NicolasP a écrit 255 commentaires

C'est quoi l'efficacité d'un masque fait maison ? Tu as des sources sur le fait que ce genre de dispositifs peut aider à protéger l'entourage d'un malade ?

Le site du cned a été mis en jour entre ce matin et ce soir. Maintenant, quand on clique sur un manuel, on ne télécharge plus rien, le manuel est affiché directement dans le navigateur. Je pense que le fait de devoir télécharger le .zip était un bug qu'ils ont corrigé.

CF mon commentaire ci-dessous, le problème vient de la manière dont j'avais extrait l'archive. Merci.

J'avais vu ce fichier map.html, mais tous les liens du fichiers sont morts chez moi. Et je viens de comprendre pourquoi. J'ai décompressé l'archive avec Ark, et il m'a créé des fichiers avec des \ dans le nom au lieu de me créer une arborescence complète. Comme les liens des différents fichiers HTML contiennent des / et pas des \, ils sont tous en erreur.
En décompressant l'archive avec unzip, ça fonctionne mieux. Merci à tous !

Si tu parles du YALCIIVIYLKUPPOCKQIYSIDTTY\HTML_lesson_3_2\17743\index.html (avec des \ dans le nom de fichier), moi ça m'affiche juste une dizaine d'icônes redimensionnées pour faire toute la largeur de la page.

Tu peux partager une URL ?

Voilà par exemple le livre de Maths niveau CM1

But decades aren't centuries. They're not cardinally numbered.

Effectivement, d'après wiktionary, un siècle c'est soit une période de 100 ans, soit une durée de cent années dans la logique du calendrier julien puis grégorien. Donc avec la 2ème définition parler du 20ème ou 21ème siècle a du sens, il y a des années bien définies où on change de millénaire ou de siècle.
Au contraire, une décennie, c'est juste une période de 10 ans, il n'y a pas la 2ème définition. On ne parle pas de la 201ème décennie du calendrier julien. Du coup, c'est pas si simple de dire qu'on a ou qu'on n'a pas changé de décennie, il faudrait une convention partagée par une majorité.

L'ennui c'est que si t'as pas un oeil sur tes gamins pdt qu'ils sont sur Gcompris ,dans la mn qui suit un instant d'inattention, il seront sur des sites de merde ou à jouer à des jeux à la con.

Mes enfants ont accès à GCompris, à des vidéos et à différents jeux (ainsi qu'à internet tout entier, même s'ils n'en n'ont pas bien conscience). Et quand ils sont sur GCompris, au bout d'1 minute d'inattention, je les retrouve sur GCompris. D'une part, parce ce que GCompris ce n'est pas une application qu'il faut fuir absolument, c'est ludique et ils aiment bien. Et d'autre part ils savent que s'ils ont le droit d'être sur GCompris, ça ne leur donne pas le droit d'être sur une vidéo.

Le numérique, ça fait partie de l'éducation générale. Il faut expliquer, donner un cadre et le faire respecter avec un mélange de contrôle et de confiance.

il y en a ici qui ont passé plus de temps à commenter qu'à apprendre le C++

A mon avis tous ceux qui ont commenté ont au moins 15 ans d'expérience sur le C++ et peuvent te donner leurs profiles github pour le prouver !

Si l'attaquant ne sait pas que tu utilises cette méthode, et/ou qu'il ne connait pas la liste des 2048 mots (ce qui es en principe le cas, sinon c'est une attaque ciblée sur toi), alors l'entropie est immensément plus élevée.

Cet XKCD propose une méthode qui aurait dû/pu être enseignée au plus grand nombre possible de gens. Si ça avait été effectivement le cas, tu peux être sûr que ça aurait été mis en tête de liste des crackers.
Quant à la liste, l'objectif est quand même que ça soit 2048 mots relativement communs, sinon la partie "déjà mémorisée" ne fonctionne pas. J'ignore combien de mots une personne humaine quelconque connaît, mais ça ne doit pas être des ordres de magnitude au dessus de 2048. Tu multiplies ça par le nombre de langues utilisées si l'attaque porte sur une base internationale et au final tu obtiens quelques bits d'entropie en plus, mais pas "immensément" plus.

J'avais retenu des cases du xkcd sur l'entropie : plus c'est long, plus c'est difficile à deviner

Juste pour préciser : le fait que "plus c'est long, plus c'est difficile à deviner" est vrai (si toutes les autres conditions sont identiques), c'est juste que ce n'est pas le propos de cet xkcd.

Qu'est ce que je n'ai pas compris ?

Cette formule est valable pour des caractères choisis aléatoirement, ce n'est pas le cas ici.
La méthode consiste à choisir 4 mots aléatoires dans une liste de 2048 mots. C'est donc équivalent à choisir 4 caractères aléatoires dans un alphabet virtuel de 2048 caractères. Chacun de ces caractères a une entropie de 11 bits, et l'entropie totale est donc de 44 bits.

Le XKCD ne dit pas que la taille compte, en tout cas ce n'est clairement pas le message principal.

Il dit plutôt qu'il existe une méthode de génération de mot de passe qui aboutit à un résultat plus facile à mémoriser pour un humain et plus difficile à deviner pour un ordinateur que les recommandations "usuelles". Les mots de passe générés avec cette méthode peuvent avoir des tailles très variées (au pifomètre de 16 à 40+ caractères) mais l'entropie (ou la difficulté pour les deviner) est constante.

Your Pa$$word doesn't matter est un article écrit par un membre de l'équipe sécurité d'Azure. En résumé, dans la vraie vie, la plupart des attaques qui ont réussi ne l'ont pas été à cause d'une faiblesse du mot de passe, mais à cause d'un autre facteur. Et donc si on veut vraiment se protéger, ce n'est pas avec des règles sur les mots de passe (que ça soit longueur ou complexité) mais avec de l'authentification multi facteurs.

De manière générale, imposer des dates d'expiration ou des contraintes sur les mots de passe n'est plus à l'ordre du jour (recommandations du NIST). J'ai l'impression que c'est juste l'inertie qui fait qu'on voit encore des règles de ce type.

Mais c'est un cas un peu bizarre ici, non? Il n'y a pas d'exclusion mutuelle pour deux boules en parallèles.

Je suppose que tu te places dans mon interprétation, c'est à dire que les ressources sont les intersections.

Dans cet article, l'exclusion mutuelle, c'est juste l'existence d'une ressource non partageable, c'est à dire qui ne peut pas être utilisée par 2 process en même temps. Avec 2 boules en parallèles, chacune a ses ressources non partageables. Mais ce n'est pas un problème car on ne veut pas les partager. Les conditions C2 et C4 ne seront jamais vérifiées.

Si il n'y a que trois boules, deux conditions ne sont plus remplies. L'exclusion mutuelle car il y a une boule qui n'est exclue par aucune autre

L'exclusion mutuelle c'est l'existence d'une ressource qui ne peut pas être partagée. Un seul process à la fois peut y avoir accès. Le fait d'avoir 3 boules ne change rien à l'existence ou non de cette ressource. Il y a toujours l'exclusion mutuelle.
A noter que la légende du schéma indique que la ressource c'est la zone grise, mais l'animation ainsi que la "right-before-left policy" suggèrent plutôt 4 ressources partagées qui sont les intersections des lignes bleues.

et l'attente circulaire

Effectivement, elle n'existe plus et donc il n'y a plus le deadlock.

Ces 4 conditions sont-elles aussi suffisantes comme cela est suggéré dans l'article?

J'aurais dû mal à démontrer que c'est suffisant, je ne vois même pas dans quel formalisme se placer. Mais intuitivement, oui ça l'est.
Supposons que les 4 conditions (C1, C2, C3, C4) soient vérifiées. Pour qu'il n'y ait pas de deadlock, il faut au moins 1 process qui puisse faire évoluer son état. Disons que c'est P1. C4 implique que P1 soit en attente d'une ressource (disons R1) détenue par un autre process (disons P2). C1 implique que P1 doive attendre la libération de R1. C3 implique que seul P2 puisse libérer R1. Donc P1 ne peut faire évoluer son état avant P2. De même P2, ne peut pas faire évoluer son état avant P3, … jusqu'à Pn qui ne peut pas faire évoluer son état avant P1.
La seule possibilité qu'il n'y ait pas de deadlock est donc que tous les process fassent évoluer leurs états simultanément. Hors chaque process a besoin d'une ressource non partageable (C1) qui est aussi nécessité par un autre process. Du coup, la simultanéité est elle aussi interdite.

Dans le raisonnement ci-dessus, je ne me sers pas de C2, mais j'ai l'impression que c'est une forme affaiblie de C4. J'ai peut-être raté quelque chose.

Il faut faire des hypothèses supplémentaire sur le scheduling, j'imagine. J'ai bien l'impression que je pourrais créer un scheduler qui ne va jamais autoriser un deadlock même avec 4 boules.

Le scheduler pourrait peut-être éviter d'arriver dans la situation où les conditions sont vérifiées et donc éviter le deadlock. Mais si tu te places dans une situation où les conditions sont déjà vérifiées, aucun process ne peut tourner. Du coup le scheduler n'a aucune marge de manœuvre (autre que killer un process).

Comme si on me disait que HTTP permet de corriger les problèmes de la couche de liaison… ça n'a aucun sens puisqu'elle s'appuie dessus

C'est tout à fait faisable pour un système de corriger les problèmes du système sur lequel il s'appuie. Pour rester sur les couches réseau: TCP corrige les problèmes de perte ponctuelle de paquets ou d'arrivée dans le désordre de la couche IP.

C'est l'aspect graphique qui ne te plais pas dans les boutons ?

C'est ça mais aussi le fait que ça soit du texte, alors que la cible ce sont des enfants qui ne savent pas lire ou à peine.

La partie démarrage pourrais se faire dans une petite modale qui serait caché une fois l'exercice commencé. (ça laisserais plus de place à l'écran également)

Je n'ai pas compris. Moi je proposais juste de supprimer le bouton commencer. Et de faire en sorte que quand on clique sur un des boutons "Nombres", ça fasse tout de suite comme si on avait aussi cliqué sur commencer.

Vu la cible, ça serait bien de changer les libellés des boutons, éventuellement les remplacer par des images. Et il faudrait pouvoir écouter la consigne.

Après avoir choisi la difficulté, le jeu pourrait commencer tout de suite, sans avoir à cliquer sur le bouton commencer.

Un bouton recommencer serait sympa aussi.

Avez-vous prévu de l'inclure en tant qu'activité dans GCompris ? C'est le genre de jeu qui s'y prête.

Du coup, je suis allé cherché si CBGraham existe vraiment. Oui, il a bien un compte et dans sa description c'est bien un professeur. Par contre, il n'a pas l'air de répondre à des questions sur Java mais plutôt sur iPhone.

Ça me fait penser à cette image vue sur Twitter. C'est probablement un fake, mais la réponse est inattendue.

Le typage statique étant un sur-ensemble du typage dynamique les langages statiques n'ont rien besoin de faire ;)

Sauf quand il faut s'interfacer avec un langage à typage dynamique. Par exemple, le mot clef dynamic a été introduit dans le C# pour ça.

N'est-il pas possible de compiler uniquement un fichier sensible avec l'option LFENCE ? Faire un seul fichier C qui manipule des clefs ou token crypto, et compiler uniquement celui-là avec l'option pour éviter les pénalités d’exécution.

Spectre permet d’accéder à n'importe quelle zone mémoire allouée à un processus. Du coup, ça ne servirait à rien de compiler seulement une partie du source avec cette option.

Je ne vois pas en quoi le modèle de menace diffère. Quelle différence entre :
- une application web qui te pousse un javascript dont l'origine est authentifiée par l'utilisation de TLS, pour que le client puisse chiffrer une donnée avant de l'envoyer au serveur de l'éditeur ;
- et un client lourd, dont l'origine est authentifiée par la signature du package l'éditeur, qui chiffre une donnée avant de l'envoyer au serveur de l'éditeur ?

Si le terminal est compromis, il n'y a effectivement aucune différence.
Par contre s'il est fiable, dans le 1er cas ton application web a un risque de compromission à chaque utilisation, alors que dans le 2ème cas le risque est à chaque mise à jour. A priori, on peut supposer que les mises à jour sont beaucoup moins fréquentes que les utilisations. Du coup, tu pourrais très bien analyser une version donnée et si tu la valides, tu peux la conserver tant que tu le souhaites (à condition que les protocoles ne cassent pas la compatibilité avec elle).

Non, non, la balance (la vrai, avec deux plateaux) mesure bien la masse, pour autant qu'on admette le Principe d'équivalence. Mais il faut la mettre dans les bonne conditions pour qu'elle puisse opérer.
Ce qu'il faut, c'est que la balance soit plongée dans un champ de gravité uniforme, de cette façon les effets relatifs de la gravité (le poids) se compensent (c'est en ça qu'intervient le principe d'équivalence) et on compare bien les masses posées sur les deux plateaux.

Le problème de fond c'est que la balance ne permet pas de comparer les poids mais compare les composantes verticales des sommes des forces appliquées aux autres objets. Et du coup, quand il y a une force non négligeable autre que le poids, la balance ne permet plus de mesurer la masse (et ce qu'on admette le principe d'équivalence ou pas).