Avec 800 serveurs, bonne chance pour tout gérer dans un keepass. Non pas que c'est infaisable, mais 800 serveurs ça veut dire un paquet d'équipes, encore plus d'utilisateurs, vraisemblablement des développeurs et autant de chances de voir un password.xls, un script powershell avec le pass en clair pour monter un lecteur réseau, ou un admin qui s'est loggé il y a 1000 ans sur une machine et que mimikatz saura extraire.
La question c'est pas la vitesse des updates, c'est l'analyse de l'impact des failles
Et dans l'article il est dit qu'il s'est fait avoir initialement par un phishing. Du coup, la vitesse d'update n'a rien à voir.
Ensuite, ils ont utilisé une faille de sécurité. Mais c'est pas sur. Quand tu vois la facilité avec laquelle un pentester devient admin de domaine, ça fait peur. Et souvent c'est parce que les mots de passe admin traînent sur le réseau. Du coup l'attaquant n'utilise aucune faille de sécurité.
Donc tu peux être 100% à jour et de prendre un ransomware.
bon, console, terminal, c'est la même chose. Tu as une invite de commande (ou prompt), qui attends tes commandes au clavier (ce que tu tapes). Généralement, tu tapes, une commande avec des options et des arguments. Genre
toto$ ls -la
tout ce qui précède le '$' c'est le prompt, et ça peut varier. Tout ce qui suit, ce sont tes commandes. Du coup, tu as une commande 'ls' des options (c'est simple, les options sont préfixées par un tiret) et les arguments (c'est ce qui suit les options).
La commande, c'est 'ls', les options sont 'l' et 'a' et l'argument, c'est '/var'. Ca signifie que tu demandes à lister tous (options -a) les fichiers et dossiers du dossier /var de manière longue. Tu as exactement le même résultat avec ls -al /var ou ls -l -a /var ou ls /var -l -a.
ls ça sert à lister les fichiers (et dossiers). Les options l et a sont courantes, c'est 'l' comme long (la réponse est plus longue) et a signifie "all" (tous les fichiers, même ceux qui débutent par un "." ).
Bref. Là, on te demande de lister les fichiers de /var. Du coup, la commande c'est 'ls'. Si tu fais ls /var tu vas avoir un truc du genre:
$ ls /var
backups cache lib local lock log mail opt run spool tmp www
(le nom des fichiers peut changer, ils correspondent à ce que tu as sur ta machine dans le dossier /var).
Bon, on se rapproche de la question, le prof veut une séparation avec des virgules. Hop hop hop, après un coup de google, on trouve une option '-m' de ls qui dit: "fill width with a comma separated list of entries"
pour afficher 1 ligne par dossier, encore un coup de google, et on voit l'option -1. Là, pour le coup, pour vérifier tu peux taper man ls (touche 'q' pour sortir du man), et descendre jusqu'à lire l'option "-1"
Selon ton interpréteur de commandes, il va falloir configurer la complétion.
Worst conseil ever pour un débutant, non? "Il va falloir configurer la complétion.
Configurer -> comment on fait? Déjà que le débutant sait pas taper ls -la sans se planter, ça va être chaud de lui expliquer
Complétion -> encore un mot barbare.
C'est plutôt le genre de truc que tu files au 2e ou 3e cours, en considérant que la complétion est déjà config par défaut.
Si tu es en console ou si le terminal n'est pas trop exotique, dans un shell classique, tu peux arrêter une commande en cours en gardant le doigt sur la touche Contrôle et en appuyant sur la touche C.
Bah je reprends l'exemple. "man ls". La question: "comment on sort de la commande?". CTRL-C ne fonctionne pas. J'avais lu dans un cours un super exemple: sous X, tu peux taper xterm et ça t'ouvre un second xterm. J'avais testé, puis dit: c'est nul car le premier xterm n'est plus utilisable.
En vrai, je sais pas trop quoi donner comme conseil à un débutant. Commencer par le FHS? Commencer par une explication du shell (en prenant comme default un bash). Débuter avec le prompt? Puis "commande", puis "commande et arguments" avec des arguments de type options préfixées par un tiret et arguments? Faire un "ls", "ls -l", "ls -la", utiliser l'environnement graphique en imaginant que le débutant sait utiliser déjà windows ou mac?
Je suis étonné de cette réponse. Pour moi, man n'est pas là pour apprendre ce que fait une commande. C'est une documentation exhaustive. Du coup, dire à un débutant "t'as qu'a taper man " ça l'aide pas des masses.
Ensuite, j'ai vu des gens galérer dans le man. Question légitime: tu tapes man ls, comment tu reviens au terminal? (appuyer sur la touche 'q' ne tombe pas automagiquement sous le sens).
Si tu veux aider, faut donner des exemples, des liens, des howto, des pistes pour donner envie d'apprendre. Si on cherche man cat par exemple:
CAT(1) User Commands CAT(1)
NAME
cat - concatenate files and print on the standard output
Enchaînement des idées entre elles, des faits entre eux suivant la causalité.
Dans certains langages de programmation, enchaînement de deux listes ou de deux chaînes de caractères mises bout à bout.
Contraire : dichotomie
Juxtaposition et enchaînement d'unités linguistiques dans un ordre donné.
La définition 2 parle de "langage de programmation" mais après??? Continuons plutôt le man. Ca dit "print" ensuite. Print, comme une imprimante? Et standard output? Là, le débutant il est totalement perdu.
Du coup, dire aux débutants: t'a qu'a taper "man man et tu sauras tout, RTFM KTHXBYE, source: crois moi je suis prof" me semble absolument contre productif.
La force brute limitée à 10 tests par jour a peu de chance de trouver un mot de passe réellement utilisé, alors qu’en centaines ou milliers de tests par seconde, c’est autre chose.
Mais là, c'est plus un problème de politique de mot de passe et politique ssh, non?
A priori, si tu durcis raisonnablement ton serveur ssh (genre connexion que par clé et non par mot de passe), alors le bruteforce n'a aucune chance d'aboutir, que ce soit à 10 tentatives par jour ou des millions par seconde.
mais mon petit doigt m'a dit, «mais si android utilise le noyau de linux, cela doit être, nom de nom, plus ou moins libre, tout ça!»
Linux (le kernel) est libre. Android se base sur un kernel linux (et tout un tas d'autres trucs). Android permet de lancer des applications. Ces applications peuvent être libres ou propriétaires, payantes ou gratuites.
Donc le lien android utilise linux -> l'appli machin est libre n'est pas vérifié du tout.
Maintenant, tu parles de chrome qui "reconnait" des photos (j'y connais rien). Chrome est dispo sur tous les OS (linux, mac, windows, android). Donc j'aurai tendance à dire: installes chrome sous linux et regarde si ça marche?
Ensuite, si tu veux Android et pas de smartphone, tu peux utiliser un émulateur. Il y a le SDK google, ou plein d'autre (j'ai utilisé genymotion dans le temps).
Si cela signifie que la surveillance automatique va simplement scanner automatiquement les images attachés dans des mails et comparer le hash de ces images avec une base d'images
on parle de hash (fonction de prise d'empreinte à sens unique), mais juste au dessus:
they are not able to deduce the substance of the content of the communications but are solely able to detect patterns
Ca ressemble plus à de la regexp quand même. Donc si je dis: "oh oui, mon petit bichon, je t'aime" en parlant de mon chien, le robot (idiot) va grep sur "mon petit" et sur "aime" -> bim bam boum -> menottes police prison.
#! /bin/bash
echo "input: " $1
echo "output: " $2
echo "Give Ratio (default: plop)"
read ratio
[ -z $ratio ] && ratio="plop"
echo you chose $ratio as ratio
dans l'ordre, tu lances ./script.sh file1.MP4 fileout.mp4
$1 -> premier argument (comme ça tu as l'autocomplétion du shell)
$2 -> second argument
ensuite, read variable va te demander une variable, si tu fais entrée, la variable n'est pas renseignée (elle n'existe pas)
[ -z $ratio ] --> Ca veut dire, on teste si la variable ratio existe
&& --> si la condition est vraie ($ratio n'existe pas)
ratio="plop" -> on lui met la valeur par défaut
En gros, soit $ratio vaudra "plop" soit la valeur que tu lui met.
et la ligne de commande à la fin ça va être du genre
$ ffmpeg -i "$1" -c:a "$libvorbis" -c:v "$libx265" -crf "$crf" -preset "$fast" -ss "$ss" -map_metadata 0 -y "$2" penses à bien quoter les variables pour éviter les pb d'espace. Y'a 0 gestion d'erreurs, donc si tu entres n'imp, ça fera n'imp.
mais est-ce vraiment difficile de faire à l'instar de n'importe quel ordinateur un noyau linux pouvant gérer n'importe quel crétinphone ? Trop difficle à faire car trop de différences entre chaque matos de ces appareils ?
exactement. Entre l'installeur, le noyau, la tétrachiée de périphériques différentes et les constructeurs qui filent pas forcément les specs, c'est en vrai très difficile.
Je comprends pas quel problème tu résouds avec ton système?
Le dépouillement est instantané, ok. Sachant qu'on a les résultats globalement déjà dans la minute qui suit la fin de l'élection, à quoi ça sert?
Je vois un problème, c'est qu'il devient possible de suivre minute après minute la tenue de l'élection. A 10h, on sait qu'il y a 45 bulletins pour A, 23 pour B, etc… Est-ce un problème? On a vu des élus tenter de rameuter la population aux urnes lorsque leurs résultats partiels sont mauvais, ça risque d'amplifier le modèle.
Ce qrcode soulève aussi le problème de la sincérité du vote: s'il est visible et qu'une caméra dans l'urne peut le lire, n'importe qui peut le lire. On peut toujours corriger ça avec un tag NFC qui a une portée ridiculeusement courte, ou un besoin d'alimentation externe (pour éviter que quelqu'un avec une grosse antenne lise ton vote entre l'isoloir et l'urne). Là, impossible pour un tiers de savoir si tu as voté, pour qui tu as voté, etc.. Ca complexifie un poil la tenue de l'élection: une enveloppe contenant un tag NFC avec alimentation externe (ou système équivalent).
Bien. Revenons au problème initial. On a fait tout ça pour quoi déjà? Pour avoir des résultats rapidement? On ajoute une complexité folle pour quel résultat? Tout ça pour au final recompter manuellement (c'est dans ta proposition: "Je pars du principe qu'on garde un dépouillement humain qui sera le résultat définitif"). Donc si F c'est la fin de l'élection, à F+0s l'ordinateur donne le résultat, à F+1mn on a la confirmation des bureaux de vote. Tout ça pour gagner quelques pouillèmes de secondes, permet moi de dire que je ne vois que des inconvénients à ce système.
Après si tu es très bon, tu peux trouver du taf sans diplômes!
En vrai, c'est quasi faux. De manière exceptionnelle, tu trouves du taf sans diplome. Fais un diplôme, et fais toi embaucher.
En attendant, code, cherche pas à t'introduire dans un serveur, mais on l'a tous fait.
NON. Il existe suffisamment de sites de challenges dans lesquels il est légal de jouer avec (sans parler des bug bounty). Ne fais pas joujou avec l'infra du voisin sans son accord.
Si tu le fait deface rien, prend le r00t, informe.
Peut-être ton premier job!
Clairement non. Le hacker qui a défoncé une boite et qui se fait engager par la suite, c'est de la légende urbaine. Si tu défonces une boite, tu risques surtout d'avoir des ennuis.
Essayer de m'introduire légalement dans une entreprise pour trouver des vulnérabilité, le rêve.
C'est pas l'inverse? Tu utilises des vulnérabilités pour t'introduire dans une entreprise.
La question qui suit, c'est: comment on apprend les vulns? Bah, apprend l'informatique (au sens large). Et après, fait des challenges, y'a masse d'informations sur internet. On dit souvent que la première du pentester, c'est de savoir chercher :) donc cherches, lis, cherche encore, lis encore, et ça viendra.
Après, est-ce que les pentesters ont pas une image un peu fausse? Genre trouver des XSS et envoyer des .doc avec macro en phishing, c'est pas forcément du Mr Robot avec des écrans qui clignotent :D
Je découvre un peu kdenlive et c'est vraiment génial comme logiciel, et je peux monter plein de petits films, c'est marrant. Y'a encore quelques trucs qui m'échappent:
-dans la timeline, j'aimerai zoomer ou avoir une précision quasi image par image pour couper au bon moment, c'est pas super simple :-/
-idem dans la timeline, j'aimerai synchroniser des sons avec des images. C'est pas super simple pour synchro le milieu du son avec une image par exemple
-same avec la possibilité de baisser une partie du son (Genre un bruit à effacer sur une piste sonore). Là, je coupe le son en deux et je fais un fade out/fade in, mais si on pouvait "sculpter" la piste sonore ça serait super
-j'ai toujours pas compris comment superposer un effet visuel à une vidéo (genre un kaméhameha). A priori je peux remplacer une portion d'image par une autre, mais pas superposer en mode "genre fond vert"
-Il y a 5000 effets de compositions avec chacun 500 paramètres, mais comment trouver des effets sans les passer un par un? Genre faire un arrêt sur image?
RTFM je sais, mais c'est touffu comme logiciel :-)
[^] # Re: Agent Kwak.hta au rapport
Posté par octane . En réponse au message feuilleton. Évalué à 2.
ça existe encore usenet ?
[^] # Re: Il y a quand même de la grande naïveté
Posté par octane . En réponse au lien Récit : comment Manutan s’est sorti de la cyberattaque du 21 février 2021. Évalué à 2.
Avec 800 serveurs, bonne chance pour tout gérer dans un keepass. Non pas que c'est infaisable, mais 800 serveurs ça veut dire un paquet d'équipes, encore plus d'utilisateurs, vraisemblablement des développeurs et autant de chances de voir un password.xls, un script powershell avec le pass en clair pour monter un lecteur réseau, ou un admin qui s'est loggé il y a 1000 ans sur une machine et que mimikatz saura extraire.
[^] # Re: Il y a quand même de la grande naïveté
Posté par octane . En réponse au lien Récit : comment Manutan s’est sorti de la cyberattaque du 21 février 2021. Évalué à 7.
Et dans l'article il est dit qu'il s'est fait avoir initialement par un phishing. Du coup, la vitesse d'update n'a rien à voir.
Ensuite, ils ont utilisé une faille de sécurité. Mais c'est pas sur. Quand tu vois la facilité avec laquelle un pentester devient admin de domaine, ça fait peur. Et souvent c'est parce que les mots de passe admin traînent sur le réseau. Du coup l'attaquant n'utilise aucune faille de sécurité.
Donc tu peux être 100% à jour et de prendre un ransomware.
# ça fait un peu pub?
Posté par octane . En réponse à la dépêche DynFi Firewall, le premier parefeu Open Source français. Évalué à 10.
Ca ressemble à une plaquette publicitaire un peu, non?
Après, j'aime bien le côté libre, et tout et tout, mais c'est très orienté marketing?
Alors stomrshield c'est une base freeBSD, oui, mais tout le reste est du code privateur il me semble, non?
[^] # Re: Objectif : apprendre
Posté par octane . En réponse au message Demande d’aide pour un devoir sur Linux. Évalué à 2. Dernière modification le 08 septembre 2021 à 10:45.
bon, console, terminal, c'est la même chose. Tu as une invite de commande (ou prompt), qui attends tes commandes au clavier (ce que tu tapes). Généralement, tu tapes, une commande avec des options et des arguments. Genre
tout ce qui précède le '$' c'est le prompt, et ça peut varier. Tout ce qui suit, ce sont tes commandes. Du coup, tu as une commande 'ls' des options (c'est simple, les options sont préfixées par un tiret) et les arguments (c'est ce qui suit les options).
La commande, c'est 'ls', les options sont 'l' et 'a' et l'argument, c'est '/var'. Ca signifie que tu demandes à lister tous (options -a) les fichiers et dossiers du dossier /var de manière longue. Tu as exactement le même résultat avec ls -al /var ou ls -l -a /var ou ls /var -l -a.
ls ça sert à lister les fichiers (et dossiers). Les options l et a sont courantes, c'est 'l' comme long (la réponse est plus longue) et a signifie "all" (tous les fichiers, même ceux qui débutent par un "." ).
Bref. Là, on te demande de lister les fichiers de /var. Du coup, la commande c'est 'ls'. Si tu fais ls /var tu vas avoir un truc du genre:
(le nom des fichiers peut changer, ils correspondent à ce que tu as sur ta machine dans le dossier /var).
Bon, on se rapproche de la question, le prof veut une séparation avec des virgules. Hop hop hop, après un coup de google, on trouve une option '-m' de ls qui dit: "fill width with a comma separated list of entries"
du coup:
pour afficher 1 ligne par dossier, encore un coup de google, et on voit l'option -1. Là, pour le coup, pour vérifier tu peux taper man ls (touche 'q' pour sortir du man), et descendre jusqu'à lire l'option "-1"
[^] # Re: Objectif : apprendre
Posté par octane . En réponse au message Demande d’aide pour un devoir sur Linux. Évalué à 2.
Worst conseil ever pour un débutant, non? "Il va falloir configurer la complétion.
Configurer -> comment on fait? Déjà que le débutant sait pas taper ls -la sans se planter, ça va être chaud de lui expliquer
Complétion -> encore un mot barbare.
C'est plutôt le genre de truc que tu files au 2e ou 3e cours, en considérant que la complétion est déjà config par défaut.
Bah je reprends l'exemple. "man ls". La question: "comment on sort de la commande?". CTRL-C ne fonctionne pas. J'avais lu dans un cours un super exemple: sous X, tu peux taper xterm et ça t'ouvre un second xterm. J'avais testé, puis dit: c'est nul car le premier xterm n'est plus utilisable.
En vrai, je sais pas trop quoi donner comme conseil à un débutant. Commencer par le FHS? Commencer par une explication du shell (en prenant comme default un bash). Débuter avec le prompt? Puis "commande", puis "commande et arguments" avec des arguments de type options préfixées par un tiret et arguments? Faire un "ls", "ls -l", "ls -la", utiliser l'environnement graphique en imaginant que le débutant sait utiliser déjà windows ou mac?
[^] # Re: Objectif : apprendre
Posté par octane . En réponse au message Demande d’aide pour un devoir sur Linux. Évalué à 10.
Je suis étonné de cette réponse. Pour moi, man n'est pas là pour apprendre ce que fait une commande. C'est une documentation exhaustive. Du coup, dire à un débutant "t'as qu'a taper man " ça l'aide pas des masses.
Ensuite, j'ai vu des gens galérer dans le man. Question légitime: tu tapes man ls, comment tu reviens au terminal? (appuyer sur la touche 'q' ne tombe pas automagiquement sous le sens).
Si tu veux aider, faut donner des exemples, des liens, des howto, des pistes pour donner envie d'apprendre. Si on cherche man cat par exemple:
c'est quand même pas super engageant. "concatenate"? pour un débutant, ça veut dire quoi? La définition dit:
https://www.larousse.fr/dictionnaires/francais/concat%C3%A9nation/17858
La définition 2 parle de "langage de programmation" mais après??? Continuons plutôt le man. Ca dit "print" ensuite. Print, comme une imprimante? Et standard output? Là, le débutant il est totalement perdu.
Du coup, dire aux débutants: t'a qu'a taper "man man et tu sauras tout, RTFM KTHXBYE, source: crois moi je suis prof" me semble absolument contre productif.
[^] # Re: Piper un script depuis curl
Posté par octane . En réponse à la dépêche Sortie de CrowdSec 1.1.x : quelles sont les nouveautés ?. Évalué à 2.
http://www.bouletcorp.com/2017/11/02/recettes-de-grand-mere/
Le bicarbonate c'est plutôt pour TCP/IP :D
[^] # Re: Cybersécurité ou marketing ?
Posté par octane . En réponse à la dépêche Sortie de CrowdSec 1.1.x : quelles sont les nouveautés ?. Évalué à 2.
Mais là, c'est plus un problème de politique de mot de passe et politique ssh, non?
A priori, si tu durcis raisonnablement ton serveur ssh (genre connexion que par clé et non par mot de passe), alors le bruteforce n'a aucune chance d'aboutir, que ce soit à 10 tentatives par jour ou des millions par seconde.
# et root-me?
Posté par octane . En réponse au message Livre Linux/Pentesting pass culture. Évalué à 2.
On t'avait conseillé de t'inscrire sur root-me, tu l'as fait? Quel est ton score?
Lire des bouquins c'est bien, mais pratiquer je pense que c'est mieux :)
# lire ou vérifier?
Posté par octane . En réponse au message Bibliothèque vérification passe sanitaire. Évalué à 3.
Si c'est lire les données du qrcode, il y a pleins de ressources
https://blog.callicode.fr/post/2021/covid_pass.html
Si c'est vérifier la clé etc.. je ne sais pas.
# slackware
Posté par octane . En réponse au lien Slackware 15.0 release candidate one. Évalué à 6.
Slackware, c'est vraiment une bonne distro :-)
C'est (très) rugueux au début, mais tu peux la polir exactement à ta main. Une nouvelle slackware, ça fait toujours plaisir \o/
[^] # Re: Actualité et divisions
Posté par octane . En réponse au journal [HS] Quand quelqu'un vous parle de liberté.... Évalué à 2.
y'a pas de troll. Y'en a un qu'est bien, et l'autre qui vaut pas un clou et on devrait l'oublier. Après un rm -rf de ses sources.
# license, tout ça
Posté par octane . En réponse au message place d'Android dans le mouvement linux. Évalué à 3.
Linux (le kernel) est libre. Android se base sur un kernel linux (et tout un tas d'autres trucs). Android permet de lancer des applications. Ces applications peuvent être libres ou propriétaires, payantes ou gratuites.
Donc le lien android utilise linux -> l'appli machin est libre n'est pas vérifié du tout.
Maintenant, tu parles de chrome qui "reconnait" des photos (j'y connais rien). Chrome est dispo sur tous les OS (linux, mac, windows, android). Donc j'aurai tendance à dire: installes chrome sous linux et regarde si ça marche?
Ensuite, si tu veux Android et pas de smartphone, tu peux utiliser un émulateur. Il y a le SDK google, ou plein d'autre (j'ai utilisé genymotion dans le temps).
[^] # Re: Exagération ?
Posté par octane . En réponse à la dépêche La fin de la vie privée pour la correspondance numérique. Évalué à 5.
on parle de hash (fonction de prise d'empreinte à sens unique), mais juste au dessus:
Ca ressemble plus à de la regexp quand même. Donc si je dis: "oh oui, mon petit bichon, je t'aime" en parlant de mon chien, le robot (idiot) va grep sur "mon petit" et sur "aime" -> bim bam boum -> menottes police prison.
# rigolo
Posté par octane . En réponse au journal Les cons sur LinuxFR. Évalué à 10.
J'ai lu, je t'ai pris pour un con arrogant, puis j'ai relu (j'ai suivi tes conseils haha), et j'ai trouvé ça marrant en vrai \o/
Et n'oubliez pas, même si tout le monde est d'accord pour dire: "mort aux cons", cette belle unité se fissure lorsqu'il faut définir qui est le con.
# Torché à l'arrache
Posté par octane . En réponse au message Script shell à entrées différentes / interactives ?. Évalué à 3.
dans l'ordre, tu lances ./script.sh file1.MP4 fileout.mp4
$1 -> premier argument (comme ça tu as l'autocomplétion du shell)
$2 -> second argument
ensuite, read variable va te demander une variable, si tu fais entrée, la variable n'est pas renseignée (elle n'existe pas)
[ -z $ratio ] --> Ca veut dire, on teste si la variable ratio existe
&& --> si la condition est vraie ($ratio n'existe pas)
ratio="plop" -> on lui met la valeur par défaut
En gros, soit $ratio vaudra "plop" soit la valeur que tu lui met.
et la ligne de commande à la fin ça va être du genre
$ ffmpeg -i "$1" -c:a "$libvorbis" -c:v "$libx265" -crf "$crf" -preset "$fast" -ss "$ss" -map_metadata 0 -y "$2"
# noyau
Posté par octane . En réponse au message Système alternatif à android pour marque Wiko ?. Évalué à 4.
exactement. Entre l'installeur, le noyau, la tétrachiée de périphériques différentes et les constructeurs qui filent pas forcément les specs, c'est en vrai très difficile.
[^] # Re: Vote électronique et pourquoi pas ?
Posté par octane . En réponse au journal Vote par ordinateurs de vote / machines à voter en France, depuis 2017. Évalué à 8.
Je comprends pas quel problème tu résouds avec ton système?
Le dépouillement est instantané, ok. Sachant qu'on a les résultats globalement déjà dans la minute qui suit la fin de l'élection, à quoi ça sert?
Je vois un problème, c'est qu'il devient possible de suivre minute après minute la tenue de l'élection. A 10h, on sait qu'il y a 45 bulletins pour A, 23 pour B, etc… Est-ce un problème? On a vu des élus tenter de rameuter la population aux urnes lorsque leurs résultats partiels sont mauvais, ça risque d'amplifier le modèle.
Ce qrcode soulève aussi le problème de la sincérité du vote: s'il est visible et qu'une caméra dans l'urne peut le lire, n'importe qui peut le lire. On peut toujours corriger ça avec un tag NFC qui a une portée ridiculeusement courte, ou un besoin d'alimentation externe (pour éviter que quelqu'un avec une grosse antenne lise ton vote entre l'isoloir et l'urne). Là, impossible pour un tiers de savoir si tu as voté, pour qui tu as voté, etc.. Ca complexifie un poil la tenue de l'élection: une enveloppe contenant un tag NFC avec alimentation externe (ou système équivalent).
Bien. Revenons au problème initial. On a fait tout ça pour quoi déjà? Pour avoir des résultats rapidement? On ajoute une complexité folle pour quel résultat? Tout ça pour au final recompter manuellement (c'est dans ta proposition: "Je pars du principe qu'on garde un dépouillement humain qui sera le résultat définitif"). Donc si F c'est la fin de l'élection, à F+0s l'ordinateur donne le résultat, à F+1mn on a la confirmation des bureaux de vote. Tout ça pour gagner quelques pouillèmes de secondes, permet moi de dire que je ne vois que des inconvénients à ce système.
[^] # Re: Uni
Posté par octane . En réponse au message Devenir Pentester. Évalué à 2.
En vrai, c'est quasi faux. De manière exceptionnelle, tu trouves du taf sans diplome. Fais un diplôme, et fais toi embaucher.
NON. Il existe suffisamment de sites de challenges dans lesquels il est légal de jouer avec (sans parler des bug bounty). Ne fais pas joujou avec l'infra du voisin sans son accord.
Clairement non. Le hacker qui a défoncé une boite et qui se fait engager par la suite, c'est de la légende urbaine. Si tu défonces une boite, tu risques surtout d'avoir des ennuis.
[^] # Re: métier
Posté par octane . En réponse au message Devenir Pentester. Évalué à 2.
du coup, tu as la réponse à tes questions :)
passionné -> lit tout ce que tu peux sur l'informatique, teste, bidouille, soude, installe, formatte, compile, déglingue tout.
grand niveau en informatique -> fait des études d'info
L'association des deux devrait du coup te permettre d'avancer vers le métier de pentester
# métier
Posté par octane . En réponse au message Devenir Pentester. Évalué à 3.
C'est pas l'inverse? Tu utilises des vulnérabilités pour t'introduire dans une entreprise.
La question qui suit, c'est: comment on apprend les vulns? Bah, apprend l'informatique (au sens large). Et après, fait des challenges, y'a masse d'informations sur internet. On dit souvent que la première du pentester, c'est de savoir chercher :) donc cherches, lis, cherche encore, lis encore, et ça viendra.
Après, est-ce que les pentesters ont pas une image un peu fausse? Genre trouver des XSS et envoyer des .doc avec macro en phishing, c'est pas forcément du Mr Robot avec des écrans qui clignotent :D
[^] # Re: Résolu
Posté par octane . En réponse au message [Résolu] Créer un alias à l'intérieur d'un logiciel. Évalué à 10.
et au passage, compress est une commande système :)
donc peut-être utiliser un autre nom
[^] # Re: Sujet rarement débattu, merci
Posté par octane . En réponse au journal Et si on parlait de microcodes (firmware) open source pour serveur. Évalué à 6.
pour iLO par exemple, ça a l'air pas génial
https://www.sstic.org/2021/presentation/hpe_ilo_5_security_go_home_cryptoprocessor_youre_drunk/
il y a d'autres docs dans ce doc avec des previous research qui font un peu peur. Conclusion: séparez physiquement les réseaux !!!
# yep
Posté par octane . En réponse au journal Sortie de Kdenlive 21.04. Évalué à 4.
Je découvre un peu kdenlive et c'est vraiment génial comme logiciel, et je peux monter plein de petits films, c'est marrant. Y'a encore quelques trucs qui m'échappent:
-dans la timeline, j'aimerai zoomer ou avoir une précision quasi image par image pour couper au bon moment, c'est pas super simple :-/
-idem dans la timeline, j'aimerai synchroniser des sons avec des images. C'est pas super simple pour synchro le milieu du son avec une image par exemple
-same avec la possibilité de baisser une partie du son (Genre un bruit à effacer sur une piste sonore). Là, je coupe le son en deux et je fais un fade out/fade in, mais si on pouvait "sculpter" la piste sonore ça serait super
-j'ai toujours pas compris comment superposer un effet visuel à une vidéo (genre un kaméhameha). A priori je peux remplacer une portion d'image par une autre, mais pas superposer en mode "genre fond vert"
-Il y a 5000 effets de compositions avec chacun 500 paramètres, mais comment trouver des effets sans les passer un par un? Genre faire un arrêt sur image?
RTFM je sais, mais c'est touffu comme logiciel :-)