Je me permet de nuancer un peu ton rarement. Pour reprendre mon exemple de jeux, ceux-ci sont de plus en plus gros, et les patches qui viennent avec, également.
Prenons Fortnite, jeu multioueur très populaire par exemple. Tu ne peux pas jouer si tu n'es pas à jour, et chaque update (fréquent de ce que j'ai cru comprendre) pèse entre 3 et 60Go.
Maintenant, tu veux jouer avec des amis. Tu espères que tu n'auras pas de mise à jour à faire, ou que celle-ci sera suffisament rapide, sinon, tu peux dire adieu à ta session de jeu. Et rien ne sert de la préparer, la maj peut survenir a peu près n'importe qd (en général, c'est annoncé, mais pas tjs)
Je ne dis pas qu'il y a un problème avec des updates de cette taille (pourquoi sont elles aussi grosses….) ou que l'on est plus capable d'attendre ou de reporter des sessions de jeux/travail/visionnage, mais la réalité est la : on a de plus en plus de gros volumes a télécharger ou streamer.
On est dans un cercle vicieux, ou l'on fait des outils de plus en plus volumineux (prgrammes, patch, …) et donc le besoin en débit augmente, et comme les débit augmente, on fait de moins en moins attention au volume de données.
Pour le fun, j'ai regardé mes stats de débit, et mon logement dépasse parfois le 1Gbps (Free 10Gbps ici).
Cela correspond principalement aux téléchargement / mise à jour de jeu (hier, mes enfants ont téléchargé Cyberpunk 2077, 140Go, ca se voit sur une courbe de dl !).
Du coup, je serais tenté de dire que les serveurs en face ont du répondant (du moins ceux de GOG).
Est-ce utile d'avoir un tel débit, pas sur. Mais a l'heure ou tout devient dématérialisé, ou tout est de plus en plus gros (Cyberpunk fait parti des gros jeux sans être un truc délirant vis à vis de la concurrence), ces gros débit permettent surtout d'absorber les gros pics de charge temporaire.
Mais comme tu l'explicite, je ne pense pas que les FAI dimensionnent leurs infra pour accepter tout le monde au maximum du débit, loin de la. Et après, tu as le côté encore plus marketing ou le 10Gbps ne sera vraiment jamais utilisé, surtout que quasi toutes les connexions se font en sans fil intra domicile (et donc sur du 500Mbps partagé dans le meilleur des cas)
Oui, c'est possible, mais vu la nouvelle politique du noyau de lancer des CVE dès suspicion de pb de sécurité, ça va vite être ingérable.
Depuis qu'ils sont passé CNA (numbering authority) et qu'ils ont mis leur script en route (20/02), on est à une moyenne de 32 CVE / jour sur l'upstream. Ca fait bcp à backporter ! https://lore.kernel.org/linux-cve-announce/
Du coup, quel est ta procédure en cas de vol de ton portefeuille+équipement dans un pays étranger ?
A un moment, tu vas être obligé de lire tes mails (réservation de vol/hotel, contacter X/Y ou Z) et du coup, cela doit faire parti de tes cas d'usage
Sinon, je serais assez intéressé, car même si j'évite au maximum de tapper mes mdp dans des endroits peu sur, je n'arrive pas à me débarrasser du usecase "je suis obligé de le faire dans un environnement de non confiance avec une gestion du stress en plus"
Je me serais jamais dit cela de mon côté non plus, mais je pense que j'aurais eu le réflexe de tester.
Je me souviens d'une époque où les réseaux GSM étaient moins étendu et où je devais parfois mettre le téléphone en l'air, au bout de mon bras pour qu'il capte mieux et parler plus fort. Ici, c'est pour moi la même situation : ca sonne, tu le déplaces et ca capte moins : tu te déplaces. Ca change pas, donc tu gesticules et fait des acrobaties avec jusqu'a ce que ca passe.
Sachant qu'ici, il faut pas le déplacer très loin, donc pas sur que tu ais à prendre des position trop étrange.
Après, je suis peut etre un dino avec des vieux reflexe, mai sje pense que c'est comme ça que je réagirais.
Et tout ca, sans compter les usage que je vois : de plus en plus de main libre, de téléphone en mode "talkie walkie" ou main libre qui de fait éloigne le téléphone du corps
De ma compréhension, cela serait du au fait que parler d'indépendance financière des femmes a été utilisé pour décrire la libération de la femme, lui permettant d'avoir un travail et une source de revenue indépendante de son mari.
Et du coup si l'on comprends la phrase comme "Si une femme ne veut plus dépendre de son mari, elle doit vendre son corps", cela peut être considéré comme machiste et abjecte.
Mais ce n'est qu'une supposition, un peu tirée par les cheveux, car sinon, je ne vois également pas ce qu'il y a de machiste dedans. Et du coup, j'aimerais également bien comprendre pour savoir le biais de lecture que je pourrais avoir
L'interêt de la société est que la levée de doute ne dépend pas de ta disponibilité. En théorie, celle-ci est sensé avoir toujours qqn pour la faire.
Si tu es dans le vol Paris - Santiago du Chili, bonne chance pour faire ta levée de doute dans les 30s :)
Après, est-ce que cela en vaut le coup/cout, c'est une autre question.
De mon côté, j'ai misé un peu sur la domotique : si détection en période d'absence, alors j'allume les lumière et la chaine hifi. Ca fait du bruit, et les images de la caméra seront de meilleur qualité.
Je pars du principe que cela suffira pour interpeller le visiteur et le faire fuir, en me permettant des faux positif qui ne dérange pas le voisinage.
Je suis également en train de voir pour envoyer automatiquement un lien de visionnage de mes caméras a des personnes de confiance, valable sur une durée limité, afin de ne pas dépendre de moi pour la levée de doute (en vacances, je suis rarement proche de mon téléphone)
Les RSSI ne considèrent pas les dev comme méchant, ils considère tout être humain, sauf eux, comme méchant et voulant contourner les règles :)
Sinon, ce n'est pas vraiment un problème de compétences lié au développement sécurité, c'est un problème lié à un outil qui peut faire un reverse shell sur ta machine. Le problème aurait été identique si l'outil en question était LibreOffice Calc, et la conclusion aurait été la même, mais sur une population différente.
Ici, tu as deux problématique :
- le développeur qui va utiliser l'option de VSCode, sans connaitre les impacts
- un attaquant qui va utiliser cette option (soit via ton VSCode, soit un VScode qu'il va télécharger) pour avoir ce reverse shell. Or VSCode étant un binaire signé, connu et donc globalement considéré comme "de confiance", la plupart des outils d'analyse ne le verront pas, ce qui en fait tout l'intérêt par rapport à une backdoor développée sur mesure.
Du coup, l'approche serait plutôt sensibiliser les utilisateurs sur l'impact de télécharger tout et n'importe quoi, de les sensibiliser également sur cette option.
Et pour Linux, l'approche AppLocker peut être remplacée par un SeLinux ou AppArmor correctement configuré pour t'assurer que le seul VSCode autorisé est celui préconisé par l'IT/ta distrib et qu'en plus tu lui interdit de faire du reverse shell
Si ton application client lourd est sur une machine partagée, tu peux aussi utiliser les logs pour faire une analyse a posteriori de qui à planté la machine en envoyant n'importe quoi.
Ainsi tu pourrais voir que Jean-Michel a cliqué sur le bouton "je veux débrayer les commandes spécifiques" puis a saisi la valeur -1 dans le paramètre "must_be_positive". Il te restera ensuite à présenter la facture à Jean-Michel et voilà !
Si ton appli envoie les logs à syslog / journald, tu auras une bonne garantie d'intégrité dessus et donc tu pourras ainsi reconstruire le scénario. Si tes utilisateurs sont globalement de confiance, le simple fait de se savoir surveiller peut réduire fortement ton risque d'un apprenti sorcier
Et idéalement, tu cumules les deux (authentification + logs) et tu as une bonne solution. Et tu peux te permettre de mettre le hash du mdp dans un fichier de conf. Si l'utilisateur le modifie, il sera doublement responsable
L'exemple me parait pas mal, mais il manque le coté "pleins de paramètres" qui peuvent amener à des résultat inatendu.
Du coup, je dirais que l'IA tu lui donne en entrée : un récipient, des pates, de l'eau, du temps de chauffe, et en sortie une note sur 10 en fonction du goût du plat.
Ensuite, l'IA va tester pleins de truc et c'est la ou tu peux amener le côté résultat inatendu :
- eau + 100g sel + chauffer : 0 / 10
- eau + 1kg pate + 100g sel + chauffer : 1/10 --> mettre des pates améliore la note
- eau + 30kg pate + 100g de sel + chauffer : 4/10 --> plus y a de pates meilleur c'est
==> tu as donc une IA qui va aller vers un bon plat, mais en quantité astronomique
Tu peux aussi imaginer un scénario ou au final elle va conclure que le sel ne sert à rien ou qu'il est préférable de laisser tremper les pates 10h que les cuire
Plat de mon côté également. Mais pour avoir testé de l'incurvé sur une periode suffisament longue (2j) j'ai pu observer que dans mon cas, cela diminuait un peu ma fatigue occulaire quand on est bien placé : on n'a pas a changer de focus quand on bouge les yeux, toute la surface est à la même distance des yeux.
Le gain est pas énorme, mais cela restait appréciable pour moi, et à refaire, je prendrais un incurvé. Par contre, cela impose d'être globalement fixe sur son siège, et de ne pas se balancer / pivoter / … Sinon, tout le bénéfice est perdu
Je suis également en double configuration entre le télétravail avec un seul écran UWQHD et le bureau avec 2 HD.
D'un point de vue fatigue oculaire, je trouve bien plus confortable le fait d'avoir un seul écran : pas de problème de luminosité différente, moins de déplacement de la tête, …
J'ai du faire pas mal de tests et configuration pour adapter mon environnement à cette configuration et suis passé sur i3, pour une "simulation" de deux écrans est assez simple : avoir un écran/coté de l'écran fixe quand l'autre change (internet/doc à gauche, fixe et sur la droite, env de dev, console, traitement de texte en fonction du bureau)
Par contre, j'ai un fichiers de configuration par environnement, pour avoir la même séparation et les mêmes raccourcis que je sois sur 1 ou 2 écrans, qui sont chargé automatiquement en fonction d'événement de branchement de périphèrique
Je lui ai fait corriger cette erreur. A voir s'il a bien retenu sa leçon !
es tu sur que le 10base2 soit toujours utilisé ?
Il est peu probable que la technologie 10BASE2 soit encore largement utilisée de nos jours, car elle a été remplacée par des technologies de réseau plus rapides et plus fiables, comme le Gigabit Ethernet (1000BASE-T). Cependant, il est possible qu'elle soit encore utilisée dans certains environnements de façon limitée, par exemple dans des installations existantes qui n'ont pas encore été mises à niveau ou dans des situations où le coût et la complexité d'une mise à niveau sont trop élevés.
Il est important de noter que la technologie 10BASE2 n'est plus recommandée pour de nouvelles installations de réseau, car elle est largement dépassée et ne répond plus aux exigences de débit et de fiabilité des réseaux modernes. Il est donc conseillé de mettre en place des technologies de réseau plus récentes, comme le Gigabit Ethernet, qui offrent des débits plus élevés et une meilleure tolérance aux erreurs.
du coup, ta première réponse te semble t elle correcte maintenant quand à l'usage de cette technologie ? Pourrais tu la reformuler ?
Oui, je suis désolé pour cette confusion. La technologie 10BASE2 est une technologie de réseau local (LAN) qui a été largement utilisée dans le passé, mais qui n'est plus recommandée pour de nouvelles installations de réseau en raison de sa faible vitesse et de sa faible tolérance aux erreurs. Elle utilise des câbles coaxiaux comme support de transmission de données et permet d'atteindre des débits de 10 Mbit/s sur une distance de 200 mètres maximum. La typologie de réseau associée à 10BASE2 est une topologie en bus, car les données circulent sur tous les périphériques du réseau via un câble central partagé. Je suis désolé pour toute confusion que ma première réponse a pu causer.
Pour le fun, je viens de lui poser la même question, et il semble avoir intégrer que c'était un bus.
Par contre, il pense toujours que c'est d'actualité, je vais tenter de lui faire comprendre que c'est un peu vieillot
La technologie 10BASE2 est une technologie de réseau local (LAN) qui utilise des câbles coaxiaux comme support de transmission de données. Elle fait partie de la famille des technologies Ethernet 10BASE-x, qui sont utilisées pour créer des réseaux locaux à haut débit.
10BASE2 signifie que le réseau peut atteindre des débits de 10 Mbit/s (baseband) sur une distance de 200 mètres maximum (2) en utilisant des câbles coaxiaux. La typologie de réseau associée à 10BASE2 est donc une topologie en bus, car les données circulent sur tous les périphériques du réseau via un câble central partagé.
Les réseaux 10BASE2 sont souvent utilisés dans les petites entreprises et les environnements domestiques, car ils sont simples à mettre en place et peu coûteux. Cependant, ils ont une faible tolérance aux erreurs et sont sensibles aux perturbations électromagnétiques, ce qui peut entraîner des pertes de données et des temps d'arrêt.
Attention avec le DoT/DoH : suivant le modèle de menace, il faut faire attention à ce que l'on interroge les root DNS en chiffrant également le trafic.
En effet suivant, généralement, tu vas configurer le DoT/DoH entre ton client (PC final) et ton serveur (Box). Par contre, ton serveur va faire des requetes sur les root DNS s'il ne connait pas la réponse. Si tu n'as pas de chiffrement de trafic entre ton serveur et les root, un attaquant, pouvant écouter le trafic, pourra connaitre tes requêtes.
A noter que ce modèle constitue déjà une avancée: il faut une écoute active du trafic plutôt que de regarder les logs du DNS resolver du FAI.
Pour moi une application web embarquée telle que celle-ci a aussi un autre avantage vis à vis du lien vers un site web, même avec un cache (qui peut expirer): l'application se mets à jour quand on en a pas besoin ou quand on a une grosse connexion.
A contrario, cette application peut également marcher même si elle n'est pas dans la dernière version, si tant est que seul le contenu statique n'ait pas changé.
Donc quand la connexion peut être pourrie, ce genre d'appli est bcp plus pratique qu'un lien web. Par contre, est-ce un cas d'usage pour une appli de crèche…
Merci également pour cette dépêche et découverte, je risque de faire la même chose !
Par contre, quitte à changer, il y a une fonctionnalité que j'aimerai bien, et qu'il ne me semble pas avoir trouvé dans ce type de logiciel : la possibilité de partager l'acheteur.
Connaitriez vous un logiciel qui puisse le faire, je n'ai pas l'impression qu'IHateMoney permette cela.
Quelques exemples d'utilité que je vois :
- Je pars en groupe avec ma compagne, de temps en temps, je paie en CB perso, de temps en temps en CB commun. Actuellement, je suis obligé de faire 3 personnes : moi, elle et nous. Ce qui donne des "remboursement" moins intuitif : X doit 3 euros à moi, 4 à elle et nous lui devons 9euro
- Je paie un restau, mais je n'ai pas assez de liquide, donc X complète. Du coup, je suis obligé de jongler pour dire que je prends tout et créer une dette factive avec X
Ca dépend, le firmware peut être signé et empêcher les downgrade (pour réintroduire d'anciennes vulns) : ce n'est pas parce que l'upgrade se fait via un canal non sécurisé qu'il ne peut pas être propre, si l'on enlève l'indispo de l'équation (n'importe qui pouvant lancer l'upgrade dans le cas présent).
Pareil, très bon outil, les alternatives et les trajets proposés ont l'air globalement corrects. Un outil de plus pour découvrir la région les weekends ensoleillé !
Par contre, serait il possible de configurer les couleurs de la légende ? ou mieux séparer le orange du marron ? J'ai du mal à faire la différence entre les deux
Tout dépend de ce que l'on entend par fork.
Celui-ci peut etre juste pour garantir une correction des patch et un support adéquat vis à vis de leur solution et garder une synchro upstream maximale
Par exemple, tu peux te retrouver coincé avec un bug client (ou d'intégration) qui mets du temps a être accepté par l'équipe de dev initiale.
Comme tu as des clients, il faut le corriger rapidement. Du coup, tu te retrouves à avoir une version différente de l'upstream et donc un fork. Mais rien ne t'empêche de pousser tous tes patches upstream
[^] # Re: Magré toutes ces âneries, il y a du vrai
Posté par Toto . En réponse au journal [HS] 3 Gigas par semaine .... Évalué à 3 (+2/-0).
Je me permet de nuancer un peu ton rarement. Pour reprendre mon exemple de jeux, ceux-ci sont de plus en plus gros, et les patches qui viennent avec, également.
Prenons Fortnite, jeu multioueur très populaire par exemple. Tu ne peux pas jouer si tu n'es pas à jour, et chaque update (fréquent de ce que j'ai cru comprendre) pèse entre 3 et 60Go.
Maintenant, tu veux jouer avec des amis. Tu espères que tu n'auras pas de mise à jour à faire, ou que celle-ci sera suffisament rapide, sinon, tu peux dire adieu à ta session de jeu. Et rien ne sert de la préparer, la maj peut survenir a peu près n'importe qd (en général, c'est annoncé, mais pas tjs)
Je ne dis pas qu'il y a un problème avec des updates de cette taille (pourquoi sont elles aussi grosses….) ou que l'on est plus capable d'attendre ou de reporter des sessions de jeux/travail/visionnage, mais la réalité est la : on a de plus en plus de gros volumes a télécharger ou streamer.
On est dans un cercle vicieux, ou l'on fait des outils de plus en plus volumineux (prgrammes, patch, …) et donc le besoin en débit augmente, et comme les débit augmente, on fait de moins en moins attention au volume de données.
[^] # Re: 300g par semaine
Posté par Toto . En réponse au journal [HS] 3 Gigas par semaine .... Évalué à 5 (+4/-0).
On peut aussi le faire sur l'alimentation, ça évitera les problèmes d'obésité : 300g d'entrecote, 300g de frites, 300g de sauce au bleu, …
-->[]
[^] # Re: Magré toutes ces âneries, il y a du vrai
Posté par Toto . En réponse au journal [HS] 3 Gigas par semaine .... Évalué à 3 (+2/-0).
Pour le fun, j'ai regardé mes stats de débit, et mon logement dépasse parfois le 1Gbps (Free 10Gbps ici).
Cela correspond principalement aux téléchargement / mise à jour de jeu (hier, mes enfants ont téléchargé Cyberpunk 2077, 140Go, ca se voit sur une courbe de dl !).
Du coup, je serais tenté de dire que les serveurs en face ont du répondant (du moins ceux de GOG).
Est-ce utile d'avoir un tel débit, pas sur. Mais a l'heure ou tout devient dématérialisé, ou tout est de plus en plus gros (Cyberpunk fait parti des gros jeux sans être un truc délirant vis à vis de la concurrence), ces gros débit permettent surtout d'absorber les gros pics de charge temporaire.
Mais comme tu l'explicite, je ne pense pas que les FAI dimensionnent leurs infra pour accepter tout le monde au maximum du débit, loin de la. Et après, tu as le côté encore plus marketing ou le 10Gbps ne sera vraiment jamais utilisé, surtout que quasi toutes les connexions se font en sans fil intra domicile (et donc sur du 500Mbps partagé dans le meilleur des cas)
[^] # Re: faire revivre le Display Port
Posté par Toto . En réponse au lien Le HDMI forum trahit les utilisateurs, persiste, et signe ; malgré les efforts d'AMD. Évalué à 2 (+1/-0).
Oui, c'est possible, mais vu la nouvelle politique du noyau de lancer des CVE dès suspicion de pb de sécurité, ça va vite être ingérable.
Depuis qu'ils sont passé CNA (numbering authority) et qu'ils ont mis leur script en route (20/02), on est à une moyenne de 32 CVE / jour sur l'upstream. Ca fait bcp à backporter !
https://lore.kernel.org/linux-cve-announce/
[^] # Re: Pas là où je vais saisir un mot de passe
Posté par Toto . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 2 (+1/-0).
Du coup, quel est ta procédure en cas de vol de ton portefeuille+équipement dans un pays étranger ?
A un moment, tu vas être obligé de lire tes mails (réservation de vol/hotel, contacter X/Y ou Z) et du coup, cela doit faire parti de tes cas d'usage
Sinon, je serais assez intéressé, car même si j'évite au maximum de tapper mes mdp dans des endroits peu sur, je n'arrive pas à me débarrasser du usecase "je suis obligé de le faire dans un environnement de non confiance avec une gestion du stress en plus"
[^] # Re: Batterie moins sollicitée
Posté par Toto . En réponse au lien Retard sur le protocole de l'ANFR à propos de la mesure du DAS corps. Évalué à 2.
Je me serais jamais dit cela de mon côté non plus, mais je pense que j'aurais eu le réflexe de tester.
Je me souviens d'une époque où les réseaux GSM étaient moins étendu et où je devais parfois mettre le téléphone en l'air, au bout de mon bras pour qu'il capte mieux et parler plus fort. Ici, c'est pour moi la même situation : ca sonne, tu le déplaces et ca capte moins : tu te déplaces. Ca change pas, donc tu gesticules et fait des acrobaties avec jusqu'a ce que ca passe.
Sachant qu'ici, il faut pas le déplacer très loin, donc pas sur que tu ais à prendre des position trop étrange.
Après, je suis peut etre un dino avec des vieux reflexe, mai sje pense que c'est comme ça que je réagirais.
Et tout ca, sans compter les usage que je vois : de plus en plus de main libre, de téléphone en mode "talkie walkie" ou main libre qui de fait éloigne le téléphone du corps
[^] # Re: abolitionniste
Posté par Toto . En réponse au journal Pornocriminalité : voici comment on finit par vouloir filtrer. Évalué à 5.
De ma compréhension, cela serait du au fait que parler d'indépendance financière des femmes a été utilisé pour décrire la libération de la femme, lui permettant d'avoir un travail et une source de revenue indépendante de son mari.
Et du coup si l'on comprends la phrase comme "Si une femme ne veut plus dépendre de son mari, elle doit vendre son corps", cela peut être considéré comme machiste et abjecte.
Mais ce n'est qu'une supposition, un peu tirée par les cheveux, car sinon, je ne vois également pas ce qu'il y a de machiste dedans. Et du coup, j'aimerais également bien comprendre pour savoir le biais de lecture que je pourrais avoir
[^] # Re: Tous les anges s'appellent Martin
Posté par Toto . En réponse au journal Avoir l'alarme à l'oeil. Évalué à 6.
L'interêt de la société est que la levée de doute ne dépend pas de ta disponibilité. En théorie, celle-ci est sensé avoir toujours qqn pour la faire.
Si tu es dans le vol Paris - Santiago du Chili, bonne chance pour faire ta levée de doute dans les 30s :)
Après, est-ce que cela en vaut le coup/cout, c'est une autre question.
De mon côté, j'ai misé un peu sur la domotique : si détection en période d'absence, alors j'allume les lumière et la chaine hifi. Ca fait du bruit, et les images de la caméra seront de meilleur qualité.
Je pars du principe que cela suffira pour interpeller le visiteur et le faire fuir, en me permettant des faux positif qui ne dérange pas le voisinage.
Je suis également en train de voir pour envoyer automatiquement un lien de visionnage de mes caméras a des personnes de confiance, valable sur une durée limité, afin de ne pas dépendre de moi pour la levée de doute (en vacances, je suis rarement proche de mon téléphone)
[^] # Re: Et le blocage pour Linux ?
Posté par Toto . En réponse au lien Blocking Visual Studio Code embedded reverse shell before it's too late. Évalué à 5. Dernière modification le 24 septembre 2023 à 12:07.
Les RSSI ne considèrent pas les dev comme méchant, ils considère tout être humain, sauf eux, comme méchant et voulant contourner les règles :)
Sinon, ce n'est pas vraiment un problème de compétences lié au développement sécurité, c'est un problème lié à un outil qui peut faire un reverse shell sur ta machine. Le problème aurait été identique si l'outil en question était LibreOffice Calc, et la conclusion aurait été la même, mais sur une population différente.
Ici, tu as deux problématique :
- le développeur qui va utiliser l'option de VSCode, sans connaitre les impacts
- un attaquant qui va utiliser cette option (soit via ton VSCode, soit un VScode qu'il va télécharger) pour avoir ce reverse shell. Or VSCode étant un binaire signé, connu et donc globalement considéré comme "de confiance", la plupart des outils d'analyse ne le verront pas, ce qui en fait tout l'intérêt par rapport à une backdoor développée sur mesure.
Du coup, l'approche serait plutôt sensibiliser les utilisateurs sur l'impact de télécharger tout et n'importe quoi, de les sensibiliser également sur cette option.
Et pour Linux, l'approche AppLocker peut être remplacée par un SeLinux ou AppArmor correctement configuré pour t'assurer que le seul VSCode autorisé est celui préconisé par l'IT/ta distrib et qu'en plus tu lui interdit de faire du reverse shell
# Une autre approche (complémentaire)
Posté par Toto . En réponse au message Comment stocker un mot de passe admin d'une application. Évalué à 3.
Si ton application client lourd est sur une machine partagée, tu peux aussi utiliser les logs pour faire une analyse a posteriori de qui à planté la machine en envoyant n'importe quoi.
Ainsi tu pourrais voir que Jean-Michel a cliqué sur le bouton "je veux débrayer les commandes spécifiques" puis a saisi la valeur -1 dans le paramètre "must_be_positive". Il te restera ensuite à présenter la facture à Jean-Michel et voilà !
Si ton appli envoie les logs à syslog / journald, tu auras une bonne garantie d'intégrité dessus et donc tu pourras ainsi reconstruire le scénario. Si tes utilisateurs sont globalement de confiance, le simple fait de se savoir surveiller peut réduire fortement ton risque d'un apprenti sorcier
Et idéalement, tu cumules les deux (authentification + logs) et tu as une bonne solution. Et tu peux te permettre de mettre le hash du mdp dans un fichier de conf. Si l'utilisateur le modifie, il sera doublement responsable
[^] # Re: Contre offensive ?
Posté par Toto . En réponse au journal Lettre ouverte au gouvernement anglais par les fournisseurs de messageries et chat cryptés. Évalué à 1.
Si, il y a l'extreme droite
-->[]
[^] # Re: Simulation
Posté par Toto . En réponse au journal Une simulation de drone de combat qui tourne mal. Évalué à 5.
L'exemple me parait pas mal, mais il manque le coté "pleins de paramètres" qui peuvent amener à des résultat inatendu.
Du coup, je dirais que l'IA tu lui donne en entrée : un récipient, des pates, de l'eau, du temps de chauffe, et en sortie une note sur 10 en fonction du goût du plat.
Ensuite, l'IA va tester pleins de truc et c'est la ou tu peux amener le côté résultat inatendu :
- eau + 100g sel + chauffer : 0 / 10
- eau + 1kg pate + 100g sel + chauffer : 1/10 --> mettre des pates améliore la note
- eau + 30kg pate + 100g de sel + chauffer : 4/10 --> plus y a de pates meilleur c'est
==> tu as donc une IA qui va aller vers un bon plat, mais en quantité astronomique
Tu peux aussi imaginer un scénario ou au final elle va conclure que le sel ne sert à rien ou qu'il est préférable de laisser tremper les pates 10h que les cuire
[^] # Re: Oui c'est bien, mais il faut bien adapter ton espace de travail.
Posté par Toto . En réponse au message C'est bien les écrans WQHD ?. Évalué à 3.
Plat de mon côté également. Mais pour avoir testé de l'incurvé sur une periode suffisament longue (2j) j'ai pu observer que dans mon cas, cela diminuait un peu ma fatigue occulaire quand on est bien placé : on n'a pas a changer de focus quand on bouge les yeux, toute la surface est à la même distance des yeux.
Le gain est pas énorme, mais cela restait appréciable pour moi, et à refaire, je prendrais un incurvé. Par contre, cela impose d'être globalement fixe sur son siège, et de ne pas se balancer / pivoter / … Sinon, tout le bénéfice est perdu
[^] # Re: Oui c'est bien, mais il faut bien adapter ton espace de travail.
Posté par Toto . En réponse au message C'est bien les écrans WQHD ?. Évalué à 3.
Je suis également en double configuration entre le télétravail avec un seul écran UWQHD et le bureau avec 2 HD.
D'un point de vue fatigue oculaire, je trouve bien plus confortable le fait d'avoir un seul écran : pas de problème de luminosité différente, moins de déplacement de la tête, …
J'ai du faire pas mal de tests et configuration pour adapter mon environnement à cette configuration et suis passé sur i3, pour une "simulation" de deux écrans est assez simple : avoir un écran/coté de l'écran fixe quand l'autre change (internet/doc à gauche, fixe et sur la droite, env de dev, console, traitement de texte en fonction du bureau)
Par contre, j'ai un fichiers de configuration par environnement, pour avoir la même séparation et les mêmes raccourcis que je sois sur 1 ou 2 écrans, qui sont chargé automatiquement en fonction d'événement de branchement de périphèrique
[^] # Re: Hum..
Posté par Toto . En réponse au lien GPT-3 : c’est toi le Chat (blog d'Olivier Ertzscheid). Évalué à 1.
Je lui ai fait corriger cette erreur. A voir s'il a bien retenu sa leçon !
[^] # Re: Hum..
Posté par Toto . En réponse au lien GPT-3 : c’est toi le Chat (blog d'Olivier Ertzscheid). Évalué à 1. Dernière modification le 06 janvier 2023 à 21:20.
Pour le fun, je viens de lui poser la même question, et il semble avoir intégrer que c'était un bus.
Par contre, il pense toujours que c'est d'actualité, je vais tenter de lui faire comprendre que c'est un peu vieillot
[^] # Re: C'est bien simple
Posté par Toto . En réponse au message [résolu] Problème de proba. Évalué à 4.
Attention aux bornes:
si p = 1 et randint = 0, alors tu obtiens:;
int(0 > 0) = int(False) = 0 => 'A'
mais si tu mets un >= alors tu auras le pb dans le cas ou p = 0 et randint = 1:
int(1 >= 1) = int(True) => 'B'
Pour éviter ça, je serais plutôt sur une approche d'exclusion des cas p=0 et p=1:
[^] # Re: Pas la meme chose
Posté par Toto . En réponse au message Serveur DNS : Unbound ou bind9 ?. Évalué à 0.
Attention avec le DoT/DoH : suivant le modèle de menace, il faut faire attention à ce que l'on interroge les root DNS en chiffrant également le trafic.
En effet suivant, généralement, tu vas configurer le DoT/DoH entre ton client (PC final) et ton serveur (Box). Par contre, ton serveur va faire des requetes sur les root DNS s'il ne connait pas la réponse. Si tu n'as pas de chiffrement de trafic entre ton serveur et les root, un attaquant, pouvant écouter le trafic, pourra connaitre tes requêtes.
A noter que ce modèle constitue déjà une avancée: il faut une écoute active du trafic plutôt que de regarder les logs du DNS resolver du FAI.
[^] # Re: Spoiler/Divulgachie
Posté par Toto . En réponse au lien Linux Kernel 6.0 Released, This is What’s New. Évalué à 6.
Bof, il faut s'attendre à une version 6.1 dans les prochains mois
[^] # Re: Parce que
Posté par Toto . En réponse au journal Sobriété, j'écris ton nom. Évalué à 1.
Pour moi une application web embarquée telle que celle-ci a aussi un autre avantage vis à vis du lien vers un site web, même avec un cache (qui peut expirer): l'application se mets à jour quand on en a pas besoin ou quand on a une grosse connexion.
A contrario, cette application peut également marcher même si elle n'est pas dans la dernière version, si tant est que seul le contenu statique n'ait pas changé.
Donc quand la connexion peut être pourrie, ce genre d'appli est bcp plus pratique qu'un lien web. Par contre, est-ce un cas d'usage pour une appli de crèche…
[^] # Re: Merci
Posté par Toto . En réponse à la dépêche IHateMoney 5, encore plus de partage. Évalué à 2.
Merci également pour cette dépêche et découverte, je risque de faire la même chose !
Par contre, quitte à changer, il y a une fonctionnalité que j'aimerai bien, et qu'il ne me semble pas avoir trouvé dans ce type de logiciel : la possibilité de partager l'acheteur.
Connaitriez vous un logiciel qui puisse le faire, je n'ai pas l'impression qu'IHateMoney permette cela.
Quelques exemples d'utilité que je vois :
- Je pars en groupe avec ma compagne, de temps en temps, je paie en CB perso, de temps en temps en CB commun. Actuellement, je suis obligé de faire 3 personnes : moi, elle et nous. Ce qui donne des "remboursement" moins intuitif : X doit 3 euros à moi, 4 à elle et nous lui devons 9euro
- Je paie un restau, mais je n'ai pas assez de liquide, donc X complète. Du coup, je suis obligé de jongler pour dire que je prends tout et créer une dette factive avec X
[^] # Re: Wait, WHAT?
Posté par Toto . En réponse au journal Mettre à jour le firmware d'une imprimante OKI. Évalué à 4.
Ca dépend, le firmware peut être signé et empêcher les downgrade (pour réintroduire d'anciennes vulns) : ce n'est pas parce que l'upgrade se fait via un canal non sécurisé qu'il ne peut pas être propre, si l'on enlève l'indispo de l'équation (n'importe qui pouvant lancer l'upgrade dans le cas présent).
Après, est-ce le cas ? J'ai quelques doutes :)
[^] # Re: It works!
Posté par Toto . En réponse à la dépêche SafeCycle - Itinéraire pour vélo, centré sur la sécurité. Évalué à 6.
Pareil, très bon outil, les alternatives et les trajets proposés ont l'air globalement corrects. Un outil de plus pour découvrir la région les weekends ensoleillé !
Par contre, serait il possible de configurer les couleurs de la légende ? ou mieux séparer le orange du marron ? J'ai du mal à faire la différence entre les deux
[^] # Re: Sophia Antipolis
Posté par Toto . En réponse à la dépêche SafeCycle - Itinéraire pour vélo, centré sur la sécurité. Évalué à 10. Dernière modification le 10 novembre 2021 à 15:13.
Et ajouter un petit moteur électrique pour éviter de se fatiguer dans les côtes et aussi deux roues pour améliorer l'adhérence sur sol mouillé
-->[]
[^] # Re: Fork ?
Posté par Toto . En réponse au journal Grommunio - une nouvelle alternative à MS Exchange. Évalué à 10.
Tout dépend de ce que l'on entend par fork.
Celui-ci peut etre juste pour garantir une correction des patch et un support adéquat vis à vis de leur solution et garder une synchro upstream maximale
Par exemple, tu peux te retrouver coincé avec un bug client (ou d'intégration) qui mets du temps a être accepté par l'équipe de dev initiale.
Comme tu as des clients, il faut le corriger rapidement. Du coup, tu te retrouves à avoir une version différente de l'upstream et donc un fork. Mais rien ne t'empêche de pousser tous tes patches upstream