Il ne suffit pas d'avoir authenticator (ou n'importe quelle autre appli TOTP), l'appli stocke un token secret qui ne sort jamais de ta machine. Quand tu configures l'appli, en général tu scannes un QR code fourni par ton université qui transmet le secret de l'université vers l'appli. Ensuite en gros le deuxième facteur c'est un hash de (date arrondie à quelques secondes près, token secret), que tu ne peux fournir qu'en connaissant le secret et qui n'est valable que quelques secondes.
Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.
Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.
Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.
Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).
les projets mettent en place un "Contributor License Agreement"
Certains projets, oui, mais c'est loin d'être le cas partout. Linux n'a pas ça, Git non plus, je n'en trouve pas de trace pour Mozilla ou libreoffice, mais j'ai peut être mal cherché.
Les CLA sont très utilisés soit quand le logiciel est développé par une entrepôts qui veut garder le contrôle dessus (freemium, ou garder la possibilité d'une version propriétaire future) soit quand c'est une entité qui veut pouvoir défendre la licence elle même (FSF).
La présentation en deux colonnes et le diff au niveau mot ou caractère, oui, c'est assez classique. Mais le fait de bosser sur l'AST et pas juste sur le texte, ça c'est beaucoup moins commun.
Les exemples sur le site ne sont pas hyper flagrants je trouve, mais rien que sur le premier exemple, le fait qu'il mette en vert la bonne parenthèse fermante dans la série )) est déjà non-trivial à faire en fait. Idem pour le bon </div> fermant un peu plus bas.
J'ai déjà eu un problème de ce genre du à une horloge du PC pas à l'heure (gitlab envoyait un cookie avec date d'expiration très courte et le PC la voyait dans le passé…). Peu probable que ce soit le même problème mais ça vaut le coup de vérifier.
Olvid s’appuie sur un serveur afin de permettre une transmission asynchrone efficace des messages. Concrètement, cela permet à un message d’être « mis en attente » jusqu’à ce que le destinataire ait de la connexion. Le message lui est alors immédiatement envoyé et est ensuite supprimé de notre serveur.
=> Les messages transitent bien par le serveur.
Peer-to-peer vs. serveur de distribution centralisé
Certaines messageries instantanées ont fait le choix de décentraliser la distribution des messages.
Olvid en multi-serveurs
Aujourd’hui, Olvid utilise un seul serveur pour relayer les messages. Ceci dit, l’architecture actuelle a déjà été conçue de façon à pouvoir supporter plusieurs serveurs (un peu à l’image du mail). S’il ne s’agit pas de peer-to-peer […]
Quoi qu'il en soit, serveur ou pas, les messages passent par tous les équipements réseaux (switch, routeurs, etc). Si j'ai bien compris ce que j'ai lu, le serveur Olvid n'a pas tellement plus d'information ou de vecteur d'attaque à disposition que le reste du réseau donc du point de vue sécurité on n'a pas besoin d'avoir confiance dans le serveur, mais on a besoin du serveur pour s'envoyer des messages.
Alors oui s'ils arrêtent d'utiliser les SMS ils économisent des sous, mais pour ce qui est de vérifier que l'utilisateur est bien propriétaire du numéro de téléphone TOTP ne répond pas vraiment à la question …
Les filesystems Unix traditionnels ne gardent pas la date de création. Les trois champs standards sont atime pour le dernier accès (souvent désactivé pour des raisons de performances), mtime pour la dernière modification du fichier, ctime pour le dernier changement de statut du fichier (changement de permission, etc). Ce que tu vois comme date de création est peut être le ctime, qui n'est en fait pas du tout ça.
Ceci dit, les filesystems modernes (ext4, btrfs, xfs) stockent parfois la date de création en plus des trois temps standard d'Unix.
Plus ou moins la même chose que GitLab/GitHub, mais avec juste le wiki. En fait, au départ Gollum était le moteur de wiki de GitHub justement, mais les deux projets ont divergé.
Ça risque de coincer sur la contrainte « autohébergeable (simple) », mais ce que tu décris ressemble beaucoup aux wikis proposés par GitHub (pas auto-hébergeable) et GitLab (auto-hébergeable, mais sans doute plus « usine à gaz » que « simple ».)
Je parlais de cas où ce sont des étudiants qui plagient, donc là la notion d'université employeur n'a pas de sens, c'est l'université où est inscrit l'étudiant au moment des faits qui juge (souvent avec beaucoup de retard, genre un an de délai pour traiter les dossiers …).
Les procédures disciplinaires pour les enseignants, je ne connais pas donc je n'ai rien à dire dessus.
Ils ne pouvaient peut-être pas faire plus ? Encore une fois, j’en sais rien, j’y connais rien. Si une moule universitaire pouvez nous éclairer, cela serait apprécié :)
Alors je n'ai jamais fait de procédure disciplinaire contre un collègue, mais quand c'est un étudiant qui plagie, la section disciplinaire de l'université prononce en général la nullité de l'épreuve (qui est le terme technique pour dire qu'il a zéro, quoi), en plus d'éventuelles sanctions du type exclusion (définitive ou non, avec sursis ou non selon la gravité).
Visiblement il s'agit d'un plagiat à 100%, mot pour mot, c'est carrément rentable pour passer son HDR de faire ça et d'attendre 2 ans pour candidater prof derrière, y'a des gens qui mettent bien plus que 2 ans à trouver le temps de rédiger leur manuscrit …
Les maîtres de conférence ont des promotions automatiques tous les ~2 (au début) à ~5 ans (plus tard).
On a des passages à l'échelon supérieur automatiquement avec l'ancienneté. La sanction là, c'est l'impossibilité de passer dans « classe, grade ou corps supérieurs », pas question d'échelon. Jamais compris la différence entre classe et grade, mais c'est le passage de classe normale à hors-classe qui change ça, et corps c'est maître de conf vs prof.
il ne pourra pas passer à la classe exceptionnelle ou des truc du genre
Le truc du genre pour les maîtres de conf', c'est la hors-classe, et ce n'est pas réservé à la fin de carrière, c'est possible avec ~15 ans d'ancienneté.
candidater à un poste de professeur ne lui ait pas interdit non plus
Si puisqu'il ne peut pas changer de corps.
À moins qu'en informatique les directeurs de thèses ne passent pas des mois à relire et proposer des corrections sur les manuscrits de leurs doctorants ?
Si ce n'est pas le cas, c'est que c'est un directeur de thèse qui ne fait pas son boulot effectivement.
Mais même s'il y a de l'huile de coude de directeur de thèse dans la thèse, ça ne justifie pas qu'on s'approprie le boulot de son thésard. Une HDR, c'est pas le même objectif qu'une thèse, donc faire une copie mot pour mot de la thèse en mettant HDR comme titre, ça n'est pas du tout ce qui est attendu.
Chez moi ça télécharge une page HTML qui demande un compte, dans un fichier avec une extension .pdf, qui fait effectivement 10ko. Vu que le fichier d'origine est censé faire 0,98Mo, je soupçonne que ton fichier « pdf » soit le même que le mien ;-).
En fait si, l'étude dit: une liseuse émet autant de CO2 que 11 livres (ils ont estimé que chaque livre est lu 2 fois).
Non, l'étude dit que si on lit 22 livres par an, donc si on en achète 11, « les impacts du […] livre papier sont plus faibles ». Pour l'égalité, c'est le point de bascule qui est estimé à 10 achats, toujours par an. Et l'étude a l'air de faire l'hypothèse d'une durée de vie de 5 ans (22 lectures au total pour 4,5 lecture par an), donc 50 achats au total.
Sans pousser au gaspillage, on peut raisonnablement dire « j'ai envie d'économiser, mets une qualité d'image faible » ou « j'ai besoin de bonne qualité, j'accepte une vidéo plus grosse » sans viser pile une taille donnée. Avec un support de type CD, c'est très bête d'avoir une vidéo de 400 Mo parce que les 300 Mo qui restent sur le support ne seront utilisées par personne (donc on aurait pu avoir une meilleure qualité gratos), et encore plus bête d'avoir une vidéo de 700+epsilon Mo, parce que là ça ne tient plus.
Je ne crois pas qu'on puisse avoir les deux mêmes, justement un intérêt du système est que les clés sont uniques et non-duplicables. Et l'intérêt d'avoir deux clés différentes, c'est qu'on peut révoquer l'une sans révoquer l'autre si on la perd.
Mais il suffit d'associer les deux clés au compte (ça se fait en quelques minutes et sans difficulté), et si on en perd une d'associer la 3ème clé tout juste achetée au compte, pour remplacer la première perdue.
[^] # Re: Sécurité
Posté par Matthieu Moy (site web personnel) . En réponse au message Authentification à deux facteurs ! Vraiment ?. Évalué à 10 (+8/-0).
Il ne suffit pas d'avoir authenticator (ou n'importe quelle autre appli TOTP), l'appli stocke un token secret qui ne sort jamais de ta machine. Quand tu configures l'appli, en général tu scannes un QR code fourni par ton université qui transmet le secret de l'université vers l'appli. Ensuite en gros le deuxième facteur c'est un hash de
(date arrondie à quelques secondes près, token secret), que tu ne peux fournir qu'en connaissant le secret et qui n'est valable que quelques secondes.# Sécurité
Posté par Matthieu Moy (site web personnel) . En réponse au message Authentification à deux facteurs ! Vraiment ?. Évalué à 10 (+8/-0).
Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.
Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.
Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.
Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).
[^] # Re: INSEE
Posté par Matthieu Moy (site web personnel) . En réponse au message Quelle est la longueur maximale d'un prénom français ?. Évalué à 6.
Il manque les prénoms des enfants qui sont nés ailleurs mais qui vivent en France a priori.
[^] # Re: L'auteur ou les auteurs ?
Posté par Matthieu Moy (site web personnel) . En réponse au journal GPL vs MIT, que choisir ?. Évalué à 3.
Certains projets, oui, mais c'est loin d'être le cas partout. Linux n'a pas ça, Git non plus, je n'en trouve pas de trace pour Mozilla ou libreoffice, mais j'ai peut être mal cherché.
Les CLA sont très utilisés soit quand le logiciel est développé par une entrepôts qui veut garder le contrôle dessus (freemium, ou garder la possibilité d'une version propriétaire future) soit quand c'est une entité qui veut pouvoir défendre la licence elle même (FSF).
[^] # Re: Waow
Posté par Matthieu Moy (site web personnel) . En réponse au lien Difftastic — a structural diff tool that understands syntax . Évalué à 4.
La présentation en deux colonnes et le diff au niveau mot ou caractère, oui, c'est assez classique. Mais le fait de bosser sur l'AST et pas juste sur le texte, ça c'est beaucoup moins commun.
Les exemples sur le site ne sont pas hyper flagrants je trouve, mais rien que sur le premier exemple, le fait qu'il mette en vert la bonne parenthèse fermante dans la série
))est déjà non-trivial à faire en fait. Idem pour le bon</div>fermant un peu plus bas.# Alternative
Posté par Matthieu Moy (site web personnel) . En réponse au journal autocsv2sql : un utilitaire pour convertir ses CSV sans se poser de question, "écris" en OCaml. Évalué à 6.
Si le but est juste de pouvoir faire des requêtes SQL sur les données, on peut aussi faire ça directement sur les fichiers CSV avec csvkit: https://csvkit.readthedocs.io/en/latest/scripts/csvsql.html
C'est beaucoup plus lent qu'une vraie BD, mais c'est bien pratique sur des petits jeux de données.
# Horloge ?
Posté par Matthieu Moy (site web personnel) . En réponse au message Gitlab : problème d'authentification avec vérification cloudflare + firefox. Évalué à 5.
J'ai déjà eu un problème de ce genre du à une horloge du PC pas à l'heure (gitlab envoyait un cookie avec date d'expiration très courte et le PC la voyait dans le passé…). Peu probable que ce soit le même problème mais ça vaut le coup de vérifier.
[^] # Re: Pas libre et pas interopérable
Posté par Matthieu Moy (site web personnel) . En réponse au journal Le gouvernement français pousse vers Olvid, une solution de messagerie instantanée française. Évalué à 5. Dernière modification le 01 décembre 2023 à 10:37.
Une référence pour ça ?
La FAQ de Olvid dit explicitement le contraire :
https://www.olvid.io/faq/serveur-et-open-source/
=> Les messages transitent bien par le serveur.
Quoi qu'il en soit, serveur ou pas, les messages passent par tous les équipements réseaux (switch, routeurs, etc). Si j'ai bien compris ce que j'ai lu, le serveur Olvid n'a pas tellement plus d'information ou de vecteur d'attaque à disposition que le reste du réseau donc du point de vue sécurité on n'a pas besoin d'avoir confiance dans le serveur, mais on a besoin du serveur pour s'envoyer des messages.
[^] # Re: complément
Posté par Matthieu Moy (site web personnel) . En réponse au lien Privacy is Priceless, but Signal is Expensive. Évalué à 7.
Alors oui s'ils arrêtent d'utiliser les SMS ils économisent des sous, mais pour ce qui est de vérifier que l'utilisateur est bien propriétaire du numéro de téléphone TOTP ne répond pas vraiment à la question …
# Impossible ?
Posté par Matthieu Moy (site web personnel) . En réponse au message colonne "Créé" et "Modifié" dans Dolphin. Évalué à 5.
Les filesystems Unix traditionnels ne gardent pas la date de création. Les trois champs standards sont atime pour le dernier accès (souvent désactivé pour des raisons de performances), mtime pour la dernière modification du fichier, ctime pour le dernier changement de statut du fichier (changement de permission, etc). Ce que tu vois comme date de création est peut être le ctime, qui n'est en fait pas du tout ça.
Ceci dit, les filesystems modernes (ext4, btrfs, xfs) stockent parfois la date de création en plus des trois temps standard d'Unix.
# Deprecated
Posté par Matthieu Moy (site web personnel) . En réponse au message Accéder à un nœud du DOM en utilisant son id comme variable. Évalué à 6.
A priori c'est un comportement historique mais non-standard, à éviter :
https://stackoverflow.com/questions/12510399/do-i-really-need-to-call-getelementbyid
[^] # Re: GitLab / GitHub ?
Posté par Matthieu Moy (site web personnel) . En réponse au message Wiki en markdown avec possibilité d'édition visuelle ou via push git. Évalué à 6.
Ah j'ai retrouvé ça : https://github.com/gollum/gollum
Plus ou moins la même chose que GitLab/GitHub, mais avec juste le wiki. En fait, au départ Gollum était le moteur de wiki de GitHub justement, mais les deux projets ont divergé.
# GitLab / GitHub ?
Posté par Matthieu Moy (site web personnel) . En réponse au message Wiki en markdown avec possibilité d'édition visuelle ou via push git. Évalué à 4.
Ça risque de coincer sur la contrainte « autohébergeable (simple) », mais ce que tu décris ressemble beaucoup aux wikis proposés par GitHub (pas auto-hébergeable) et GitLab (auto-hébergeable, mais sans doute plus « usine à gaz » que « simple ».)
# How I experience the web today
Posté par Matthieu Moy (site web personnel) . En réponse au journal Le web, c'était mieux avant. Évalué à 10.
Le même constat, mais plus imagé : https://how-i-experience-web-today.com/
# XKCD l'avait anticipé ?
Posté par Matthieu Moy (site web personnel) . En réponse au lien Supraconductivité à température et pression ambiante. Cette fois, pour de vrai ?. Évalué à 7.
https://xkcd.com/2798/
# Github ?
Posté par Matthieu Moy (site web personnel) . En réponse au message Interface graphique type github pour SVN. Évalué à 4.
Clairement pas open source, mais github permet d'accéder aux dépôts via svn.
Bon, après si tu salives devant l'écosystème autour de Git, je suis tenté de te suggérer une solution simple ;-).
# Xkcd ?
Posté par Matthieu Moy (site web personnel) . En réponse au lien PoC pour permettre aux applis sandboxées en flatpak d'accéder aux fichiers du répertoire courant. Évalué à 10.
[^] # Re: une sanction "exemplaire"
Posté par Matthieu Moy (site web personnel) . En réponse au lien Un enseignant-chercheur en informatique de Paris-8 convaincu de plagiat. Évalué à 2.
Je parlais de cas où ce sont des étudiants qui plagient, donc là la notion d'université employeur n'a pas de sens, c'est l'université où est inscrit l'étudiant au moment des faits qui juge (souvent avec beaucoup de retard, genre un an de délai pour traiter les dossiers …).
Les procédures disciplinaires pour les enseignants, je ne connais pas donc je n'ai rien à dire dessus.
[^] # Re: une sanction "exemplaire"
Posté par Matthieu Moy (site web personnel) . En réponse au lien Un enseignant-chercheur en informatique de Paris-8 convaincu de plagiat. Évalué à 9.
Alors je n'ai jamais fait de procédure disciplinaire contre un collègue, mais quand c'est un étudiant qui plagie, la section disciplinaire de l'université prononce en général la nullité de l'épreuve (qui est le terme technique pour dire qu'il a zéro, quoi), en plus d'éventuelles sanctions du type exclusion (définitive ou non, avec sursis ou non selon la gravité).
Visiblement il s'agit d'un plagiat à 100%, mot pour mot, c'est carrément rentable pour passer son HDR de faire ça et d'attendre 2 ans pour candidater prof derrière, y'a des gens qui mettent bien plus que 2 ans à trouver le temps de rédiger leur manuscrit …
[^] # Re: une sanction "exemplaire"
Posté par Matthieu Moy (site web personnel) . En réponse au lien Un enseignant-chercheur en informatique de Paris-8 convaincu de plagiat. Évalué à 6.
On a des passages à l'échelon supérieur automatiquement avec l'ancienneté. La sanction là, c'est l'impossibilité de passer dans « classe, grade ou corps supérieurs », pas question d'échelon. Jamais compris la différence entre classe et grade, mais c'est le passage de classe normale à hors-classe qui change ça, et corps c'est maître de conf vs prof.
Le truc du genre pour les maîtres de conf', c'est la hors-classe, et ce n'est pas réservé à la fin de carrière, c'est possible avec ~15 ans d'ancienneté.
Si puisqu'il ne peut pas changer de corps.
Si ce n'est pas le cas, c'est que c'est un directeur de thèse qui ne fait pas son boulot effectivement.
Mais même s'il y a de l'huile de coude de directeur de thèse dans la thèse, ça ne justifie pas qu'on s'approprie le boulot de son thésard. Une HDR, c'est pas le même objectif qu'une thèse, donc faire une copie mot pour mot de la thèse en mettant HDR comme titre, ça n'est pas du tout ce qui est attendu.
[^] # Re: ADEME et inscription
Posté par Matthieu Moy (site web personnel) . En réponse au lien ADEME : La liseuse est-elle écologique ?. Évalué à 3.
Chez moi ça télécharge une page HTML qui demande un compte, dans un fichier avec une extension .pdf, qui fait effectivement 10ko. Vu que le fichier d'origine est censé faire 0,98Mo, je soupçonne que ton fichier « pdf » soit le même que le mien ;-).
[^] # Re: Courriels
Posté par Matthieu Moy (site web personnel) . En réponse au lien ADEME : La liseuse est-elle écologique ?. Évalué à 2.
Non, l'étude dit que si on lit 22 livres par an, donc si on en achète 11, « les impacts du […] livre papier sont plus faibles ». Pour l'égalité, c'est le point de bascule qui est estimé à 10 achats, toujours par an. Et l'étude a l'air de faire l'hypothèse d'une durée de vie de 5 ans (22 lectures au total pour 4,5 lecture par an), donc 50 achats au total.
[^] # Re: Géocodage avec la BAN
Posté par Matthieu Moy (site web personnel) . En réponse au journal Cartes, marqueurs et automatisation. Évalué à 5.
Pas besoin de point d'intérêt spécifique pour avoir un numéro de rue dans openstreetmap !
[^] # Re: A donné
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Campagne de financement participatif de Kdenlive : passer le montage libre au niveau supérieur. Évalué à 3.
Sans pousser au gaspillage, on peut raisonnablement dire « j'ai envie d'économiser, mets une qualité d'image faible » ou « j'ai besoin de bonne qualité, j'accepte une vidéo plus grosse » sans viser pile une taille donnée. Avec un support de type CD, c'est très bête d'avoir une vidéo de 400 Mo parce que les 300 Mo qui restent sur le support ne seront utilisées par personne (donc on aurait pu avoir une meilleure qualité gratos), et encore plus bête d'avoir une vidéo de 700+epsilon Mo, parce que là ça ne tient plus.
[^] # Re: Pérénité ?
Posté par Matthieu Moy (site web personnel) . En réponse au journal Clés de sécurité, pas assez utilisées. Évalué à 5.
Je ne crois pas qu'on puisse avoir les deux mêmes, justement un intérêt du système est que les clés sont uniques et non-duplicables. Et l'intérêt d'avoir deux clés différentes, c'est qu'on peut révoquer l'une sans révoquer l'autre si on la perd.
Mais il suffit d'associer les deux clés au compte (ça se fait en quelques minutes et sans difficulté), et si on en perd une d'associer la 3ème clé tout juste achetée au compte, pour remplacer la première perdue.