Comparaison hautement fallacieuse: pratiquement personne ne "choisit" Windows. Il est installé sur ton ordinateur quand tu l'achètes.
parceque tu choisis systemd quand tu prends debian, redhat, etc? Il est installé avec ta distro. Qui parle de comparaison fallacieuse?
-des mainteneurs de distros, qui ont dû fournir un travail pour intégrer systemd en remplacement d'init dans leurs distros respectives, c'est pas comme si c'était arrivé brutalement un matin ou qu'ils avaient été victimes de mesures coercitives
Que le bazar des scripts shells et runlevels foireux aient été un problème, personne ne le nie je crois. Qu'on te dise que ton /usr va devenir hermetic, monolithique, et RO, parceque le développeur d'un système d'init pense que c'est le mieux, ça va un poil trop loin.
-les clients de RH
mais ils s'en br*anlent les client de RH du système d'init. On aurait pu leur coller un init quelconque, ils s'en fichent. Ca leur fait pas lever le sourcil plus haut que lors du passage d'un initrd à un initramfs. ou de /etc/machin.conf à /etc/machin.d/
Dans le temps on choisissait linux, et on se heurtait à ce fameux "bon sens". Si tout le monde choisit windows, c'est qu'ils sont pas débiles, pourquoi tu t'acharnes à vouloir utiliser ton jouet?
"we did not publicly communicate a broader vision of how they should all fit together in the long run."
"from my personal perspective"
"explain how I personally would build an OS and where I personally think OS development with Linux should go."
"I kept wondering, how would I actually build an OS"
etc, etc…
Ce qui est globalement le reproche qui lui est fait. Il voit un problème par son petit bout de lorgnette, il le résout pour lui. Comme il est pas bête (aucune ironie ici), il regarde l'existant, en extrait ses défauts, puis annonce sa solution comme étant la meilleure. Et c'est là ou on est pas forcément d'accord.
Ca me rappelle un développeur gnome qui faisait tout à sa sauce. Les gens râlaient, et lui continuait sur sa lancée, sûr de lui et de ses solutions. Alors certes, il bossait (beaucoup), mais est-ce vraiment la bonne manière d'avancer?
Et c'est là ou on se rend compte que la qualité d'un antivirus est très subjective :D
Pour des raisons très compréhensibles, on ne va pas mettre des virus à tester. Du coup, comment tester la qualité des AV? Bah on a EICAR mais là, tous les AV le détectent, donc au mieux on vérifie juste que l'AV est démarré (ce qui est dejà pas mal).
Et même si on tombe sur un set de fichiers vérolés et qu'on le teste, est-ce que c'est un bon AV? Il a bloqué des trucs connus, donc c'est bien, mais il réagira comment face à un nouveau virus?
enfin tout ça pour dire que tester un AV avec un script shell, je vois pas trop comment ça peut faire l'affaire
Tu veux tester quoi? Vérifier que la solution fonctionne?
Bah donne à manger des fichiers à ton antivirus?
Est-ce qu'il y a une CLI pour ton antivirus? Genre:
$ scan <file> du coup, tu fais:
$ for file in directory/* ; do scan $file ; done puis regarde les logs de sortie, mais faut voir comment réagit l'antivirus, ce que tu veux tester (le nombre de faux positifs, le nombre de faux négatifs, le taux de couverture (par rapport à quelle référence?), etc…)
je vais me faire l'avocat du diable, mais il parle de pyenv. Du coup tu dis:
c'est tout de même mieux qu'un code hébergé sur un dépôt github dont on ignore la maîtrise.
Or, pyenv est hébergé sur github. Donc faire curl github.com/pyenv | bash c'est mal. Mais faire git clone github.com/pyenv && pyenv/bin/pyenv c'est plus sécurisé?
Malheureusement si tu veux tester un logiciel, tu vas tôt ou tard lancer un binaire précompilé, ou un script que tu n'auras pas relu.
Maintenant, ouais, je hurle contre le curl | bash pour plein d'autres raisons. Mais là, ce qui m'ennuie c'est que ça devient du cargo cult, tout le monde dit que c'est mal, tout le monde hurle en expliquant que c'est mal mais plus personne ne donne vraiment de raisons. Petite histoire : j'ai connu des devs qui refusaient absolument d'utiliser strcpy (c'est bien) mais sans avoir compris les raisons. Du coup, on voyait des contorsions assez tordues dans des cas idiots, genre strncpy(dst, src, strlen(src)); [CRANE D'OCTANE QUI SE FRACASSE CONTRE LE CLAVIER QUAND IL LIT CA EN CODE REVIEW].
Enfin voilà, tout ça pour dire que curl | bash faut pas utiliser, mais faut pas se bercer d'illusions non plus sur les paquets de la distro magiquement vérifiés.
Si cet éditeur se fait pirater au point de se faire voler sa clé privée, il lui suffit de révoquer son certificat publiquement, et le gestionnaire de paquets ne fera plus confiance aux paquets signés par lui.
Parceque se pose la question du code review de l'éditeur. Et si le maintener[1] fait un git clone && debuild etc… alors le risque d'apt-get install pyenv est il plus faible qu'un curl | bash ? En vrai? Et comment as tu vérifié que le maintener a bien géré l'install? C'est pas en faisant confiance à son certificat….
[1] no shame pour le maintener je sais que c'est un boulot difficile
j'ai pas mal utilisé tes tutos pour faire des petites vidéos avec mes neveux :-)
Là, je bute sur un truc que je n'arrive pas à faire: un kamehameha (ou un hadoken pour les fans de jeux de baston).
Autant mettre un bonhomme sur un fond vert, puis incruster le bonhomme dans une scène y'a des tutos (dont un des tiens, merci), autant ajouter un effet comme un kamehameha ou des éclairs ou de le fumée, je vois pas (?). Faut trouver une base d'effet sur fond vert? Mais ça se trouve où?
Au boulot nous utilisions l'outil d'Intel, en version 2016. Le process est simple, il suffit de prendre le binaire de notre programme, le lancer avec Inspector et les bons paramètres, puis de regarder les erreurs qu'il remonte. Évidemment il ne remonte rien puisque nous développons parfaitement {{À prouver}}.
ça veut dire qu'il fonctionne sur un binaire dont on a pas les sources? Genre un vieux truc qui pète de temps en temps, je le monitor avec Inspector, je lui envoie du data random et je regarde quand est-ce qu'il crash? Ca peut être pas mal pour trouver un corner case un peu cheulou?
Ou alors il faut malgré tout recompiler le binaire? (pour un fuzzing un peu dumb ça pourrait être bien aussi, là j'ai ASAN qui est bien mais je testerai bien d'autres tools :) )
il y a eu beaucoup de discussions, et dans les faits, il est impossible d'arriver au niveau de confiance d'un vote papier dans une urne.
Il y a beaucoup de problèmes à résoudre.
Bien évidemment, il faut que la machine compte correctement et honnêtement les votes. Il y a eu plein de propositions, mais aucune ne marche en vrai (je fais volontairement court, car la sécurité de la machine à voter, même déco d'internet, n'est pas garantie mais je rentre pas dans ce débat).
Ensuite, il faut éviter l'achat de vote, ou le vote sous contrainte. Si la machine te fournit un identifiant unique permettant de vérifier la prise en compte de ton vote pour le bon candidat, cela ouvre la porte à la coercition car un tiers pourra vérifier que tu as "bien" voté.
Enfin, il faut que le vote reste compréhensible. Une urne, un papier, on compte on recompte, on a un tas de bulletins, ça reste clair compréhensible et vérifiable par n'importe quel citoyen. Devoir lire trois thèses sur la prouvabilité mathématique d'une élection puis du code informatique embarqué, c'est moins simple, et du coup c'est opaque (indépendamment de la bonne foi de la preuve).
Et surtout, quel problème veut-on résoudre avec les machines à voter? La rapidité? On a les résultats 2h avant la fin du scrutin, explique moi comment aller plus vite avec une machine à voter? (sarcasme: on le saura depuis la veille car elles seront truquées haha).
Déjà les tests techniques sur papier/tableau blanc c'est ridicule, PERSONNE ne développe dans cette situation.
Je parlais pas d'un tableau blanc, mais d'un PC devant lequel on te colle pour faire un exo. Après, un tableau blanc pour écrire du pseudo code, ça peut aussi le faire.
Et sur la façon de procéder par l'OP de l'article, j'appelle ça "faire travailler quelqu'un gratos". Alors oui, il confronte le candidat à ce qu'il va vraiment devoir affronter s'il est engagé. Mais en attendant, il gagne potentiellement 4/6H de travail non-rémunéré.
N'exagérons pas. Je parle de petites épreuves qui ont été travaillées par l'équipe de recrutement. Et je m'attends pas à retrouver le code produit dans un logiciel (Et imaginer qu'une boite puisse sortir un logiciel uniquement en comptant sur les recrutements, ça me parait assez bancal).
A côté de ça, peaufiner ton CV et ta lettre de motivation ça a du demander quelques heures? (enfin, c'est ce que j'ai fait plusieurs fois pour des postes, se renseigner sur la boite, etc..). Donc bon, publier quelques lignes de code et les expliquer, ça me parait pas le bout du monde.
Et pour le côté "gratos", est-ce que tu vas parler de tes expériences dans l'ancienne boîte? Des projets en cours? Des clients? De contrats chiffrés? D'un organigramme? Ce genre d'infos ça vaut largement plus que 4h de dev à mon avis…
Personnellement devoir passer 4 à 6h de travail à la maison pour un recrutement me refroidis beaucoup, je n'ai pas se temps là de disponible.
Ca me parait pas délirant pour moi. On te file un problème ou deux, tu les résouds, tu montres ton code à l'entretien. 4 à 6h quand tu veux changer de boulot, tu les trouves (ou alors c'est que t'es pas motivé). Et pendant l'entretien ça peut servir comme départ de discussion.
Et si t'y connais rien de rien, personne perd de temps. Et rien que le sujet donné, ça peut aussi dissuader un candidat, s'il voit que c'est à des kilomètres de ce qu'il imaginait.
Les pseudo tests techniques pendant les entretiens je suis pas fan non plus, c'est souvent très scolaires (les coding games encore plus).
Bah on attend d'un dev qu'il publie du code quand même, non? Et je préfère 100x qu'on me demande de coder un fizzbuzz plutôt qu'on me demande pour la 1000e fois mes diplômes et qu'on me fasse une analyse graphologique suivie des questions 3 qualités 3 défauts et où vous vous voyez dans 5 ans?
Bref je suis de la "veille école", entretien technique
faut définir ce que tu entends par "entretien technique". Juste au dessus tu dis "je ne suis pas fan".
Cette réponse est un NFT. Veuillez vous inscrire au bureau d'enregistrement WEB3 le plus proche et fournir votre jeton pour la lire (1 ether la connexion, 0.3 ether le mot + frais d'opérateur non compris).
---------------- BEGIN NFT BLOCK ----------------------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---------------- END NFT BLOCK ----------------------
Non un buffer overflow dans Gimp qui permet l'exécution de code arbitraire n'est pas si grave.
bin, un peu quand même?
C'est pas comme si tu pouvais en faire un rootkit.
Un rootkit, c'est la suite de "l'exécution de code arbitraire", donc bah si. Et comme aujourd'hui 99.9% des ordis sont connectés à internet, le rootkit va se connecter à son C&C et attendre les commandes.
L'attaque est difficile à industrialiser car il faut que tu puisse transmettre l'image vérolée à ta cible
un mail, et hop!
, et être sûr qu'il va l'ouvrir naïvement avec la bonne version de Gimp
Pas forcément. La vuln existe peut-être depuis 45 versions de gimp et n'est pas corrigée. Il suffit que le code d'exploit soit compatible avec les versions vulnérables de gimp.
et que son anti-virus ne va pas détecter du code exécutable dans une image.
un AV? sous linux??? et "détecter du code exécutable dans une image" j'ai du mal à concevoir comment c'est possible. Selon l'encodage de l'image, tu peux avoir des suites d'octets qui peuvent ressembler fortement à de l'assembleur, mais après??
Non toutes les failles ne se valent pas en terme de criticité. Dans le cas de Gimp, soit c'est une nouvelle faille et dans ce cas tu rollback, soit c'est une ancienne et tu attends le fix.
Ca, oui. Mais le rollback n'est pas toujours possible (rollback de gimp? quitte à ré-introduire des anciennes vulns patchées par la nouvelle version?), et attendre le fix, c'est quand même contrariant.
Même si dans les faits, ouais une vuln dans gimp, tout le monde s'en fiche. (ImageTragick c'était autre chose)
Le binaire de busybox, c'est 2Mo sur ma debian. Tu as dupliqué autant de fois le binaire que nécessaire pour arriver à tous ces Mo?
Parceque oui, fait des liens symboliques pour les bins essentiels: init, sh, pour les autres tu peux t'en passer.
Si tu lances le shell de busybox et que tu appelles un binaire, busybox vérifie s'il ne s'agit pas d'une de ses applets et la lance le cas échéant (enfin si t'as configuré l'option qui va bien).
En effet on sait que les cyber-attaques ont plus souvent lieu la nuit et le week-end car les pirates savent que toutes les équipes SI ne travaillent pas.
Je suis curieux d'avoir une source là dessus. Je dirais qu'il existe des pirates au 4 coins du monde, et qu'ils piratent un peu à n'importe quelle heure, donc il est difficile de prévoir qu'il y a plus d'attaques la nuit (heure française), ou le week-end.
Après, si c'est quelqu'un qui t'en veux, bin il va t'attaquer quand tu es up, donc bon :-(
Du coup, le fait d'éteindre la nuit impacte pas sur la sécurité, mais bon, je peux me tromper.
Du coup, ça m'a donné une idée, j'ai regardé mes logs, et sans surprise, j'ai plein de logs ssh:
root@cerebrus:/var/log# grep "Failed password" auth.log | wc -l
16896
root@cerebrus:/var/log# Mais, oh surprise, le scan teste ce genre de user:
Jan 23 04:43:55 cerebrus sshd[15734]: Failed password for invalid user wangyue from XX.XX.XX.XX port 49266 ssh2
Jan 23 04:43:55 cerebrus sshd[15736]: Failed password for invalid user wangzy from XX.XX.XX.XX port 49460 ssh2
Jan 23 04:43:55 cerebrus sshd[15737]: Failed password for invalid user wangzy from XX.XX.XX.XX port 49522 ssh2
Jan 23 04:43:55 cerebrus sshd[15742]: Failed password for invalid user xujia from XX.XX.XX.XX port 50106 ssh2
Jan 23 04:43:55 cerebrus sshd[15744]: Failed password for invalid user yjzhou_pc_1 from XX.XX.XX.XX port 50614 ssh2
donc, à priori le scanner cherche des machines avec des comptes chinois (va savoir?)… 4h45 en france, c'est 11h45 en pleine journée en chine. Du coup, peu de chance de te faire péter ta machine éteinte ou allumée la nuit, mais des chinois en journée doivent se faire compromettre.
si j'ai bien compris, les clients envoient des blobs chiffrés. Le serveur qui les stock ne sait pas ce que c'est, ni pour qui c'est ni ce qu'il y a dedans. Donc bon, le serveur, qque part, on s'en fiche, la NSa pourrait l'écouter qu'elle apprendrait rien.
Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).
c'est pour la sécuritay qu'ils disent. Vu que le javascript est tellement dégueulasse aujourd'hui, il faut plus qu'une VM, il faut JIT le code. Qui dit JIT dit mémoire RWX. Qui dit mémoire RWX dit hackers qui posent leur exploit dedans… Donc apple dit: interdit de faire du RWX sauf nous (parceque nous à apple on sait faire du code sans vulnérabilités donc on peut utiliser du heap en RWX).
Du coup, les browsers alternatifs ont le choix de devenir un brontosaure rhumatisant qui ne va pas vite, ou d'utiliser le rendu HTML d'apple..
Toute utilisation d'une connexion internet peut se révéler dangereuse car interceptable ET modifiable. Tu télécharges la dernière version d'OpenOffice, le téléchargement peut être détourné et tu récupères une version vérolée par un malware. Et tu ne vois rien.
Hein? Je télécharge en https justement pour éviter l'interception et la modification. Et certains package sont en + signés.
Et je me connecte en ssh chez moi (connexion internet) et non, ce n'est pas modifiable ou interceptable (ou alors tu as dans les mains une faille de sécurité et un exploit absolument démentiel).
Ou alors dis moi comment tu interceptes les flux ssl ?
Pour l'instant, le coût de piratage des postes et serveurs Linux est trop élevé pour que les délinquants à la petite semaine s'y intéressent.
hu? Tu as un lien là dessus? Parce que les délinquants à la petite semaine, ils adorent linux. Tu as toujours un LAMP complètement troué (parceque pas mis à jour depuis 2013), des supers outils d'admin distants (ssh, cli, tout ça), donc tu vas pas te prendre la tête avec un windows si tu es à la petite semaine (envoi de spam, mining, etc..). Ceux qui font du ransomware ne sont pas des attaquants à la petite semaine.
Ils se contentent d'utiliser plus ou moins industriellement des logiciels malveillants diffusés pour infiltrer les systèmes Windows.
Lesquels de logiciels? En vrai?
Les ordinateurs sous exploitation Linux, la majorité des postes, n’ont pas été impactés, contrairement à ceux fonctionnant sous Windows.
Bah oui, les mecs font du ransomware. Ils tabassent les postes windows en masse, certains que ça va impacter la production, et pousser les DSI à payer.
Windows (c'est triste) à plein d'outils intégrés pour pousser un outil malveillant qui va cryptolock les postes. Donc un attaquant intelligent va cibler le SI windows, passer admin de domaine, pousser un chiffreur sur les postes et vlam! Max de fric. Il va pas perdre du temps à trouver les postes linux (ou mac d'ailleurs).
J'ai lu l'article, et c'est un peu du sensationnalisme. La majorité des vulns (si ce n'est toute) touchent des composants "locaux" au routeur.
Dans les faits ça veut dire quoi? Ca veut dire que si tu as un shell local à la machine, tu peux utiliser une vuln d'un des outils locaux. Mais sur ces routeurs, il n'y a généralement qu'un seul compte (root), et qu'il n'y a pas d'accès shell.
Ce qui revient à dire: "si tu as un accès shell root, alors tu peux tenter d'exploiter une vuln…". Bof bof bof donc.
Avant de hurler au loup comme ça et balancer des chiffres qui ne veulent rien dire (226 vulns? c'est 226 CVE? qu'ils ont additionnées? Est-ce que le nombre de CVE est un bon indicateur?). Et puis bon, sérieusement:
"Dans leurs travaux, les experts d’IoT Inspector n’ont pas donné de détails techniques sauf pour un cas. Ils ont extrait une clé de chiffrement depuis une image du firmware D-Link."
ah bah oui, 0 détails techniques hein. Et oulalala, extraire une clé de chiffrement (vous connaissez binwalk? Seriously?).
[^] # Re: +1 pour la rime
Posté par octane . En réponse au lien Lennart ce fripon, s'en va à Redmond. Évalué à 2.
parceque tu choisis systemd quand tu prends debian, redhat, etc? Il est installé avec ta distro. Qui parle de comparaison fallacieuse?
Que le bazar des scripts shells et runlevels foireux aient été un problème, personne ne le nie je crois. Qu'on te dise que ton /usr va devenir hermetic, monolithique, et RO, parceque le développeur d'un système d'init pense que c'est le mieux, ça va un poil trop loin.
mais ils s'en br*anlent les client de RH du système d'init. On aurait pu leur coller un init quelconque, ils s'en fichent. Ca leur fait pas lever le sourcil plus haut que lors du passage d'un initrd à un initramfs. ou de /etc/machin.conf à /etc/machin.d/
[^] # Re: +1 pour la rime
Posté par octane . En réponse au lien Lennart ce fripon, s'en va à Redmond. Évalué à 0.
Dans le temps on choisissait linux, et on se heurtait à ce fameux "bon sens". Si tout le monde choisit windows, c'est qu'ils sont pas débiles, pourquoi tu t'acharnes à vouloir utiliser ton jouet?
Maintenant, on a les mêmes remarques sur linux.
[^] # Re: +1 pour la rime
Posté par octane . En réponse au lien Lennart ce fripon, s'en va à Redmond. Évalué à 4. Dernière modification le 08 juillet 2022 à 15:25.
ben….
https://0pointer.net/blog/fitting-everything-together.html
"we did not publicly communicate a broader vision of how they should all fit together in the long run."
"from my personal perspective"
"explain how I personally would build an OS and where I personally think OS development with Linux should go."
"I kept wondering, how would I actually build an OS"
etc, etc…
Ce qui est globalement le reproche qui lui est fait. Il voit un problème par son petit bout de lorgnette, il le résout pour lui. Comme il est pas bête (aucune ironie ici), il regarde l'existant, en extrait ses défauts, puis annonce sa solution comme étant la meilleure. Et c'est là ou on est pas forcément d'accord.
Ca me rappelle un développeur gnome qui faisait tout à sa sauce. Les gens râlaient, et lui continuait sur sa lancée, sûr de lui et de ses solutions. Alors certes, il bossait (beaucoup), mais est-ce vraiment la bonne manière d'avancer?
[^] # Re: pas compris
Posté par octane . En réponse au message Script (Shell) EDR test ?. Évalué à 3.
Et c'est là ou on se rend compte que la qualité d'un antivirus est très subjective :D
Pour des raisons très compréhensibles, on ne va pas mettre des virus à tester. Du coup, comment tester la qualité des AV? Bah on a EICAR mais là, tous les AV le détectent, donc au mieux on vérifie juste que l'AV est démarré (ce qui est dejà pas mal).
Et même si on tombe sur un set de fichiers vérolés et qu'on le teste, est-ce que c'est un bon AV? Il a bloqué des trucs connus, donc c'est bien, mais il réagira comment face à un nouveau virus?
enfin tout ça pour dire que tester un AV avec un script shell, je vois pas trop comment ça peut faire l'affaire
# pas compris
Posté par octane . En réponse au message Script (Shell) EDR test ?. Évalué à 3.
Tu veux tester quoi? Vérifier que la solution fonctionne?
Bah donne à manger des fichiers à ton antivirus?
Est-ce qu'il y a une CLI pour ton antivirus? Genre:
$ scan <file>
$ for file in directory/* ; do scan $file ; done
[^] # Re: XDG
Posté par octane . En réponse à la dépêche Environnement moderne de travail Python. Évalué à 6.
je vais me faire l'avocat du diable, mais il parle de pyenv. Du coup tu dis:
Or, pyenv est hébergé sur github. Donc faire curl github.com/pyenv | bash c'est mal. Mais faire git clone github.com/pyenv && pyenv/bin/pyenv c'est plus sécurisé?
Malheureusement si tu veux tester un logiciel, tu vas tôt ou tard lancer un binaire précompilé, ou un script que tu n'auras pas relu.
Maintenant, ouais, je hurle contre le curl | bash pour plein d'autres raisons. Mais là, ce qui m'ennuie c'est que ça devient du cargo cult, tout le monde dit que c'est mal, tout le monde hurle en expliquant que c'est mal mais plus personne ne donne vraiment de raisons. Petite histoire : j'ai connu des devs qui refusaient absolument d'utiliser strcpy (c'est bien) mais sans avoir compris les raisons. Du coup, on voyait des contorsions assez tordues dans des cas idiots, genre strncpy(dst, src, strlen(src)); [CRANE D'OCTANE QUI SE FRACASSE CONTRE LE CLAVIER QUAND IL LIT CA EN CODE REVIEW].
Enfin voilà, tout ça pour dire que curl | bash faut pas utiliser, mais faut pas se bercer d'illusions non plus sur les paquets de la distro magiquement vérifiés.
Parceque se pose la question du code review de l'éditeur. Et si le maintener[1] fait un git clone && debuild etc… alors le risque d'apt-get install pyenv est il plus faible qu'un curl | bash ? En vrai? Et comment as tu vérifié que le maintener a bien géré l'install? C'est pas en faisant confiance à son certificat….
[1] no shame pour le maintener je sais que c'est un boulot difficile
# top
Posté par octane . En réponse au journal Sortie de kdenlive 22.04. Évalué à 5.
j'ai pas mal utilisé tes tutos pour faire des petites vidéos avec mes neveux :-)
Là, je bute sur un truc que je n'arrive pas à faire: un kamehameha (ou un hadoken pour les fans de jeux de baston).
Autant mettre un bonhomme sur un fond vert, puis incruster le bonhomme dans une scène y'a des tutos (dont un des tiens, merci), autant ajouter un effet comme un kamehameha ou des éclairs ou de le fumée, je vois pas (?). Faut trouver une base d'effet sur fond vert? Mais ça se trouve où?
# je dirais oui
Posté par octane . En réponse au message Redimensionner une partition. Évalué à 4.
En gros, tu peux.
1ere méthode, risquée:
WARNING: il existe un risque de perte totale de données. Use at your own risk, disclaimer, attention, et tout ce genre de choses.
Tu supprimes ta partition de 74Go (si si). Tu en crées une nouvelle de 320Go. Tu utilises resize2fs ensuite. Et hop.
cf https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/storage_administration_guide/ext4grow
Fin du WARNING: il existe un risque de perte totale de données. Use at your own risk, disclaimer, attention, et tout ce genre de choses.
2eme méthode, easy:
Tu crées une deuxième partition. Tu la formattes, tu la mount quelque part (/home ? /stockage ?, enfin un peu ou tu veux)
3eme méthode, safe, longue et pénible:
Tu backup tout, tu formattes tout, tu recrées une partition de 320Go, tu restaures la sauvegarde.
PS: pourquoi mettre une photo sur un google drive? Je clique pas sur ce genre de trucs :-/
# intéressant
Posté par octane . En réponse au journal Comparatif d'outils d'analyse mémoire. Évalué à 4.
ça veut dire qu'il fonctionne sur un binaire dont on a pas les sources? Genre un vieux truc qui pète de temps en temps, je le monitor avec Inspector, je lui envoie du data random et je regarde quand est-ce qu'il crash? Ca peut être pas mal pour trouver un corner case un peu cheulou?
Ou alors il faut malgré tout recompiler le binaire? (pour un fuzzing un peu dumb ça pourrait être bien aussi, là j'ai ASAN qui est bien mais je testerai bien d'autres tools :) )
[^] # Re: Processus fiable ?
Posté par octane . En réponse au lien Sécurité, vieillissement, peur : quel futur pour les machines à voter ? . Évalué à 9.
il y a eu beaucoup de discussions, et dans les faits, il est impossible d'arriver au niveau de confiance d'un vote papier dans une urne.
Il y a beaucoup de problèmes à résoudre.
Bien évidemment, il faut que la machine compte correctement et honnêtement les votes. Il y a eu plein de propositions, mais aucune ne marche en vrai (je fais volontairement court, car la sécurité de la machine à voter, même déco d'internet, n'est pas garantie mais je rentre pas dans ce débat).
Ensuite, il faut éviter l'achat de vote, ou le vote sous contrainte. Si la machine te fournit un identifiant unique permettant de vérifier la prise en compte de ton vote pour le bon candidat, cela ouvre la porte à la coercition car un tiers pourra vérifier que tu as "bien" voté.
Enfin, il faut que le vote reste compréhensible. Une urne, un papier, on compte on recompte, on a un tas de bulletins, ça reste clair compréhensible et vérifiable par n'importe quel citoyen. Devoir lire trois thèses sur la prouvabilité mathématique d'une élection puis du code informatique embarqué, c'est moins simple, et du coup c'est opaque (indépendamment de la bonne foi de la preuve).
Et surtout, quel problème veut-on résoudre avec les machines à voter? La rapidité? On a les résultats 2h avant la fin du scrutin, explique moi comment aller plus vite avec une machine à voter? (sarcasme: on le saura depuis la veille car elles seront truquées haha).
[^] # Re: Chouette
Posté par octane . En réponse au lien Avez vous déjà vu... ? (du recrutement, spécialement informatique). Évalué à 4.
intéressant, merci
[^] # Re: Chouette
Posté par octane . En réponse au lien Avez vous déjà vu... ? (du recrutement, spécialement informatique). Évalué à 3.
Je parlais pas d'un tableau blanc, mais d'un PC devant lequel on te colle pour faire un exo. Après, un tableau blanc pour écrire du pseudo code, ça peut aussi le faire.
N'exagérons pas. Je parle de petites épreuves qui ont été travaillées par l'équipe de recrutement. Et je m'attends pas à retrouver le code produit dans un logiciel (Et imaginer qu'une boite puisse sortir un logiciel uniquement en comptant sur les recrutements, ça me parait assez bancal).
A côté de ça, peaufiner ton CV et ta lettre de motivation ça a du demander quelques heures? (enfin, c'est ce que j'ai fait plusieurs fois pour des postes, se renseigner sur la boite, etc..). Donc bon, publier quelques lignes de code et les expliquer, ça me parait pas le bout du monde.
Et pour le côté "gratos", est-ce que tu vas parler de tes expériences dans l'ancienne boîte? Des projets en cours? Des clients? De contrats chiffrés? D'un organigramme? Ce genre d'infos ça vaut largement plus que 4h de dev à mon avis…
[^] # Re: Chouette
Posté par octane . En réponse au lien Avez vous déjà vu... ? (du recrutement, spécialement informatique). Évalué à 6.
Ca me parait pas délirant pour moi. On te file un problème ou deux, tu les résouds, tu montres ton code à l'entretien. 4 à 6h quand tu veux changer de boulot, tu les trouves (ou alors c'est que t'es pas motivé). Et pendant l'entretien ça peut servir comme départ de discussion.
Et si t'y connais rien de rien, personne perd de temps. Et rien que le sujet donné, ça peut aussi dissuader un candidat, s'il voit que c'est à des kilomètres de ce qu'il imaginait.
Bah on attend d'un dev qu'il publie du code quand même, non? Et je préfère 100x qu'on me demande de coder un fizzbuzz plutôt qu'on me demande pour la 1000e fois mes diplômes et qu'on me fasse une analyse graphologique suivie des questions 3 qualités 3 défauts et où vous vous voyez dans 5 ans?
faut définir ce que tu entends par "entretien technique". Juste au dessus tu dis "je ne suis pas fan".
# Cette réponse est un NFT
Posté par octane . En réponse au journal La tribune se met au web 3.0 et aux NFTs. Évalué à 4.
Cette réponse est un NFT. Veuillez vous inscrire au bureau d'enregistrement WEB3 le plus proche et fournir votre jeton pour la lire (1 ether la connexion, 0.3 ether le mot + frais d'opérateur non compris).
---------------- BEGIN NFT BLOCK ----------------------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---------------- END NFT BLOCK ----------------------
[^] # Re: Encenser le C? Non!
Posté par octane . En réponse au journal C, un âge remarquable. Évalué à 8.
bin, un peu quand même?
Un rootkit, c'est la suite de "l'exécution de code arbitraire", donc bah si. Et comme aujourd'hui 99.9% des ordis sont connectés à internet, le rootkit va se connecter à son C&C et attendre les commandes.
un mail, et hop!
Pas forcément. La vuln existe peut-être depuis 45 versions de gimp et n'est pas corrigée. Il suffit que le code d'exploit soit compatible avec les versions vulnérables de gimp.
un AV? sous linux??? et "détecter du code exécutable dans une image" j'ai du mal à concevoir comment c'est possible. Selon l'encodage de l'image, tu peux avoir des suites d'octets qui peuvent ressembler fortement à de l'assembleur, mais après??
Ca, oui. Mais le rollback n'est pas toujours possible (rollback de gimp? quitte à ré-introduire des anciennes vulns patchées par la nouvelle version?), et attendre le fix, c'est quand même contrariant.
Même si dans les faits, ouais une vuln dans gimp, tout le monde s'en fiche. (ImageTragick c'était autre chose)
[^] # Re: Besoin d'expliciter le init ?
Posté par octane . En réponse au journal Linux et BusyBox, un duo parfait pour s'amuser. Évalué à 4.
Le binaire de busybox, c'est 2Mo sur ma debian. Tu as dupliqué autant de fois le binaire que nécessaire pour arriver à tous ces Mo?
Parceque oui, fait des liens symboliques pour les bins essentiels: init, sh, pour les autres tu peux t'en passer.
Si tu lances le shell de busybox et que tu appelles un binaire, busybox vérifie s'il ne s'agit pas d'une de ses applets et la lance le cas échéant (enfin si t'as configuré l'option qui va bien).
[^] # Re: Et le côté sécurité
Posté par octane . En réponse au journal Éteindre son serveur la nuit et l'allumer automatiquement le matin. Évalué à 7.
Je suis curieux d'avoir une source là dessus. Je dirais qu'il existe des pirates au 4 coins du monde, et qu'ils piratent un peu à n'importe quelle heure, donc il est difficile de prévoir qu'il y a plus d'attaques la nuit (heure française), ou le week-end.
Après, si c'est quelqu'un qui t'en veux, bin il va t'attaquer quand tu es up, donc bon :-(
Du coup, le fait d'éteindre la nuit impacte pas sur la sécurité, mais bon, je peux me tromper.
Du coup, ça m'a donné une idée, j'ai regardé mes logs, et sans surprise, j'ai plein de logs ssh:
root@cerebrus:/var/log# grep "Failed password" auth.log | wc -l
16896
root@cerebrus:/var/log#
donc, à priori le scanner cherche des machines avec des comptes chinois (va savoir?)… 4h45 en france, c'est 11h45 en pleine journée en chine. Du coup, peu de chance de te faire péter ta machine éteinte ou allumée la nuit, mais des chinois en journée doivent se faire compromettre.
# c'est pas un pb de bridge plutôt?
Posté par octane . En réponse au message NAT loopback: a pas compris :(. Évalué à 5.
Selon le type de virtualisation le bridge peut se comporter plus ou moins différemment. Cf:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_host_configuration_and_guest_installation_guide/app_macvtap
'traffic into that bridge from the guests that is forwarded to the physical interface cannot be bounced back up to the host's IP stack. '
[^] # Re: hum...
Posté par octane . En réponse au lien La messagerie Olvid passe open-source (certifiée ANSSI). Évalué à 3.
si j'ai bien compris, les clients envoient des blobs chiffrés. Le serveur qui les stock ne sait pas ce que c'est, ni pour qui c'est ni ce qu'il y a dedans. Donc bon, le serveur, qque part, on s'en fiche, la NSa pourrait l'écouter qu'elle apprendrait rien.
# Wait, WHAT?
Posté par octane . En réponse au journal Mettre à jour le firmware d'une imprimante OKI. Évalué à 10.
Si j'ai bien compris, tu peux update le firmware complet de ton imprimante sans authentification? Il suffit de pousser un job d'impression et hop? oO
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par octane . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 4.
c'est pour la sécuritay qu'ils disent. Vu que le javascript est tellement dégueulasse aujourd'hui, il faut plus qu'une VM, il faut JIT le code. Qui dit JIT dit mémoire RWX. Qui dit mémoire RWX dit hackers qui posent leur exploit dedans… Donc apple dit: interdit de faire du RWX sauf nous (parceque nous à apple on sait faire du code sans vulnérabilités donc on peut utiliser du heap en RWX).
Du coup, les browsers alternatifs ont le choix de devenir un brontosaure rhumatisant qui ne va pas vite, ou d'utiliser le rendu HTML d'apple..
[^] # Re: Windows, c'est de la verole à ransomware
Posté par octane . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 3.
aaaaah. oui, ok. On est d'accord. Utilisez des protos sécurisés c'est bien :-) (ça protège pas de tout, mais c'est mieux qu'en clair)
[^] # Re: Windows, c'est de la verole à ransomware
Posté par octane . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 1.
Hein? Je télécharge en https justement pour éviter l'interception et la modification. Et certains package sont en + signés.
Et je me connecte en ssh chez moi (connexion internet) et non, ce n'est pas modifiable ou interceptable (ou alors tu as dans les mains une faille de sécurité et un exploit absolument démentiel).
Ou alors dis moi comment tu interceptes les flux ssl ?
# hein?
Posté par octane . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 10.
hu? Tu as un lien là dessus? Parce que les délinquants à la petite semaine, ils adorent linux. Tu as toujours un LAMP complètement troué (parceque pas mis à jour depuis 2013), des supers outils d'admin distants (ssh, cli, tout ça), donc tu vas pas te prendre la tête avec un windows si tu es à la petite semaine (envoi de spam, mining, etc..). Ceux qui font du ransomware ne sont pas des attaquants à la petite semaine.
Lesquels de logiciels? En vrai?
Bah oui, les mecs font du ransomware. Ils tabassent les postes windows en masse, certains que ça va impacter la production, et pousser les DSI à payer.
Windows (c'est triste) à plein d'outils intégrés pour pousser un outil malveillant qui va cryptolock les postes. Donc un attaquant intelligent va cibler le SI windows, passer admin de domaine, pousser un chiffreur sur les postes et vlam! Max de fric. Il va pas perdre du temps à trouver les postes linux (ou mac d'ailleurs).
# ouais, bof bof bof
Posté par octane . En réponse au lien Une nuée de failles dans des routeurs WiFi. Évalué à 4.
J'ai lu l'article, et c'est un peu du sensationnalisme. La majorité des vulns (si ce n'est toute) touchent des composants "locaux" au routeur.
Dans les faits ça veut dire quoi? Ca veut dire que si tu as un shell local à la machine, tu peux utiliser une vuln d'un des outils locaux. Mais sur ces routeurs, il n'y a généralement qu'un seul compte (root), et qu'il n'y a pas d'accès shell.
Ce qui revient à dire: "si tu as un accès shell root, alors tu peux tenter d'exploiter une vuln…". Bof bof bof donc.
Avant de hurler au loup comme ça et balancer des chiffres qui ne veulent rien dire (226 vulns? c'est 226 CVE? qu'ils ont additionnées? Est-ce que le nombre de CVE est un bon indicateur?). Et puis bon, sérieusement:
ah bah oui, 0 détails techniques hein. Et oulalala, extraire une clé de chiffrement (vous connaissez binwalk? Seriously?).