nud a écrit 918 commentaires

Il avait sans doute préparé son titre à l'avance.

Le lien ChatControl devrait s'arrêter par Glandos<

Il me semble qu'à l'origine ça veut dire "France aux Français". Dans ce cas-ci c'est généralisé à l'extrème droite identitaire en général, un peu comme "facho".

Edit: Le wiktionnaire est d'accord avec moi: https://fr.wiktionary.org/wiki/faf

Citation de la ministre allemande de la Justice traduite automatiquement:

La surveillance (càd: ChatControl) injustifiée des conversations doit être taboue dans un État de droit. Les communications privées ne doivent jamais être sujettes à suspicion générale.

L'État ne doit pas non plus contraindre les messageries à analyser massivement les messages à la recherche de contenus suspects avant leur envoi. L'Allemagne n'acceptera pas de telles propositions au niveau européen.

Nous devons également progresser dans la lutte contre la pédopornographie au niveau européen. Je m'y suis engagée. Mais même les crimes les plus graves ne justifient pas l'abandon des droits civiques fondamentaux. J'insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et cela restera ainsi.

J'ai des (très) vieux Seeeduinos (par Seeed studio) qui sont fonctionnellement identiques au UNO R3 sauf qu'ils ont un switch pour choisir la tension (5V ou 3.3V) et c'est pratique.

Mais sinon, les sites de e-commerce regorgent de clones des produits Arduino, de qualité variable (de la ressemblance superficielle à la contrefaçon flagrante). J'en ai aussi quelques uns mais c'est au petit bonheur la chance.

En produits similaires, il y a aussi les ESP8266, ESP32, Raspberry Pico, Teensy, etc. De nos jours on peut utiliser un ESP32 (et apparemment un RPI Pico mais je n'ai jamais testé) aussi facilement qu'un Arduino, via platformio ou arduino-cli ou l'un des IDEs Arduino. Par contre ils ne sont a priori pas compatibles avec les shields Arduino car ils ont un format différent (et certains fonctionnent en 3.3V plutôt que 5V).

Le géant des puces Qualcomm rachète Arduino, le champion du bricolage high-tech chez Les Numériques

Ryanair a l'habitude de faire des déclarations fracassantes qui ne sont pas forcément suivies d'effets. Qui se souvient des places debout dans les avions et des prix en fonction de la masse corporelle du passager?

Le langage Slint créé pour la librairie du même nom, écrite en Rust aussi par un autre linuxfrien.

S'il habite Antibes c'est plutôt Mme devnewton< qui est antibaise. Et, bien qu’elle soit française, et malgré ses yeux de braise, ça ne le mettrait pas à l’aise de la savoir antibaise, lui qui serait plutôt pour!

C'est plus impressionnant que ça:

if you, a random internet user, were to want to buy 5 of them, it would cost you less than 20 USD cents each (not including shipping)

"20 USD cents each" doit être compris comme "0.20 USD pièce" (en fait, 0.18 d'après le screenshot, hors expédition), soit moins de 1$ pour 5.

Je pensais voir un film de Hazanavicius ou de Mozinor.

NGINX va supporter directement ACME (donc, les certificats Let's Encrypt) via un nouveau module ngx_http_acme (implémenté en Rust). Utiliser Certbot ne sera plus nécessaire.

Traefik, Caddy et Apache avaient déjà cette fonctionnalité.

Ou d'installer n'importe quelle app qui n'est pas concernée. C'est bien connu les criminels utilisent les apps de monsieur tout le monde, comme le prouve par exemple l'affaire Sky ECC…

En vrai la "plateforme web" regroupe aujourd'hui deux réalités: les "sites web" (le web "historique", qui permet de consulter des informations) et les "applications web" (qui remplacent les applications qu'on aurait préalablement installées sur son ordinateur).

Ton application de vidéosurveillance rentre clairement dans la seconde catégorie. De même que tout ce qui touche aux "applicatifs métiers" (même si la limite est parfois floue) et généralement tout ce qui a besoin des nouvelles APIs du style WebRTC, WebSerial, etc.

Or les articles tels que celui-ci ciblent la première catégorie: les sites d'informations (journaux et autres), les sites de documentation, les home pages des marques, etc.

Après, en 2025 il serait possible de fournir de l'interactivité dans ce type de sites avec des WebComponents, etc. mais ces sites n'ont pas besoin d'utiliser plein de javascript, et les nouvelles possibilités offertes par CSS (transitions, etc.) pourraient permettre de contenter les décideurs et donc de s'en passer lors de la prochaine réécriture du site du New York Times/New Yorker/Monde/you name it.

Mais comme (entre autres) les suites de bureautique de Microsoft et Google sont de grands consommateurs de ce type d'APIs, je ne pense pas que l'intérêt pour les PWAs va mourir de sitôt.

On pourrait s'inspirer de "c'est de gauche/c'est de droite" et jouer à "c'est un site/c'est une application" ;-)

C'est pareil avec Google (gmail.org), sauf qu'en général ils acceptent le mail et puis le jettent, donc aucune info dans les logs ne permet de savoir que le mail a été rejeté.

C'est écrit en Go avec du Javascript pour le frontend. Pas besoin de NodeJS sur le serveur, tu peux littéralement télécharger le binaire sur le site et l'exécuter. Après, tu ajoutes une unit systemd pour que ça démarre tout seul. C'est ce que je fais, ça juste marche. Les assets (templates, javascript, images, etc) sont intégrés dans le binaire. Cette simplicité de déploiement, c'est quand même le grand avantage des trucs en Go par rapport aux applicatifs web en NodeJS, Ruby, Python.

Je n'ai jamais utilisé Wallabag donc je serais bien en peine de comparer les deux. À la base j'utilise Readeck parce que je connais l'auteur, j'aime bien, mais il y a plein d'autres projets qui font la même chose.

Parce que tu es plus ou moins obligé d'avoir un compte Facebook pour pouvoir participer à la vie sociale:

• les écoles, clubs sportifs etc. ne publient plus les informations que par ce canal, et donc refuser d'avoir un compte exclut de fait tes enfants en plus de toi-même;
• les photos lors des activités des enfants sont partagées via une page Facebook privée, donc encore une fois pas de compte pas de photos;
• les événements sociaux (fêtes d'anniversaires, etc) sont principalement organisés via Facebook, donc encore une fois ne pas avoir de compte implique ne pas recevoir l'invitation (sauf si le parent y pense spécifiquement), ce qui exclut encore une fois les enfants
• à l'université certains travaux de groupes sont gérés via des groupes Facebook "parce que tout le monde y est".

Il y a plein d'exemples du même type sans même aborder les problèmes de pression sociale, de conditions d'utilisation qui changent tout le temps sans prévenir, d'opt-out, ou d'autres conséquences qui ne touchent que la personne et pas son entourage. Donc le consentement n'est pas libre, tu es plus ou mois obligé d'accepter.

Et puis certains ne peuvent pas se permettre de payer, d'autres ne voient pas l'utilité, avec le fameux "je n'ai rien à cacher".

En plus ne pas avoir de compte ne veut pas dire que Facebook ne collecte pas d'informations à ton sujet, car ils vont toujours siphonner la liste de contacts de tes amis, leurs photos sur lesquelles tu figures, leurs messages qui te mentionnent, etc. donc c'est un faux dilemme. Cette histoire de compte payant c'est une façade, un leurre pour occuper la commission pendant qu'ils continuent leur business as usual. Donc tu ne peux même pas "ne pas consentir" en n'ayant pas de compte, en pratique.

Il faut être un cas spécial de têtu pour ne pas avoir de compte mais au final ça ne change pas grand chose, tout se passe derrière ton dos. La seule bonne solution c'est qu'ils respectent les lois européennes sur le sujet.

• Journal Il y a du chemin avant que nos dirigeants intègrent la notion de souveraineté à l'heure du numérique

De ce que je comprends les diverses IA n'ont pas les mêmes pratiques que les crawlers d'antan et ont tendance à matraquer les sites et provoquer un déni de service.

Par exemple Gnome a déployé Anubis sur son Gitlab suite à plusieurs outages liés à du scraping massif, et j'ai vu un certain nombre de personnes se plaindre de scrapers qui téléchargent certaines pages de façon très répétées (plusieurs gigaoctets) en ignorant totalement le robots.txt (ça coûte cher sur les plateformes qui facturent le trafic); il y a des listes de user-agents et de ranges IP qui tournent pour les bloquer au niveau du serveur web, etc.

Bref c'est encore une externalité négative de l'«IA». La conséquence pratique c'est aussi que tous ces sites deviennent vraisemblablement inutilisables hors d'un navigateur (curl, scripting, etc)

Voir aussi: https://arstechnica.com/ai/2025/03/devs-say-ai-crawlers-dominate-traffic-forcing-blocks-on-entire-countries/

Comme solutions alternatives j'ai aussi vu un labyrinthe pour IA, un zip bomb, …

Et readeck qui est super-facile à installer et fonctionne bien.

Alors premièrement, l'annonce ne concerne que les navigateurs web. Aujourd'hui un navigateur n'accepte déjà plus un certificat avec une durée de validité supérieure à 398 jours (cf le titre).

Ensuite il existe d'autres façons de vérifier si un certificat est toujours valide :

• Il y a OCSP, qui résout le problème mais avec certaines limitations pour la plupart résolues par le "stapling" (agrafage OCSP) mais qui n'est plus supporté par Let's Encrypt depuis janvier 2025) car mal supporté par les navigateurs d'après eux.

• Il y a aussi les Certificate Revocation Lists (CRLs), qui sont des fichiers qui contiennent les identifiants de tous les certificats révoqués dont la durée de validité n'est pas dépassée. Let's encrypt est passé à cette technique qui ironiquement a été dépréciée dans Firefox 28 au profit de OCSP. L'inconvénient c'est que plus la durée de validité est longue et plus ces listes sont lourdes.

D'après la proposition:

There are other things that could have been done, such as full support for OCSP Must Staple.

Mon opinion personnelle est qu'ils auraient mieux fait de faire ça et (en tout cas pour Let's encrypt) d'imposer Must-Staple plutôt que de supprimer le support d'OCSP totalement.

Oui du coup c'est un peu tard pour implémenter ça :-) J'imagine qu'on peut fermer l'entrée de suivi.

Alors qu'il suffit de le compiler en WebAssembly

Euh, non. Si tu compares directement le hash envoyé par le client au hash stocké par le serveur, c'est le hash qui est le mot de passe effectif et tu es de retour au point de départ.

Ce qui se faisait, c'était une authentification par digest, dans laquelle (en très simplifié) le serveur envoie une nonce avec laquelle le client est censé chiffrer le mot de passe avant de l'envoyer au serveur. Le serveur fait de même et compare le résultat avec celui envoyé par le client. Si c'est le même c'est que le client connaît le mot de passe. C'est un peu tombé en désuétude, cependant, probablement à cause des formulaires de login, mais de toute façon ça a l'inconvénient d'empêcher le stockage sécurisé des mots de passe au niveau du serveur.

Cloudflare c'est un reverse-proxy géant. Quand on parle de hasher les mots de passe, on parle du stockage de ceux-ci dans la base de données. Sauf exception le mot de passe n'est pas chiffré entre le navigateur et le serveur, que ce soit avec HTTP Basic ou un formulaire, et donc il transite "en clair" dans la session TLS entre le client et le serveur.

Donc dans la mesure où la session TLS est terminée au niveau de Cloudflare, les informations d'identification (username et mots de passe) transitent techniquement en clair à un moment ou à un autre dans l'infrastructure de Cloudflare, et il est techniquement possible de les intercepter pour, je sais pas, faire des statistiques sur la réutilisation de mots de passes sur plusieurs sites. Ce n'est pas une surprise, c'est nécessaire pour que Cloudflare puisse fournir le service pour lequel leurs clients les paient !

Après, du coup, il est effectivement théoriquement possible pour eux d'intercepter les mots de passe et d'en faire ce qu'ils veulent, y compris les transmettre à la NSA ¯\_(ツ)_/¯