J'aime bien faire des petits exercices de sécurité entre deux lignes de codes, alors j'ai vite cliqué sur la page exercices.
Mais j'ai une petite surprise, là:
Tu veux dire qu'il faut que je d/l 172Mo pour faire un exercice de SQL injection???
Ne serait il pas plus simple de proposer ces challenges on-line? Ou de proposer une ISO unique sur laquelle tu installes/désinstalles les quelques Mo de challenges?
On constate quand même que debian c'est pas très bien comme distrib. En gros, la moitié des distribs existantes essayent de la forker pour en faire quelque chose de mieux au lieu de l'utiliser. C'est dire si elle est nulle!
(et là, paf -10 direct de la part des debianeux aigris)
Premier mode, easy as pie, comme disent les ricains. Dans le sshd_config, tu ajoutes:
Port 22
Port 80
Port 443
et tu relances sshd
puis tu essayes de te connecter avec ssh -p 80 -D 1080 login@IP ou ssh -p 443 -D1080 login@IP .
Si le filtrage est de piètre qualité, alors ça montera et tu mettras dans ton navigateur un proxy socks sur 127.0.0.1 port 1080. Et wala.
Deuxième mode, tu cherches ssh over ssltunnel, et hop.
Je suis plutôt d'accord avec les corrections de liens ou les typo les plus flagrantes. Mais corriger "lolcats" en "lol cats", c'est de la modification plus que de la correction. Ou mettre proxyfier entre guillemets, ou changer le mot HREF; on s'éloigne de très loin du simple polissage et on s'approche de la réécriture :-(
Je ne nie pas le travail des modéros (merci linuxfr \o/) mais j'aimerai juste qu'ils modèrent (haha) leurs ardeurs à la modification à tout crin, et que s'il se reconnait ici il peut m'envoyer un mail pour m'expliquer ses modifs car vraiment je ne les comprends pas..
Proposer de rejoindre facebook alors que je parle de dépendance à google, quel talent!
Le jour a facebook toussera, je serais heureux d'utiliser des outils libres et des protos décentralisés \o/
Juste une question: les modérateurs repassent sur les textes ou il s'agit d'un robot?
J'avais tapé lolcats en un seul mot, le voilà coupé en deux et en italique. Tiens, comme tous les mots à consonance anglaise. Ou bien completion qui devient complètement. Et des guillemets autour des termes techniques. Que se passe t'il donc? J'avais pas lu ça dans les CGV lorsque j'ai acheté mon abonnement mensuel à linuxfr, moi :-/
Tiens, test: Un mot very english, oh yeah! qui n'est pas en italique.
test2: j'utilise l'autocompletion sous bash
test3: et avec des asterisques autour d'un mot.
test4: la proxyfication du pingouin dans l'espace
Oui.
IPv6 on/off, même combat. De toute façon seul l'IPv4 sort de chez moi.
Je viens de voir que j'avais (en plus) mis les DNS google dans ma conf /o\
Pour le debug, c'est simple. Je lance wireshark, je regarde les trames et il y en a plein qui partent vers un domaine de google (gstatic, 1e100, etc..) sans jamais revenir. Je n'ai même pas un petit ICMP unreachable, non, j'ai juste un gros timeout. Et comme en plus il arrive qu'au bout de 5 mn un pauvre paquet sorti des limbes finit par arriver, alors ça repart pour un tour de l'infernal manège du timeout TCP :(
J'ai commencé comme un gros sale a mettre dans mon /etc/hosts des domaines vers 127.0.0.1 mais c'est peine perdue. Trop de domaines. Je suis en train de lire la doc de dnsmasq pour faire des catchalls, mais ça semble pas trop possible :-/
Bon, je vais en profiter pour me risquer dans le monde étrange et curieux qui s'appelle "IRL".
Certains geeks y seraient allés, parait il, et auraient même survécu. Parmi ceux qui en sont revenus, certains racontent même (non, ça n'est pas une légende) qu'il existe des "filles" avec un nom de famille autre que .jpg ou .png. Je vais aller voir et vous tient au courant.
Mais comme cette attaque impose d'être "proche" de la victime pour écouter les réponses chiffrées, on peut imaginer qu'ils sont sur un réseau RFC1918, masqués par la même IP publique…
L'hypothèse du wifi open dans un cybercafe rentre complètement dans le scope de l'attaque.
Pour le premier point, rien de bien compliqué, on crée une fausse page avec une vidéo youtube à la con (pour que la victime garde la page ouverte assez longtemps pour que l'attaque réussisse) et du javascript qui va générer les requêtes depuis une iframe cachée.
Ok, je commence à voir. Une page du genre:
-iframe de taille 0
--javascript : requête moi en boucle la page 'sitesecure.net' en ajoutant l'entête Cookie qui va bien. Ca, javascript doit savoir le faire sans trop de mal.
-frame
--video youtube de chats (sauf pour les freenautes, voir l'autre journal)
Donc, même si le cookie est protégé par httponly et que le js ne peux pas le voir, le navigateur va l'ajouter.
Par contre, j'ai du mal a voir comment utiliser les balises IMG ? Un truc de genre IMG SRC="Cookie: A" afin de faire de la redondance?
Le premier scandale c'est qu'une oeuvre ayant enfin atteint le domaine public, en dépit des durées de copyright grotesques, peut subrepticement se retrouver propriétarisée à nouveau via son fichier numérique.
C'est effectivement grave. De ce point de vue, je suis d'accord.
Le second scandale c'est que l'argent public (du budget de la BNF) et les dons du public (via l'appel aux dons lancé pour cette oeuvre) ne profitent pas au public.
Bin, là si, ça profite au public. L'oeuvre est achetée, elle est accessible au public (pas d'autres restrictions que commerciales). De la même manière que je ne peux pas faire un concert payant avec des CD de la bibliothèque, mais je peux l'écouter.
Je lis et je relis tout ça et ne voit pas vraiment le scandale de tout cela.
Imaginons que l'oeuvre numérique est libérée de tout droit, y compris commerciaux. Un éditeur va immédiatement en tirer une sortie papier de qualité et la vendre au prix fort. L'argent public a servi à enrichir un privé. Je pense à juste titre qu'un éditeur le fera car ce genre de bouquin est apprécié d'un public agé, peu intéressé par la technique du lecteur pdf/tablette etc… (les chercheurs auront de toute façon une version numérique du doc, donc ils ne sont pas concernés)
Imaginons le statut actuel du bouquin. Je peux le lire, le diffuser (gratuitement) et le partager. Si d'aventure une édition se fait, elle sera sous l'égide de la BnF, permettant d'en récupérer les bénéfices. Bénéfices qui, éventuellement, serviront à acheter ou restaurer d'autres bouquins.
De mon point de vue, le monde se dirige de plus en plus vert une informatique mobile.
Oui, mais non. La mobilité n'a pas fait disparaitre le PC de bureau. Elle l'a complétée, mais pas remplacée. Exemple typique, l'iphone/ipad qui a besoin d'une machine apple pour fonctionner à 100%.
[remplacer]tous les deux ans parce que tout d'abord on est dans une crise economique mondiale colossale
Les marketeux n'ont pas attendu la crise pour nous vendre toujours plus de disque, de RAM et de résolution d'écran. Un certain mr moore (pas le cinéaste, hein) parlait d'une loi répétitive tous les 18 mois.
Et une fois qu'on a atteind une resolution "retina", il n'y a plus de raison de changer d'ecran.
On entend ça depuis le début de l'informatique: "640ko ça devrait être suffisant pour tout le monde", etc.. Dans 2 ans tu auras un écran Retina2-enhanced et ça continuera.
il faut proteger le systeme en cas de vol, car toutes les donnees seront accessible depuis cette "unite centrale".
Vaste programme!
Si on veut permettre a des entreprises externe de contribuer aux systemes :
- il faut augmenter la securite de Linux (pour commencer se debarrasser de X et passer a Wayland).
- il faut garantir la stabilite des API/ABI pour plusieurs annees (au minimum 5 ans).
- il faut mettre en place un mecanisme de "store" permettant facilement a une societe de deployer leur application sur de nombreuse distribution (je pense que pour l'instant, Valve avec Steam est la mieux place pour cette tache).
Juste enorme! Linux a toujours eu une réputation de sécurité au contraire de windows. L'API/ABI n'a jamais intéréssé les utilisateurs. Et le mécanisme de store était pendant longtemps une plus-value de linux! apt-get install et hop. A l'époque, il fallait galérer sous tous les autres systèmes pour trouver le bon prog, l'installer, se battre avec les dll-hell etc…
Je pose une vraie question: comment est-ce possible qu'en 2012 un linuxien réclame plus de sécurité et un store???
Ensuite, pour les smartphones qui font tout, pourquoi pas. Quoi qu'en disent les détracteurs, gnome3 en prend le chemin. Un smartphone très puissant, qui peut se plugger sur une UC (clavier, grand écran). A l'environnement graphique de gérer tout ça.
Ceci dit, tu donnes juste le nom de la fonction, qui aurait pu s'appeler plop();
Il faudrait aller lire les 10 lignes de code de cette fonction, qui, si je comprends bien, crée un nouveau contexte de sécurité, lui donne tous les droits (entre autre sur file://) et après va exécuter du code dans ce contexte (?!?!) sans que java ou sa sandbox ne trouve rien à redire là-dessus.
Genre, je ne suis que simple user, et je demande à mettre un bit s sur un binaire root, et que le noyau dise: ouais, vazy mon gars, tu peux le faire.
En général, suite à une coupure de cable, le traffic est rerouté par ailleurs.
Voilà je pense tout l’intérêt du document. Tu dis: "en général" Est-ce vrai? Ensuite le trafic est rerouté. Oui, mais comment? Et est-ce fiable? C'est rerouté via des annonces BGP. Et si c'est BGP qui casse (http://www.bortzmeyer.org/bgp-attribut-99.html ) etc etc..
Dans le vrai monde et la vraie réalité pas générale du tout, lorsqu'une pelleteuse coupe 1 fibre optique, il n'y a pas de reroutage et pas mal de gros sites sont HS (de mémoire TF1 et le site du ministère de la défense). http://www.zdnet.fr/blogs/infra-net/une-pelleteuse-coupe-le-site-web-du-ministere-de-la-defense-et-beaucoup-d-autres-39760750.htm
Tout ça donne donc des indicateurs à mesurer, internet ça fonctionne bien, mais rien n'est magique derrière et il n'y a que des bouts de codes et des interventions humaines.
Il y a quand même des bouts de réponse. Si le "DNS" en France ne marche pas (hypothèse: Tous, absolument tous les serveurs sont DOWN), alors internet ne marche pas, ou tellement mal que cela est insatisfaisant.
Donc, comment fonctionne le DNS? Est-ce qu'une panne unique peut toucher tous les serveurs DNS simultanément (panne, attaque informatique, bug, panne hardware genre un coup de pelleteuse qui coupe les cables d'un datacenter), etc..
Idem avec BGP. Bortz (Monsieur Bortzmeyer) avait fait un très bon article sur des pannes BGP et une conf au SSTIC là dessus.
Internet, à la base, ça devait résister aux attaques nucléaires et continuer à fonctionner même si on ampute un grand bout de son réseau. Puis on a eu quelques cas réels de pannes. Il y a eu la mamie au sécateur dans un pays de l'Est, la pelleteuse chez nous, et on se rend compte que l'histoire de l'internet qui se répare tout seul ne fonctionne pas toujours. La faute à la centralisation, le peu de redondances de liens, etc..
Ensuite, on peux aussi sans doute calculer la dépendance à l'internet. Si Internet disparait pendant une certaine durée dans un lieu (entreprise, administration, ville, état etc..), quelles en serait les conséquences?
Pour une mairie, plus d'internet pendant une semaine, c'est viable? La catastrophe? Un drame? Un retour au papier possible? Plausible? Généralisable? Et pour un hôpital? Etc…
Tout ça pose beaucoup de questions, le papier commence à y répondre, c'est très administratif, ça fait très "patrimoine immatériel" donc ça ne m'étonne pas que ce soit l'état qui travaille là dessus. Quoi qu'il en soit, c'est à lire je pense.
Avant on avait pour une société un site web: www.société.com . Aujourd'hui on a que : facebook.com/société
Un film sort: allez sur facebook. Une manif: facebook, un concert, idem, etc etc…
Et lorsque je clique dessus, bam: faut se logger p'tit gars si tu veux lire le contenu.
Et tout centraliser chez un hébergeur américain qui te profile, désolé, je peux pas. Déjà qu'on me demande de plus en plus mon facebook au lieu de mon mail, ça m'agace.
veulent être visibles en dépit de leur non-pertinence.
Oui bah si saucisson Léon qui vend du saucisson est premier résultat google quand on tape saucisson léon, alors je pense qu'il est difficile de trouver ça non-pertinent.
Ensuite, oui, google a déjà changé son algo car les SEO arrivaient trop bien à faire remonter des sites webs via les content-farms entre autre. Et non, le SEO n'est pas devenu obsolète.
Ensuite, je pense que tu as un raisonnement circulaire:
-si je veux acheter du saucisson léon, alors je n'irais pas me renseigner sur internet.
-Les SEO qui remontent saucisson léon dans les pages google ne servent alors à rien
-conclusion: les SEO ne servent à rien
Une fois que tu as ça en tête, effectivement, tant que tu t'accroches à ta première hypothèse, alors la suite en découle "naturellement". C'est la même chose avec les fanboys apple
"apple c'est beau c'est bien" puis "les autres c'est moins bien" conclusion: apple saymieu!
Sauf que si tu prends le point de vue des sites marchands, c'est:
-je suis en page 1 de google, j'ai de la visite ET des clients.
-je suis en page 2 et suivants, j'ai un nombre dramatiquement plus faible de ventes. Et ça, il n'y a qu'a faire des recherches sur google panda à l'époque de sa sortie et tu verras des chiffres et des hurlements qui prouvent bien que le ranking de sortie sur google est directement lié aux ventes potentielles.
-conclusion: quelqu'un qui connait les techniques permettant de remonter dans google va vendre son savoir-faire.
Ce savoir faire sera peut-être tout ce qu'il y a de plus "basique" comme faire un site clair et bien écrit avec de bons mots-clés, ou comme on te l'as dit pour saucisson léon de ne surtout rien faire! C'est un peu du marketing, ciblé "web", ils ont un mot pour ça. Faut il les clouer au pilori pour ça? Je ne pense pas.
Ca rejoint le marketing. On sait tous que voir des filles nues pour faire vendre c'est un scandale. Néanmoins, on continue de mettre des filles nues car, oh surprise, ça fait encore vendre. Et il y aura des spécialistes en pub/marketing qui conseilleront de mettre des filles nues sur les pubs. une nimage de circonstance. Pour les sites web, c'est pareil. Tant qu'être en première page de google te fera plus vendre qu'être en deuxième page, alors il y aura de SEO qui te feront remonter les deux ou trois crans qui te manquent.
Si je résume, en fait, le SEO est utile pour les sites qui ont construit leur business sur le fait d'être premier sur Google pour une requête donnée.
Et à quoi sert google? Lorsque tu cherches un resto, ou que tu as pété ta courroie de distribution de voiture? Tu vas sur google. Tu appelles qui? Tu fais soigneusement de prendre le gus en 5e page, ou tu t'arrêtes au 3 premier? Pourquoi à l'époque des pages jaunes des tas de gars montaient leur boite avec un nom qui commence par A? Parceque face à une pléthore d'infos, tu prends le premier.
non-fidélisation des clients et donc la nécessité de toujours lutter pour être sur Google. Bref, un cercle vicieux.
Moui, je casse ma courroie de distribution tous les jours et aie besoin d'être fidèle à Garage truc. Lorsque je cherche à faire racheter mon crédit, je vais chez le même petit artisan qui me le rachète depuis 45 ans. Dans pleins d'endroits la fidélité est accessoire. De + un client fidèle, plus besoin de lui plaire, par contre en chercher de nouveaux c'est + intéressant…
Si je veux acheter du saucisson, un être humain tentera de trouver les recommandations qui disent "le saucisson léon, il est bon"
Hop, affirmation péremptoire qui va écraser tout le reste de l'argumentaire et sur lequel tu bases l'intégralité de ta réflexion. Tu avais eu plein de réponses intéressantes là dessus.
Peut-être que toi, ploum, être rempli de sagesse et de bon sens, tu vas demander sur des forums, au voisin, au passant et à tout ça. Les gens, la masse, ceux qui ont de l'argent, ils partent en vacances, ils tapent "vacances région ardèche gastronomie" et hooo, un SEO à fait popper "Saucisson Léon d'ardèche". Ils visitent, ils sont heureux, ils mangent bien. Ce sont les mêmes qui achètent des "Adidas triple X" car à la pub, l'athlète machin il dit que c'est bien.
Pour les requêtes, cela va dépendre. Pour un mariage, les gens cherchent une salle. Généralement ils attachent de l'importance et vont sur des forums comme aufeminin point com et ils lisent les avis [Ce qui est encore plus contradictoire tellement c'est subjectif les histoires d'ambiance].
Pour un garagiste ou un plombier ouvert ou un rachat d'assurance, on veut du résultat, l'avis des autres, on s'en fout. Et là, c'est comme à l'époque des pages jaunes, on passe pas 10 ans à faire des comparatifs, demander des avis etc..
Le phénomène de bulles
Oui, bah je ne vois pas quelle bulle google va me sortir si je cherche un vitrier car j'ai pété une fenêtre. Qu'il s'agisse d'un langage de prog ou d'un OS, je veux bien croire que google me cerne et m'enferme, mais pour une requête aussi lointaine, ça ne m'impacte pas.
J'ai lu ton blog, j'ai lu les raccourcis super rapide que tu prends, et j'ai lu les réponses parfois amusantes, parfois intéressantes et parfois instructives des SEO (je laisse de côté les grognons).
Rapidement: ton exemple de saucisson de l'ardèche ne tient pas la route.
le petit site qui va couter cher car il croule sous les requêtes amenées par un SEO ne semble pas pertinent.
Le SEO est il utile: ça dépend pour qui. Si tu veux te "placer", oui il vaux mieux aller voir un spécialiste du domaine. De la même manière que je peux monter ma plomberie chez moi, je peux aussi aller demander conseil, voir faire faire. Etre bien placé dans les requêtes google pour un site marchand, c'est essentiel. Lorsque google a changé son algo, des sites ont annoncés une baisse de 70% non pas de visites, mais de chiffre d'affaire. Lorsqu'un gugus estampillé SEO arrive et promet de faire remonter le site sur la 1ere page, je te pose la question: son rôle est il utile?
Enfin, les algos de google son secrets. Mais il n'empêche que des webmasters chevronnés savent ce qui "plait" et ce qui "déplait" à google, c'est une forme de connaissance et ils peuvent soit la partager soit vendre cette compétence.
Dit autrement, le SEO, c'est comme la pub. Tu peux trépigner en disant que c'est nul, qu'un vendeur de saucisson d'ardèche avec ses trois cochons ne gagnera rien à faire une campagne sur TF1, il n'empêche que c'est un métier, que (beaucoup) de fric coule dedans, et qu'il joue beaucoup sur la crédibilité de l'acheteur, du webmaster et d'un peu de poudre verte.
# Ok, super, mais
Posté par octane . En réponse au journal Cours gratuits sur la sécurité et l'intrusion web (en Anglais). Évalué à 2.
J'aime bien faire des petits exercices de sécurité entre deux lignes de codes, alors j'ai vite cliqué sur la page exercices.
Mais j'ai une petite surprise, là:
Tu veux dire qu'il faut que je d/l 172Mo pour faire un exercice de SQL injection???
Ne serait il pas plus simple de proposer ces challenges on-line? Ou de proposer une ISO unique sur laquelle tu installes/désinstalles les quelques Mo de challenges?
# debian is dying
Posté par octane . En réponse au journal Quelques chiffres. Évalué à 10.
On constate quand même que debian c'est pas très bien comme distrib. En gros, la moitié des distribs existantes essayent de la forker pour en faire quelque chose de mieux au lieu de l'utiliser. C'est dire si elle est nulle!
(et là, paf -10 direct de la part des debianeux aigris)
[^] # Re: Tunnel
Posté par octane . En réponse au journal Free et Google. Effets de bord. Évalué à 3.
Premier mode, easy as pie, comme disent les ricains. Dans le sshd_config, tu ajoutes:
Port 22
Port 80
Port 443
et tu relances sshd
puis tu essayes de te connecter avec ssh -p 80 -D 1080 login@IP ou ssh -p 443 -D1080 login@IP .
Si le filtrage est de piètre qualité, alors ça montera et tu mettras dans ton navigateur un proxy socks sur 127.0.0.1 port 1080. Et wala.
Deuxième mode, tu cherches ssh over ssltunnel, et hop.
[^] # Re: Question au modérateur
Posté par octane . En réponse au journal Free et Google. Effets de bord. Évalué à 10.
Je suis plutôt d'accord avec les corrections de liens ou les typo les plus flagrantes. Mais corriger "lolcats" en "lol cats", c'est de la modification plus que de la correction. Ou mettre proxyfier entre guillemets, ou changer le mot HREF; on s'éloigne de très loin du simple polissage et on s'approche de la réécriture :-(
Je ne nie pas le travail des modéros (merci linuxfr \o/) mais j'aimerai juste qu'ils modèrent (haha) leurs ardeurs à la modification à tout crin, et que s'il se reconnait ici il peut m'envoyer un mail pour m'expliquer ses modifs car vraiment je ne les comprends pas..
[^] # Re: Page Facebook
Posté par octane . En réponse au journal Free et Google. Effets de bord. Évalué à 8.
Proposer de rejoindre facebook alors que je parle de dépendance à google, quel talent!
Le jour a facebook toussera, je serais heureux d'utiliser des outils libres et des protos décentralisés \o/
# Question au modérateur
Posté par octane . En réponse au journal Free et Google. Effets de bord. Évalué à 7.
Juste une question: les modérateurs repassent sur les textes ou il s'agit d'un robot?
J'avais tapé lolcats en un seul mot, le voilà coupé en deux et en italique. Tiens, comme tous les mots à consonance anglaise. Ou bien completion qui devient complètement. Et des guillemets autour des termes techniques. Que se passe t'il donc? J'avais pas lu ça dans les CGV lorsque j'ai acheté mon abonnement mensuel à linuxfr, moi :-/
Tiens, test: Un mot very english, oh yeah! qui n'est pas en italique.
test2: j'utilise l'autocompletion sous bash
test3: et avec des asterisques autour d'un mot.
test4: la proxyfication du pingouin dans l'espace
wala, bonjour robot :-)
[^] # Re: Debug
Posté par octane . En réponse au journal Free et Google. Effets de bord. Évalué à 10.
Oui.
IPv6 on/off, même combat. De toute façon seul l'IPv4 sort de chez moi.
Je viens de voir que j'avais (en plus) mis les DNS google dans ma conf /o\
Pour le debug, c'est simple. Je lance wireshark, je regarde les trames et il y en a plein qui partent vers un domaine de google (gstatic, 1e100, etc..) sans jamais revenir. Je n'ai même pas un petit ICMP unreachable, non, j'ai juste un gros timeout. Et comme en plus il arrive qu'au bout de 5 mn un pauvre paquet sorti des limbes finit par arriver, alors ça repart pour un tour de l'infernal manège du timeout TCP :(
J'ai commencé comme un gros sale a mettre dans mon /etc/hosts des domaines vers 127.0.0.1 mais c'est peine perdue. Trop de domaines. Je suis en train de lire la doc de dnsmasq pour faire des catchalls, mais ça semble pas trop possible :-/
Bon, je vais en profiter pour me risquer dans le monde étrange et curieux qui s'appelle "IRL".
Certains geeks y seraient allés, parait il, et auraient même survécu. Parmi ceux qui en sont revenus, certains racontent même (non, ça n'est pas une légende) qu'il existe des "filles" avec un nom de famille autre que .jpg ou .png. Je vais aller voir et vous tient au courant.
# 640 CPUs?
Posté par octane . En réponse à la dépêche Windows 8, Windows Server 2012 et Windows Phone 8. Évalué à 10.
Et comme le dit Bill: 640 CPUs should be enough for everyone \o/
[^] # Re: ou pas toujours
Posté par octane . En réponse au journal La fin du monde est (une fois de plus) pour demain : SSL crime. Évalué à 5.
Mais comme cette attaque impose d'être "proche" de la victime pour écouter les réponses chiffrées, on peut imaginer qu'ils sont sur un réseau RFC1918, masqués par la même IP publique…
L'hypothèse du wifi open dans un cybercafe rentre complètement dans le scope de l'attaque.
[^] # Re: Réponse
Posté par octane . En réponse au journal La fin du monde est (une fois de plus) pour demain : SSL crime. Évalué à 6.
Ok, je commence à voir. Une page du genre:
-iframe de taille 0
--javascript : requête moi en boucle la page 'sitesecure.net' en ajoutant l'entête Cookie qui va bien. Ca, javascript doit savoir le faire sans trop de mal.
-frame
--video youtube de chats (sauf pour les freenautes, voir l'autre journal)
Donc, même si le cookie est protégé par httponly et que le js ne peux pas le voir, le navigateur va l'ajouter.
Par contre, j'ai du mal a voir comment utiliser les balises IMG ? Un truc de genre IMG SRC="Cookie: A" afin de faire de la redondance?
[^] # Re: Encore heureux qu'ils trichent !
Posté par octane . En réponse au journal Google, entreprise vertueuse. Évalué à 10.
Eh bien, même en respectant les règles, tu peux être condamné. Cela s'appelle "l'abus de droit".
Voici un lien généraliste l'expliquant : www.cabinet-haddad.com/spip.php?article30 et le code des nimpots http://www.impots.gouv.fr/portal/dgi/public/popup;jsessionid=0RKPMFALYEPYPQFIEIPSFEY?espId=2&typePage=cpr02&docOid=documentstandard_5757
[^] # Re: Mais?
Posté par octane . En réponse au journal Le Livre d'heures de Jeanne de France : une arnaque !. Évalué à 2.
C'est effectivement grave. De ce point de vue, je suis d'accord.
Bin, là si, ça profite au public. L'oeuvre est achetée, elle est accessible au public (pas d'autres restrictions que commerciales). De la même manière que je ne peux pas faire un concert payant avec des CD de la bibliothèque, mais je peux l'écouter.
# Mais?
Posté par octane . En réponse au journal Le Livre d'heures de Jeanne de France : une arnaque !. Évalué à 7.
Je lis et je relis tout ça et ne voit pas vraiment le scandale de tout cela.
Imaginons que l'oeuvre numérique est libérée de tout droit, y compris commerciaux. Un éditeur va immédiatement en tirer une sortie papier de qualité et la vendre au prix fort. L'argent public a servi à enrichir un privé. Je pense à juste titre qu'un éditeur le fera car ce genre de bouquin est apprécié d'un public agé, peu intéressé par la technique du lecteur pdf/tablette etc… (les chercheurs auront de toute façon une version numérique du doc, donc ils ne sont pas concernés)
Imaginons le statut actuel du bouquin. Je peux le lire, le diffuser (gratuitement) et le partager. Si d'aventure une édition se fait, elle sera sous l'égide de la BnF, permettant d'en récupérer les bénéfices. Bénéfices qui, éventuellement, serviront à acheter ou restaurer d'autres bouquins.
Donc, parler de scandale, je ne vois pas trop (?)
# Oui, mais.
Posté par octane . En réponse au journal Self serving. Évalué à 10.
Oui, mais non. La mobilité n'a pas fait disparaitre le PC de bureau. Elle l'a complétée, mais pas remplacée. Exemple typique, l'iphone/ipad qui a besoin d'une machine apple pour fonctionner à 100%.
Les marketeux n'ont pas attendu la crise pour nous vendre toujours plus de disque, de RAM et de résolution d'écran. Un certain mr moore (pas le cinéaste, hein) parlait d'une loi répétitive tous les 18 mois.
On entend ça depuis le début de l'informatique: "640ko ça devrait être suffisant pour tout le monde", etc.. Dans 2 ans tu auras un écran Retina2-enhanced et ça continuera.
Vaste programme!
Juste enorme! Linux a toujours eu une réputation de sécurité au contraire de windows. L'API/ABI n'a jamais intéréssé les utilisateurs. Et le mécanisme de store était pendant longtemps une plus-value de linux! apt-get install et hop. A l'époque, il fallait galérer sous tous les autres systèmes pour trouver le bon prog, l'installer, se battre avec les dll-hell etc…
Je pose une vraie question: comment est-ce possible qu'en 2012 un linuxien réclame plus de sécurité et un store???
Ensuite, pour les smartphones qui font tout, pourquoi pas. Quoi qu'en disent les détracteurs, gnome3 en prend le chemin. Un smartphone très puissant, qui peut se plugger sur une UC (clavier, grand écran). A l'environnement graphique de gérer tout ça.
# Un 0-day de 2 jours?
Posté par octane . En réponse au journal Java ça pue c'est trop libre.. Évalué à 9.
Un 0-day de 2 jours? C'est un 2-days alors?
Ceci dit, tu donnes juste le nom de la fonction, qui aurait pu s'appeler plop();
Il faudrait aller lire les 10 lignes de code de cette fonction, qui, si je comprends bien, crée un nouveau contexte de sécurité, lui donne tous les droits (entre autre sur file://) et après va exécuter du code dans ce contexte (?!?!) sans que java ou sa sandbox ne trouve rien à redire là-dessus.
Genre, je ne suis que simple user, et je demande à mettre un bit s sur un binaire root, et que le noyau dise: ouais, vazy mon gars, tu peux le faire.
[^] # Re: On tourne en rond
Posté par octane . En réponse au journal Logiciel libre, sexisme et féminisme. Évalué à 7.
C'est juste que cela manque de nimage de bosons de higgs.
# explications?
Posté par octane . En réponse à la dépêche Sortie de Rust en version 0.3. Évalué à 3.
Je trouve pas ça clair. Cela se produit à l'assignation uniquement ou la variable change dynamiquement à chaque appel?
[^] # Re: Résilience -- 3 points 1 question
Posté par octane . En réponse au journal Rapport sur la résilience de l'Internet en France. Évalué à 7.
Voilà je pense tout l’intérêt du document. Tu dis: "en général" Est-ce vrai? Ensuite le trafic est rerouté. Oui, mais comment? Et est-ce fiable? C'est rerouté via des annonces BGP. Et si c'est BGP qui casse (http://www.bortzmeyer.org/bgp-attribut-99.html ) etc etc..
Dans le vrai monde et la vraie réalité pas générale du tout, lorsqu'une pelleteuse coupe 1 fibre optique, il n'y a pas de reroutage et pas mal de gros sites sont HS (de mémoire TF1 et le site du ministère de la défense). http://www.zdnet.fr/blogs/infra-net/une-pelleteuse-coupe-le-site-web-du-ministere-de-la-defense-et-beaucoup-d-autres-39760750.htm
Tout ça donne donc des indicateurs à mesurer, internet ça fonctionne bien, mais rien n'est magique derrière et il n'y a que des bouts de codes et des interventions humaines.
[^] # Re: Résilience -- 3 points 1 question
Posté par octane . En réponse au journal Rapport sur la résilience de l'Internet en France. Évalué à 10.
Il y a quand même des bouts de réponse. Si le "DNS" en France ne marche pas (hypothèse: Tous, absolument tous les serveurs sont DOWN), alors internet ne marche pas, ou tellement mal que cela est insatisfaisant.
Donc, comment fonctionne le DNS? Est-ce qu'une panne unique peut toucher tous les serveurs DNS simultanément (panne, attaque informatique, bug, panne hardware genre un coup de pelleteuse qui coupe les cables d'un datacenter), etc..
Idem avec BGP. Bortz (Monsieur Bortzmeyer) avait fait un très bon article sur des pannes BGP et une conf au SSTIC là dessus.
Internet, à la base, ça devait résister aux attaques nucléaires et continuer à fonctionner même si on ampute un grand bout de son réseau. Puis on a eu quelques cas réels de pannes. Il y a eu la mamie au sécateur dans un pays de l'Est, la pelleteuse chez nous, et on se rend compte que l'histoire de l'internet qui se répare tout seul ne fonctionne pas toujours. La faute à la centralisation, le peu de redondances de liens, etc..
Ensuite, on peux aussi sans doute calculer la dépendance à l'internet. Si Internet disparait pendant une certaine durée dans un lieu (entreprise, administration, ville, état etc..), quelles en serait les conséquences?
Pour une mairie, plus d'internet pendant une semaine, c'est viable? La catastrophe? Un drame? Un retour au papier possible? Plausible? Généralisable? Et pour un hôpital? Etc…
Tout ça pose beaucoup de questions, le papier commence à y répondre, c'est très administratif, ça fait très "patrimoine immatériel" donc ça ne m'étonne pas que ce soit l'état qui travaille là dessus. Quoi qu'il en soit, c'est à lire je pense.
[^] # Re: C'est supaire
Posté par octane . En réponse au journal 3ème workshop d'initiation aux technologies du web. Évalué à 3.
SAY supaire, mais est ce qu'on va étudier les techniques de SEO? il parait que say la mode
[^] # Re: N'importe quoi
Posté par octane . En réponse au journal Facebook détruit-il internet?. Évalué à 4.
Oh? Figure toi que c'est précisément ce que je fais.
De fait, on m'y pousse très fortement. Plus accès aux infos sur le film. Plus accès aux infos pour la manif, pas été prévenu du concert, etc..
[^] # Re: N'importe quoi
Posté par octane . En réponse au journal Facebook détruit-il internet?. Évalué à 7.
Avant on avait pour une société un site web:
www.société.com . Aujourd'hui on a que : facebook.com/société
Un film sort: allez sur facebook. Une manif: facebook, un concert, idem, etc etc…
Et lorsque je clique dessus, bam: faut se logger p'tit gars si tu veux lire le contenu.
Et tout centraliser chez un hébergeur américain qui te profile, désolé, je peux pas. Déjà qu'on me demande de plus en plus mon facebook au lieu de mon mail, ça m'agace.
[^] # Re: mouais
Posté par octane . En réponse au journal Que pensez-vous du SEO ?. Évalué à 4.
Oui bah si saucisson Léon qui vend du saucisson est premier résultat google quand on tape saucisson léon, alors je pense qu'il est difficile de trouver ça non-pertinent.
Ensuite, oui, google a déjà changé son algo car les SEO arrivaient trop bien à faire remonter des sites webs via les content-farms entre autre. Et non, le SEO n'est pas devenu obsolète.
Ensuite, je pense que tu as un raisonnement circulaire:
-si je veux acheter du saucisson léon, alors je n'irais pas me renseigner sur internet.
-Les SEO qui remontent saucisson léon dans les pages google ne servent alors à rien
-conclusion: les SEO ne servent à rien
Une fois que tu as ça en tête, effectivement, tant que tu t'accroches à ta première hypothèse, alors la suite en découle "naturellement". C'est la même chose avec les fanboys apple
"apple c'est beau c'est bien" puis "les autres c'est moins bien" conclusion: apple saymieu!
Sauf que si tu prends le point de vue des sites marchands, c'est:
-je suis en page 1 de google, j'ai de la visite ET des clients.
-je suis en page 2 et suivants, j'ai un nombre dramatiquement plus faible de ventes. Et ça, il n'y a qu'a faire des recherches sur google panda à l'époque de sa sortie et tu verras des chiffres et des hurlements qui prouvent bien que le ranking de sortie sur google est directement lié aux ventes potentielles.
-conclusion: quelqu'un qui connait les techniques permettant de remonter dans google va vendre son savoir-faire.
Ce savoir faire sera peut-être tout ce qu'il y a de plus "basique" comme faire un site clair et bien écrit avec de bons mots-clés, ou comme on te l'as dit pour saucisson léon de ne surtout rien faire! C'est un peu du marketing, ciblé "web", ils ont un mot pour ça. Faut il les clouer au pilori pour ça? Je ne pense pas.
Ca rejoint le marketing. On sait tous que voir des filles nues pour faire vendre c'est un scandale. Néanmoins, on continue de mettre des filles nues car, oh surprise, ça fait encore vendre. Et il y aura des spécialistes en pub/marketing qui conseilleront de mettre des filles nues sur les pubs. une nimage de circonstance. Pour les sites web, c'est pareil. Tant qu'être en première page de google te fera plus vendre qu'être en deuxième page, alors il y aura de SEO qui te feront remonter les deux ou trois crans qui te manquent.
[^] # Re: mouais
Posté par octane . En réponse au journal Que pensez-vous du SEO ?. Évalué à 7.
Et à quoi sert google? Lorsque tu cherches un resto, ou que tu as pété ta courroie de distribution de voiture? Tu vas sur google. Tu appelles qui? Tu fais soigneusement de prendre le gus en 5e page, ou tu t'arrêtes au 3 premier? Pourquoi à l'époque des pages jaunes des tas de gars montaient leur boite avec un nom qui commence par A? Parceque face à une pléthore d'infos, tu prends le premier.
Moui, je casse ma courroie de distribution tous les jours et aie besoin d'être fidèle à Garage truc. Lorsque je cherche à faire racheter mon crédit, je vais chez le même petit artisan qui me le rachète depuis 45 ans. Dans pleins d'endroits la fidélité est accessoire. De + un client fidèle, plus besoin de lui plaire, par contre en chercher de nouveaux c'est + intéressant…
Hop, affirmation péremptoire qui va écraser tout le reste de l'argumentaire et sur lequel tu bases l'intégralité de ta réflexion. Tu avais eu plein de réponses intéressantes là dessus.
Peut-être que toi, ploum, être rempli de sagesse et de bon sens, tu vas demander sur des forums, au voisin, au passant et à tout ça. Les gens, la masse, ceux qui ont de l'argent, ils partent en vacances, ils tapent "vacances région ardèche gastronomie" et hooo, un SEO à fait popper "Saucisson Léon d'ardèche". Ils visitent, ils sont heureux, ils mangent bien. Ce sont les mêmes qui achètent des "Adidas triple X" car à la pub, l'athlète machin il dit que c'est bien.
Pour les requêtes, cela va dépendre. Pour un mariage, les gens cherchent une salle. Généralement ils attachent de l'importance et vont sur des forums comme aufeminin point com et ils lisent les avis [Ce qui est encore plus contradictoire tellement c'est subjectif les histoires d'ambiance].
Pour un garagiste ou un plombier ouvert ou un rachat d'assurance, on veut du résultat, l'avis des autres, on s'en fout. Et là, c'est comme à l'époque des pages jaunes, on passe pas 10 ans à faire des comparatifs, demander des avis etc..
Oui, bah je ne vois pas quelle bulle google va me sortir si je cherche un vitrier car j'ai pété une fenêtre. Qu'il s'agisse d'un langage de prog ou d'un OS, je veux bien croire que google me cerne et m'enferme, mais pour une requête aussi lointaine, ça ne m'impacte pas.
# mouais
Posté par octane . En réponse au journal Que pensez-vous du SEO ?. Évalué à 10.
J'ai lu ton blog, j'ai lu les raccourcis super rapide que tu prends, et j'ai lu les réponses parfois amusantes, parfois intéressantes et parfois instructives des SEO (je laisse de côté les grognons).
Rapidement: ton exemple de saucisson de l'ardèche ne tient pas la route.
le petit site qui va couter cher car il croule sous les requêtes amenées par un SEO ne semble pas pertinent.
Le SEO est il utile: ça dépend pour qui. Si tu veux te "placer", oui il vaux mieux aller voir un spécialiste du domaine. De la même manière que je peux monter ma plomberie chez moi, je peux aussi aller demander conseil, voir faire faire. Etre bien placé dans les requêtes google pour un site marchand, c'est essentiel. Lorsque google a changé son algo, des sites ont annoncés une baisse de 70% non pas de visites, mais de chiffre d'affaire. Lorsqu'un gugus estampillé SEO arrive et promet de faire remonter le site sur la 1ere page, je te pose la question: son rôle est il utile?
Enfin, les algos de google son secrets. Mais il n'empêche que des webmasters chevronnés savent ce qui "plait" et ce qui "déplait" à google, c'est une forme de connaissance et ils peuvent soit la partager soit vendre cette compétence.
Dit autrement, le SEO, c'est comme la pub. Tu peux trépigner en disant que c'est nul, qu'un vendeur de saucisson d'ardèche avec ses trois cochons ne gagnera rien à faire une campagne sur TF1, il n'empêche que c'est un métier, que (beaucoup) de fric coule dedans, et qu'il joue beaucoup sur la crédibilité de l'acheteur, du webmaster et d'un peu de poudre verte.