Je ne sais pas si c'est possible facilement, mais ça ne me paraît pas être une bonne idée : si tu tentes de t'identifier en faisant une typo dans ton mot de passe une fois, tu auras ton mot de passe + 1 typo en clair dans les logs. Si un pirate met la main sur les logs, ça lui facilite grandement la tâche de brute-forcing …
Attention, là il n'y a pas de récursion, mais une f-string d'abord, et un .format appliqué à la f-string. Du point de vue de la f-string, les {{ sont juste des { échappés, et qui du coup sont utilisés par .format().
Attention ceci dit : autant si la capture d'écran montre juste des menus et des boutons, je ne vois pas comment ça pourrait poser problème, autant si la capture d'écran inclue des images spécifiquement couvertes par une licence (typiquement l'icône du logiciel, ou bien le contenu affiché dans le logiciel par exemple une photo affichée dans Gimp), alors le fait que ce soit une capture d'écran t'autorise pas à faire ce que tu veux avec les images en question.
Dans /tmp je ne peux pas modifier ton fichier, mais je peux le supprimer
Pas sur un système correctement configuré (et c'est le cas de tous ceux que j'ai eu à utiliser jusqu'ici) : c'est à ça que sert le sticky bit justement.
Le calcul d'entropie est fait dans le XKCD : chaque petit carré gris est un bit d'entropie.
11 caractères aléatoires
Non, tu as mal lu le XKCD, ce n'est pas ça qui est fait justement. Là je crois qu'il faut que tu le relises (chaque mot de chaque case) plutôt que de tenter de comprendre les explications ici.
En général, PHP = site web, le PHP est exécuté sur le serveur et le résultat affiché dans un navigateur web sur le client. C'est peut-être la même machine pendant que tu développes, mais ça garde son importance.
Dans ton exemple, est-ce que tu veux voir ce qu'il se passe sur le client ou le serveur ? Par exemple, est-ce que la commande top doit afficher la charge du client ou du serveur. Et est-ce que le terminal doit s'afficher sur le client ou le serveur ?
Dans les deux cas, c'est presque certainement une mauvaise idée et ça ne sera pas faisable sans bidouille, mais les raisons pour ça sont différentes.
Avec quand même la limite qu'il reste pas mal de systèmes de mots de passes qui ne regardent que les 8 premiers caractères, et quand on tombe sur un système comme ça (sans forcément s'en rendre compte), c'est le drame.
Les identifiants de commits changent, donc n'importe qui qui a un clone de tes projets, toi compris, se retrouve avec une référence à un commit qui n'existe plus, du coup le prochain "git pull" va râler qu'il doit fusionner deux historiques non-correlés par exemple. Ça veut aussi dire que tu vas ré-écrire ton historique, puis faire un "git push --force", sur lequel tu as intérêt à ne pas te tromper (sinon, c'est toutes les données perdues). C'est clairement beaucoup moins embêtant pour des projets sur lesquels tu es seul, mais le risque de se planter quelque part est quand même non-nul.
Ré-écrire l'historique est possible, mais a pas mal de conséquences néfastes.
C'est en général une bien meilleure idée d'utiliser un .mailmap pour indiquer que la personne physique derrière plusieurs adresse est la même. Ou de ne rien faire et de laisser comme ça : l'adresse email dans les commits est une info comme une autre, ça n'est pas grave que les anciens commits aient un ancien email. GitHub n'a pas de problème avec le fait d'avoir plusieurs emails associés à un compte d'ailleurs, c'est fait pour. Donc il n'y a vraiment pas de rapport de cause à effet entre changer d'email et fusionner deux comptes GitHub.
pip n'est pas inclus dans la distribution de base de Python, donc il faut que tu l'installes (pour Python 3.7)
Bien sûr, tu ne peux pas faire python3 -m pip install pip vu que pip n'est pas encore installé … Tu as le choix au moins entre l'install à la main (https://pip.pypa.io/en/stable/installing/) ou via le gestionnaire de package de ta distribution.
Ou alors, c'est GitHub qui a été développé avant l'acquisition d'Atom par Microsoft, et s'ils ont mis 7,5 M$ pour acheter un éditeur de texte, ils devaient avoir une idée derrière la tête ;-).
Avec une très grosse différence : avec fork, la mémoire est en copy-on-write, donc les accès en écriture d'un processus ne sont pas visibles depuis un autre processus. Avec pthread_create, la mémoire est vraiment partagée, en lecture et en écriture.
Surtout que là, on parle de 3 fois le même caractère, qu'un algo malin va probablement privilégier. Si on veut explorer toutes les possibilités de 1, 2 ou 3 fois le même caractère, c'est plutôt 64 + 64 + 64 = pas beaucoup à la louche.
Les caractères spéciaux, ça fait bien dans un mot de passe, mais ça n'a rien de magique, ce qui est important c'est 1) que les caractères du mot de passe soient indépendants (i.e. si on me donne le mot de passe moins un caractère, est-ce facile de deviner le caractère manquant ?), 2) la longueur du mot de passe.
Oui, tu as raison, je pense que tout le monde devrait faire comme toi plutôt que d'intégrer exFAT au noyau, CQFD ;-).
Et par ailleurs :
c'est reconnu comme "lecteur de masse" (je sais plus exactement le nom, mais le truc des APN et smartphones),
Si c'est de l'USB mass storage, justement tu vois le filesystem, et tu as besoin du support du filesystem pour y accéder. Mais ton APN utilise peut-être du PTP ou un protocole dédié géré par libgphoto.
Cas d'utilisation très simple : tu achètes une carte SD de 64 Go ou plus pour ton appareil photos. Elle est pré-formatée en exFAT. Si tu la reformate autrement, ton appareil photos ne la lira pas (ou tu n'exploiteras pas les 64 Go disponibles). Si tu la gardes en l'état, tu as quand même envie de la lire sans prise de tête sur ton PC.
Aujourd'hui, la version FUSE permet de s'en sortir, mais un vrai support sans risque légal et intégré dans le noyau est clairement un plus.
les sticky bit chmod Xabc X = 1, 2, 4 permet de figer l'appartenance d'un dossier
Non. Le sticky bit, c'est pour X=1 seulement, et ça permet d'empêcher qu'un autre utilisateur puisse supprimer les fichiers des copains. Utilisation classique : /tmp/.
X=2 et 4, ce sont les setuid et setgid. Le setgid permet d'affecter le groupe en question automatiquement aux nouveaux fichiers. Le bit setuid n'a aucun effet sur un répertoire sur la plupart des Unix (d'après Wikipedia, il fait à peu près la même chose que setuid chez FreeBSD mais je n'ai pas testé).
Moi, en tant qu'enseignant, ma difficulté est de faire que les étudiants lisent tout le texte que je leur envoie plutôt que de réagir sur une ligne sans lire le reste.
Et visiblement ça ne concerne pas que mes étudiants ;-).
Les services (par exemple le GPS : tu utilises une infrastructure très lourde à base de satellites, cf. les autres réponses pour voir d'où viennent les sous)
Les standard (Wifi, bluetooth, …) : là, chaque fabriquant aurait pu décider de faire son propre système, et te vendre le résultat. Ça arrive, mais en général pour des technos qui servent à communiquer ça n'a pas beaucoup de sens de faire ça dans son coin, donc les entreprises ont tout intérêt à se mettre d'accord. Ça peut se faire soit en créant un consortium dédié (par exemple Bluetooth Special Interest Group pour bluetooth), soit en passant par un organisme de standardisation existant (IEEE pour Wifi). Dans les deux cas, se mettre d'accord a un coût, et les entreprises qui participent payent d'une manière ou d'une autre, mais les alternatives sont soit de laisser les autres standardiser sans avoir son mot à dire, soit d'utiliser une technologie non-standard et s'isoler du reste du monde, donc c'est dans l'intérêt des entreprises de payer.
Les éléments matériels : ton smartphone a un écran, soit c'est le fabriquant de smartphone qui l'a fabriqué, soit il l'a acheté a un fournisseur, mais dans les deux cas celui qui a fabriqué l'écran vends son produit. Si quelqu'un essaye de « copier » le périphérique, il doit souvent payer des royalties de brevet à celui qui a « inventé », pour une certaine définition de copier et de inventer.
# Et les typos ?
Posté par Matthieu Moy (site web personnel) . En réponse au message /var/log/auth.log : loguer les mots de passes tentés!. Évalué à 10.
Je ne sais pas si c'est possible facilement, mais ça ne me paraît pas être une bonne idée : si tu tentes de t'identifier en faisant une typo dans ton mot de passe une fois, tu auras ton mot de passe + 1 typo en clair dans les logs. Si un pirate met la main sur les logs, ça lui facilite grandement la tâche de brute-forcing …
# rsync >> cp
Posté par Matthieu Moy (site web personnel) . En réponse au message cp -R excluant un répertoire. Évalué à 6.
rsyncsait faire à peu près tout ce quecpsait faire, et il a une option--exclude.[^] # Re: Je suis triste
Posté par Matthieu Moy (site web personnel) . En réponse au journal Petit défi Python. Évalué à 3. Dernière modification le 16 janvier 2020 à 08:16.
Hello Guillaum ;-),
Attention, là il n'y a pas de récursion, mais une f-string d'abord, et un
.formatappliqué à la f-string. Du point de vue de la f-string, les{{sont juste des{échappés, et qui du coup sont utilisés par.format().[^] # Re: Question
Posté par Matthieu Moy (site web personnel) . En réponse au journal Exit Pyth(on|ran)2. Évalué à 6.
Parce que c'est du Python et pas du Perl ?
[^] # Re: même pas une citation
Posté par Matthieu Moy (site web personnel) . En réponse au message Question sur la "viralité" de certaines licences libres. Évalué à 3.
Attention ceci dit : autant si la capture d'écran montre juste des menus et des boutons, je ne vois pas comment ça pourrait poser problème, autant si la capture d'écran inclue des images spécifiquement couvertes par une licence (typiquement l'icône du logiciel, ou bien le contenu affiché dans le logiciel par exemple une photo affichée dans Gimp), alors le fait que ce soit une capture d'écran t'autorise pas à faire ce que tu veux avec les images en question.
Après, je ne suis pas juriste, bien sûr …
[^] # Re: Outils similaire
Posté par Matthieu Moy (site web personnel) . En réponse au journal regex-wordsearch : Faire une recherche dans le dictionnaire par expression régulière. Évalué à 2.
Moins puissant que les expressions régulières, mais il y a aussi https://www.mots-croises.ch/dictionnaire.htm (et probablement plein d'équivalents pour cruciverbistes).
[^] # Re: Ouh la non
Posté par Matthieu Moy (site web personnel) . En réponse au journal Protocole Privacon v1.0. Évalué à 4.
Pas sur un système correctement configuré (et c'est le cas de tous ceux que j'ai eu à utiliser jusqu'ici) : c'est à ça que sert le sticky bit justement.
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Matthieu Moy (site web personnel) . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 4.
Le calcul d'entropie est fait dans le XKCD : chaque petit carré gris est un bit d'entropie.
Non, tu as mal lu le XKCD, ce n'est pas ça qui est fait justement. Là je crois qu'il faut que tu le relises (chaque mot de chaque case) plutôt que de tenter de comprendre les explications ici.
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Matthieu Moy (site web personnel) . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 2. Dernière modification le 30 octobre 2019 à 10:11.
Et la méthode xkcd suppose 11 bit d'entropie par mot, donc un choix (uniforme) parmi
= 2048 mots, donc encore bien moins que ça.
# Client ou serveur ?
Posté par Matthieu Moy (site web personnel) . En réponse au message Comment lancer un terminal avec un script shell qui tourne dedans à partir d'une page PHP ?. Évalué à 4.
En général, PHP = site web, le PHP est exécuté sur le serveur et le résultat affiché dans un navigateur web sur le client. C'est peut-être la même machine pendant que tu développes, mais ça garde son importance.
Dans ton exemple, est-ce que tu veux voir ce qu'il se passe sur le client ou le serveur ? Par exemple, est-ce que la commande
topdoit afficher la charge du client ou du serveur. Et est-ce que le terminal doit s'afficher sur le client ou le serveur ?Dans les deux cas, c'est presque certainement une mauvaise idée et ça ne sera pas faisable sans bidouille, mais les raisons pour ça sont différentes.
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Matthieu Moy (site web personnel) . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 4.
Avec quand même la limite qu'il reste pas mal de systèmes de mots de passes qui ne regardent que les 8 premiers caractères, et quand on tombe sur un système comme ça (sans forcément s'en rendre compte), c'est le drame.
[^] # Re: Migration e-mail
Posté par Matthieu Moy (site web personnel) . En réponse au message Changer d'adresse mail. Évalué à 3.
Les identifiants de commits changent, donc n'importe qui qui a un clone de tes projets, toi compris, se retrouve avec une référence à un commit qui n'existe plus, du coup le prochain "git pull" va râler qu'il doit fusionner deux historiques non-correlés par exemple. Ça veut aussi dire que tu vas ré-écrire ton historique, puis faire un "git push --force", sur lequel tu as intérêt à ne pas te tromper (sinon, c'est toutes les données perdues). C'est clairement beaucoup moins embêtant pour des projets sur lesquels tu es seul, mais le risque de se planter quelque part est quand même non-nul.
[^] # Re: Migration e-mail
Posté par Matthieu Moy (site web personnel) . En réponse au message Changer d'adresse mail. Évalué à 3.
Ré-écrire l'historique est possible, mais a pas mal de conséquences néfastes.
C'est en général une bien meilleure idée d'utiliser un .mailmap pour indiquer que la personne physique derrière plusieurs adresse est la même. Ou de ne rien faire et de laisser comme ça : l'adresse email dans les commits est une info comme une autre, ça n'est pas grave que les anciens commits aient un ancien email. GitHub n'a pas de problème avec le fait d'avoir plusieurs emails associés à un compte d'ailleurs, c'est fait pour. Donc il n'y a vraiment pas de rapport de cause à effet entre changer d'email et fusionner deux comptes GitHub.
# Poule et œuf ...
Posté par Matthieu Moy (site web personnel) . En réponse au message python3 et pip. Évalué à 4.
pip n'est pas inclus dans la distribution de base de Python, donc il faut que tu l'installes (pour Python 3.7)
Bien sûr, tu ne peux pas faire
python3 -m pip install pipvu que pip n'est pas encore installé … Tu as le choix au moins entre l'install à la main (https://pip.pypa.io/en/stable/installing/) ou via le gestionnaire de package de ta distribution.[^] # Re: Embrace, extend and extinguish
Posté par Matthieu Moy (site web personnel) . En réponse au journal Atom / VSCode. Évalué à 3.
Ou alors, c'est GitHub qui a été développé avant l'acquisition d'Atom par Microsoft, et s'ils ont mis 7,5 M$ pour acheter un éditeur de texte, ils devaient avoir une idée derrière la tête ;-).
[^] # Re: Gros fichiers ?
Posté par Matthieu Moy (site web personnel) . En réponse au journal Atom / VSCode. Évalué à 10.
Après, bon, Atom, c'est essentiellement un produit GitHub, et donc pas loin d'être un produit Microsoft non plus …
[^] # Re: Pour ce que j'en sais...
Posté par Matthieu Moy (site web personnel) . En réponse au message probleme avec le fonctionnement d'un thread. Évalué à 5.
Avec une très grosse différence : avec
fork, la mémoire est en copy-on-write, donc les accès en écriture d'un processus ne sont pas visibles depuis un autre processus. Avecpthread_create, la mémoire est vraiment partagée, en lecture et en écriture.[^] # Re: wendy!!!
Posté par Matthieu Moy (site web personnel) . En réponse au journal Les mots de passe des premiers développeurs/utilisateurs d'UNIX, notamment celui de Ken Thompson. Évalué à 7.
Surtout que là, on parle de 3 fois le même caractère, qu'un algo malin va probablement privilégier. Si on veut explorer toutes les possibilités de 1, 2 ou 3 fois le même caractère, c'est plutôt 64 + 64 + 64 = pas beaucoup à la louche.
Les caractères spéciaux, ça fait bien dans un mot de passe, mais ça n'a rien de magique, ce qui est important c'est 1) que les caractères du mot de passe soient indépendants (i.e. si on me donne le mot de passe moins un caractère, est-ce facile de deviner le caractère manquant ?), 2) la longueur du mot de passe.
# Trop vieux ?
Posté par Matthieu Moy (site web personnel) . En réponse au message reprendre le fil d'un post ultérieur . Évalué à 4. Dernière modification le 28 septembre 2019 à 07:05.
Les vieux contenus ont les commentaires fermés pour éviter le spam :
https://linuxfr.org/aide#aide-ancienscontenus
[^] # Re: Rapport ?
Posté par Matthieu Moy (site web personnel) . En réponse au journal [HS][Nécrologie] L'ancien président français Jacques Chirac est bronsonnisé.. Évalué à 9.
Bah non, moi j'ai suivi la tradition qui consiste à moinsser à mort le premier commentaire d'un journal sans rapport avec le libre …
[^] # Re: pour quoi faire.?
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche exFAT dans le noyau Linux ? Microsoft a (enfin) dit oui !. Évalué à 4.
Oui, tu as raison, je pense que tout le monde devrait faire comme toi plutôt que d'intégrer exFAT au noyau, CQFD ;-).
Et par ailleurs :
Si c'est de l'USB mass storage, justement tu vois le filesystem, et tu as besoin du support du filesystem pour y accéder. Mais ton APN utilise peut-être du PTP ou un protocole dédié géré par libgphoto.
[^] # Re: pour quoi faire.?
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche exFAT dans le noyau Linux ? Microsoft a (enfin) dit oui !. Évalué à 5.
Cas d'utilisation très simple : tu achètes une carte SD de 64 Go ou plus pour ton appareil photos. Elle est pré-formatée en exFAT. Si tu la reformate autrement, ton appareil photos ne la lira pas (ou tu n'exploiteras pas les 64 Go disponibles). Si tu la gardes en l'état, tu as quand même envie de la lire sans prise de tête sur ton PC.
Aujourd'hui, la version FUSE permet de s'en sortir, mais un vrai support sans risque légal et intégré dans le noyau est clairement un plus.
[^] # Re: les bons partages aux bons endroits
Posté par Matthieu Moy (site web personnel) . En réponse au message [résolu] Forcer permissions utilisateur/groupe sur les nouveaux fichiers/dossiers. Évalué à 3. Dernière modification le 06 septembre 2019 à 08:19.
Non. Le sticky bit, c'est pour X=1 seulement, et ça permet d'empêcher qu'un autre utilisateur puisse supprimer les fichiers des copains. Utilisation classique :
/tmp/.X=2 et 4, ce sont les setuid et setgid. Le setgid permet d'affecter le groupe en question automatiquement aux nouveaux fichiers. Le bit setuid n'a aucun effet sur un répertoire sur la plupart des Unix (d'après Wikipedia, il fait à peu près la même chose que setuid chez FreeBSD mais je n'ai pas testé).
[^] # Re: Utilisation de Python par un profane
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Python pour la rentrée 2019 — partie 1 ― Popularité. Évalué à 4.
Moi, en tant qu'enseignant, ma difficulté est de faire que les étudiants lisent tout le texte que je leur envoie plutôt que de réagir sur une ligne sans lire le reste.
Et visiblement ça ne concerne pas que mes étudiants ;-).
# Service Vs standard Vs périphérique
Posté par Matthieu Moy (site web personnel) . En réponse au message Rémunération des services. Évalué à 3. Dernière modification le 19 juillet 2019 à 13:13.
Tu mélanges plusieurs choses :
Les services (par exemple le GPS : tu utilises une infrastructure très lourde à base de satellites, cf. les autres réponses pour voir d'où viennent les sous)
Les standard (Wifi, bluetooth, …) : là, chaque fabriquant aurait pu décider de faire son propre système, et te vendre le résultat. Ça arrive, mais en général pour des technos qui servent à communiquer ça n'a pas beaucoup de sens de faire ça dans son coin, donc les entreprises ont tout intérêt à se mettre d'accord. Ça peut se faire soit en créant un consortium dédié (par exemple Bluetooth Special Interest Group pour bluetooth), soit en passant par un organisme de standardisation existant (IEEE pour Wifi). Dans les deux cas, se mettre d'accord a un coût, et les entreprises qui participent payent d'une manière ou d'une autre, mais les alternatives sont soit de laisser les autres standardiser sans avoir son mot à dire, soit d'utiliser une technologie non-standard et s'isoler du reste du monde, donc c'est dans l'intérêt des entreprises de payer.
Les éléments matériels : ton smartphone a un écran, soit c'est le fabriquant de smartphone qui l'a fabriqué, soit il l'a acheté a un fournisseur, mais dans les deux cas celui qui a fabriqué l'écran vends son produit. Si quelqu'un essaye de « copier » le périphérique, il doit souvent payer des royalties de brevet à celui qui a « inventé », pour une certaine définition de copier et de inventer.