Pour complexifié un mot de passe, on peut ajouter un fichier "mot de passe". En gros, le fichier qui peut être n'importe quoi générer par l'utilisateur, et donc plus discret qu'une clef privé, est hashé avec la passe phrase. Cela rajoute un paquet d'entropie au mot de passe.
Concernant le vol d'identité, il suffit que la clef secondaire soit planqué ailleurs, et signé par la 1er clef. Mais il faut une date de cette signature pour éviter que la clef volée permette de générer une autre clef secondaire. Ou alors, il faut que la clef diffusée soit la secondaire : la primaire ne servant qu'à générer des clefs secondaires et est planqué "ailleurs".
Le problème du découpage en morceau est dans le protocole pour récupérer les morceaux: comment les gens de confiance peuvent vérifier que celui qui fait la demande est légitime ?
Attention à la révocation, les protocoles sont très lourd à mettre en œuvre.
"Avoir des appels systemes qui ne font jamais d'erreur, avoir de la memoire infini pour ne jamais faire un echec lors d'une allocation, ne pas avoir de corruption de ses systemes de stockage, … Il y a toujours des erreurs, faut juste faire en sorte que le systeme se degrade pas trop."
Disons que si le logiciel ne considère pas avoir une infinité de mémoire, et par exemple essaye de ne plus allouer de mémoire au bout d'un moment, cela réduit fortement la probabilité de problème de mémoire. Il faudrait aussi que les erreurs des appels systèmes ne soient pas forcément toujours rejeté à la couche au dessus, qui ne sait souvent pas quoi faire.
"Une suite de tests limite les regressions, mais pas les bugs."
Cela dépend si tu as une vrai spécification. Je peux te dire que pour un soft DO178, il peut rester des bugs mais dans des coins super tordu (souvent lié à une trop grosse spécification).
Je me fout de la tolérance. Je critique un point précis, et je ne fais aucune généralité contrairement à toi.
Le libre est centré sur l'utilisateur. Dire qu'il suffit de demander son avis à l'auteur est complètement con. C'est toujours vrai, même pour du propriétaire. Cela ne passe pas du tout à l'échelle (imagine si une distro devait demandé son avis à tous les auteurs de logiciels). Les auteurs ne sont pas toujours trouvable (et le produit est donc mort).
Si il faut demander son avis à l'auteur, ce n'est pas du libre, point. Le libre, c'est surtout de rendre sa liberté à l'utilisateur. C'est la base de la base du concept.
C'est en général en suivant ce genre de règle que l'on évite de mettre des eval() dans un fichier de configuration, cela parait pratique pour le dev, mais pour la validation, c'est impossible à tester.
Si le temps manque, cela peut se faire par "sampling". Cela mets la pression sur le développeur, et cela évite au testeur de se laisser tenter par un "return true;" dans un tests… (vécu).
La vérification de couverture, cela peut être rapide. Cela permet au minimum de découvrir une zone oubliée. C'est toujours instructif.
"Les tests couvrant de haut niveau peuvent parfois être vite limités par la combinatoire des cas possibles (qui explose). Dans ce cas, on peut couvrir en haut niveau les cas nominaux et les cas d'erreur courants, et laisser les tests de plus bas niveau couvrir les autres cas d'erreur."
C'est vrai, d’où l’intérêt de concevoir en fonction des testes pour ne jamais avoir ce genre cas. Ce cas veut juste dire que tu as une surface énorme de bug potentiel, et je ne parle pas de surface d'attaque de sécurité. J'aime bien aussi les tests avec fuzzers, cela doit permettre de couvrir un paquet de cas.
Concernant vos tests, vous faites de la revue de code de test ? Les tests (non unitaire) sont écrit par des personnes différentes ? La couverture est bien vérifié ?
Je suis tombé sur le Dell XPS13 dont une version est livré avec ubuntu.
Le souci que je vois est qu'il semble chauffer pas mal (jusqu'à 60°C à l'arrière), mais bon, c'est cpu à fond.
Il est difficile de savoir si l'écran est matte ou pas. Cela dépend des sources. Un ultrabook voyage, il a de grande chance d'être utilisé en extérieur, ce qui est quasi impossible avec un écran brillant.
Je cherche toujours un ultrabook supporté sous Linux :
* qui supporte correctement le suspend-to-disk
* avec gpu intel
* 13.3"
* dalle matte
* full HD mini (1000 pixels vertical minimum, en 16/10, c'est le mieux, mais cela n'existe plus)
* < 2kg (et une petite alim !)
* core i3 minimum
* > 5h d'autonomie
* ssd 256Go
* 6/8 Go de Ram
* garantie avec prise en charge du matériel (type Dell), les SAV de 6 semaines, cela me gonfle.
+ prise HDMI et slot SD, si possible, cela dépanne toujours, en plus de l'usb 3.0
J'ai pas encore trouvé (le XPS13 n'a pas de port HDMI et la dalle est à priori brillante).
"le ND ne signifie pas que les modifications ne sont pas autorisées, mais que toute modification doit être soumise à l'auteur,"
Je crois que le prochain qui me sort cet argument, je lui pose un contrat sur sa tête. Cet argument révèle à quel point son auteur n'a rien mais alors, absolument rien, compris au libre et à ses avantages.
"Est-ce réellement choquant ?"
Si le but est d'éviter la confusion, l'auteur peut faire comme Mozilla ou Mageia : déposer une marque !
"Tu peux rarement avoir une couverture superieur a 80%, car juste la gestion des erreurs qui n'arrivent jamais et sont difficile a injecter durant tes tests"
L'avantage de s'obliger à 100% de couverture, c'est que te repenses ton architecture, pour éviter justement tout ces cas, qui n'existent pas. Coder en imaginant le test, peut faire gagner beaucoup de temps.
Concernant les piles logiciels, si chaque bout est correctement testé, l'assemblage est (censé) avoir peu de bugs.
En même temps, les tests unitaires c'est pas super utile, si tu as des vrai tests couvrant de très haut niveau. Il est rare d'avoir un bug de bas niveau non trouvé par un test haut niveau, et il est impossible de trouver un bug de haut niveau avec un test unitaire (problème d'intégration, trou de spec, etc…).
J'ai jamais vu de test LLR qui trouve des bug non trouvé par les tests HLR, en général, il s'agit de mode non utilisé.
Pas une compta, sauf si tu fais celle d'un pays. Avec un double, tu gères des nombres de plusieurs milliards sans perte de précision. Il faut juste éviter de passer en 32 bits pour aller plus vite…
Intégration continue ?
Test automatique au moins partiel ?
Traçabilité avec les exigences ?
Test qui couvre toutes les exigences
bugtracker ?
Revue de code ?
Revue du code des testes ?
De toute façon, il faut définir soi-même le delta. J'aimerais tellement voir un langage de programmation qui gère des réel avec range et prévision. Tout un tas de transformation resterait valide (de mémoire, c'est encore un anneau ou un corps). Une fois simplifié, tout est transformé en code flottant.
[^] # Re: Une fois la clé perdue ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Présentation d'idée : PGPID. Évalué à 2.
Pour complexifié un mot de passe, on peut ajouter un fichier "mot de passe". En gros, le fichier qui peut être n'importe quoi générer par l'utilisateur, et donc plus discret qu'une clef privé, est hashé avec la passe phrase. Cela rajoute un paquet d'entropie au mot de passe.
Concernant le vol d'identité, il suffit que la clef secondaire soit planqué ailleurs, et signé par la 1er clef. Mais il faut une date de cette signature pour éviter que la clef volée permette de générer une autre clef secondaire. Ou alors, il faut que la clef diffusée soit la secondaire : la primaire ne servant qu'à générer des clefs secondaires et est planqué "ailleurs".
Le problème du découpage en morceau est dans le protocole pour récupérer les morceaux: comment les gens de confiance peuvent vérifier que celui qui fait la demande est légitime ?
Attention à la révocation, les protocoles sont très lourd à mettre en œuvre.
"La première sécurité est la liberté"
[^] # Re: Ce qu'on demande à un développeur aujourd'hui...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 2.
"Avoir des appels systemes qui ne font jamais d'erreur, avoir de la memoire infini pour ne jamais faire un echec lors d'une allocation, ne pas avoir de corruption de ses systemes de stockage, … Il y a toujours des erreurs, faut juste faire en sorte que le systeme se degrade pas trop."
Disons que si le logiciel ne considère pas avoir une infinité de mémoire, et par exemple essaye de ne plus allouer de mémoire au bout d'un moment, cela réduit fortement la probabilité de problème de mémoire. Il faudrait aussi que les erreurs des appels systèmes ne soient pas forcément toujours rejeté à la couche au dessus, qui ne sait souvent pas quoi faire.
"Une suite de tests limite les regressions, mais pas les bugs."
Cela dépend si tu as une vrai spécification. Je peux te dire que pour un soft DO178, il peut rester des bugs mais dans des coins super tordu (souvent lié à une trop grosse spécification).
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 2.
Oui, c'est ça. Cela a du être ajouté depuis la dernière fois que j'ai regardé.
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 3.
Au niveau libre, gcc ne permet que la couverture d'instruction. C'est un peu léger, par contre. Une couverture de branche serait plus complète.
"La première sécurité est la liberté"
[^] # Re: Parlons projet alors !
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Présentation d'idée : PGPID. Évalué à 0.
Au lieu de recoder un DHT, pourquoi ne pas réutiliser un protocole existant comme bittorrent ?
"La première sécurité est la liberté"
[^] # Re: Un Thinkpad
Posté par Nicolas Boulay (site web personnel) . En réponse au message Choix d'un ultrabook. Évalué à 2.
le X1 carbon ressemble plus à ce que je cherche. Mais bon, il va dans les 1500/2000€
"La première sécurité est la liberté"
[^] # Re: Mais pourquoi diable autoriser les modifications ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal L'éducation nationale publie des polices de caractères cursive libres... de diffusion. Évalué à 3.
Je me fout de la tolérance. Je critique un point précis, et je ne fais aucune généralité contrairement à toi.
Le libre est centré sur l'utilisateur. Dire qu'il suffit de demander son avis à l'auteur est complètement con. C'est toujours vrai, même pour du propriétaire. Cela ne passe pas du tout à l'échelle (imagine si une distro devait demandé son avis à tous les auteurs de logiciels). Les auteurs ne sont pas toujours trouvable (et le produit est donc mort).
Si il faut demander son avis à l'auteur, ce n'est pas du libre, point. Le libre, c'est surtout de rendre sa liberté à l'utilisateur. C'est la base de la base du concept.
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 2.
C'est en général en suivant ce genre de règle que l'on évite de mettre des eval() dans un fichier de configuration, cela parait pratique pour le dev, mais pour la validation, c'est impossible à tester.
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 2.
Si le temps manque, cela peut se faire par "sampling". Cela mets la pression sur le développeur, et cela évite au testeur de se laisser tenter par un "return true;" dans un tests… (vécu).
La vérification de couverture, cela peut être rapide. Cela permet au minimum de découvrir une zone oubliée. C'est toujours instructif.
"La première sécurité est la liberté"
[^] # Re: qu'est-ce qu'il dit ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 3.
Le munci est un syndicat d'informaticien il me semble. Cela peut aussi servir dans ton cas.
"La première sécurité est la liberté"
[^] # Re: Un Thinkpad
Posté par Nicolas Boulay (site web personnel) . En réponse au message Choix d'un ultrabook. Évalué à 2.
x230 : "Écran LED 12,5 pouces HD (1366x768)"
Pas glop non plus, ça.
"La première sécurité est la liberté"
[^] # Re: LinuxFr chez Vidberg
Posté par Nicolas Boulay (site web personnel) . En réponse au journal tric trac linkeo-isé. Évalué à 6.
On y a apprend que maintenant linuxfr fait peur. sisi.
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 3.
"Les tests couvrant de haut niveau peuvent parfois être vite limités par la combinatoire des cas possibles (qui explose). Dans ce cas, on peut couvrir en haut niveau les cas nominaux et les cas d'erreur courants, et laisser les tests de plus bas niveau couvrir les autres cas d'erreur."
C'est vrai, d’où l’intérêt de concevoir en fonction des testes pour ne jamais avoir ce genre cas. Ce cas veut juste dire que tu as une surface énorme de bug potentiel, et je ne parle pas de surface d'attaque de sécurité. J'aime bien aussi les tests avec fuzzers, cela doit permettre de couvrir un paquet de cas.
Concernant vos tests, vous faites de la revue de code de test ? Les tests (non unitaire) sont écrit par des personnes différentes ? La couverture est bien vérifié ?
"La première sécurité est la liberté"
[^] # Re: dell ?
Posté par Nicolas Boulay (site web personnel) . En réponse au message Choix d'un ultrabook. Évalué à 2.
Il m'a l'air très bien comme ultraportable. 14" mais 1.7kg. Cela devrait aller.
Est-ce que le bloc d'alimentation est le même que les autre Dell (gros et lourd donc) ou pas ?
"La première sécurité est la liberté"
[^] # Re: Zareason UltraLap 430
Posté par Nicolas Boulay (site web personnel) . En réponse au message Choix d'un ultrabook. Évalué à 3.
"(1366x768) Glossy"
c'est pas glop du tout ça :/
"La première sécurité est la liberté"
# dell ?
Posté par Nicolas Boulay (site web personnel) . En réponse au message Choix d'un ultrabook. Évalué à 2.
Je cherche aussi un ultrabook supporté par linux.
Je suis tombé sur le Dell XPS13 dont une version est livré avec ubuntu.
Le souci que je vois est qu'il semble chauffer pas mal (jusqu'à 60°C à l'arrière), mais bon, c'est cpu à fond.
Il est difficile de savoir si l'écran est matte ou pas. Cela dépend des sources. Un ultrabook voyage, il a de grande chance d'être utilisé en extérieur, ce qui est quasi impossible avec un écran brillant.
Je cherche toujours un ultrabook supporté sous Linux :
* qui supporte correctement le suspend-to-disk
* avec gpu intel
* 13.3"
* dalle matte
* full HD mini (1000 pixels vertical minimum, en 16/10, c'est le mieux, mais cela n'existe plus)
* < 2kg (et une petite alim !)
* core i3 minimum
* > 5h d'autonomie
* ssd 256Go
* 6/8 Go de Ram
* garantie avec prise en charge du matériel (type Dell), les SAV de 6 semaines, cela me gonfle.
+ prise HDMI et slot SD, si possible, cela dépanne toujours, en plus de l'usb 3.0
J'ai pas encore trouvé (le XPS13 n'a pas de port HDMI et la dalle est à priori brillante).
"La première sécurité est la liberté"
[^] # Re: mias pourquoi diable....
Posté par Nicolas Boulay (site web personnel) . En réponse au journal L'éducation nationale publie des polices de caractères cursive libres... de diffusion. Évalué à 5.
"Je pense que le choix de la licence a ete murement reflechi "
Je pense justement que : "pas du tout".
"La première sécurité est la liberté"
[^] # Re: Mais pourquoi diable autoriser les modifications ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal L'éducation nationale publie des polices de caractères cursive libres... de diffusion. Évalué à 3.
"le ND ne signifie pas que les modifications ne sont pas autorisées, mais que toute modification doit être soumise à l'auteur,"
Je crois que le prochain qui me sort cet argument, je lui pose un contrat sur sa tête. Cet argument révèle à quel point son auteur n'a rien mais alors, absolument rien, compris au libre et à ses avantages.
"Est-ce réellement choquant ?"
Si le but est d'éviter la confusion, l'auteur peut faire comme Mozilla ou Mageia : déposer une marque !
"La première sécurité est la liberté"
[^] # Re: Ce qu'on demande à un développeur aujourd'hui...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 2.
"Tu peux rarement avoir une couverture superieur a 80%, car juste la gestion des erreurs qui n'arrivent jamais et sont difficile a injecter durant tes tests"
L'avantage de s'obliger à 100% de couverture, c'est que te repenses ton architecture, pour éviter justement tout ces cas, qui n'existent pas. Coder en imaginant le test, peut faire gagner beaucoup de temps.
Concernant les piles logiciels, si chaque bout est correctement testé, l'assemblage est (censé) avoir peu de bugs.
"La première sécurité est la liberté"
[^] # Re: Les tests unitaires, c'est bon, mangez-en :-)
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 6.
En même temps, les tests unitaires c'est pas super utile, si tu as des vrai tests couvrant de très haut niveau. Il est rare d'avoir un bug de bas niveau non trouvé par un test haut niveau, et il est impossible de trouver un bug de haut niveau avec un test unitaire (problème d'intégration, trou de spec, etc…).
J'ai jamais vu de test LLR qui trouve des bug non trouvé par les tests HLR, en général, il s'agit de mode non utilisé.
"La première sécurité est la liberté"
[^] # Re: quelques points
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche De tout, de rien, des bookmarks, du bla bla #29. Évalué à 2.
on parle de nombre dans un range entre 0.001 et 1 milliard. Les exposants seront très similaires.
"La première sécurité est la liberté"
[^] # Re: quelques points
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche De tout, de rien, des bookmarks, du bla bla #29. Évalué à 2.
Pas une compta, sauf si tu fais celle d'un pays. Avec un double, tu gères des nombres de plusieurs milliards sans perte de précision. Il faut juste éviter de passer en 32 bits pour aller plus vite…
"La première sécurité est la liberté"
[^] # Re: quelques points
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche De tout, de rien, des bookmarks, du bla bla #29. Évalué à 2.
Si justement :/
"La première sécurité est la liberté"
[^] # Re: qu'est-ce qu'il dit ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 3.
Intégration continue ?
Test automatique au moins partiel ?
Traçabilité avec les exigences ?
Test qui couvre toutes les exigences
bugtracker ?
Revue de code ?
Revue du code des testes ?
"La première sécurité est la liberté"
[^] # Re: quelques points
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche De tout, de rien, des bookmarks, du bla bla #29. Évalué à 3.
De toute façon, il faut définir soi-même le delta. J'aimerais tellement voir un langage de programmation qui gère des réel avec range et prévision. Tout un tas de transformation resterait valide (de mémoire, c'est encore un anneau ou un corps). Une fois simplifié, tout est transformé en code flottant.
"La première sécurité est la liberté"