Je sais pas combien de RCE ça fait, mais je dirais facilement plus de 50. À ce niveau-là je trouve que Google est quand même plus responsable (on leur confie nos données mais eux ne la confie pas au premier blackhat de 14ans). Je dis ça je dis rien. Sinon il existe toujours Graphene ou Divestos.
Je confirme qu'ils se foutent bien de nous car quand ils disent support étendu en faites ils parlent d'eux-mêmes, c'est-à-dire des choses liées Qualcomm (le driver linux quoi et si ils le veulent bien)… Exemple simple le Fairphone 3 est censé être encore maintenu quelques années :
We aim to support Fairphone 3(+) with security and software upgrades for about 5 years after the first launch date (August 2019).
Mais vu qu'il est basé sur un Linux 4.9 qui est EOL depuis janvier 2023 les CVE s'accumulent et Qualcomm ne les fixera jamais. Voilà voilà 🤡️
Tu viens de résumer le principal problème de la containérisation (qui est d'ailleurs ignoré par beaucoup de professionnel).
Je pense que la meilleure solution est d'éviter au maximum les containers.
Et si tu n'as pas le choix, il faut tout simplement rebuild souvent (donc dans une CI/CD) à chaque fix debian par exemple, ou par semaine. (cf: le rebuild des images distroless)
Prioriser podman qui run en tant qu'user et non en root avec le remappage des UID/GID.
Personnellement pour des petits projets qui n'ont pas besoin de CI/CD mais auquel je suis obligé d'avoir recours au container je me contente de systemd-nspawn unprivileged ou de vm avec qemu.
Pourquoi ne pas plutôt utiliser une microvm (firecracker ou qemu) qui me semble avoir été fait pour ce case d'utilisation plutôt que docker podman. En effet une microvm devrait booter en moins de 300ms.
Certes ce n'est pas une pile, mais c'est une forme d’énergie non polluante (le CO2 provient de l’atmosphère et non d'il y a plusieurs millions d'années). Et ont peu l'utiliser pour la cuisine, voir le chauffage ou peut-être d'autre utilisation. Enfin bref c'était juste une petite contribution plus réaliste et réalisable, à condition d'avoir un jardin certes.
Complètement d'accord. D'ailleurs l'autre jour on m'a montré le début d'un nouveau type de cheat qui m'a fait tomber de ma chaise… Les cheat 100% hardware qui se branche sur hdmi et souris/clavier donc 100% indétectable avec du ML/OpenCV pour détecter les têtes… Oui oui ça va jusqu'à là… En cherchant sur YouTube au hasard on trouve déjà des trucs… ça devient fou. https://youtu.be/AIbkt6Rl8FA
Il m'arrive moi-même de jouer parfois à des jeux compétitif sur ce cher Windows avec 800 services anti-cheat-machin-truc-kernel-chose. Et malgré ça, je peux vous dire qu'on croise toujours des joueurs avec des noms chinois bizarre qui se cache mais alors absolument pas de suivre les têtes de joueurs à travers les murs. Bon heureusement ça reste quand même une exception mais ça existe.
Ça serait bien quand même de savoir ce que ça va faire à nos systèmes, car si c'est pour installer un rootkit kernel et envoyer toute notre vie privée à des serveurs tiers gérés par des sysadmin dans le monde du jeuxvideo (qui on zéro éthique en sécurité des data) ça donne vraiment pas envie. (sans parler des cve que ça pourrait causer)
Tout ça par flemme et optimisation de budget… Aujourd'hui, les studios ne veulent pas travailler, ça coûte trop cher, on prend le SDK biduleanticheat et plus de problèmes… Résultat les cheaters sont toujours là, sans parler qu'il y a de plus en plus de jeux qui encourage la performance et donc la triche. Ça coûte si cher de faire des calcules côté serveurs ?
Valve pour CSGO a démontré qu'il était possible de travailler sur sa propre solution, c'est-à-dire plus de vérification et calcules côté serveur, créer un système de vote pour report les tricheurs via des replays, en construire une base de données pour faire du ML sur les parties déjà enregistrées. Imo, le problème est ici bien mieux ciblé qu'installer des rootkit bizarre sur tous les systèmes utilisateurs. Mais bon, le plus triste, c'est qu'avec une technique ou une autre les tricheurs sont toujours là, la course du chat et la souris est la même qu'avec virus/antivirus, alors peut-être faudrait-il arrêter cette course à la performance ?
Excellent article j'allais presque sauter à pied joint dans la démarche jusqu’au moment où je me rend compte qu'on ne peut même pas changer la batterie sur ces Google pixel. Du coup je comprends pas trop l'utilité, avoir un téléphone qui dure 2 ans voir 3 ?
Si tu veux pas te prendre la tête prend simplement le .AppImage et exécute-le.
La version source demande plus de choses, il faut normalement commencer par télécharger les libs nodejs externes (npm install) et ensuite lancer l’exécution (npm start) qui si mes souvenirs sont bons s’exécute en mode debug.
Pour les impatiens comme moi qui voudrait pouvoir avoir la vidéoconférence (XEP-0320 DTLS-SRTP) sur le Desktop (en attendant que Dino/Gajim l'intègre). Il existe JSXC un client XMPP HTML5/JS plutôt bien maintenu qui via electron (oui je sais) le permet. C'est très fonctionnel avec Conversations et Siskin : https://github.com/jsxc/desktop
Une solution simple et efficace est de ne pas partager sa liste de contact. Via le système de sécurité de Lineage par exemple.
Ou en utilisant Simple Contact qui permet de cacher ses contacts aux autres applis android. Bien entendu c'est très pratique avec Simple Dialer et Simple SMS qui eux peuvent voir les contacts.
Certes vaut mieux éviter whatsapp et le remplacé par XMPP/Conversations voir un truc propriétaire comme Signal…
Une autre solution serait un client KISS en pure terminal, je sais qu'il existe AERC https://aerc-mail.org/ qui commence à devenir bien (Il supporte le Vim-style keybindings).
Si jamais Ext4 possède un système de chiffrement à la volée (merci android/google). Par contre il faudra désactiver la clé lors de la synchronisation avec le cloud. Il doit sûrement y avoir un moyen de rendre ça transparent. https://wiki.archlinux.org/index.php/Ext4#Using_file-based_encryption
# sécu ou vie privée ?
Posté par MookSkook . En réponse au lien Murena 2. Évalué à 3.
Bonjour, je vous rends attentif que /e/ (peut importe le téléphone) parle de vie privée tout en s'en foutant éperdument de la sécurité.
Apparemment leur browser qui fait aussi office de webview https://gitlab.e.foundation/e/os/browser/-/commits/master est basé sur une version de bromite qui elle même est basé sur une version de chromium 108.0.5359.106
Je sais pas combien de RCE ça fait, mais je dirais facilement plus de 50. À ce niveau-là je trouve que Google est quand même plus responsable (on leur confie nos données mais eux ne la confie pas au premier blackhat de 14ans). Je dis ça je dis rien. Sinon il existe toujours Graphene ou Divestos.
On peut même suivre l'état de la webview ici : https://divestos.org/misc/ch-dates.txt
[^] # Re: Il suffit de demander à Qualcomm ?
Posté par MookSkook . En réponse au lien Fairphone 5 sets a new standard with 8-10 years of Android support - OSnews. Évalué à 2.
Je confirme qu'ils se foutent bien de nous car quand ils disent support étendu en faites ils parlent d'eux-mêmes, c'est-à-dire des choses liées Qualcomm (le driver linux quoi et si ils le veulent bien)… Exemple simple le Fairphone 3 est censé être encore maintenu quelques années :
Mais vu qu'il est basé sur un Linux 4.9 qui est EOL depuis janvier 2023 les CVE s'accumulent et Qualcomm ne les fixera jamais. Voilà voilà 🤡️
# commentaire
Posté par MookSkook . En réponse au lien Êtes-vous prêts pour la prison de l’euro numérique ?. Évalué à 2.
Si jamais il y a eu des études sur l'utilisation/mise en place de GNU taler :
https://taler.net/en/news/2021-01.html
https://www.snb.ch/en/mmr/papers/id/working_paper_2021_03
# Sécu
Posté par MookSkook . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3.
Tu viens de résumer le principal problème de la containérisation (qui est d'ailleurs ignoré par beaucoup de professionnel).
Je pense que la meilleure solution est d'éviter au maximum les containers.
Et si tu n'as pas le choix, il faut tout simplement rebuild souvent (donc dans une CI/CD) à chaque fix debian par exemple, ou par semaine. (cf: le rebuild des images distroless)
Prioriser podman qui run en tant qu'user et non en root avec le remappage des UID/GID.
Et suivre des bonnes pratique comme par exemple : https://github.com/GoogleContainerTools/distroless
Personnellement pour des petits projets qui n'ont pas besoin de CI/CD mais auquel je suis obligé d'avoir recours au container je me contente de systemd-nspawn unprivileged ou de vm avec qemu.
# MicroVM ?
Posté par MookSkook . En réponse au journal # Du serverless au FaaS - et du Golang -, c'est l'été . Évalué à 2.
Pourquoi ne pas plutôt utiliser une microvm (firecracker ou qemu) qui me semble avoir été fait pour ce case d'utilisation plutôt que
dockerpodman. En effet une microvm devrait booter en moins de 300ms.A l'origine l'idée à développer pour Amazon lambda : https://firecracker-microvm.github.io/
et il a y une api rest.
Sinon autant rester kiss et utiliser qemu via socket activation de systemd : https://qemu.readthedocs.io/en/latest/system/i386/microvm.html
# Autre alternative, le biogaz : la vrai pile gratuite et libre ?
Posté par MookSkook . En réponse au journal La « biobattery » technologie du futur ? Mon œil !. Évalué à 10.
Je sais que je suis un peu hors-sujet, mais il y a une petite asso picojoule qui propose des guides pour la construction de digesteur DYI qui permet de "fabriquer" du biogaz https://www.picojoule.org/ et https://wiki.lowtechlab.org/wiki/Biodigesteur_domestique
Certes ce n'est pas une pile, mais c'est une forme d’énergie non polluante (le CO2 provient de l’atmosphère et non d'il y a plusieurs millions d'années). Et ont peu l'utiliser pour la cuisine, voir le chauffage ou peut-être d'autre utilisation. Enfin bref c'était juste une petite contribution plus réaliste et réalisable, à condition d'avoir un jardin certes.
[^] # Le combat de l'impossible
Posté par MookSkook . En réponse au lien Pourquoi il n'y aura pas plein de jeux ni pour Arch Linux ni pour GNU/Steam Deck.. Évalué à 4.
Complètement d'accord. D'ailleurs l'autre jour on m'a montré le début d'un nouveau type de cheat qui m'a fait tomber de ma chaise… Les cheat 100% hardware qui se branche sur hdmi et souris/clavier donc 100% indétectable avec du ML/OpenCV pour détecter les têtes… Oui oui ça va jusqu'à là… En cherchant sur YouTube au hasard on trouve déjà des trucs… ça devient fou. https://youtu.be/AIbkt6Rl8FA
Il m'arrive moi-même de jouer parfois à des jeux compétitif sur ce cher Windows avec 800 services anti-cheat-machin-truc-kernel-chose. Et malgré ça, je peux vous dire qu'on croise toujours des joueurs avec des noms chinois bizarre qui se cache mais alors absolument pas de suivre les têtes de joueurs à travers les murs. Bon heureusement ça reste quand même une exception mais ça existe.
# Et la vie privée ?
Posté par MookSkook . En réponse au journal EAC fonctionne à présent sous Wine/Proton, BattlEye confirme le support . Évalué à 4. Dernière modification le 26 septembre 2021 à 15:40.
Ça serait bien quand même de savoir ce que ça va faire à nos systèmes, car si c'est pour installer un rootkit kernel et envoyer toute notre vie privée à des serveurs tiers gérés par des sysadmin dans le monde du jeuxvideo (qui on zéro éthique en sécurité des data) ça donne vraiment pas envie. (sans parler des cve que ça pourrait causer)
Tout ça par flemme et optimisation de budget… Aujourd'hui, les studios ne veulent pas travailler, ça coûte trop cher, on prend le SDK biduleanticheat et plus de problèmes… Résultat les cheaters sont toujours là, sans parler qu'il y a de plus en plus de jeux qui encourage la performance et donc la triche. Ça coûte si cher de faire des calcules côté serveurs ?
Valve pour CSGO a démontré qu'il était possible de travailler sur sa propre solution, c'est-à-dire plus de vérification et calcules côté serveur, créer un système de vote pour report les tricheurs via des replays, en construire une base de données pour faire du ML sur les parties déjà enregistrées. Imo, le problème est ici bien mieux ciblé qu'installer des rootkit bizarre sur tous les systèmes utilisateurs. Mais bon, le plus triste, c'est qu'avec une technique ou une autre les tricheurs sont toujours là, la course du chat et la souris est la même qu'avec virus/antivirus, alors peut-être faudrait-il arrêter cette course à la performance ?
# Google pixel
Posté par MookSkook . En réponse à la dépêche De l'art d'installer GrapheneOS sur son smartphone. Évalué à 4. Dernière modification le 11 juin 2021 à 14:27.
Excellent article j'allais presque sauter à pied joint dans la démarche jusqu’au moment où je me rend compte qu'on ne peut même pas changer la batterie sur ces Google pixel. Du coup je comprends pas trop l'utilité, avoir un téléphone qui dure 2 ans voir 3 ?
[^] # Re: Audio / Video
Posté par MookSkook . En réponse au journal XMPP en 2021. Évalué à 1.
Si tu veux pas te prendre la tête prend simplement le .AppImage et exécute-le.
La version source demande plus de choses, il faut normalement commencer par télécharger les libs nodejs externes (npm install) et ensuite lancer l’exécution (npm start) qui si mes souvenirs sont bons s’exécute en mode debug.
[^] # Re: Audio / Video
Posté par MookSkook . En réponse au journal XMPP en 2021. Évalué à 6.
Pour les impatiens comme moi qui voudrait pouvoir avoir la vidéoconférence (XEP-0320 DTLS-SRTP) sur le Desktop (en attendant que Dino/Gajim l'intègre). Il existe JSXC un client XMPP HTML5/JS plutôt bien maintenu qui via electron (oui je sais) le permet. C'est très fonctionnel avec Conversations et Siskin : https://github.com/jsxc/desktop
# Ne pas partager sa liste de contact
Posté par MookSkook . En réponse au journal WhatsApp et Facebook, quels sont mes droits?. Évalué à 1.
Une solution simple et efficace est de ne pas partager sa liste de contact. Via le système de sécurité de Lineage par exemple.
Ou en utilisant Simple Contact qui permet de cacher ses contacts aux autres applis android. Bien entendu c'est très pratique avec Simple Dialer et Simple SMS qui eux peuvent voir les contacts.
Certes vaut mieux éviter whatsapp et le remplacé par XMPP/Conversations voir un truc propriétaire comme Signal…
# Client en pure terminal ?
Posté par MookSkook . En réponse au journal Vim ou Emacs pour le courriel ?. Évalué à 7.
Une autre solution serait un client KISS en pure terminal, je sais qu'il existe AERC https://aerc-mail.org/ qui commence à devenir bien (Il supporte le Vim-style keybindings).
Et bien entendu les vénérables mut et neomutt.
# Ext4 ?
Posté par MookSkook . En réponse au journal Remplacer Encfs ? Oui, mais par quoi ?. Évalué à 1.
Si jamais Ext4 possède un système de chiffrement à la volée (merci android/google). Par contre il faudra désactiver la clé lors de la synchronisation avec le cloud. Il doit sûrement y avoir un moyen de rendre ça transparent. https://wiki.archlinux.org/index.php/Ext4#Using_file-based_encryption