octane a écrit 483 commentaires

  • # Xkcd

    Posté par . En réponse au journal Quelques bonnes pratiques Python pour 2019. Évalué à 10 (+12/-0).

    Le xkcd de référence : xkcd python environnement

    Et mes machines ressemblent un peu à ça. Pourquoi personne ne centralise les gestionnaires de paquets ?

    Systemd --pack upgrade
    doit devenir la solution.

    (Ami lecteur un troll s'est glissé dans ce message, saura tu le reconnaître ?)

  • # Pyra ?

    Posté par . En réponse au journal Ordinateur de poche. Évalué à 3.

    Je suis depuis quelque temps le site de la pyra, c'est une console de jeu un peu comme une nintendo DS, mais avec un vrai clavier, des ports d'extension (video, usb, etc..) et un vrai écran (tactile).
    Ca tourne sous linux, et c'est prévu pour être évolutif et se démonter.
    Le problème c'est que ça met super longtemps à sortir :( Le mec est seul pour produire les prototypes donc ça prend du temps. https://pyra-handheld.com/boards/pages/pyra/

  • [^] # Re: faille tcpdump?

    Posté par . En réponse à la dépêche Linux capabilities : se passer des commandes su et sudo. Évalué à 5.

    Je vais tenter de clarifier mon propos.
    L'article parle des capabilities. Et il référence tcpdump comme exemple, en indiquant que tcpdump pourrait avoir une faille.

    Je suppose que le raisonnement est le suivant: si un utilisateur du système a le droit de lancer tcpdump et que l'utilisateur lance tcpdump et que tcpdump a une faille alors l'utilisateur peut exploiter la faille pour passer root.

    Je dis juste que si un utilisateur a le droit de lancer tcpdump (via sudo, ou le suid), alors l'utilisateur peut passer root, indépendamment d'une faille dans tcpdump.

    Le raisonnement est le même avec vim ou less.

  • # faille tcpdump?

    Posté par . En réponse à la dépêche Linux capabilities : se passer des commandes su et sudo. Évalué à 8.

    "Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système."

    Même pas besoin de faille dans tcpdump pour accéder à tout le système. On imagine que tcpdump est suid, alors:
    $ tcpdump -n -i lo -G1 -w /dev/null -z ./runme.sh

    va exécuter le script runme.sh avec les droits root.

    Pourquoi? Car tcpdump peut stocker les paquets capturés dans des fichiers (le -w) et éventuellement zipper les fichiers capturé (gain de place) et propose d'utiliser un autre programme de compression que gzip (option -z). tcpdump ne valide absolument pas le programme qui gère la compression, donc là, à chaque rotation de fichier de capture (option -G1 => rotation à chaque paquet capturé), le programme runme.sh est appelé…

    Et root access pour tout le monde …

  • # Wiko

    Posté par . En réponse au journal LineageOS. Évalué à 5.

    On m'a donné un vieux wiko, la news m'a donné envie de tester la ROM, mais wiko n'est (presque) jamais supporté par des roms alternatives :(
    C'est dommage, la bête est encore bonne, c'est un petit quad core MT6589 1Go de RAM, ça pourrait encore supporter des roms pas trop bloatés, et le constructeur s'est désinteressé des mises à jours depuis android 4.0 je crois (ou 4.1)

  • [^] # Re: Chaussures du cordonnier

    Posté par . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 5.

    c'est surtout fait pour rendre la vie difficile à un attaquant.
    A priori le service est là pour authent des users. Donc si on choppe la liste:
    1/ on google les hashs, généralement on arrive à en casser un paquet car google a stocké des millions de hash avec leur clair
    2/ on bruteforce
    le calcul du hash prend un temps léger, la comparaison va vite. Si on a 100 hashs de users, alors on calcul 1 hash et on compare 100x.

    Maintenant avec un sel:
    -plus de cassage de hash avec google.
    -le calcul du hash doit être fait autant de fois que de user (lire le sel, prendre le pass évalué, calculer le hash, comparer avec le hash. Reprendre step 1 pour le user suivant)

    Et avec PBKDF2:
    tu fais pareil, mais avec un facteur de temps de 1 million.

  • # commentaire link

    Posté par . En réponse au journal WPA2 est bronsonisé. Évalué à 10.

    Bonjour,

    pourquoi ne pas donner le bon lien vers le bon site et le bon papier?
    https://www.krackattacks.com/ et https://github.com/vanhoefm/papers/blob/gh-pages/ccs2017.pdf

    Grosso modo, faut il tous courir les bras en l'air en disant que c'est la fin du monde? Bah apparemment non.
    Si tu utilises Android 6.0, tu as plus chaud aux fesses que les autres. Pour les autres justement, patchez doucement. Au pire, un gars peut injecter et déchiffrer des trames clients. Au mieux il peut juste déchiffrer quelques trames du client.

    De toute façon, tout le monde utilise un proto chiffré au dessus du wifi, non? [:trollface:]

  • # google?

    Posté par . En réponse au message qemu + boot & root disquette. Évalué à 4.

    https://www.google.fr/search?q=ejecter+disquette+qemu

    Quel journal intéressant, mais ne s'agit il pas plus d'une question qui aurait sa place dans un forum?

  • [^] # Re: Des menaces ?

    Posté par . En réponse au journal Ça y est, je suis manager :(. Évalué à 10.

    Le principe de la grenouille dans l'eau chaude. https://fr.wikipedia.org/wiki/Fable_de_la_grenouille

    Au début on m'a dit que j'allais prendre un peu le lead sur les devs, mais c'est tout.
    Ensuite le manager a démissionné, j'allais juste continuer le lead, ça change rien, hein?
    Puis on m'a dit que j'allais gérer le planning, mais qu'un autre manager prendrait la responsabilité d'équipe.
    Puis, bon, que l'autre manager, ça allait être compliqué à comprendre pour les gens, un gars qui a deux équipes et moi avec cette position intermédiaire, etc.. mais que je ne ferais que de la gestion technique.
    Et ensuite, bah, oui, je peux faire les plannings d'équipe et la réunion hebdomadaire puisque je connais bien tout le monde. Et les commerciaux commencent à s'adresser à moi directement.
    Puis je découvre un organigramme dans lequel je suis titré "chef d'équipe", etc, etc, etc…

  • [^] # Re: conformité aux CGU

    Posté par . En réponse à la dépêche Cheky. Évalué à 7.

    Je crois que c'est ça:

    _6.2 Il est interdit à tout Utilisateur et Annonceur de copier, modifier, créer une œuvre dérivée, inverser la conception ou l'assemblage ou de toute autre manière tenter de trouver le code source, vendre, attribuer, sous licencier ou transférer de quelque manière que ce soit tout droit afférent aux Eléments.

    Tout Utilisateur et Annonceur du Service LEBONCOIN s'engagent notamment à ne pas :

    • utiliser ou interroger le Service LEBONCOIN pour le compte ou au profit d'autrui ;
    • extraire, à des fins commerciales ou non, tout ou partie des informations ou des petites Annonces présentes sur le Service LEBONCOIN et sur le Site Internet et les Applications ;
    • reproduire sur tout autre support, à des fins commerciales ou non, tout ou partie des informations ou des petites Annonces présentes sur le Service LEBONCOIN et sur le Site Internet et les Applications permettant de reconstituer tout ou partie des fichiers d'origine ;
    • utiliser un robot, notamment d'exploration (spider), une application de recherche ou récupération de sites Internet ou tout autre moyen permettant de récupérer ou d'indexer tout ou partie du contenu du Site Internet et des Applications, excepté en cas d'autorisation expresse et préalable de LBC France; copier les informations sur des supports de toute nature permettant de reconstituer tout ou partie des fichiers d'origine.
    • Toute reproduction, représentation, publication, transmission, utilisation, modification ou extraction de tout ou partie des Eléments et ce de quelque manière que ce soit, faite sans l'autorisation préalable et écrite de LBC France est illicite. Ces actes illicites engagent la responsabilité de ses auteurs et sont susceptibles d'entraîner des poursuites judiciaires à leur encontre et notamment pour contrefaçon. _

    Si je comprends bien ton outil "extrait" des informations du site pour les aggréger.

    Il se trouve qu'il y a eu déjà quelques débats sur linuxfr lié aux conditions d'utilisation du bon coin, ça devait être là http://linuxfr.org/users/blink38/journaux/ma-vie-moi-qui-allait-publier-mon-code-en-gpl

    La conclusion qu'il faut retenir, c'est qu'il ne faut pas parler technique car leboncoin s'en fiche. Le boncoin est par contre très attaché au fait que tu viennes consulter ses annonces par ton navigateur web, et il est très attaché à compliquer fortement la vie des utilisateurs qui scrappent leur site pour reproduire les infos ailleurs (aggrégation, alertes, changement de css, etc..)

    Je ne suis pas forcément d'accord avec ce point de vue, mais c'est le statu quo actuel.

  • # Super interéssant

    Posté par . En réponse au journal An unexpected Linux : reverse engineering. Évalué à 8.

    Très interréssant et gg pour l'extraction

    Au cas où et parceque j'aime bien extraire aussi des firmwares je te conseillerai binwalk et photorec (quand c'est ni chiffré ni compressé).

    Ceci dit je comprends mal la raison qui pourrait pousser un flip à se mettre à jour (?). C'est pas connecté au net quand même ?

  • [^] # Re: Mouais

    Posté par . En réponse au journal MICROSOFT et malfaçon. Évalué à 3.

    Il existe énormément de devs de logiciels libres qui sont payés pour faire du libre (si si). Ensuite, tu écris un logiciel pour répondre à un besoin, pas dans le but de faire de la qualité.

    Ensuite, la qualité du logiciel libre… https://www.peereboom.us/assl/assl/html/openssl.html et c'est juste openssl, LA librairie de crypto qui sécurise la très grosse majorité des communications sur internet.

  • # Mouais

    Posté par . En réponse au journal MICROSOFT et malfaçon. Évalué à 8.

    J'utilise internet. Tu sais, ce super réseau des réseaux, libre ouvert, gratuit, et tout ça.
    Problème, il y a des failles. Eh bah oui. Dans TCP/IP. Certaines ne sont pas corrigées (cherche BGP hijack, TCP security, etc, etc…)

    Ah, et j'utilise un téléphone portable. Bon, dernièrement on a vu des failles dans SS7 qui ont permis à des pirates de voler du fric à des victimes. Je contacte qui?

    Tiens, bah là j'ai un linux aussi. Il a été vulnérable à dirty cow. Je dois le changer aussi?

    Et ma voiture. On me l'a fracturée alors que je l'avais achetée chez un constructeur. Le constructeur m'a dit de voir avec mon assurance.

    L'autre jour, je reçois un mail de google pour une appli. Bim! c'était du phishing (t'as du en entendre parler, ça date de 2-3 jours). Comment je me plains, maintenant?

    Quand j'ai lu le contrat de license GPL, j'ai vu une grosse partie sur ça:

    1. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

    Donc bon, grosso modo, si j'achète une voiture très belle très chère, bah ça pleut dans l'habitacle, et je peux éventuellement voir le constructeur qui me donne une réponse: "colle du mastic". Avec ma voiture GPL, je n'ai même personne pour m'aider même s'il pleut à verse, voire même si la voiture démarre pas…

    Troll à part, ça fait longtemps que j'entends qu'il faut utiliser linux parcequ'il est "plus sécurisé". C'est, à mon humble avis non seulement du pipeau, mais aussi une mauvaise raison. J'utilise linux parcequ'il fait le job que je lui demande. Je l'utilise parcequ'il est gratuit, et que je peux le tordre sans aucun problème pour qu'il rentre dans mon workflow. Et ça, c'est sans doute le plus important.

  • [^] # Re: Ça ne scalera pas

    Posté par . En réponse au journal Mastodon, le réseau social qui monte ?. Évalué à 5.

    Ensuite, cela pose le problème des identités évoqués dans un article dont j'ai perdu l'URL : c'est bien beau d'avoir sa propre instance ou s'abonner sur une instance particulière, mais le jour où l'instance ferme ou que l'on veuille "déménager" vers une autre instance, actuellement on perd tous ses followers/following et autres infos de compte. On repart de zéro, parce que le "login" est lié au nom de l'instance.

    Oui, c'est ni plus ni moins que les problèmes liés au mail:
    un compte @ un domaine

    si le domaine ferme, tu perds ton compte et ton identité. Par contre, tu gardes tes followings (ton carnet d'adresse). On peut effectivement rêver que tout le monde soit sur le même domaine (twitter.com), mais on a d'autres problèmes (centralisation, censure, etc..)

    Le monde est un éternel recommencement, mais là, on réinvente le mail avec une partie "publique" du concept. Ce que j'écris, je le poste à tout le monde (public), et les abonnées le reçoivent : C'est exactement comme une mailing list en fait, quel concept génial \o/

    Donc bon, la décentralisation n'est pas un problème :)

  • # Écrit depuis ma tablette

    Posté par . En réponse au journal Tablette 2017. Évalué à 3.

    J'ai une tablette. Les +: allumage immédiat, applis prévues pour le tactile, et c'est fait pour trainer sur Internet… En mode bière à la main pour trainer sur Linux et dans le canapé, ça va.
    Les - : totalement fermé. Impossibilité d'installer Adblock (?!). Pas de vrai terminal (mais bon, sans clavier…). Monde en vase clos. Impossible de savoir ce qui se passe sous le capot.

    Conclusion: un bel objet pour ceux qui ne veulent pas faire de l'informatique.

    À côté de ça, j'ai un portable avec écran tactile. C'est finalement très bien. On surfe avec le doigt, quand il faut taper au clavier il y a ce qu'il faut, et surtout il y a un vrai OS sur lequel tu as la main! Le défaut c'est l'environnement de bureau non prévu pour le tactile (xfce dans mon cas).

  • # elysee ???

    Posté par . En réponse au journal Déploiement et automatisation avec Ansible - partie 1. Évalué à 2.

    Au milieu du fichier de conf on voit:

    Dans /etc/ansible/, donc, éditons notre fichier hosts. Nous pouvons y déclarer nos serveurs individuellement ou par groupe, par exemple :
    serveur1.exemple.org
    serveur2.exemple.org
    preprod.elysee.org

    preprod.elysee.org? C'est un copier/coller un peu rapide d'un vrai fichier de conf? Ansible sert à pousser des confs sur le site de l'élysée?

  • [^] # Re: Ca veut dire quoi "être prêt pourle desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 2.

    Photoshop: non, personne n'en a besoin, mais tout le monde ne connait que ça.

    Pour les échanges collaboratifs, c'est très souvent le cas: association, liste scolaire, préparation des fêtes de Noël en famille etc etc…

    Et pour depatouiller le windows, il y a toujours quelqu'un: le voisin, le neveu, le magasin ou le pc à été acheté etc…

  • [^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 3.

    Mais non! Tu sais bien que c'est open source et que des millions de personnes relisent les sources, testent et vérifient la sécurité de leur système! Voyons, un peu de bon sens

  • [^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 1.

    Oui. C'est pour ça que c'est Android et iOS qui sont prêts pour le desktop.

  • [^] # Re: Ca veut dire quoi "être prêt pourle desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 4.

    Photoshop: oui. Tout le monde connait photoshop, c'est même passé dans le langage courant: 'oh cette image a été photoshoppee.'
    Après, c'est office. Tu installes linux+LibreOffice, le user est heureux, il envoie son premier odt, et il se fait rembarrer par tout son carnet d'adresse. On force la sauvegarde en .docx. bon deux jours après il reçoit un .docx, il l'ouvre, le modifie, le renvoie etc… Après trois modifs de ce genre, le document est devenu un monstre sans mise en page, qui n'a plus aucune chance d'être lu nulle part.
    Puis il y a le cousin qui fait un appel skype. Puis il envoie un site web super!! Pas de bol, il est en 3D webgl machin incompatible sous nux. Puis c'est la vidéo facebook plugin machin. Puis c'est l'invitation outlook qui défonce le layout thunderbird. Etc etc etc…
    Puis le problème, c'est que tu deviens le seul admin de cette machine. Et que le user, quand il est sous nux, il sait que personne, à part toi, ne sait depatouiller le moindre truc, donc ça l'ennuie. Et le user, il comprend vite que le nux n'est pas super compatible avec le reste du monde.
    Voilà pourquoi nux n'est pas prêt pour le desktop.

  • [^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 2.

    Sur live twitch?
    On, deal. File l'URL, ça m'intéresse. Vraiment.

  • [^] # Re: Ca veut dire quoi "être prêt pourle desktop" ?

    Posté par . En réponse au journal ON Y EST ENFIN !. Évalué à 6.

    J'ai fait lire ce message à un humanoïde de ce genre.
    Je suis au regret, mais je n'ai entendu qu'un gros soupir mêlé de mépris lors de la lecture de ta prose.
    Bisous.

  • [^] # Re: Capté

    Posté par . En réponse au journal Programmer ça craint. Évalué à 1.

    Merci! Juste merci pour ce texte tellement juste :)

    J'ai tellement vu de développeurs complètement ramassés avec le réseau, à ne pas comprendre pourquoi on ne passait pas par le routeur lorsqu'on est sur le même réseau, qui ne savaient pas ce qu'était un port TCP (bah, je clique sur 'deploy' et mon appli est déployé, je suis développeur réseau, alors taggle), et qui font connerie sur connerie (ne jamais, jamais, mais alors jamais laisser un développeur jouer avec bind() ou socket ou je ne sais quoi).

    Ton texte devrait être imprimé en gros, times new roman 256, et collé sur tous les murs des équipes de dev \o/

  • # pareil en IPv4

    Posté par . En réponse au journal Jouons un peu avec les adresses IPv6…. Évalué à 10.

    Ce n'est pas forcément connu, mais on peut jouer pareil en IPv4.

    Par exemple, si vous cliquez sur http://0xc0a80101 il y a de grandes chances que vous tombiez sur votre routeur d'accès.
    Explication: un navigateur sait se connecter sur une adress IP et non un nom de domaine. Les adresses IP peuvent s'écrire 192.168.1.1 ou en hexadécimal c0.a8.01.01, ce qui donne 0xc0a80101

    Si j'étais riche comme facebook, j'aurai acheté 0xfaceb00c comme @ IP :)

    Ca pourrait être la classe d'avoir comme nom de site web 0xdeadf00d ou 0xcafebabe ; on pourrait dire: "mon site marche sans DNS" \o/

  • [^] # Re: Quelques trucs pour la timidité

    Posté par . En réponse au journal J-7 avant de faire mes premières conférences. Évalué à 6.

    -Annonce directement à l'audience que tu n'es pas à l'aise avec la prise de parole en public, ça modérera les attentes.

    Je suis pas forcément d'accord avec ça. J'ai toujours été plus mal à l'aise avec les orateurs qui commencent par s'excuser "j'ai jamais fait ça" ou "je suis en stress, soyez cool".

    Déjà, les gens viennent te voir, ils n'ont pas de raison d'être négatif (au pire, ils s'en vont, hein), ensuite ça n'amène pas grand chose au propos…

    Pour la répétition, oui. Pour les antisèches, oui aussi. L'idée ça peut être aussi de préparer 3 à 4 fois plus de matières que ce que tu peux dire. Genre 2h de conférences pour 30mn de prise de parole. Ca permet d'oublier des trucs sans risques, ça permet de rebondir facilement et de répondre aux questions sans stress. Il faut par contre ne pas se forcer à tout dire (forcément), et à parler len_te_ment. Beaucoup de personnes ne connaissent que peu ou mal ton sujet et il faut leur laisser le temps de souffler.