Accessoirement, keepass permet d’éviter les copier-coller (en simulant une saisie au clavier) donc la conservation en mémoire.
Je pense que le plus important est qu'il s'assure que sur un système sain, le mot de passe n'est jamais écrit en clair nul part sans que l'utilisateur n'en ait conscience. Ce n'est pas le cas d'un fichier chiffré dont la version déchiffrée peut se retrouver dans un cache voire écrite sur le swap.
L'anonymisation de données est très difficile à obtenir, et ce qui est décrit (grosso modo, calcul d'un hash comme identifiant pour retirer les informations directement identifiantes) correspond à une pseudonymisation. Autrement dit, avec les bonnes données et un croisement de base, la réidentification est possible.
Si c'est effectivement un hash, même pas besoin de croiser des données. Il n'y a pas tant de numéros de sécu que ça, un petit brute force permet de retrouver toute la base.
Bon le mail parle de "double chiffrement" et d’agrégation, donc peut-être que c'est plus difficile que ça, mais ça manque d'éléments techniques pour se faire une opinion.
le gros enjeu étant de lever le doute sur le problème P ≟ NP
Ça serait une avancée pour les mathématiques mais ça veut pas dire que ça facilitera le cassage de clef publique. Même si le résultat dit oui il y a une solution en temps polynomial, ça ne veut pas dire qu'on connaît la méthode pour trouver un tel polynôme ni que celui-ci aura des facteurs ou un degré utilisable en pratique.
Si, sûrement, mais il aurait dû emmener quelqu'un qui savait les utiliser, parce que franchement, confondre la distance qui sépare l'Amérique de l'Europe avec celle nécessaire pour atteindre l'Inde par l'ouest, faut vouloir. Pour mémoire, Ératosthène avait défini la circonférence de la terre comme étant de 39.375 km ça faisait plus de 1600 ans, alors même si le cahier de brouillon de ce dernier avait été perdu entre=temps, on peut suspecter que Colomb était vachement mauvais navigateur !
Eratosthène avait évalué la distance à 500 000 stades. Sauf que d'une part c'était une évaluation à la louche avec une grosse marge d'erreur et d'autre par on n'a aucune idée de la mesure d'un stade pour lui. "On" s'est dit qu'il avait utilisé une valeur qui marche bien et "on" a donc décidé que ça serait le stade égyptien, mais si ça se trouve, il s'est planté d'un facteur 10 et c'est "nous" qui corrigeons à partir de la bonne valeur. Quoi qu'il en soit, Christophe Colomb n'avait accès qu'à la valeur en stade de cette estimation, ce qui lui était inutile.
Par ailleurs, je n'ai aucune idée de comment on mesurait les distances parcourues par bateaux à l'époque de Christophe Colomb, mais j'ai comme l'impression que c'était loin d'être précis. De même, déterminer sa longitude sans une montre précise est plutôt compliqué.
Du coup, je ne suis pas convaincu que c'était aussi facile que ce que tu sous-entends de voir qu'il s'était planté.
A noter aussi que la cour suprême aux États-Unis, pourtant plutôt conservatrice, a indiqué qu'il y avait de bons arguments pour dire que la loi était inconstitutionnelle.
Par contre, si j'ai bien compris, elle ne peut pas agir/statuer maintenant, il faut attendre que tous les autres recours aient été tentés. Je n'ai aucune idée du temps que ça peut prendre.
Un VPN ça n’anonymise rien du tout ça remplace seulement l’entité à qui vois l'intégralité de ton trafic.
J'ai bien précisé anonyme vis à vis des serveurs que tu contactes. Cacher son ip d'origine est même un des arguments majeurs utilisés par des VPN concurrents de Mozilla dans leurs publicités sur Youtube, car ça permet d’accéder à du contenu non disponible en France.
Quelqu’un saurait expliquer en quoi consiste la faille non corrigée, à destination des nulles en réseau
Je vais essayer, je ne garantis pas une limpidité absolue.
Un des intérêts d'utiliser un VPN tel que celui offert par Mozilla est d'être "anonyme" vis à vis des serveurs que tu vas contacter. En effet, ceux-ci vont juste voir que le traffic vient de Mozilla et ne peuvent pas remonter à toi (sauf si tu te désanonymises volontairement, par exemple en t'authentifiant sur un serveur). La faille permet à un serveur de t'identifier quand même.
Pour que l'attaque réussisse, il faut que tu aies activé dans les options du VPN l'option "Guest Wi-Fi portal alert". Cette option est utile quand tu es sur un réseau avec un portail captif. Ce sont les réseaux wi-fi où quand tu te connectes, ta première connexion est redirigée vers une page te permettant de t'authentifier et/ou de te dire que tu n'as pas le droit de faire n'importe quoi avec ce réseau wi-fi. Il n'y a pas vraiment de manière standardisée de détecter une telle page, autrement que de faire une requête http et d'observer qu'elle est redirigée vers un tel portail. Ça ne marche pas avec une requête HTTPS ou protégée par VPN, car le router wifi ne peut pas la rediriger sans déchiffrer la connexion. En général, les logiciels ayant besoin de détecter ces portails ont une url en dur dont ils connaissent la réponse théorique. Pour Mozilla, c'est success.txt. L'option autorise les requêtes vers cette url à ne pas passer par le vpn (sinon elles ne pourraient pas être redirigées).
Du coup, maintenant supposons que tu utilises le VPN, que tu sois sur un réseau avec un portail captif et donc l'option activée et que tu te connectes à un serveur quelconque en voulant être anonyme. Comment les gens gérant le serveur pourraient te désanonymiser ? S'ils ont de gros moyens (comprendre la NSA ou d'autres organisations étatiques), ils sont théoriquement en mesure d'espionner tout le trafic internet. Ils pourraient donc :
1. Générer un identifiant unique : une séquence arbitraire aléatoire quelconque telle que toto12345
2. Lorsque tu visites leur serveur, ils rajoutent dans le html renvoyé une iframe vers http://34.107.221.82/success.txt?id=toto12345
3. Ton browser va faire la requête en clair (ie en HTTP et sans passer par le VPN) car tu l'as autorisé dans les options du VPN
4. Les attaquants vont intercepter la requête et voir la "vraie" adresse IP source.
C'est une attaque qui n'est pas à la portée de tout le monde et qui pour être corrigée compliquerait la vie de ceux qui utilisent des portails captifs (c'est à dire tous ceux qui utilisent un wifi public et qui ont donc besoin d'un VPN pour protéger leur traffic légitimement). Il a donc été décidé de la laisser telle quelle.
On demande depuis 2 ans un QA qui nous est refusé.
Plutôt que d'essayer d'obtenir des compétences externes, il faut développer son Just-In time learning grâce à une gamification adéquate et utiliser à bon escient ses relationships.
On demande depuis plus d'un an une machine supplémentaire pour faire notre recette interne parce que nos machines actuelles sont saturées
Plutôt que de maintenir des ordinateurs dépassés, il faut mettre en place une stratégie de cloud bursting qui sera la base d'une sustainable innovation
On demande depuis des mois d'arrêter aux commerciaux de fixer des dates de livraison irréalistes sans discussion préalable avec les équipes techniques. Mais les commerciaux sont les rois.
Plutôt que de relever les points négatifs de ses collègues, il faut identifier des change champions en charge d'être moteur des paradigms shifts qui vous permettront d'être future ready.
On demande depuis toujours d'arrêter de modifier le périmètre du sprint tous les jours et de faire rentrer des nouvelles fiches "urgentes" avec une priorisation catastrophique.
Plutôt que de s'adapter aux contraintes, il faut faire un deep dive sur les causes vous empêchant d'engager vos clients correctement.
Il manque le certificat intermédiaire "QuoVadis Global SSL ICA G3"
Le serveur étant bien configuré, il transmet toute la chaîne de certification y compris le certificat intermédiaire. Il n'a donc pas besoin d'être connu par Firefox.
Dans l'ordre c'est d'abord l'établissement de la connexion TLS puis les échanges HTTP dont le code d'erreur.
Du coup, sur ton PC : pas d'établissement de connexion TLS donc pas d'erreur HTTP.
Sur ta VM : établissement de la connexion TLS puis erreur HTTP.
Si sur ton PC, tu passes outre les avertissements de sécurité, tu obtiendras aussi l'erreur 500.
Donc on a le même certificat qui nous est présenté, mais chez toi le chemin de certification n'est pas validé, ce qui est probablement dû à une autorité de certification non reconnue.
Je suis sur KDE Neon, il faudrait un autre utilisateur de Cinnamon pour vérifier si ça vient de la distrib ou de ta config (ou alors tu réinstalles dans une VM pour vérifier).
Il semblerait que le message que vous avez reçu correspondrait à celui émis lorsqu’une machine est configurée avec une date dans le futur/passé (une date supérieure à 23/03/2022 ou inférieure à 31/03/2021).
Le message d'erreur de FF dans ce cas aurait été différent de celui de ton screenshot : "Soit le site est mal configuré, soit l’horloge de votre ordinateur est réglée à la mauvaise heure."
Personne d'autre n'a réussi à reproduire cette erreur de certificat ?
Pas moi. Pour confirmer qu'il s'agit bien d'un problème de CA chez toi, clique sur le bouton "Avancé" et regardes le code d'erreur. Pour une CA non reconnue, c'est SEC_ERROR_UNKNOWN_ISSUER
Par ailleurs, si tu affiches le certificat, tu as quoi comme empreinte SHA-256 pour vérifier qu'on parle bien du même ?
De mon côté, c'est :
F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2
Petit point de détail : le chiffrement "se fait". Par contre, tu n'as pas de garantie qu'il soit fait de manière à ce que seuls la société générale et toi puissiez déchiffrer le trafic.
Pourquoi exponentielle reste toujours toute seule en boîte de nuit ? Parce que malgré tous les efforts qu'elle fait pour s'intégrer, ça ne change rien.
Si π n'est pas un nombre univers, alors ce système de fichier[1] risque de causer pas mal de pertes de données.
Pas de soucis, ils recherchent la position de chaque octet, du coup ça marche même si π n'est pas un nombre univers. Tu peux déployer en prod les yeux fermés, c'est robuste !
Version sans aléa : le code des noyaux linux, bsd et windows NT existent dans toutes leurs versions passées, à venir et même non publiées dans π, et ce n'est pas du hasard, car ils y seront toujours, de manière prévisible, à ces endroits.
Si tu arrives à le prouver, tu vas intéresser quelques mathématiciens. A ce jour, il n'a pas été démontré que π était un nombre univers.
Par contre, une question qui m'est venue pendant l'écriture de mon commentaire, c'est : que faire d'un dev qui produit par hasard fortuitement un code suffisamment proche d'un code existant ?
Pour moi il n'est pas coupable, mais il pourrait être condamné s'il n'arrive pas à prouver qu'il n'a jamais vu ce code existant.
En théorie c'est simple, si le code est "suffisamment proche" et "non trivial", c'est une contrefaçon. La bonne foi de l'auteur de la copie/réinvention n'entre pas en compte.
En pratique, le "suffisamment proche" et "non trivial" sont loin d'être rigoureusement définis et laissent une grande marge d'interprétation.
Selon l'article du Parisien, ce serait Romain Bignon et Laurent Bachelier qui auraient co-fondé le projet. Or disent des gens du projet sur la page de discussion de l'article Wikipedia c'est faux.
Du coup, il ne devrait pas y avoir de débat. Wikipedia n'a pas pour vocation à dire la Vérité mais à donner des informations dont la source est vérifiable (https://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Citez_vos_sources).
C'est peut-être moins louable mais ça a l'avantage d'être plus objectif et plus réaliste.
Du coup, selon ce critère et en supposant qu'il n'y ait rien d'autre que la parole des gens du projet (je ne suis pas allé vérifier), il faudrait garder la version du Parisien.
Je pointais simplement que l'argument «la base de données doit être planquée sur un réseau privé» est plus proche du dogme que de l'argument étayé.
Ça dépend de ce que tu compares. Est-ce que tu compares une base de données + 1 service par dessus (type serveur web), tous les 2 exposés sur internet, à l'équivalent avec uniquement le service web exposé et la base en back-end privé ?
Dans ce cas, la solution avec la base planquée est clairement meilleure, elle diminue la surface d'attaque.
Par contre, si tu compares 1 base de données exposée directement par rapport à 1 base de donnés "planquée" avec 1 service par dessus qui l'expose, effectivement là les arguments sont moins évidents.
[^] # Re: Pourquoi ?
Posté par NicolasP . En réponse au lien Recommandations [de l'ANSSI] relatives à l’authentification multifacteur et aux mots de passe. Évalué à 8. Dernière modification le 12 octobre 2021 à 21:33.
Je pense que le plus important est qu'il s'assure que sur un système sain, le mot de passe n'est jamais écrit en clair nul part sans que l'utilisateur n'en ait conscience. Ce n'est pas le cas d'un fichier chiffré dont la version déchiffrée peut se retrouver dans un cache voire écrite sur le swap.
[^] # Re: Au sujet du consentement
Posté par NicolasP . En réponse au journal Health Data Hub. Évalué à 4.
Si c'est effectivement un hash, même pas besoin de croiser des données. Il n'y a pas tant de numéros de sécu que ça, un petit brute force permet de retrouver toute la base.
Bon le mail parle de "double chiffrement" et d’agrégation, donc peut-être que c'est plus difficile que ça, mais ça manque d'éléments techniques pour se faire une opinion.
# FedEx Bandwidth
Posté par NicolasP . En réponse au lien Solution : le cheval. Évalué à 5.
When - if ever - will the bandwidth of the Internet surpass that of FedEx?
[^] # Re: Bravo !
Posté par NicolasP . En réponse à la dépêche Le Frido : livre libre de mathématique pour l’agrégation et plus. Évalué à 2.
Super merci, avec l'exemple c'est plus clair.
[^] # Re: Bravo !
Posté par NicolasP . En réponse à la dépêche Le Frido : livre libre de mathématique pour l’agrégation et plus. Évalué à 1.
Si tu as compris le premier et que tu sais l'expliquer à quelqu'un qui n'a plus que de vagues notions de probabilité, je suis preneur :)
[^] # Re: Email, protocole de 1970
Posté par NicolasP . En réponse au journal ProtonMail fournit les adresses IPs de ses utilisateurs ensuite arrêtés en France. Évalué à 4.
Ça serait une avancée pour les mathématiques mais ça veut pas dire que ça facilitera le cassage de clef publique. Même si le résultat dit oui il y a une solution en temps polynomial, ça ne veut pas dire qu'on connaît la méthode pour trouver un tel polynôme ni que celui-ci aura des facteurs ou un degré utilisable en pratique.
[^] # Re: Une montre ça ne sert à rien !
Posté par NicolasP . En réponse au journal compteur/montre gps sans synchro online. Évalué à 6. Dernière modification le 05 septembre 2021 à 13:16.
Eratosthène avait évalué la distance à 500 000 stades. Sauf que d'une part c'était une évaluation à la louche avec une grosse marge d'erreur et d'autre par on n'a aucune idée de la mesure d'un stade pour lui. "On" s'est dit qu'il avait utilisé une valeur qui marche bien et "on" a donc décidé que ça serait le stade égyptien, mais si ça se trouve, il s'est planté d'un facteur 10 et c'est "nous" qui corrigeons à partir de la bonne valeur. Quoi qu'il en soit, Christophe Colomb n'avait accès qu'à la valeur en stade de cette estimation, ce qui lui était inutile.
Par ailleurs, je n'ai aucune idée de comment on mesurait les distances parcourues par bateaux à l'époque de Christophe Colomb, mais j'ai comme l'impression que c'était loin d'être précis. De même, déterminer sa longitude sans une montre précise est plutôt compliqué.
Du coup, je ne suis pas convaincu que c'était aussi facile que ce que tu sous-entends de voir qu'il s'était planté.
# Cour Suprême
Posté par NicolasP . En réponse au journal Les satanistes, le dernier rempart contre l’interdiction de l’avortement au Texas ?. Évalué à 5.
A noter aussi que la cour suprême aux États-Unis, pourtant plutôt conservatrice, a indiqué qu'il y avait de bons arguments pour dire que la loi était inconstitutionnelle.
Par contre, si j'ai bien compris, elle ne peut pas agir/statuer maintenant, il faut attendre que tous les autres recours aient été tentés. Je n'ai aucune idée du temps que ça peut prendre.
[^] # Re: Lapin compris
Posté par NicolasP . En réponse au lien Le VPN de Mozilla avait trois failles, et une n’a pas été corrigée (mais il y a une raison). Évalué à 4.
J'ai bien précisé anonyme vis à vis des serveurs que tu contactes. Cacher son ip d'origine est même un des arguments majeurs utilisés par des VPN concurrents de Mozilla dans leurs publicités sur Youtube, car ça permet d’accéder à du contenu non disponible en France.
[^] # Re: Lapin compris
Posté par NicolasP . En réponse au lien Le VPN de Mozilla avait trois failles, et une n’a pas été corrigée (mais il y a une raison). Évalué à 8. Dernière modification le 04 septembre 2021 à 21:17.
Je vais essayer, je ne garantis pas une limpidité absolue.
Un des intérêts d'utiliser un VPN tel que celui offert par Mozilla est d'être "anonyme" vis à vis des serveurs que tu vas contacter. En effet, ceux-ci vont juste voir que le traffic vient de Mozilla et ne peuvent pas remonter à toi (sauf si tu te désanonymises volontairement, par exemple en t'authentifiant sur un serveur). La faille permet à un serveur de t'identifier quand même.
Pour que l'attaque réussisse, il faut que tu aies activé dans les options du VPN l'option "Guest Wi-Fi portal alert". Cette option est utile quand tu es sur un réseau avec un portail captif. Ce sont les réseaux wi-fi où quand tu te connectes, ta première connexion est redirigée vers une page te permettant de t'authentifier et/ou de te dire que tu n'as pas le droit de faire n'importe quoi avec ce réseau wi-fi. Il n'y a pas vraiment de manière standardisée de détecter une telle page, autrement que de faire une requête http et d'observer qu'elle est redirigée vers un tel portail. Ça ne marche pas avec une requête HTTPS ou protégée par VPN, car le router wifi ne peut pas la rediriger sans déchiffrer la connexion. En général, les logiciels ayant besoin de détecter ces portails ont une url en dur dont ils connaissent la réponse théorique. Pour Mozilla, c'est success.txt. L'option autorise les requêtes vers cette url à ne pas passer par le vpn (sinon elles ne pourraient pas être redirigées).
Du coup, maintenant supposons que tu utilises le VPN, que tu sois sur un réseau avec un portail captif et donc l'option activée et que tu te connectes à un serveur quelconque en voulant être anonyme. Comment les gens gérant le serveur pourraient te désanonymiser ? S'ils ont de gros moyens (comprendre la NSA ou d'autres organisations étatiques), ils sont théoriquement en mesure d'espionner tout le trafic internet. Ils pourraient donc :
1. Générer un identifiant unique : une séquence arbitraire aléatoire quelconque telle que toto12345
2. Lorsque tu visites leur serveur, ils rajoutent dans le html renvoyé une iframe vers http://34.107.221.82/success.txt?id=toto12345
3. Ton browser va faire la requête en clair (ie en HTTP et sans passer par le VPN) car tu l'as autorisé dans les options du VPN
4. Les attaquants vont intercepter la requête et voir la "vraie" adresse IP source.
C'est une attaque qui n'est pas à la portée de tout le monde et qui pour être corrigée compliquerait la vie de ceux qui utilisent des portails captifs (c'est à dire tous ceux qui utilisent un wifi public et qui ont donc besoin d'un VPN pour protéger leur traffic légitimement). Il a donc été décidé de la laisser telle quelle.
[^] # Re: J'en ai une 11ème
Posté par NicolasP . En réponse au lien DevOps REX : 10 façons de rater son passage vers l’agilité. Évalué à 6.
Plutôt que d'essayer d'obtenir des compétences externes, il faut développer son Just-In time learning grâce à une gamification adéquate et utiliser à bon escient ses relationships.
Plutôt que de maintenir des ordinateurs dépassés, il faut mettre en place une stratégie de cloud bursting qui sera la base d'une sustainable innovation
Plutôt que de relever les points négatifs de ses collègues, il faut identifier des change champions en charge d'être moteur des paradigms shifts qui vous permettront d'être future ready.
Plutôt que de s'adapter aux contraintes, il faut faire un deep dive sur les causes vous empêchant d'engager vos clients correctement.
Voilà, je peux postuler sur la péniche ?
[^] # Re: Pipeau
Posté par NicolasP . En réponse au lien Évaluez l’impact de la vaccination sur l’épidémie (résumé : en pratique risque individuel /4). Évalué à 9. Dernière modification le 17 août 2021 à 20:47.
Auteur original
[^] # Re: Lien
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 2.
Un point qui pourrait être intéressant à vérifier c'est si c'est bien le même certificat de la CA entre le PC et la VM (même empreinte ?).
[^] # Re: Lien
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 1. Dernière modification le 15 août 2021 à 20:20.
Le serveur étant bien configuré, il transmet toute la chaîne de certification y compris le certificat intermédiaire. Il n'a donc pas besoin d'être connu par Firefox.
[^] # Re: Source du problème
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 1.
Du coup, c'est peut-être une extension qui pose problème. Si tu en as qui font des actions sur les certificats, essaye de les désactiver.
[^] # Re: Source du problème
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 2.
Dans l'ordre c'est d'abord l'établissement de la connexion TLS puis les échanges HTTP dont le code d'erreur.
Du coup, sur ton PC : pas d'établissement de connexion TLS donc pas d'erreur HTTP.
Sur ta VM : établissement de la connexion TLS puis erreur HTTP.
Si sur ton PC, tu passes outre les avertissements de sécurité, tu obtiendras aussi l'erreur 500.
[^] # Re: Source du problème
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 4.
Donc on a le même certificat qui nous est présenté, mais chez toi le chemin de certification n'est pas validé, ce qui est probablement dû à une autorité de certification non reconnue.
Je suis sur KDE Neon, il faudrait un autre utilisateur de Cinnamon pour vérifier si ça vient de la distrib ou de ta config (ou alors tu réinstalles dans une VM pour vérifier).
[^] # Re: Source du problème
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 4.
Le message d'erreur de FF dans ce cas aurait été différent de celui de ton screenshot : "Soit le site est mal configuré, soit l’horloge de votre ordinateur est réglée à la mauvaise heure."
Pas moi. Pour confirmer qu'il s'agit bien d'un problème de CA chez toi, clique sur le bouton "Avancé" et regardes le code d'erreur. Pour une CA non reconnue, c'est SEC_ERROR_UNKNOWN_ISSUER
Par ailleurs, si tu affiches le certificat, tu as quoi comme empreinte SHA-256 pour vérifier qu'on parle bien du même ?
De mon côté, c'est :
F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2
# Le chiffrement ne se fait pas
Posté par NicolasP . En réponse au journal Certificat non reconnu, qui contacter à la Société Générale ?. Évalué à 3.
Petit point de détail : le chiffrement "se fait". Par contre, tu n'as pas de garantie qu'il soit fait de manière à ce que seuls la société générale et toi puissiez déchiffrer le trafic.
[^] # Re: C'est bien c'est pas du tout artificiel
Posté par NicolasP . En réponse au journal Deux petits problèmes de math niveau lycée.. Évalué à 3.
Pourquoi exponentielle reste toujours toute seule en boîte de nuit ? Parce que malgré tous les efforts qu'elle fait pour s'intégrer, ça ne change rien.
[^] # Re: Un sacré merdier ?
Posté par NicolasP . En réponse au journal GitHub lance copilot, un générateur de code entraîné sur du code GPL. Évalué à 3.
Pas de soucis, ils recherchent la position de chaque octet, du coup ça marche même si π n'est pas un nombre univers. Tu peux déployer en prod les yeux fermés, c'est robuste !
[^] # Re: Un sacré merdier ?
Posté par NicolasP . En réponse au journal GitHub lance copilot, un générateur de code entraîné sur du code GPL. Évalué à 5.
Si tu arrives à le prouver, tu vas intéresser quelques mathématiciens. A ce jour, il n'a pas été démontré que π était un nombre univers.
[^] # Re: Un sacré merdier ?
Posté par NicolasP . En réponse au journal GitHub lance copilot, un générateur de code entraîné sur du code GPL. Évalué à 3.
En théorie c'est simple, si le code est "suffisamment proche" et "non trivial", c'est une contrefaçon. La bonne foi de l'auteur de la copie/réinvention n'entre pas en compte.
En pratique, le "suffisamment proche" et "non trivial" sont loin d'être rigoureusement définis et laissent une grande marge d'interprétation.
# Parisien VS gens du projet
Posté par NicolasP . En réponse au journal Weboob renommé en Woob et tambouille wikipédienne. Évalué à 3. Dernière modification le 30 mars 2021 à 19:29.
Du coup, il ne devrait pas y avoir de débat. Wikipedia n'a pas pour vocation à dire la Vérité mais à donner des informations dont la source est vérifiable (https://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Citez_vos_sources).
C'est peut-être moins louable mais ça a l'avantage d'être plus objectif et plus réaliste.
Du coup, selon ce critère et en supposant qu'il n'y ait rien d'autre que la parole des gens du projet (je ne suis pas allé vérifier), il faudrait garder la version du Parisien.
[^] # Re: Dans quel cas ?
Posté par NicolasP . En réponse au journal SQL Server sous Linux : enjeux de sécurité. Évalué à 2. Dernière modification le 18 mars 2021 à 20:47.
Ça dépend de ce que tu compares. Est-ce que tu compares une base de données + 1 service par dessus (type serveur web), tous les 2 exposés sur internet, à l'équivalent avec uniquement le service web exposé et la base en back-end privé ?
Dans ce cas, la solution avec la base planquée est clairement meilleure, elle diminue la surface d'attaque.
Par contre, si tu compares 1 base de données exposée directement par rapport à 1 base de donnés "planquée" avec 1 service par dessus qui l'expose, effectivement là les arguments sont moins évidents.