J'ai ainsi jeté un livre vieux de 10-15 ans se proposant de m'enseigner la programmation avec Python 2.
C'est dommage. J'ai toujours trouvé intéressant de relire, à l'aune du temps qui passe, des vieux bouquins. C'est intéressant.
Par exemple, une vieille BD:
Si on observe le médaillon, on voit les deux enfants et leur singe (Jo, Zette et Jocko) poser fièrement devant une usine fumante. Aujourd'hui, je ne vois que de la pollution, il y a quelques années, c'était vu comme positif au point de mettre la jeunesse devant…
il va me coûter plus cher en temps de lecture (une dizaine d'heures) qu'en argent (je travaille à environ 250€ de l'heure)
Le plaisir de lire n'a pas de prix. Et c'est étonnant de raisonner uniquement en argent. Combien tu gagnes à poster sur lnuxfr? Ca me coûte plus cher de retraiter mes vieux produits chimiques que de les jeter dans l'évier (je suis à 20€ de l'heure), pourtant je les emmène à la déchetterie.
Si le livre est mauvais, il va imposer son coût à chaque futur lecteur
Il n'y a pas d'absolu dans le mauvais goût…
Dans la deuxième catégorie, je mettrais certains livres techniques devenus dangereux : j'ai ainsi détruit des livres de médecine dépassés précisément pour éviter que leur contenu soit pris pour argent comptant par un lecteur peu soucieux de la date.
Je suis moins convaincu. Personnellement, je n'aime pas cette position de dire: je sais mieux que les auitres ce qui est bon ou dangereux pour eux.
De temps en temps, je lâche les écrans pour aller dans ce qu'on appelle une bibliothèque […]je remercie mon libraire pour le conseil.
Libraire ou bibliothécaire ?
arf, j'ai pas tenu ma métaphore bien longtemps :-D Pour Chien51 c'était la librairie.
Trêve de (gentille) moquerie, je me questionne : qu’est-ce qui est plus « écologique » ?
Un livre qui a toute les chances de finir à la poubelle
Ah non. Les livres, je les jette pas. Vraiment. Éventuellement j'en revends certain, mais à la poubelle, clairement pas. J'espère qu'ils vont vivre bien plus vieux qu'une liseuse. J'ai déjà jeté mes premiers téléphones, une tablette, des PCs. J'ai des livres antérieurs à ces achats. Du coup, pour le coût écologique je sais pas trop.
On pourrait rêver à ce que serait un monde où les liseuses considérées comme « des beaux livres » à bichonner et qui se transmettraient de générations en générations.
C'est quand même moche l'électronique. Et puis donner une liseuse en héritage? J'imagine la gueule du petit fils "CMOS BIOS error - No battery" ou "Copyright violation book removed" ou le néant total…
je n’ignore pas ni ne minimise la pollution liée à la production d’une liseuse, ça va de soi.
La question se pose en vrai. Pour certains bouquins, je suis très heureux que des bibliothèques existent. J'ai essayé les liseuses, mais j'ai pas accroché.
Les réactions qu'on voit dans le livre c'est une fois la vente actée. Sans décrire comment on en arrive là, pas seulement sur le plan économique mais aussi sur le plan politique et celui du droit, il m'est impossible d'y croire suffisamment pour me laisser prendre par l'histoire.
ok, ma suspension d'incrédulité est bien passée pour l'achat du pays.
A l'opposé, j'ai de plus en plus de mal avec des bouquins SF pseudo-scientifiques genre "trou de ver on revient dans le temps olol". Les goûts, les couleurs.
il m'est impossible d'y croire suffisamment pour me laisser prendre par l'histoire.
Là l'auteur laisse entendre que la procédure de vente est passée sans difficulté ni réelles réactions. Je sais bien que nous vivons dans un monde pourri, mais prétendre qu'il y aurait si peu de réactions si des dirigeants politiques se permettaient d'envisager ce genre de chose, c'est un truc qu'il faudrait un peu développer et contextualiser pour le rendre crédible.
Uh? Les manifs prennent une part importante du bouquin quand même. L'autoroute VIII qui s'effondre, les réactions etc.. La police qui tire dans le tas, l'espoir qui s'érode, etc.. C'est juste que le roman ne se passe pas "pendant", il se passe "après", mais il y a pleins de références
Après quand tu vois comment la Grèce a failli être vendue sans trop de problèmes, ça parait plutôt cohérent. Reprends l'histoire récente, comment tu réagirais si ton gouvernement te disais: ah bah désolé, "ton salaire c'est -60%, allez salut". En grèce, c'est passé. Et en France on t'as bien dit: "allez gros, va travailler deux ans de plus pour rien et FTG steuplait". Et c'est passé.
Par ailleurs j'ai trouvé le style fort pénible
Oui, il a le défaut de mélanger les époques sans jamais donner une aide au lecteur. Tu changes de chapitre, il faut lire 2 pages avant de te dire "ah, mais ça se passe avant …"
J'ai trouvé les personnages sont attachants par contre
oui mais là tu me dis ce qu'est un score CVSS (merci je connais un peu).
Par contre tu en réponds à "configuration spécifique". Genre, tu as ton routeur cisco truc, CVSS9.9. Ca te dit: ça vient du réseau pré-auth. Donc grave.
Mais la vuln elle est où? le VPN? config par défaut? le routage dynamique? l'interface d'admin? snmp. un service quelconque? Et ça, bah CVSS il y répond pas.
Je crois que l'auteur du blog ne refuse aucun changement. Il se plaint juste de l'opacité qui augmente. La complexité augmente aussi. Dans le temps j'avais un écran une souris un clavier une carte ethernet et un disque dur, ajd j'ai 2 écrans (hot pluggable), une carte eth, wifi, du BT, des clés USB, une webcam, etc etc..
Je me souviens dans le temps, effectivement tu compilais ton noyau, tu le mettais sur une disquette, tu changeais la racine avec la commande rdev kernel /dev/hda3 et tu rebootais et hop. Aujourd'hui, tout devient plus compliqué et il est dur de tout savoir. Il y a des trucs biens (régler à la main les conflits IRQ/IO des cartes ISA, ça va un moment, mais quand on est passé au PCI personne s'est plaint). Dans le temps on avait 3 scripts shells et la machine bootait. Puis on a eu 350 scripts shells et c'était le bordel, puis on a eu systemd.
Maintenant, oui, il y a 10000 couches d'abstraction et quelquefois on tombe sur des travers à la windows: dans le doute reboot, et si ça rate, reformat. (petite note sur mon pb de clavier sur un macbook -> je n'ai trouvé personne capable de m'expliquer comment est fait le choix du clavier. Là, soit j'utilise le contournement que j'ai, soit je réinstalle. Oui, ça ressemble à windows, désolé.)
Faut il tout maîtriser? Je sais pas, mais on se dirige peut-être vers plus d'opacité, c'est peut-être l'évolution. Comme il dit, maintenant tu veux juste un terminal avec un linux derrière (quelque part, en VM? dans le cloud? en docker? en WSL?)
C'est une belle théorie… le problème est qu'en pratique le monde ne marche pas comme ça.
en fait les raisons pour patcher alors c'est quoi?
Si tu ne fais pas d'évol fonctionnelle, tu peux rester sans toucher à rien. Donc les seules raisons de patch, c'est soit une évolution (du produit, ou d'une brique), soit une vuln.
Après, j'ai croisé des boites qui patchent pas. C'était un choix (idiot, mais bon).
Mais tout cela existe déjà et CVSS va même plus loin que cela.
L'utilisation sur configuration spécifique, je vois pas. Après, je suis avocat du diable, je sais pas comment tu peux mettre ça dans un cvss. Pour connaître la config spécifique, faut creuser dans l'advisory, un score ne peut pas indiquer ça.
En fait mon application controle un équipement. Pour l'utilisateur standard, il a accès à des réglages pré-définis à partir d'une liste déroulante qui peuvent être envoyés au matériel.
Grosso modo, ton matériel est piloté par un PC. Et ce PC est tout puissant sur le matériel.
Ton espoir, c'est de forcer les utilisateurs de ce PC à passer par une appli qui va les brider dans les réglages qu'ils peuvent envoyer.
Ca me parait mort dès la conception en fait. Qui force l'utilisateur à utiliser ton programme en fait? Tu auras beau le blinder dans tous les sens, je m'en vais développer un truc à l'arrache 'badaboum.py' qui va envoyer des réglages pourris au matériel. Le matériel 'truste' le PC, il va prendre les réglages, et crac.
Je comprends peut-être mal, mais j'ai l'impression que tu as une appli qui parle à un matériel. Et tu ne veux pas que les users lancent des actions potentiellement dangereuses sur ce matériel.
Du coup, implémentation d'un contrôle d'accès (password) dans le logiciel.
Donc quelqu'un peut utiliser un autre programme que le tien et tout péter dans le matériel puisqu'apparemment il n'y a aucun contrôle à ce niveau?
Ensuite si la gestion est faite dans le logiciel le user peut au choix:
- lire le pass dans ton appli
- modifier le pass (haché/en clair peu importe) dans l'appli ou un fichier à côté
- dégager la condition dans l'appli (supprimer carrément la demande de password)
La vraie solution c'est d'avoir un contrôle d'accès sur l'appli.
Sinon, gérer des droits UNIX, le programme QT et le fichier de pass hachés ont des droits en lecture seulement pour tout le monde. Certes les uers peuvent lire le hash et tenter de le casser, mais avec un bon algo (genre bcrypt + bon mot de passe) ça devrait le faire. Ca empêchera pas quelqu'un de copier le fichier QT et modifier l'emplacement de fichier de pass hachés, mais bon…
surtout que les antivirus c'est toujours une source de lol:
$ cat aha.c
#include <stdio.h>
#include <string.h>
void main() {
printf("Your computer is infected!! Now give me the ransom HAHAHAHA\n");
printf("Send tout plein de bitcoins! Tout plein tout plein!!\n");
}
$ make aha
cc aha.c -o aha
$ sha256sum aha
bcf0f91d54d86149b3e7975ec350a27b356be3f4f53e8123225fc9c2d21b2fe5 aha
$
Et sur virustotal, ce splendide fichier super dangereux oulala faut faire gaffe est détecté comme un virus, si si:
Et encore, c'est parcequ'il s'agit d'un fichier ELF linux, le même compilé sous windows aurait un meilleur score. Bref. Je dis pas que les éditeurs d'AV flaggent tout et n'importe quoi comme un virus, je dis qu'ils préfèrent flagger des trucs bénins comme un virus plutôt que de se faire dépasser par un concurrent.
On peut très bien imaginer l'envoi du paquet magique en clair? Le problème, c'est que ça veut surtout dire que les machines sont pas vraiment éteintes puisque la carte doit traiter des infos
Les éditeurs d'antivirus ont un mauvais penchant. Ils veulent tous que leur antivirus détectent tous les virus, et encore mieux que les autres. Donc ils cherchent tous à faire mieux que les autres, et si toto déclare que uclibc est un virus, alors titi va vite se dépecher de dire lui aussi que c'est un méchant virus pour afficher un plus grand nombre de détections que le concurrent.
Long story short: uclibc n'a pas de virus, et les liens virustotal détectent tout et n'importe quoi.
Ah bah oui, ils enregistrent donc bien tout.
Ils ont une photo de la plaque + la plaque anonymisée (comment? non précisé)
Après, je tombe sur un cas bizarre:
a) Détermination du prix du péage en fonction de la classe du véhicule :
Liste de données pour confirmer la catégorie d’un véhicule : Vidéo : 28 jours maximum, les autres données : 13 mois à compter du dernier passage du véhicule.
Ok, pour le prix on peut conserver 28j ou 13 mois.
b) Détermination du trajet pour application de la bonne tarification du péage :
En cas de cohérence entre les données d’entrée de réseau présentées par le client et les données systèmes, les données traitées sont supprimées quelques minutes après le passage du véhicule en sortie de réseau.
pour le trajet, on supprime quelques minutes après (ça me semble très bien).
Alors ma plaque est conservée quelques minutes ou 13 mois? (ok, je chipote)
N'importe qui peux regarder un trafic routier, et noter sur un bloc-note les plaques d'immatriculations qu'il voit passer. J'ai un tic qui, est que quand, je suis en voiture, je lis beaucoup de plaques (sans les noter ;-) ).
Alors oui, mais en fait non. Le problème c'est pas la lecture de la plaque, le problème c'est l'automatisation en masse.
On peut imaginer que quelqu'un écoute ma conversation (privée) que j'ai au téléphone avec quelqu'un (dans le bus par exemple). C'est contrariant. Mais ce n'est pas parce qu’un gars peut écouter une conversation privée qu'on peut lancer une écoute massive de toutes les conversations téléphoniques de tout le monde. Y'a une différence d'échelle.
je pense que ta réponse est mi-taquine, mi-agacée. En vrai je sais chercher sur google (si si). Par contre, j'ai 0 expérience dans le pico, et dans l'automatisme, moi je suis dev et je fais du soft.
donc bon, je me disais qu'il y avait peut-être quelqu'un qui me guiderait vers des ressources sympas, genre "voilà comment j'ai fait un robot à roulette qui clignote dans le noir" ou "voilà comment avec deux fils de cuivre et un pico j'ai construit un décapsuleur à cannette de bière". Là, je trouve des docs sur micropython, et des liens vers le site de raspberry.
Je pense qu'il y a plein de ressources, mais quelles sont les bonnes? C'est pour des enfants, donc bon, faut que ça soit ludique, tout ça j'y connais rien.
voilà voilà voilà, si tu as un bon lien je suis preneur
et j'en suis très content. Il y a un ventilateur, mais extrêmement silencieux, tout est reconnu sous linux. Les deux défauts, c'est la connectique displayport (j'ai du acheter un cable, et j'aurais préféré HDMI) et l'absence de carte wifi (mais avec un dongle usb wifi à 1O€ ça le fait).
A part ça le SSD est véloce, ça fait tourner tout ce que je veux rapidement, 16Go de RAM je crois pas les avoir déjà remplis :D
Du coup, je me renseignais sur les versions laptop car je trouvais ça de qualité, mais ton commentaire me refroidit pas mal :-/
"Surtout, l’article 3 du projet prévoit l’activation à distance de tout appareil électronique dont les téléphones portables en vue d’une captation de son et d’image."
Il y a un lien vers le projet de loi, https://www.senat.fr/leg/pjl22-569.html
Alors je ne sais pas lire le jargon juridique et tout ça, mais nulle part je n'ai trouvé d'infos liés à cette captation de son et d'image.
On trouve un article:
" l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ou possesseur aux seules fins de procéder à sa localisation en temps réel."
Du coup:
1/ le gouvernement veut pirater à distance les téléphones, et c'est mal
2/ le gouvernement le fait uniquement pour géolocaliser (en regardant le GPS?)
Mais surtout où est faite cette mention de captation de son et d'image? Je ne la trouve pas?
que l'utilisateur ait accès à ses mots de passe en clair, ok (après tout, son disque dur doit être chiffré ;), qu'un autre ait accès à ses mots de passe
là on parle du hotspot (la box quoi). Le hotspot il stock pareil les mots de passe, en clair. Et la box elle est sous le contrôle de l'opérateur.
Donc l'opérateur (le FAI, ou le technicien du FAI qui prend la main sur ta box quoi) a accès au mot de passe, y'a rien d'étonnant en vrai. De toute façon, la box est gérée par l'opérateur, il a de quoi pousser du code dessus (genre des mises à jour) donc il a un niveau de privilèges super élevé.
Du coup, soit tu lui fais confiance, soit tu considères la box comme hostile. Et là, tu ajoutes un firewall derrière et tu te connectes uniquement par le firewall (et encore ça résoudra pas forcément tous tes problèmes…)
Les mots de passe wifi sont stockés en clair…
sudo grep "psk=" /etc/NetworkManager/system-connections/* si vous êtes pas convaincus.
Et c'est pareil pour un hotspot, le mdp est en clair. Du coup si l'opérateur a un shell root sur la box (et je pense qu'il a un shell root), bin c'est pas très dur d'avoir le mdp wifi…
alors c'est pour utiliser le driver 3D de la carte nvidia du macbook. Linux ne le supporte pas, et j'ai besoin de lancer un soft java (gros consommateur 3D). Du coup, ni wine, ni la virtualisation m'aide pas du tout.
Après si quelqu'un a le bon driver pour cette carte pour un linux moderne, je suis chaud.
[^] # Re: Libraire ou bien… ?
Posté par octane . En réponse au journal Un peu de science fiction. Évalué à 6.
C'est dommage. J'ai toujours trouvé intéressant de relire, à l'aune du temps qui passe, des vieux bouquins. C'est intéressant.
Par exemple, une vieille BD:
Si on observe le médaillon, on voit les deux enfants et leur singe (Jo, Zette et Jocko) poser fièrement devant une usine fumante. Aujourd'hui, je ne vois que de la pollution, il y a quelques années, c'était vu comme positif au point de mettre la jeunesse devant…
Le plaisir de lire n'a pas de prix. Et c'est étonnant de raisonner uniquement en argent. Combien tu gagnes à poster sur lnuxfr? Ca me coûte plus cher de retraiter mes vieux produits chimiques que de les jeter dans l'évier (je suis à 20€ de l'heure), pourtant je les emmène à la déchetterie.
Il n'y a pas d'absolu dans le mauvais goût…
Je suis moins convaincu. Personnellement, je n'aime pas cette position de dire: je sais mieux que les auitres ce qui est bon ou dangereux pour eux.
[^] # Re: Libraire ou bien… ?
Posté par octane . En réponse au journal Un peu de science fiction. Évalué à 5.
arf, j'ai pas tenu ma métaphore bien longtemps :-D Pour Chien51 c'était la librairie.
Ah non. Les livres, je les jette pas. Vraiment. Éventuellement j'en revends certain, mais à la poubelle, clairement pas. J'espère qu'ils vont vivre bien plus vieux qu'une liseuse. J'ai déjà jeté mes premiers téléphones, une tablette, des PCs. J'ai des livres antérieurs à ces achats. Du coup, pour le coût écologique je sais pas trop.
C'est quand même moche l'électronique. Et puis donner une liseuse en héritage? J'imagine la gueule du petit fils "CMOS BIOS error - No battery" ou "Copyright violation book removed" ou le néant total…
La question se pose en vrai. Pour certains bouquins, je suis très heureux que des bibliothèques existent. J'ai essayé les liseuses, mais j'ai pas accroché.
[^] # Re: J'ai détesté ce bouquin
Posté par octane . En réponse au journal Un peu de science fiction. Évalué à 8.
ok, ma suspension d'incrédulité est bien passée pour l'achat du pays.
A l'opposé, j'ai de plus en plus de mal avec des bouquins SF pseudo-scientifiques genre "trou de ver on revient dans le temps olol". Les goûts, les couleurs.
du coup, ok
[^] # Re: J'ai détesté ce bouquin
Posté par octane . En réponse au journal Un peu de science fiction. Évalué à 10.
Uh? Les manifs prennent une part importante du bouquin quand même. L'autoroute VIII qui s'effondre, les réactions etc.. La police qui tire dans le tas, l'espoir qui s'érode, etc.. C'est juste que le roman ne se passe pas "pendant", il se passe "après", mais il y a pleins de références
Après quand tu vois comment la Grèce a failli être vendue sans trop de problèmes, ça parait plutôt cohérent. Reprends l'histoire récente, comment tu réagirais si ton gouvernement te disais: ah bah désolé, "ton salaire c'est -60%, allez salut". En grèce, c'est passé. Et en France on t'as bien dit: "allez gros, va travailler deux ans de plus pour rien et FTG steuplait". Et c'est passé.
Oui, il a le défaut de mélanger les époques sans jamais donner une aide au lecteur. Tu changes de chapitre, il faut lire 2 pages avant de te dire "ah, mais ça se passe avant …"
J'ai trouvé les personnages sont attachants par contre
[^] # Re: Positif et negatif
Posté par octane . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 3.
oui mais là tu me dis ce qu'est un score CVSS (merci je connais un peu).
Par contre tu en réponds à "configuration spécifique". Genre, tu as ton routeur cisco truc, CVSS9.9. Ca te dit: ça vient du réseau pré-auth. Donc grave.
Mais la vuln elle est où? le VPN? config par défaut? le routage dynamique? l'interface d'admin? snmp. un service quelconque? Et ça, bah CVSS il y répond pas.
[^] # Re: Pourquoi inutile
Posté par octane . En réponse au lien Linux becoming a Windows / OSX clone. Évalué à 10.
Je crois que l'auteur du blog ne refuse aucun changement. Il se plaint juste de l'opacité qui augmente. La complexité augmente aussi. Dans le temps j'avais un écran une souris un clavier une carte ethernet et un disque dur, ajd j'ai 2 écrans (hot pluggable), une carte eth, wifi, du BT, des clés USB, une webcam, etc etc..
Je me souviens dans le temps, effectivement tu compilais ton noyau, tu le mettais sur une disquette, tu changeais la racine avec la commande rdev kernel /dev/hda3 et tu rebootais et hop. Aujourd'hui, tout devient plus compliqué et il est dur de tout savoir. Il y a des trucs biens (régler à la main les conflits IRQ/IO des cartes ISA, ça va un moment, mais quand on est passé au PCI personne s'est plaint). Dans le temps on avait 3 scripts shells et la machine bootait. Puis on a eu 350 scripts shells et c'était le bordel, puis on a eu systemd.
Maintenant, oui, il y a 10000 couches d'abstraction et quelquefois on tombe sur des travers à la windows: dans le doute reboot, et si ça rate, reformat. (petite note sur mon pb de clavier sur un macbook -> je n'ai trouvé personne capable de m'expliquer comment est fait le choix du clavier. Là, soit j'utilise le contournement que j'ai, soit je réinstalle. Oui, ça ressemble à windows, désolé.)
Faut il tout maîtriser? Je sais pas, mais on se dirige peut-être vers plus d'opacité, c'est peut-être l'évolution. Comme il dit, maintenant tu veux juste un terminal avec un linux derrière (quelque part, en VM? dans le cloud? en docker? en WSL?)
[^] # Re: Positif et negatif
Posté par octane . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 2. Dernière modification le 08 septembre 2023 à 09:27.
en fait les raisons pour patcher alors c'est quoi?
Si tu ne fais pas d'évol fonctionnelle, tu peux rester sans toucher à rien. Donc les seules raisons de patch, c'est soit une évolution (du produit, ou d'une brique), soit une vuln.
Après, j'ai croisé des boites qui patchent pas. C'était un choix (idiot, mais bon).
https://www.first.org/cvss/calculator/3.0
L'utilisation sur configuration spécifique, je vois pas. Après, je suis avocat du diable, je sais pas comment tu peux mettre ça dans un cvss. Pour connaître la config spécifique, faut creuser dans l'advisory, un score ne peut pas indiquer ça.
[^] # Re: cas d'usage
Posté par octane . En réponse au message Comment stocker un mot de passe admin d'une application. Évalué à 2. Dernière modification le 06 septembre 2023 à 14:31.
Grosso modo, ton matériel est piloté par un PC. Et ce PC est tout puissant sur le matériel.
Ton espoir, c'est de forcer les utilisateurs de ce PC à passer par une appli qui va les brider dans les réglages qu'ils peuvent envoyer.
Ca me parait mort dès la conception en fait. Qui force l'utilisateur à utiliser ton programme en fait? Tu auras beau le blinder dans tous les sens, je m'en vais développer un truc à l'arrache 'badaboum.py' qui va envoyer des réglages pourris au matériel. Le matériel 'truste' le PC, il va prendre les réglages, et crac.
# cas d'usage
Posté par octane . En réponse au message Comment stocker un mot de passe admin d'une application. Évalué à 4.
Quel est le mot de passe 'admin' dont tu parles?
Je comprends peut-être mal, mais j'ai l'impression que tu as une appli qui parle à un matériel. Et tu ne veux pas que les users lancent des actions potentiellement dangereuses sur ce matériel.
Du coup, implémentation d'un contrôle d'accès (password) dans le logiciel.
Donc quelqu'un peut utiliser un autre programme que le tien et tout péter dans le matériel puisqu'apparemment il n'y a aucun contrôle à ce niveau?
Ensuite si la gestion est faite dans le logiciel le user peut au choix:
- lire le pass dans ton appli
- modifier le pass (haché/en clair peu importe) dans l'appli ou un fichier à côté
- dégager la condition dans l'appli (supprimer carrément la demande de password)
La vraie solution c'est d'avoir un contrôle d'accès sur l'appli.
Sinon, gérer des droits UNIX, le programme QT et le fichier de pass hachés ont des droits en lecture seulement pour tout le monde. Certes les uers peuvent lire le hash et tenter de le casser, mais avec un bon algo (genre bcrypt + bon mot de passe) ça devrait le faire. Ca empêchera pas quelqu'un de copier le fichier QT et modifier l'emplacement de fichier de pass hachés, mais bon…
[^] # Re: je vais me répéter
Posté par octane . En réponse à la dépêche Entretien avec Alekmaul à propos de PVSnesLib. Évalué à 3.
Il y a l'émulateur UAE, avec un historique amrrant: le U de UAE signifie "Unusable" car l'émulation était beaucoup trop lente au début :-D
Après, il y a AmigaOS qui est toujours maintenu, donc il y a sans doute des développeurs qui peuvent en parler (ou pas, histoire de droits tout ça).
[^] # Re: Pas de faux positif
Posté par octane . En réponse au journal Virus dans uclibc. Évalué à 10.
surtout que les antivirus c'est toujours une source de lol:
Et sur virustotal, ce splendide fichier super dangereux oulala faut faire gaffe est détecté comme un virus, si si:
https://www.virustotal.com/gui/file/bcf0f91d54d86149b3e7975ec350a27b356be3f4f53e8123225fc9c2d21b2fe5?nocache=1
Et encore, c'est parcequ'il s'agit d'un fichier ELF linux, le même compilé sous windows aurait un meilleur score. Bref. Je dis pas que les éditeurs d'AV flaggent tout et n'importe quoi comme un virus, je dis qu'ils préfèrent flagger des trucs bénins comme un virus plutôt que de se faire dépasser par un concurrent.
[^] # Re: Wake-on-LAN
Posté par octane . En réponse au message sortir un ordi de veille à distance, via wifi. Évalué à 3.
en vrai, pourquoi avoir besoin de ces infos?
On peut très bien imaginer l'envoi du paquet magique en clair? Le problème, c'est que ça veut surtout dire que les machines sont pas vraiment éteintes puisque la carte doit traiter des infos
[^] # Re: Pas de faux positif
Posté par octane . En réponse au journal Virus dans uclibc. Évalué à 10.
ah c'est un troll d'été. Je vais me resservir une margharita et attendre que ça passe loin des écrans.
Et les virus sous linux dont tu parles, ils sont dans cette pièce avec nous en ce moment?
[^] # Re: Pas de faux positif
Posté par octane . En réponse au journal Virus dans uclibc. Évalué à 10.
Les éditeurs d'antivirus ont un mauvais penchant. Ils veulent tous que leur antivirus détectent tous les virus, et encore mieux que les autres. Donc ils cherchent tous à faire mieux que les autres, et si toto déclare que uclibc est un virus, alors titi va vite se dépecher de dire lui aussi que c'est un méchant virus pour afficher un plus grand nombre de détections que le concurrent.
Long story short: uclibc n'a pas de virus, et les liens virustotal détectent tout et n'importe quoi.
# l'auteur de journal le plus classe du monde
Posté par octane . En réponse au journal L'Aigle de Tolède bronsonnisé. Évalué à 10.
Ce site web n'est pas un site web sur le cyclimse.
[^] # Re: lmgtfy
Posté par octane . En réponse au journal Enregistrement de la plaque d'immatriculation aux péages. Évalué à 3.
https://voyage.aprr.fr/protection-des-donnees-personnelles
Ah bah oui, ils enregistrent donc bien tout.
Ils ont une photo de la plaque + la plaque anonymisée (comment? non précisé)
Après, je tombe sur un cas bizarre:
Ok, pour le prix on peut conserver 28j ou 13 mois.
pour le trajet, on supprime quelques minutes après (ça me semble très bien).
Alors ma plaque est conservée quelques minutes ou 13 mois? (ok, je chipote)
[^] # Re: donnée public?
Posté par octane . En réponse au journal Enregistrement de la plaque d'immatriculation aux péages. Évalué à 8.
Alors oui, mais en fait non. Le problème c'est pas la lecture de la plaque, le problème c'est l'automatisation en masse.
On peut imaginer que quelqu'un écoute ma conversation (privée) que j'ai au téléphone avec quelqu'un (dans le bus par exemple). C'est contrariant. Mais ce n'est pas parce qu’un gars peut écouter une conversation privée qu'on peut lancer une écoute massive de toutes les conversations téléphoniques de tout le monde. Y'a une différence d'échelle.
[^] # Re: serieux ?
Posté par octane . En réponse au message vacances, raspi pico et neveu. Évalué à 6.
je pense que ta réponse est mi-taquine, mi-agacée. En vrai je sais chercher sur google (si si). Par contre, j'ai 0 expérience dans le pico, et dans l'automatisme, moi je suis dev et je fais du soft.
donc bon, je me disais qu'il y avait peut-être quelqu'un qui me guiderait vers des ressources sympas, genre "voilà comment j'ai fait un robot à roulette qui clignote dans le noir" ou "voilà comment avec deux fils de cuivre et un pico j'ai construit un décapsuleur à cannette de bière". Là, je trouve des docs sur micropython, et des liens vers le site de raspberry.
Je pense qu'il y a plein de ressources, mais quelles sont les bonnes? C'est pour des enfants, donc bon, faut que ça soit ludique, tout ça j'y connais rien.
voilà voilà voilà, si tu as un bon lien je suis preneur
[^] # Re: fabricants
Posté par octane . En réponse au message Sempiternelle recherche qui revient tous les 12 ans. Évalué à 2.
intéressant retour. J'ai acheté d'occase (environ 300€) un elite en desktop, ce genre de truc : https://www.pearl.fr/article/REM1068/hp-elitedesk-800-g3-i5-16-gb-reconditionne
et j'en suis très content. Il y a un ventilateur, mais extrêmement silencieux, tout est reconnu sous linux. Les deux défauts, c'est la connectique displayport (j'ai du acheter un cable, et j'aurais préféré HDMI) et l'absence de carte wifi (mais avec un dongle usb wifi à 1O€ ça le fait).
A part ça le SSD est véloce, ça fait tourner tout ce que je veux rapidement, 16Go de RAM je crois pas les avoir déjà remplis :D
Du coup, je me renseignais sur les versions laptop car je trouvais ça de qualité, mais ton commentaire me refroidit pas mal :-/
[^] # Re: géolocalisation ou écoute?
Posté par octane . En réponse au lien Transformer les objets connectés en mouchards : la surenchère sécuritaire du gouvernement. Évalué à 3.
merci :-)
# géolocalisation ou écoute?
Posté par octane . En réponse au lien Transformer les objets connectés en mouchards : la surenchère sécuritaire du gouvernement. Évalué à 3.
J'ai lu l'article avec intérêt mais un point me chiffonne.
L'article parle des avocats qui sont scandalisés de l'activation du micro et de la caméra à distance.
https://www.avocatparis.org/communique-du-conseil-de-lordre
"Surtout, l’article 3 du projet prévoit l’activation à distance de tout appareil électronique dont les téléphones portables en vue d’une captation de son et d’image."
Il y a un lien vers le projet de loi, https://www.senat.fr/leg/pjl22-569.html
Alors je ne sais pas lire le jargon juridique et tout ça, mais nulle part je n'ai trouvé d'infos liés à cette captation de son et d'image.
On trouve un article:
" l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ou possesseur aux seules fins de procéder à sa localisation en temps réel."
Du coup:
1/ le gouvernement veut pirater à distance les téléphones, et c'est mal
2/ le gouvernement le fait uniquement pour géolocaliser (en regardant le GPS?)
Mais surtout où est faite cette mention de captation de son et d'image? Je ne la trouve pas?
[^] # Re: Un grep plus tard et c'est le drame
Posté par octane . En réponse au journal Le support technique du FAI a accès au mot de passe du wifi !?. Évalué à 3.
là on parle du hotspot (la box quoi). Le hotspot il stock pareil les mots de passe, en clair. Et la box elle est sous le contrôle de l'opérateur.
Donc l'opérateur (le FAI, ou le technicien du FAI qui prend la main sur ta box quoi) a accès au mot de passe, y'a rien d'étonnant en vrai. De toute façon, la box est gérée par l'opérateur, il a de quoi pousser du code dessus (genre des mises à jour) donc il a un niveau de privilèges super élevé.
Du coup, soit tu lui fais confiance, soit tu considères la box comme hostile. Et là, tu ajoutes un firewall derrière et tu te connectes uniquement par le firewall (et encore ça résoudra pas forcément tous tes problèmes…)
# Un grep plus tard et c'est le drame
Posté par octane . En réponse au journal Le support technique du FAI a accès au mot de passe du wifi !?. Évalué à 5.
Les mots de passe wifi sont stockés en clair…
sudo grep "psk=" /etc/NetworkManager/system-connections/*
Et c'est pareil pour un hotspot, le mdp est en clair. Du coup si l'opérateur a un shell root sur la box (et je pense qu'il a un shell root), bin c'est pas très dur d'avoir le mdp wifi…
[^] # Re: machine virtuelle ou wine
Posté par octane . En réponse au message On peut pas faire plus hors-sujet que ça!! windows en live USB? comme linux-live?. Évalué à 2.
alors c'est pour utiliser le driver 3D de la carte nvidia du macbook. Linux ne le supporte pas, et j'ai besoin de lancer un soft java (gros consommateur 3D). Du coup, ni wine, ni la virtualisation m'aide pas du tout.
Après si quelqu'un a le bon driver pour cette carte pour un linux moderne, je suis chaud.
# un début de piste
Posté par octane . En réponse au journal Contournement de mesures de protection et intéropérabilité. Évalué à 7.
https://www.maitre-eolas.fr/post/2008/03/25/909-que-faire-quand-on-recoit-un-courrier-d-avocat
est un article un peu vieux mais qui doit rester globalement vrai.