J’avais laissé un appeau à troll pour les féministes du site et c’est un troll sur les langages qui part. Je suis déçu :(
Déjà, la version Python n’était pas une application web, c’était une application en ligne de commande que j’utilisais sous ssh pour ajouter/modifier des entrées (côté navigateur internet je ne pouvais qu’invoquer l’auto-filler avec du pur javascript, 0 ligne de code côté serveur)
De suis passé sur PHP parce que Python côté serveur je ne connais pas, et j’ai un apriori assez négatif. Disons que la dernière fois que j’avais regardé (il y a des années), le Python sur le web se divisait en deux catégories :
- des frameworks gargantuesques à la django
- des libs très très bas niveau (apache mod_python, cgi, fastcgi…)
Aucun des deux ne m’intéressent, je veux une abstraction simple de la communication au serveur web (bref, je m’en tape que derrière ce soit un mod apache, du cgi ou du fastcgi) mais pas de framework complet.
Pour finir, la partie serveur (et pas web) en Python que j’avais et la partie PHP que je fais n’ont strictement rien à voir niveau fonctionnel, je n’aurais rien pu récupérer. Tout ce qui était fait en Python est soit déjà fait côté JS soit sera fait côté JS.
Posté par Moonz .
En réponse au journal Publication de WKR.
Évalué à 5.
Dernière modification le 30 janvier 2014 à 11:20.
J’ai une bonne nouvelle et une mauvaise nouvelle :)
La bonne nouvelle est que la prochaine version ne nécessitera plus hash_pbkdf2. Le but est de ne faire aucune opération cryptographique sur le serveur ; ce but n’est pas encore atteint à cause du manque d’une interface HTML+JS pour créer un compte (je dois donc créer le ring root sur le serveur, d’où hash_pbkdf2), mais c’est le prochain point sur la todo-list.
La mauvaise nouvelle c’est qu’il faudra quand même une version récente de PHP pour l’interface jsonSerialize (5.4 si j’en crois la documentation).
Sur le pourquoi de AES+PBKDF2 au lieu de crypt, plein de réponses :
- La page Wikipedia sur [DES] explique très bien que ce dernier est déconseillé
- La version PHP est très récente, avant c’était du Python. Et c’était AES+PKBDF2.
- http://fr2.php.net/manual/en/function.crypt.php indique : crypt() will return a hashed string using the standard Unix DES-based algorithm or alternative algorithms that may be available on the system.. Pas envie de faire de la rétro-ingénierie par savoir dans quels cas crypt utilise quels algorithmes.
Posté par Moonz .
En réponse au journal Publication de WKR.
Évalué à 8.
Dernière modification le 30 janvier 2014 à 01:00.
Je suis totalement passé à côté lorsque j’ai fait WKR, je ne l’ai vu qu’il y a quelques jours. Je n’ai pas étudié la chose (utilisation + lisage de code) pendant plus de quelques heures, donc ce que je dis est à prendre avec des pincettes, mais voilà ce que j’en retire :
On a pas vraiment le même usage en tête. TeamPass se veut une version intranet de KeePassX, dans lequel la gestion multi-utilisateur des mots de passe est au centre du système. Dans WKR la seule gestion multi-utilisateur est « on s’échange le mot de passe ». Ça peut paraître secondaire comme différence au premier coup d’œil mais ça implique des choix assez différents
À l’usage WKR est pensé pour s’intégrer le plus aisément possible dans le workflow d’un internaute (je me met sur la page de login du site, j’appuie sur C-x, WKR apparaît et me remplit le formulaire) ; TeamPass ne l’est pas du tout (je me met sur la page de login du site, j’ouvre un nouvel onglet, je me connecte sur TeamPass, je cherche le site associé, je copie le mot de passe, je repasse sur le premier onglet, je colle). Rien de fondamental mais ça montre la priorité de chacun des projets (qu’on s’entende : ce n’est pas une critique de TeamPass, j’utilise KeePass au boulot, ce n’est juste pas le même usage)
TeamPass n’a pas de gestion hiérarchique telle que pensée dans WKR. TeamPass peut organiser hiérarchiquement les entrées dans plusieurs dossiers, il est vrai, mais il est impossible de définir un mot de passe spécifique à un dossier qui permettrait d’ouvrir un dossier fils avec son propre mot de passe ou le mot de passe du dossier père. En fait, dans TeamPass, à toute entrée est associée au plus un et un seul mot de passe permettant de la chiffrer/déchiffrer, parfois 0
TeamPass possède deux systèmes de chiffrement des mots de passe. Le premier, pour les dossiers dits « personnels » (c’est à dire limités à 1 utilisateur et non partageables) est un simple AES dont la clé est dérivée du mot de passe de l’utilisateur, très exactement comme gPass, WKR ou (en tout cas c’est ce qu’ils disent) LastPass.
On en arrive au gros point noir (de mon point de vue) de TeamPass. Le second système de chiffrement des mots de passe est utilisé pour tous les dossiers partageables. C’est aussi de l’AES… avec une clé stockée dans un .php sur le même serveur, clé générée à l’installation et utilisée pour absolument tous les mots de passe excepté les mots de passe personnels. Autrement dit, toute personne qui a pu accéder en lecture à ce fichier est en mesure de déchiffrer la grande majorité des mots de passe. Dans WKR, la seule manière pour l’administrateur du service d’accéder aux mots de passe des utilisateurs est de modifier le javascript envoyé au navigateur pour y insérer un keylogger.
De plus je suis quasiment sûr que les premières implémentations Linux de zeroconf venaient de l’implémentation d’Apple (souvenirs de packages mdnsreponder), mais c’est vieux et j’ai la flemme de faire de l’archéologie pour confirmer/infirmer.
ps: CF c'est quoi? Parceque Google ca aide pas de masse sur le sujet.
Ou tu veux supprimer le sexe de la personne dans le numéro de sécurité sociale ?
Je ne veux rien. Mais je ne vois effectivement aucune raison d’indiquer le sexe dans le numéro de sécurité sociale. Après, je manque peut-être d’imagination…
Posté par Moonz .
En réponse au journal Le féminisme me gonfle.
Évalué à 8.
Dernière modification le 22 janvier 2014 à 17:55.
Alors, à ma connaissance, les pires atrocités, c'était par ordre d'importance les exterminations staliniennes et hitlériennes, et je n'y vois pas le rapport avec la religion.
De même pour la merde que les Belges ont foutu au Rwanda, elle a peu de choses à voir avec la religion. Le conflit sino-japonais pendant la seconde guerre mondiale n’a rien à voir avec la religion non plus, et niveau atrocités ça se pose là. Si on remonte plus loin, je doute que les motivations de Gengis Khan aient été religieuses, et pourtant si on devait faire un palmarès des malthusiens-décroissants les plus efficaces, il se placerait largement en tête du podium.
J’ai pas fait d’études poussées sur le sujet mais j’ai vraiment pas l’impression que la religion soit un facteur de conflit sur-représenté relativement à son importance sociale historique.
Cas pratique : je modifie Wordpress pour implémenter la demande d’un client (qui n’y connaît rien de rien en informatique, il m’a juste payé pour avoir un site-vitrine), je met en place sur son serveur.
Qu’est-ce qui dans la GPL m’oblige à retourner ces modifications à la communauté ?
Si 300 ko de données c’est 10.000 lignes de 7 colonnes, ça veut dire que chaque colonne est sur ~ 4 octets, ce qui répond à une de mes questions, le format des données.
Ça ne répond pas à la seconde, la gueule qu’ont les filtres, comment ils sont générés, et quels sont les calculs faits exactement.
On va faire simple : tu pourrais mettre en ligne un exemple de dataset et de résultat attendu ?
À quoi ressemble à un filtre ? Pourquoi 45000 différents, elles sortent d’où ces combinaisons, elles servent à quoi ? Les colonnes sont des chaînes ? des entiers ? quelle taille ?
L’autre souci c’est que si cette méthode se répand les spammeurs ont juste à faire un sed s/+.*@/@/ dans leurs bases de données (si ce n’est déjà fait).
L’utilisateur reconnait la sienne en voyant à laquelle il peut accéder (petit icône type "sens interdit" pour la plupart des systèmes de fichiers en mode graphique, ls -l en terminal)
avec /media/$user/USB, comment faire pour partager une clé entre plusieurs utilisateurs ? (pour /media/USB : chgrp users /media/USB;chmod g+rwx /media/USB)
[^] # Re: Python -> Php
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 3.
J’avais laissé un appeau à troll pour les féministes du site et c’est un troll sur les langages qui part. Je suis déçu :(
Déjà, la version Python n’était pas une application web, c’était une application en ligne de commande que j’utilisais sous ssh pour ajouter/modifier des entrées (côté navigateur internet je ne pouvais qu’invoquer l’auto-filler avec du pur javascript, 0 ligne de code côté serveur)
De suis passé sur PHP parce que Python côté serveur je ne connais pas, et j’ai un apriori assez négatif. Disons que la dernière fois que j’avais regardé (il y a des années), le Python sur le web se divisait en deux catégories :
- des frameworks gargantuesques à la django
- des libs très très bas niveau (apache mod_python, cgi, fastcgi…)
Aucun des deux ne m’intéressent, je veux une abstraction simple de la communication au serveur web (bref, je m’en tape que derrière ce soit un mod apache, du cgi ou du fastcgi) mais pas de framework complet.
Pour finir, la partie serveur (et pas web) en Python que j’avais et la partie PHP que je fais n’ont strictement rien à voir niveau fonctionnel, je n’aurais rien pu récupérer. Tout ce qui était fait en Python est soit déjà fait côté JS soit sera fait côté JS.
[^] # Re: pbkdf2
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 5. Dernière modification le 30 janvier 2014 à 11:20.
J’ai une bonne nouvelle et une mauvaise nouvelle :)
La bonne nouvelle est que la prochaine version ne nécessitera plus
hash_pbkdf2. Le but est de ne faire aucune opération cryptographique sur le serveur ; ce but n’est pas encore atteint à cause du manque d’une interface HTML+JS pour créer un compte (je dois donc créer le ring root sur le serveur, d’oùhash_pbkdf2), mais c’est le prochain point sur la todo-list.La mauvaise nouvelle c’est qu’il faudra quand même une version récente de PHP pour l’interface
jsonSerialize(5.4 si j’en crois la documentation).Sur le pourquoi de AES+PBKDF2 au lieu de crypt, plein de réponses :
- La page Wikipedia sur [DES] explique très bien que ce dernier est déconseillé
- La version PHP est très récente, avant c’était du Python. Et c’était AES+PKBDF2.
- http://fr2.php.net/manual/en/function.crypt.php indique :
crypt() will return a hashed string using the standard Unix DES-based algorithm or alternative algorithms that may be available on the system.. Pas envie de faire de la rétro-ingénierie par savoir dans quels cascryptutilise quels algorithmes.[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par Moonz . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 6.
Le machin à 15€ que tu gères à l’aide d’un logiciel codé avec les pieds par un stagiaires payé au lance-pierre ? Comme c’est étonnant…
[^] # Re: TeamPass
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 8. Dernière modification le 30 janvier 2014 à 01:00.
Je suis totalement passé à côté lorsque j’ai fait WKR, je ne l’ai vu qu’il y a quelques jours. Je n’ai pas étudié la chose (utilisation + lisage de code) pendant plus de quelques heures, donc ce que je dis est à prendre avec des pincettes, mais voilà ce que j’en retire :
On a pas vraiment le même usage en tête. TeamPass se veut une version intranet de KeePassX, dans lequel la gestion multi-utilisateur des mots de passe est au centre du système. Dans WKR la seule gestion multi-utilisateur est « on s’échange le mot de passe ». Ça peut paraître secondaire comme différence au premier coup d’œil mais ça implique des choix assez différents
À l’usage WKR est pensé pour s’intégrer le plus aisément possible dans le workflow d’un internaute (je me met sur la page de login du site, j’appuie sur C-x, WKR apparaît et me remplit le formulaire) ; TeamPass ne l’est pas du tout (je me met sur la page de login du site, j’ouvre un nouvel onglet, je me connecte sur TeamPass, je cherche le site associé, je copie le mot de passe, je repasse sur le premier onglet, je colle). Rien de fondamental mais ça montre la priorité de chacun des projets (qu’on s’entende : ce n’est pas une critique de TeamPass, j’utilise KeePass au boulot, ce n’est juste pas le même usage)
TeamPass n’a pas de gestion hiérarchique telle que pensée dans WKR. TeamPass peut organiser hiérarchiquement les entrées dans plusieurs dossiers, il est vrai, mais il est impossible de définir un mot de passe spécifique à un dossier qui permettrait d’ouvrir un dossier fils avec son propre mot de passe ou le mot de passe du dossier père. En fait, dans TeamPass, à toute entrée est associée au plus un et un seul mot de passe permettant de la chiffrer/déchiffrer, parfois 0
TeamPass possède deux systèmes de chiffrement des mots de passe. Le premier, pour les dossiers dits « personnels » (c’est à dire limités à 1 utilisateur et non partageables) est un simple AES dont la clé est dérivée du mot de passe de l’utilisateur, très exactement comme gPass, WKR ou (en tout cas c’est ce qu’ils disent) LastPass.
On en arrive au gros point noir (de mon point de vue) de TeamPass. Le second système de chiffrement des mots de passe est utilisé pour tous les dossiers partageables. C’est aussi de l’AES… avec une clé stockée dans un .php sur le même serveur, clé générée à l’installation et utilisée pour absolument tous les mots de passe excepté les mots de passe personnels. Autrement dit, toute personne qui a pu accéder en lecture à ce fichier est en mesure de déchiffrer la grande majorité des mots de passe. Dans WKR, la seule manière pour l’administrateur du service d’accéder aux mots de passe des utilisateurs est de modifier le javascript envoyé au navigateur pour y insérer un keylogger.
[^] # Re: Mauvais paradigme
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 3. Dernière modification le 29 janvier 2014 à 15:53.
Je serais excessivement surpris qu’il soit développé par Apple.
Un codec audio : http://alac.macosforge.org/
Une lib de parallélisme : http://libdispatch.macosforge.org/ (utilisable avec Apache et pas seulement sous OSX)
Un serveur CardDAV/CalDAV : http://calendarserver.org/
Un serveur RTP/RTSP : http://dss.macosforge.org/
De plus je suis quasiment sûr que les premières implémentations Linux de zeroconf venaient de l’implémentation d’Apple (souvenirs de packages mdnsreponder), mais c’est vieux et j’ai la flemme de faire de l’archéologie pour confirmer/infirmer.
CoreFoundation
[^] # Re: mon avis
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 3.
Je ne veux rien. Mais je ne vois effectivement aucune raison d’indiquer le sexe dans le numéro de sécurité sociale. Après, je manque peut-être d’imagination…
[^] # Re: Mauvais paradigme
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 2.
http://opensource.apple.com/source/AppleAC97Audio/
http://opensource.apple.com/source/IOACPIFamily/
http://opensource.apple.com/source/AppleDP83816Ethernet/
http://opensource.apple.com/source/AppleIntelPIIXATA/
…
je continue ?
http://opensource.apple.com/source/BootX/
http://opensource.apple.com/source/CF/
http://opensource.apple.com/source/QuickTimeStreamingServer/
http://opensource.apple.com/source/launchd/
(liste non exhaustive)
[^] # Re: mon avis
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 2.
Pourquoi donc ?
[^] # Re: Moi aussi
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 8. Dernière modification le 22 janvier 2014 à 17:55.
De même pour la merde que les Belges ont foutu au Rwanda, elle a peu de choses à voir avec la religion. Le conflit sino-japonais pendant la seconde guerre mondiale n’a rien à voir avec la religion non plus, et niveau atrocités ça se pose là. Si on remonte plus loin, je doute que les motivations de Gengis Khan aient été religieuses, et pourtant si on devait faire un palmarès des malthusiens-décroissants les plus efficaces, il se placerait largement en tête du podium.
J’ai pas fait d’études poussées sur le sujet mais j’ai vraiment pas l’impression que la religion soit un facteur de conflit sur-représenté relativement à son importance sociale historique.
[^] # Re: C'est le moment...
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 3.
Moi toutes ces discussions sur c’est-moi-le-plus-égalitariste-d’abord-espèce-de-sale-raciste-sexiste me font plutôt penser à ça :
http://www.youtube.com/watch?v=TNkdCQZzVL0
[^] # Re: Moi aussi
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 7. Dernière modification le 22 janvier 2014 à 17:39.
Avec la politique aussi.
Vite, une loi pour interdire la politique !
[^] # Re: Mon opinion à deux francs six sous
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 4. Dernière modification le 21 janvier 2014 à 17:18.
Cas pratique : je modifie Wordpress pour implémenter la demande d’un client (qui n’y connaît rien de rien en informatique, il m’a juste payé pour avoir un site-vitrine), je met en place sur son serveur.
Qu’est-ce qui dans la GPL m’oblige à retourner ces modifications à la communauté ?
(indice : une licence qui obligerait à reverser les modifications à l’auteur original ne serait pas libre au sens de Debian)
[^] # Re: asshole detector
Posté par Moonz . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 3. Dernière modification le 21 janvier 2014 à 12:20.
https://github.com/nose-devs/nose/
http://pear.php.net/
http://beaver-editor.sourceforge.net/
http://www.jedsoft.org/slang/doc/html/slang.html
http://www.gnome.org/
Ne t’en déplaise, trouver des noms/acronymes amusants pour baptiser un logiciel c’est un peu une tradition dans le logiciel libre.
[^] # Re: asshole detector
Posté par Moonz . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 0.
J’entends, mais pourquoi 20% et pas 0% ?
[^] # Re: Niveau 0
Posté par Moonz . En réponse au journal L'art de stocker des mots de passe. Évalué à 8.
Et les mots de passe en clair c'est le niveau combien ?
(oui, j’en ai vu dans un projet codé en 2013)
[^] # Re: NSFW
Posté par Moonz . En réponse à la dépêche 0.h un weboob. Évalué à 2.
Quels concurrents ?
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 2. Dernière modification le 07 janvier 2014 à 18:55.
Si 300 ko de données c’est 10.000 lignes de 7 colonnes, ça veut dire que chaque colonne est sur ~ 4 octets, ce qui répond à une de mes questions, le format des données.
Ça ne répond pas à la seconde, la gueule qu’ont les filtres, comment ils sont générés, et quels sont les calculs faits exactement.
On va faire simple : tu pourrais mettre en ligne un exemple de dataset et de résultat attendu ?
[^] # Re: Mailing list : hackerspace FixMe
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 3.
Et tu n’as pas expliqué en direct à quelqu’un qui lui serait capable d’expliquer de manière intelligible ?
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 3.
300K = 300 kilo-octets ou 300 000 lignes ?
À quoi ressemble à un filtre ? Pourquoi 45000 différents, elles sortent d’où ces combinaisons, elles servent à quoi ? Les colonnes sont des chaînes ? des entiers ? quelle taille ?
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 3.
Pour le coup, je ne vois pas pourquoi il devrait avoir honte de publier sale. Mieux vaut publier sale que pas du tout.
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 5.
J’ai lu http://downloads.evenja.org/download.php?app=evenja&os=doc&file=evenja-tutoshowto.pdf, et je ne vois absolument aucune différence avec la programmation événementielle.
[^] # Re: Une idée
Posté par Moonz . En réponse au journal Antispam, la solution ultime. Évalué à 6.
L’autre souci c’est que si cette méthode se répand les spammeurs ont juste à faire un sed s/+.*@/@/ dans leurs bases de données (si ce n’est déjà fait).
[^] # Re: de toute façon ce sont des cons chez freedesktop
Posté par Moonz . En réponse au journal Perte de CTRL. Évalué à 1.
ls -len terminal)/media/$user/USB, comment faire pour partager une clé entre plusieurs utilisateurs ? (pour/media/USB:chgrp users /media/USB;chmod g+rwx /media/USB)[^] # Re: de toute façon ce sont des cons chez freedesktop
Posté par Moonz . En réponse au journal Perte de CTRL. Évalué à 3.
http://ignorantguru.github.io/udevil/
http://pmount.alioth.debian.org/
[^] # Re: de toute façon ce sont des cons chez freedesktop
Posté par Moonz . En réponse au journal Perte de CTRL. Évalué à 4.
C’est plus long à taper (au terminal)/accéder (depuis un sélecteur de fichier graphique)