simple :p), et donc tu te retrouve avec deux méthodes d'accès, et donc deux méthodes attaquable au lieu d'une seule.
Donc l'idée de lutter contre les keylogger est intéressante, mais la manière dont ils font ça est totalement pourrie.
J'avais entendu parlé, par des amis l'utilisant, d'une banque sur internet, n'ayant pas d'agences physiques, mais étant très intéressante et proposant des services peu cher et efficaces.
Je n'ai jamais pu retrouvé le nom, si quelqu'un sais de quoi il s'agit et ce que ça vaut, ça m'interesserait, et je suppose que ça pourrait aussi intéresser Thomas Bigot.
Sinon, pour mon experience personnel, j'utilise HSBC, ils ont un service web qui fonctionne assez bien, sans clavier virtuel pour le moment (je touche du bois).
Je dirais en gros que je suis satisfait, mais sans plus.
Peut faire mieux, mais le principal est là et c'est déjà bien.
Je suppose qu'un serveur web en mode sécurisé ne log pas en clair les infos reçu.
Si c'est le cas, c'est une très grave erreur de sécu de la part du serveur web, pas directement de la banque.
En l'occurance le serveur utilisé par la caisse d'épargne est un IIS il me semble.
Enfin, j'ai jamais vérifié comment faisait apache (et IIS j'ai pas moyen de voir) sur ce genre de choses, mais ça me parrait évident que les données ne sont pas dans les logs. Concernant les données fournient par la methode GET, c'est à vérifier.
Effectivement, lors de l'identification sur la caisse d'épargne, l'envois des données semble fait en mode sécurisé. Donc ça devrait le faire niveau sécu.
Mais n'empêche qu'ils demandent aux utilisateurs d'entrer un code d'accès (à son compte en banque !!! ) sur une page non sécurisé !!
C'est completement anti-pédagogique !! Tout le monde essaye toujours de faire comprendre aux gens qu'il faut faire attention à pas entrer des codes n'importe où, que si l'URL dans la barre d'adresse est pas sur un fond jaune, c'est que c'est pas sécurisé, que si l'adresse ne commence pas par https, c'est pas sécurisé etc.....
Et une des boites les plus touché par la sécurité des transaction, ils se permettent de demander à leurs clients d'entrer des codes d'accès sur une page http où rien ne garantit le niveau de sécurité.
C'est scandaleux !!! Les mecs qui ont conçu ce système chez la caisse d'epargne meriteraient d'être virés !!!
cette fonctionnalitée a pour but d'éviter les keyloggers
A oui ?
Mais dans ce cas, pourquoi est-ce toujours possible d'accéder à un compte client avec un formulaire d'identification classique ?
Parce-que un mec qui veut utiliser un keylogger, il va pas rester sur ce système chiant juste pour faire plaisir aux admin du site. Il va direct allé voir le formulaire classique et basta.
Donc leur système n'apporte absolument rien niveau sécu. C'est uniquement des fanfreluches pour amadouer les ménagères.
Et si les fanfreluches réduisent la sécurité (deux méthodes d'accès au lieu d'une, et la demande des codes d'accès sur une page non sécurisé), moi ça me semble inacceptable.
je crois que tu trolles comme un goret là parce que
déplacez sur le Clavier Virtuel à l’aide des flèches de direction « gauche » et « droite »
Les chiffres ne sont donc jamais à la même position d’une session/connexion à une autre.
Et il faut ajouter à cela que les chiffres du clavier sont des images, sans attribut alt.
Donc à partir de là, comment il fait l'aveugle qui veux accéder à ses comptes justement parce-que c'est plus pratique pour lui de le faire depuis chez lui sur son PC que de devoir sortir et aller jusqu'a la banque ???
Il ne vois pas les touches, donc il ne peut pas savoir quel numéro est écrit dessus.
Il n'y a aucun attribut alt pour le guider.
Pour déplacer le curseur sur la touche qu'il faut, ba il peut pas vu qu'il ne voit pas quel touche virtuelle il doit appuyer.
Donc non, ce n'était pas du troll de goret de dire que l'accessibilité en prend un gros coup. C'est vraiment une grosse daube niveau accessibilité cette fonctionnalité. Et vu que de toute façon il y a d'autre moyen d'accéder aux comptes (genre si tu entre un mauvais code, tu te retrouve sur une autre page avec un simple formulaire bateau), ça n'apporte absolument rien question securité. J'aurais même tendence à dire que ça réduit la sécu, parce-que ça donne deux portes d'entrées sur les comptes au lieu d'une seule.
En gros, c'est juste un truc eye candy pour faire plaisir aux clients, en s'en foutant des questions de sécu ou d'accessibilité.
Et puissque je parle de sécurité, moi y a un truc qui me choc grave sur la page de la caisse d'épargne :
On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!
Pour moi, ça c'est une grosse grosse erreur (peut-être que l'envois des infos est fait en sécurisé par ajax ou un truc du genre, mais on ne le vois pas, c'est très grave à mon avi).
Donc, effectivement, cette nouvelle fonctionnalité à tous les aspects de la grosse merde marketing. Je serais client de la caisse d'épargne, de leur enverrais directement un bon gros courrier des familles leur disant que je change de banque s'ils gardent cette saleté.
Microsoft se serait rendu compte de son erreur, l'aurait (ou serait en train de) accepté, et se lancerait dans le libre petit à petit ??
Je sais pas pourquoi.... mais j'ai du mal à gober.
On pourrait aussi se dire que, pour que ses clients ne partent pas sur du linux et du libre, Microsoft préfère les voir utiliser du libre virtualisé sur leurs outils. Ils s'assurent comme ça un reste de main-mise sur ces utilisateurs et ça leur donne l'occasion de montrer par les manières de leurs choix que quand même leurs produits ils roxors par rapport aux autres et que c'est eux les rois du monde (c'est pas moi qui dit, hein, j'interprète ce que je suppose être leur point de vu :p ).
Mais cette vision n'est pas vraiment plus crédible, sauf pour les amateurs de bonnes grosses théories du complot.
Donc en gros, qui vivra verra, mais dans le doute je préfère rester sur mes gardes :)
[^] # Re: ...
Posté par Nicolas Deveaud . En réponse au journal DAVSI = rien compris. Évalué à 7.
Il y a plusieurs fait qui font que les DRMs ne peuvent pas être efficaces :
- La facilité de copie des données numériques :
Toute donnée numérique est très facilement copiable à l'identique. C'est un des intérets du numérique.
Cela implique que, malgré les protections mises en place, si une seule copie non protégé est faite à un moment par quelqu'un dans le monde, cet unique exemplaire non protégé pourra être reproduit en de mutiples copies. La protection n'aura donc plus aucun moyen d'agir. Avec les technologies de communications qui évoluent, une seule copie non protégée d'un document peut permettre à tout le monde d'obtenir une copie non-protégée du document.
Il faudrait donc que le système de protection soit vraiment très éfficace et inviolable pour que des documents protégés ne puissent pas être diffusés. On en arrive donc au deuxième point.
- Une protection qui ne peut vraisemblablement pas être efficace :
Le principe d'un DRM, c'est de donner à un utilisateur un document qu'il ne peut pas lire (donc crypté), et d'un autre coté de lui fournir un outil pour lire le document (décrypteur).
Donc l'utilisateur a en main le message codé et le décodeur. Déjà, ça sent pas bon pour l'efficacité de la protection. Même si effectivement les choses peuvent être fait de manière à brouiller les pistes, si un grand nombre de personnes (des consomateurs exaspérés par exemple :p ) mettent leurs travaux en commun de manière à analyser le décodeur et le message codé, je ne donne pas longtemp au décodeur avant qu'il ne délivre son secret. On finira bien par avoir un mec qui obtiendra une version déprotégé du document, et là on retourne au point 1.
De plus, pour que les documents soient exploitable, il faut évidemment que le système de cryptage ne soit pas trop complexe pour pouvoir être décodé en live. Imaginez qu'il faille faire précharger son fichier quelques secondes/minutes/heures avant de pouvoir le lire... ça passerait pas. Et le fichier DOIT être lu en live, il ne peut pas être décodé à l'avance, car sinon il serait stocké décodé quelque-part et donc grosse faille.....
La vitesse de calcul des machines évolue, donc on peut se dire que ce point ne sera bientôt plus vrai, on pourra avoir des protections très complexes lu en live. Mais d'un autre coté les machines des crackers évoluent aussi. Donc ils auront aussi plus de puissance de calcul pour décoder.....
Enfin bon... vous avez compris :)
- Un protection qui se contourne :
Prenons le cas de la musique. On a un document qui est protégé, et un lecteur.
La protection, elle touche le fichier musical. Mais par contre la musique elle arrive bien à mes oreille non crypté.
Donc, même si je ne peux pas décrypter le fichier protégé, il y a un certain nombre de moyens de récupérer la musique entre le moment ou le fichier est lu par le lecteur et le moment ou les ondes arrivent à mes oreilles.
On peut gérer ça en numérique, dans le PC, en enregistrant le son qui sort du logiciel de lecture. Ou alors en récupérant les données dans la memoire du PC, ou en allant fouiller dans la memoire de sa carte son.... mais pour tout ça il y a tout de même les supers systèmes de protection materiel. Donc bon, on peut continuer plus loin, en récupérant le son qui sort de la prise son du pc, ou dans le cas d'une sortie numérique avec protection poussée jusqu'aux enceintes, on peut aller démonter ses enceintes et récupérer le signal analogique sur les branchements sur le HP.
Et puis si les enceintes ont un système d'alarme anti-bidouillage, on peut toujours s'installer dans une pièce bien silencieuse, installer des micros comme il faut et enregistrer le son qui sort.
Le son sera peut-être moins bon, mais de toute façon quel est la qualité de la musique en général sur le net ? C'est pas terrible non plus. Donc ça changera pas grand chose, mais on sera pas embété par des protections.
Donc au final, tant que les humains n'auront pas des puces de décryptage implanté sur le nerf auditif pour décripter les sons autorisés, les DRM ne pourront pas avoir une vraie efficacité. (et même, si on implante un décrypteur sur le nerf auditif, qu'est-ce qui empêche d'implanter aussi un enregistreur sur ce même nerf, juste derière le decrypteur ?? :D
En contre partie, la motivation pour faire sauter ces "protections" qui sont de vrais emmerdements pour les utilisateurs, cette motivation sera très forte, et réunira de plus en plus de monde. Donc les tentatives de contournement ne pourront que s'intensifier, ce qui réduira d'autant l'efficacité des système de protection.
Donc je confirme que les systèmes de protections ne peuvent pas être efficaces, et que donc les tentative de lutte contre le "piratage" comme cette loi DADVSI sont totalement vaines.
En passant, si la loi devient effective, ce message devra s'autodétruire car il décrit des systèmes de contournement de DRM. Je risque gros :D
[^] # Re: bien bien profond
Posté par Nicolas Deveaud . En réponse au journal DADVSI : Le pire du pire était encore possible. Évalué à 4.
C'est incompréhenssible de ne pas avoir mis ça en place plus tôt. J'vais aller voir notre pote R2DV pour lui en toucher deux mots. Il doit bien avoir des relations lui permettant de lancer un projet de loi dans ce genre, il gère bien les projets de loi merdique :)
Ce dont j'ai peur, c'est le gros impact que risque d'avoir cette annonce sur l'économie Française :
60 millions de français incapable de s'assoir pour les prochains jours pour cause de sod**** trop profonde.
Les arrets de travail vont pleuvoir !! heureusement que c'est l'week-end.
[^] # Re: ...
Posté par Nicolas Deveaud . En réponse au journal DAVSI = rien compris. Évalué à 4.
Il n'y a pas que ça de problèmatique dans DADVSI, et la question de la légalité du téléchargement est un point très important.
Concernant la légalité du téléchargement, le gros problème c'est qu'ils ne prennent absolument pas en compte la réalité de l'évolution technologique actuelle.
Nous sommes dans une société ou les moyens de communication sont de plus en plus nombreux. Donc il est de plus en plus facile d'échanger n'importe quel information avec n'importe qui.
Si on veut continuer dans cette évolution des moyens de communication, il est impossible d'éviter les échanges entre particuliers de musique, de films ou autres données dont la redistribution est actuellement reglementée.
Certains diront que justement les DRM sont fait pour ça, mais il est évident que les DRM ne pourront jamais fonctionner, et qu'ils seront toujours uniquement un boulet pour les personnes cherchant à être dans la légalité (je ne m'étend pas la dessus, mais si quelqu'un veut des précisions... :p ).
Donc les seules solutions pour sortir de cette situation, c'est soit de stopper l'évolution des technologies de communication, et abandonner internet, le wifi etc...
Soit il faut changer notre perception des échanges entre particuliers et accepter le fait que ces échanges ne peuvent pas être contrôlés.
La première solution étant inaplicable, il n'y a en fait qu'une solution.
Il faut donc prendre acte de l'évolution de notre société, et adapter nos habitudes et nos lois à cette évolution.
Cette adaptation passe par une légalisation des échanges non commerciaux entre particuliers.
Comme il faut évidemment que les artistes et autres auteurs des données échangées puissent vivre, et étant donné que c'est la société dans laquelle nous vivons nous donne accès à ces systèmes d'échanges nouveaux, il me semble normal qu'un système équivalant à une taxe (quelque-chose que l'on paye à la société) sur ces échanges soit mis en place, les bénéfices de cette taxe devant être redistribués aux ayants droit.
Cette solution est loin d'être précisément défini ici, beaucoup de choses peuvent découler de cette base (dont par exemple la proposition de licence globale qui avait été faite, mais pas uniquement), mais il me semble qu'il est inévitable d'en arriver à un système de ce type dans le futur.
Donc le point sur la penalisation des échanges, justement, je ne m'en fout pas dut tout, et je pense même que c'est une des grosses erreurs de ce texte de loi.
[^] # Re: ya pire !!! mais aussi meilleur
Posté par Nicolas Deveaud . En réponse au journal Un article de Le Monde révélateur de la culture d'entreprise de SAP.. Évalué à 4.
Mais pendant ce temps la, le gars au chomage ou qu'a pas un bon boulot, avec une maladie grave, en France il est soigné, et aux USA il crève.
Donc effectivement on paye aussi en france, mais on le fait de manière plus humaine.
Et moi qui ne suis jamais malade et qui n'achète jamais de médoc ou qui ne vais jamais chez le medecin, je suis très content de voir mon salaire amputé chaque mois, car ça me sauvera peut-être la vie un jour, et surtout ça sauve la vie à beaucoup d'autre.
[^] # Re: solution pour quel système ?
Posté par Nicolas Deveaud . En réponse au journal Le format ODT pourrait il inclure la/les polices qu'il présente ?. Évalué à 3.
A ma connaissance, il n'est pas necessaire qu'un police soit installé sur le système pour pouvoir l'utiliser.
Il suffi que le programme est le chemin d'accès au fichier/données de la police et c'est suffisant non ?
Donc si une police est intégré au document ODT, cela n'implique même pas forcemment que cette police soit installée chez le destinataire.
Donc je ne vois effectivement pas de raison que ça ne se fasse pas. Ce serait une fonctionnalité intéressante.
[^] # Re: MSN vs Jabber vs IM multi vs ObiWan Kenobi
Posté par Nicolas Deveaud . En réponse au journal Les passerelles Jabber. Évalué à 5.
Il faut absolument faire évoluer les capacité du protocoles Jabber et des clients IM, et prendre en compte les divers truc eye-candy qui sont dispo sur MSN.
Mais en quoi cela demande à ce qu'une passerelle MSN soit proposé sur les serveur Jabber ??
Il me semble justement que c'est une perte de temps de maintenir un truc comme ça. Ca demande visiblement beaucoup de temps et de ressources, sans apporter un réel avantage. Donc pourquoi conserver ça ?
Il serait plus profitable de placer le temps et les ressources pour des projets d'évolution des clients IM ou des protocoles Jabber.
[^] # Re: Une première solution
Posté par Nicolas Deveaud . En réponse au message Ubuntu - Carte réseau non détectée -. Évalué à 2.
(en pensant à effacer ton IP si elle est affichée :p )
merci
[^] # Re: Une première solution
Posté par Nicolas Deveaud . En réponse au message Ubuntu - Carte réseau non détectée -. Évalué à 2.
sudo Commande
Donc dans ton cas, pour lancer le programme dhclient, il faut faire :
sudo dhclient
Il te demandera ton mot de passe utilisateur, et c'est gagné.
Si le simple fait d'appeler dhclient permet de régler ton problème, cela veut dire que ta carte réseau est bien installée mais que c'est la configuration qui n'est pas bonne.
Dans ce cas, il faut que tu reconfigure ta carte réseau pour qu'elle obtienne automatiquement une adresse ip auprès d'un serveur DHCP (ce que fait dhclient). Pour ça je pense qu'il doit y avoir des applications graphique sous Ubuntu qui gère bien ça.
[^] # Re: Une première solution
Posté par Nicolas Deveaud . En réponse au message Ubuntu - Carte réseau non détectée -. Évalué à 2.
Faire exploser ta machine si t'as pas d'pot.
Le risque est que quelqu'un (humain ou virus ou autre) prenne le controle de ta session, et puisse faire ce qu'il veut de ta machine car étant en utilisateur Root.
Il y a obligatoirement une autre solution bien meilleure. Reste à la trouver :D
[^] # Re: un peu plus d'infos ???
Posté par Nicolas Deveaud . En réponse au message Ubuntu - Carte réseau non détectée -. Évalué à 2.
Pour ta carte, il semble que le module s'appelle "8139too"
Donc tu peux vérifier si ce module est bien chargé en faisant un :
lsmod | grep 8139too
La manip à faire à mon avi est avant tout de voir si ta carte réseau est chargée.
Tu fais un ifconfig, et si tu as un eth0 c'est que la carte est chargée.
Dans ce cas, tu peux la décharger en faisant un :
ifdown eth0
Puis tu décharge le module actuel :
modprobe -r NomDuModule
Après il faut charger le bon module pour ta carte :
modprobe 8139too
Puis relancer ton eth0 :
ifup eth0
Tu devrais te retrouver avec une carte réseau chargée avec le bon module.
Après, il faut voir pour qu'au redémarrage ton pc se remette pas sur la config qui merde. Donc pour ça il faut blacklisté le module qui est actuellement utilisé. Pour ça tu trouvera des fichier blacklist dans /etc/mod (ou un truc dans le genre, je sais plus exactement le chemin.
++
# un peu plus d'infos ???
Posté par Nicolas Deveaud . En réponse au message Ubuntu - Carte réseau non détectée -. Évalué à 2.
Surement pas. Si l'installation précédente n'a pas donné de bon résultat, une réinstallation ne donnera probablement pas grand chose de plus.
La solution à mon avi est de verifier comment ta carte est installée.
Vérifier sur le matériel est bien détecté (visiblement oui, cf lspci)
Verifier le module (driver) utilisé
Vérifier la configuration utilisée.
Je ne suis pas spécialiste, mais j'avais eu également des problèmes avec ma carte réseau sur Ubuntu.
Le problème était lié à la détection du module pour ma carte. L'installation avait jugé que le module adapté à ma carte était le module "tulip", alors que le bon module pour gérer ma carte était le module "dmfe".
Dans ce cas, j'ai donc du désactver le module tulip (blacklisté) et lancer le module dmfe.
Après ça, plus de problème pour moi.
Pour pouvoir t'aider plus précisement, il faudrait que tu donne des infos sur ta carte (marque, nom etc....), et sur le module utilisé pour la gestion de cette carte (avec un lsmod tu peux voir les modules chargés, pour connaitre celui utilisé pour ta carte réseaux... je sais pas comment faire :p )
++
# passerelle ou client multi-protocoles....
Posté par Nicolas Deveaud . En réponse au journal Les passerelles Jabber. Évalué à 8.
Quand on utilise Gaim, ou Kopete, quel est l'interet d'avoir une passerelle MSN sur le serveur Jabber ? (ou alors j'ai pas compris ce qu'était cette passerelle :p )
Donc au final, il me semble que l'interet de la passerelle n'est pas très grand. Sa disparition ne devrait pas poser trop de problèmes aux utilisateurs Jabber, qui sont généralement des utilisateurs avertis en informatique et qui trouveront donc sans problème un client leur permettant de garder des contacts avec leurs amis MSNiens.
Après, on peut déplorer la perte d'une certaine interopérabilité suite à la disparition de cette passerelle. Mais MSN n'étant de toute facon pas un système déstiné à être interopérable, la perte n'est pas vraiment grave IMHO.
# Très sympa, petites suggestions
Posté par Nicolas Deveaud . En réponse au journal Sortie de Smooth Slideshow v1.0: Bibliothèque javascript libre de slideshows (en fondu enchainé).... Évalué à 5.
Maintenant, étant moi même dans mes heure perdu un amateur de codage en JS, doublé d'un coté pointilleux sur le respect des standards W3C et de l'accessibilité, j'ai quelques suggestions à te soumettre.
Une des principales critiques que l'on entend à propos du JS, c'est que ça pose des problèmes d'accessibilité.
Ta librairies pourrait à ce niveau être un peu améliorée il me semble.
Un point sur l'accessibilité
Pour l'ajout d'images à un slideshow, tu demande de remplir un tableau JS. Ne serait-il pas préférable de charger des données tirées du fichier HTML ?
Ainsi, si les images sont intégrées au document HTML, même si le JS est désactivé, les images peuvent être vue. Et les données se rapportant aux images également (titre, description, etc...). Ensuite, ta librairie JS peut récolter les informations, masquer les images d'origine et proposer une interface interactive comme tu l'a si bien fait.
Au lieu de mettre dans la page HTML une balise vide <div id="mySlideshow"></div>, on pourrais très bien imaginer que la liste des images à afficher soient placées dans cette balise DIV.
Pour la cohérence sémentique, je pense que ces images pourraient être placées dans une liste.
Et pour éviter que les images soient chargées si le navigateur du visiteur utilise du JS (ce qui peut ralentir le chargement, surtout s'il y a beaucoup d'images, et il me semble que ton script gère le chargement des images non ?) tu peux placer le tout dans une balise <noscript>, ce qui fait que le tout sera ignoré en cas d'activation du Javascript chez le client (à verifier ce point tout de même). Par contre les client sans Javascript pourront voir le contenu et en profiter.
exemple :
<div id="mySlideshow">
<noscript>
<ul>
<li>
<a href="URL_de_destination.html" title="Titre de l'image">
<img src="Fichier imge.jpg" alt="description de l'image" />
</a>
</li>
etc....
</ul>
</noscript>
</div>
(le titre pourrait être placé dans la balise IMG ou A, peu importe. On pourrait également ajouter des attributs rel aux balises A ou IMG, pour associer d'autres informations complementaires)
Il suffit ensuite de faire une simple fonction JS d'initialisation analysant le contenu de la balise #mySlideshow et en tirant les informations avec quelques outils DOM. (Tout cela se déroulant donc avant l'appel de la fonction initSlideShow(), ou étant intégré à cette fonction).
Autre suggestion...
Un point sur la simplicité d'utilisation
La gestion de l'évenement 'onload' de la page pourrait il me semble être intégré à tes scripts. Ainsi, avec ma remarque précédente en plus, la seule ligne de code que l'on aurait à ajouter au document (en plus des lignes de chargements des fichiers JS) HTML pourrait être du genre :
preLoadSlideShow('IdDeLaBaliseDivDuSlideShow');
Cette ligne pourrait même être intégré direct au fichier JS, et si l'utilisateur veut la modifier il peux éditer le fichier JS. Ainsi on à une bonne séparation du HTML et du JS.
Dans la fonction préload, tu te chargerais de lancer l'écoute de l'évenement onload, et d'enregistrer l'ID de la balise contenant les données du slideShow, pour analyse une fois la page HTML chargée.
Et enfin, dernière choses ...
Un point sur la manière de coder
Tu devrais essayer de rendre ton code plus OO. On vois déjà que le principe est là, mais tout est séparé dans des fonctions multiples...
Ca demanderais probablement pas grand chose pour obtenir la même chose, mais en OO.
Tu devrais IMHO former une classe dans laquelle tout serait bien à sa place.
Un avantage direct pour toi, c'est que t'aura plus X variables globales de déclarées (une s'eule suffit), et donc t'aura plus à te torturer l'esprit pour trouver des nom de variable sans redondance (et ça évite les noms très long, et les conflits de variables avec d'autres scripts.
Et puis tu pourra tiré profit du coté OO du JS, qui est intéressant IMHO.
Par contre, niveau performences, je n'ai aucune idée de l'impact que ça peu avoir. Quelqu'un saurait dire ??
Si tu te demande ce que j'entend par plus OO, tu peux voir un exemple dans la lib Prototype que tu utilise. C'est en lisant cette lib que j'ai découvert le fonctionnement des objets JS, et ça à changé ma manière de faire du JS.
Voila, c'était mes trois copek de contribution cognitive.
En espèrant que ça pourra t'aider et t'inspirer pour la suite :)
Et si t'as besoin d'coups d'main, de conseil, ou autre (je prétend pas être très doué, ou meileur que toi, mais une ame exterieur peut parfois aider :p), hésite pas à m'contacter, j'aime vraiment beaucoup l'concept et j'trouverais bien une tite poigné d'minutes pour répondre :)
++
[^] # Re: ...
Posté par Nicolas Deveaud . En réponse à la dépêche Génomique Open Source. Évalué à 4.
Je m'interroge sur la facilité de la chose tout de même....
Certe le code génétique final est disponible plus ou moins librement. Mais cela ne permet absolument pas de savoir comment les modifications/évolutions on étés obtenues.
Or, suivant le prossédé utilisé, je suppose que les concequences sur divers parties du génome peuvent varier.
S'il était si trivial de trouver des déformations génétiques depuis un echantillon d'ADN, je pense que la génétique serait nettement plus évoluée et omniprésente dans nos vies de tous les jours.
Il me semble au contraire qu'il est plutôt complexe de trouver exactement les modifications apportées à une chaine ADN. Il ne faut tout de même pas oublié que l'ADN contient beaucoup d'infos, et qu'il est donc complexe de tout analyser et de tout comparer (surtout que chaque être est différent. Comment savoir sur tel changement est dû à une modif génétique ou à un particularité naturelle de la plante d'origine ?)
Et vu la complexité des organismes vivants, retrouver toutes les concequences éventuelles d'une simple modification sur un gène relève il me semble de la prouesses technologique. Je doute que nos capacités scientifique actuelle le permettent vraiment (comment savoir qu'en changeant tel géne qui à un rôle dans la génération de tel substance, cela ne va pas aussi jouer sur tel autre subtance et dérègler tout le système imunitaire par exemple ?).
Pour faire une allusion à l'informatique, on pourrait dire par exemple qu'il est trivial de faire des tests sur un driver propriétaire, et donc d'en analyser le fonctionnement. On se demande bien pourquoi nous n'avons pas encore des équivalant libre aussi bon, voir meilleur car débarassé d'éventuels bugs.....
Un non informaticien pourrait se dire que effectivement, c'est incompréhensible. Mais en tant qu'informaticiens, nous savons bien ici que c'est très complexe à faire.
[^] # Re: Cherche une bonne banque de ce côté
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 2.
C'est Covefi ( http://www.covefi.fr/ )
Je me disais que ça pouvait intéresser des gens....
[^] # Re: trop pas sécure
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 4.
Par contre, sur un truc comme le clavier virtuel, il n'y a que des images (donc pas de champs de formulaire), sans texte alternatif (et mis en page n'importe comment).
Donc au mieux le lecteur d'écran il pourra dire : Il y a 20 images appelés "case 01", "case 02", "case 03"........ "case 20". Mais il sera incappable de dire ce que représente l'image. Donc le non-voyant il a aucun moyen de passer une système comme ça.
Donc, automatiquement il faut un système alternatif pour les non-voyant (ou alors on brule les non-voyant, ce serait peut-être plus simple :p), et donc tu te retrouve avec deux méthodes d'accès, et donc deux méthodes attaquable au lieu d'une seule.
Donc l'idée de lutter contre les keylogger est intéressante, mais la manière dont ils font ça est totalement pourrie.
[^] # Re: Cherche une bonne banque de ce côté
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 3.
J'avais entendu parlé, par des amis l'utilisant, d'une banque sur internet, n'ayant pas d'agences physiques, mais étant très intéressante et proposant des services peu cher et efficaces.
Je n'ai jamais pu retrouvé le nom, si quelqu'un sais de quoi il s'agit et ce que ça vaut, ça m'interesserait, et je suppose que ça pourrait aussi intéresser Thomas Bigot.
Sinon, pour mon experience personnel, j'utilise HSBC, ils ont un service web qui fonctionne assez bien, sans clavier virtuel pour le moment (je touche du bois).
Je dirais en gros que je suis satisfait, mais sans plus.
Peut faire mieux, mais le principal est là et c'est déjà bien.
[^] # Re: Astuce
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 2.
Si c'est le cas, c'est une très grave erreur de sécu de la part du serveur web, pas directement de la banque.
En l'occurance le serveur utilisé par la caisse d'épargne est un IIS il me semble.
Enfin, j'ai jamais vérifié comment faisait apache (et IIS j'ai pas moyen de voir) sur ce genre de choses, mais ça me parrait évident que les données ne sont pas dans les logs. Concernant les données fournient par la methode GET, c'est à vérifier.
[^] # Re: Astuce
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 5.
Mais par contre si tu entre l'URL avec ton code dans ton navigateur, est-ce qu'il ne va pas enregistrer ça dans ton historique par hasard ??
Résultat, n'importe qui fouillant dans tes historique pourra aller sur ton compte.
Donc moi ça me semble vraiment pas terrible comme idée.
[^] # Re: trop pas sécure
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 7.
Mais n'empêche qu'ils demandent aux utilisateurs d'entrer un code d'accès (à son compte en banque !!! ) sur une page non sécurisé !!
C'est completement anti-pédagogique !! Tout le monde essaye toujours de faire comprendre aux gens qu'il faut faire attention à pas entrer des codes n'importe où, que si l'URL dans la barre d'adresse est pas sur un fond jaune, c'est que c'est pas sécurisé, que si l'adresse ne commence pas par https, c'est pas sécurisé etc.....
Et une des boites les plus touché par la sécurité des transaction, ils se permettent de demander à leurs clients d'entrer des codes d'accès sur une page http où rien ne garantit le niveau de sécurité.
C'est scandaleux !!! Les mecs qui ont conçu ce système chez la caisse d'epargne meriteraient d'être virés !!!
[^] # Re: et?
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 1.
A oui ?
Mais dans ce cas, pourquoi est-ce toujours possible d'accéder à un compte client avec un formulaire d'identification classique ?
Parce-que un mec qui veut utiliser un keylogger, il va pas rester sur ce système chiant juste pour faire plaisir aux admin du site. Il va direct allé voir le formulaire classique et basta.
Donc leur système n'apporte absolument rien niveau sécu. C'est uniquement des fanfreluches pour amadouer les ménagères.
Et si les fanfreluches réduisent la sécurité (deux méthodes d'accès au lieu d'une, et la demande des codes d'accès sur une page non sécurisé), moi ça me semble inacceptable.
[^] # Re: Astuce
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 3.
[^] # Re: et?
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 2.
Encore faudrait t-il que ça apporte un plus de sécu. Mais là, absolument rien. C'est même plutôt une grosse régression à ce niveau.
Enfin bon, pour la ménagère, ça rassure peut-être de voir un truc comme ça..... c'est surrement ça qu'ils visent : rassurer les gens.
Mais rassurer les gens en réduisant la sécurité.... faut le faire quand même !! :)
[^] # Re: trop pas sécure
Posté par Nicolas Deveaud . En réponse au journal Quand La Caisse d'Épargne s'y met aussi.... Évalué à 10.
Et il faut ajouter à cela que les chiffres du clavier sont des images, sans attribut alt.
Donc à partir de là, comment il fait l'aveugle qui veux accéder à ses comptes justement parce-que c'est plus pratique pour lui de le faire depuis chez lui sur son PC que de devoir sortir et aller jusqu'a la banque ???
Il ne vois pas les touches, donc il ne peut pas savoir quel numéro est écrit dessus.
Il n'y a aucun attribut alt pour le guider.
Pour déplacer le curseur sur la touche qu'il faut, ba il peut pas vu qu'il ne voit pas quel touche virtuelle il doit appuyer.
Donc non, ce n'était pas du troll de goret de dire que l'accessibilité en prend un gros coup. C'est vraiment une grosse daube niveau accessibilité cette fonctionnalité. Et vu que de toute façon il y a d'autre moyen d'accéder aux comptes (genre si tu entre un mauvais code, tu te retrouve sur une autre page avec un simple formulaire bateau), ça n'apporte absolument rien question securité. J'aurais même tendence à dire que ça réduit la sécu, parce-que ça donne deux portes d'entrées sur les comptes au lieu d'une seule.
En gros, c'est juste un truc eye candy pour faire plaisir aux clients, en s'en foutant des questions de sécu ou d'accessibilité.
Et puissque je parle de sécurité, moi y a un truc qui me choc grave sur la page de la caisse d'épargne :
On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!
Pour moi, ça c'est une grosse grosse erreur (peut-être que l'envois des infos est fait en sécurisé par ajax ou un truc du genre, mais on ne le vois pas, c'est très grave à mon avi).
Donc, effectivement, cette nouvelle fonctionnalité à tous les aspects de la grosse merde marketing. Je serais client de la caisse d'épargne, de leur enverrais directement un bon gros courrier des familles leur disant que je change de banque s'ils gardent cette saleté.
[^] # Re: changement de politique
Posté par Nicolas Deveaud . En réponse au journal Microsoft et Xen, une nouvelle histoire d'amour ?. Évalué à 4.
Je sais pas pourquoi.... mais j'ai du mal à gober.
On pourrait aussi se dire que, pour que ses clients ne partent pas sur du linux et du libre, Microsoft préfère les voir utiliser du libre virtualisé sur leurs outils. Ils s'assurent comme ça un reste de main-mise sur ces utilisateurs et ça leur donne l'occasion de montrer par les manières de leurs choix que quand même leurs produits ils roxors par rapport aux autres et que c'est eux les rois du monde (c'est pas moi qui dit, hein, j'interprète ce que je suppose être leur point de vu :p ).
Mais cette vision n'est pas vraiment plus crédible, sauf pour les amateurs de bonnes grosses théories du complot.
Donc en gros, qui vivra verra, mais dans le doute je préfère rester sur mes gardes :)