mais mon petit doigt m'a dit, «mais si android utilise le noyau de linux, cela doit être, nom de nom, plus ou moins libre, tout ça!»
Linux (le kernel) est libre. Android se base sur un kernel linux (et tout un tas d'autres trucs). Android permet de lancer des applications. Ces applications peuvent être libres ou propriétaires, payantes ou gratuites.
Donc le lien android utilise linux -> l'appli machin est libre n'est pas vérifié du tout.
Maintenant, tu parles de chrome qui "reconnait" des photos (j'y connais rien). Chrome est dispo sur tous les OS (linux, mac, windows, android). Donc j'aurai tendance à dire: installes chrome sous linux et regarde si ça marche?
Ensuite, si tu veux Android et pas de smartphone, tu peux utiliser un émulateur. Il y a le SDK google, ou plein d'autre (j'ai utilisé genymotion dans le temps).
Si cela signifie que la surveillance automatique va simplement scanner automatiquement les images attachés dans des mails et comparer le hash de ces images avec une base d'images
on parle de hash (fonction de prise d'empreinte à sens unique), mais juste au dessus:
they are not able to deduce the substance of the content of the communications but are solely able to detect patterns
Ca ressemble plus à de la regexp quand même. Donc si je dis: "oh oui, mon petit bichon, je t'aime" en parlant de mon chien, le robot (idiot) va grep sur "mon petit" et sur "aime" -> bim bam boum -> menottes police prison.
#! /bin/bash
echo "input: " $1
echo "output: " $2
echo "Give Ratio (default: plop)"
read ratio
[ -z $ratio ] && ratio="plop"
echo you chose $ratio as ratio
dans l'ordre, tu lances ./script.sh file1.MP4 fileout.mp4
$1 -> premier argument (comme ça tu as l'autocomplétion du shell)
$2 -> second argument
ensuite, read variable va te demander une variable, si tu fais entrée, la variable n'est pas renseignée (elle n'existe pas)
[ -z $ratio ] --> Ca veut dire, on teste si la variable ratio existe
&& --> si la condition est vraie ($ratio n'existe pas)
ratio="plop" -> on lui met la valeur par défaut
En gros, soit $ratio vaudra "plop" soit la valeur que tu lui met.
et la ligne de commande à la fin ça va être du genre
$ ffmpeg -i "$1" -c:a "$libvorbis" -c:v "$libx265" -crf "$crf" -preset "$fast" -ss "$ss" -map_metadata 0 -y "$2" penses à bien quoter les variables pour éviter les pb d'espace. Y'a 0 gestion d'erreurs, donc si tu entres n'imp, ça fera n'imp.
mais est-ce vraiment difficile de faire à l'instar de n'importe quel ordinateur un noyau linux pouvant gérer n'importe quel crétinphone ? Trop difficle à faire car trop de différences entre chaque matos de ces appareils ?
exactement. Entre l'installeur, le noyau, la tétrachiée de périphériques différentes et les constructeurs qui filent pas forcément les specs, c'est en vrai très difficile.
Je comprends pas quel problème tu résouds avec ton système?
Le dépouillement est instantané, ok. Sachant qu'on a les résultats globalement déjà dans la minute qui suit la fin de l'élection, à quoi ça sert?
Je vois un problème, c'est qu'il devient possible de suivre minute après minute la tenue de l'élection. A 10h, on sait qu'il y a 45 bulletins pour A, 23 pour B, etc… Est-ce un problème? On a vu des élus tenter de rameuter la population aux urnes lorsque leurs résultats partiels sont mauvais, ça risque d'amplifier le modèle.
Ce qrcode soulève aussi le problème de la sincérité du vote: s'il est visible et qu'une caméra dans l'urne peut le lire, n'importe qui peut le lire. On peut toujours corriger ça avec un tag NFC qui a une portée ridiculeusement courte, ou un besoin d'alimentation externe (pour éviter que quelqu'un avec une grosse antenne lise ton vote entre l'isoloir et l'urne). Là, impossible pour un tiers de savoir si tu as voté, pour qui tu as voté, etc.. Ca complexifie un poil la tenue de l'élection: une enveloppe contenant un tag NFC avec alimentation externe (ou système équivalent).
Bien. Revenons au problème initial. On a fait tout ça pour quoi déjà? Pour avoir des résultats rapidement? On ajoute une complexité folle pour quel résultat? Tout ça pour au final recompter manuellement (c'est dans ta proposition: "Je pars du principe qu'on garde un dépouillement humain qui sera le résultat définitif"). Donc si F c'est la fin de l'élection, à F+0s l'ordinateur donne le résultat, à F+1mn on a la confirmation des bureaux de vote. Tout ça pour gagner quelques pouillèmes de secondes, permet moi de dire que je ne vois que des inconvénients à ce système.
Après si tu es très bon, tu peux trouver du taf sans diplômes!
En vrai, c'est quasi faux. De manière exceptionnelle, tu trouves du taf sans diplome. Fais un diplôme, et fais toi embaucher.
En attendant, code, cherche pas à t'introduire dans un serveur, mais on l'a tous fait.
NON. Il existe suffisamment de sites de challenges dans lesquels il est légal de jouer avec (sans parler des bug bounty). Ne fais pas joujou avec l'infra du voisin sans son accord.
Si tu le fait deface rien, prend le r00t, informe.
Peut-être ton premier job!
Clairement non. Le hacker qui a défoncé une boite et qui se fait engager par la suite, c'est de la légende urbaine. Si tu défonces une boite, tu risques surtout d'avoir des ennuis.
Essayer de m'introduire légalement dans une entreprise pour trouver des vulnérabilité, le rêve.
C'est pas l'inverse? Tu utilises des vulnérabilités pour t'introduire dans une entreprise.
La question qui suit, c'est: comment on apprend les vulns? Bah, apprend l'informatique (au sens large). Et après, fait des challenges, y'a masse d'informations sur internet. On dit souvent que la première du pentester, c'est de savoir chercher :) donc cherches, lis, cherche encore, lis encore, et ça viendra.
Après, est-ce que les pentesters ont pas une image un peu fausse? Genre trouver des XSS et envoyer des .doc avec macro en phishing, c'est pas forcément du Mr Robot avec des écrans qui clignotent :D
Je découvre un peu kdenlive et c'est vraiment génial comme logiciel, et je peux monter plein de petits films, c'est marrant. Y'a encore quelques trucs qui m'échappent:
-dans la timeline, j'aimerai zoomer ou avoir une précision quasi image par image pour couper au bon moment, c'est pas super simple :-/
-idem dans la timeline, j'aimerai synchroniser des sons avec des images. C'est pas super simple pour synchro le milieu du son avec une image par exemple
-same avec la possibilité de baisser une partie du son (Genre un bruit à effacer sur une piste sonore). Là, je coupe le son en deux et je fais un fade out/fade in, mais si on pouvait "sculpter" la piste sonore ça serait super
-j'ai toujours pas compris comment superposer un effet visuel à une vidéo (genre un kaméhameha). A priori je peux remplacer une portion d'image par une autre, mais pas superposer en mode "genre fond vert"
-Il y a 5000 effets de compositions avec chacun 500 paramètres, mais comment trouver des effets sans les passer un par un? Genre faire un arrêt sur image?
RTFM je sais, mais c'est touffu comme logiciel :-)
bah c'est y'a longtemps. A cette époque, des numéros de ports il y en avait pleins. Le mec justifie sa demande par une explication pas trop mal branlée, le gars est d'accord, bim port 22.
c'est juste une association port <-> service, pas une revue formelle de protocole. Les ports peuvent changer, les associations aussi, personne t'empêche de dévier de ce fichier, donc y'a pas de risque à accepter.
Faut pas oublier que pendant longtemps, le DNS c'était un fichier texte /etc/hosts que les gens s'envoyaient par ftp et par mail (si si). Les gars se connaissaient tous par leurs prénoms et ça déconnait pas mal (les RFC du premier avril, le "I'm a teapot" etc…)
Tout ça pour dire que 14h, ouais, ça me parait pas anormal.
Mais il faut commencer par amorcer la boucle. C'est pour ça que les joueurs de bonneteau par exemple commencent toujours par laisser gagner une ou deux parties.
même pas. C'est la promesse d'un gain futur qui te fait avancer. Et l'entêtement fait partie de ce schéma.
Là on parle de perdre tout le temps. Et j'ai plus de mal à y croire pour le coup.
non, on parle de gagner beaucoup. Dans un futur proche quoique incertain, mais si si, faut juste y croire. Et ça finit généralement mal pour le crédule :-(
Si on m'invite à des parties de poker et que je perds les 10 premières parties, je ne vais pas continuer à jouer (d'autant plus avec de l'argent) indéfiniment.
[Ref needed]
Il y a beaucoup (vraiment beaucoup) de gens qui vont continuer. Ca s'appelle l'effet d'engagement je crois. Tu te lances dans une activité (poker, bourse, oncle nigérien à héritage) , et ça te coûte (money, mental, efforts) moins cher de continuer pas après pas plutôt que de te dire que tu as perdu, et qu'il faut abandonner.
Je +1 pour le changement de port d'ailleurs. Et, petite histoire. Je l'avais mis sur un port plus bas que 1024 au début. J'ai eu moins de log, puis ça a commencé à venir, je sais pas trop comment le port a été trouvé, d'ailleurs? Des gens qui scannent? Des gens qui utilisent des services commes shodan?
Du coup, j'ai pris un port > 50000 et depuis, c'est le calme plat dans mes logs :-)
Je n'ai jamais été coincé par un réseau pénible, sans doute car j'utilise de plus en plus ma connexion 4G comme point d'accès internet.
Du coup, blindez votre conf ssh (interdire le root login, clé, etc..) et changez de port \o/
depuis 2013, la moyenne des dépêches est entre 20 et 30, le minimum est négatif chaque année, et le max au-dessus de 100 chaque année.
"Le minimum est négatif" le minimum de la moyenne des dépêches est négatif? Certains mois, des dépêches sont dépubliées? Je comprends pas trop ce "minimum négatif".
Ou alors s'agit t'il des points de karma associés à une dépêche? (ce qui rend logique la phrase)? Et du coup, le nombre moyen de dépêches publiés par mois serait combien?
On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients
centreon semble dire que non. C'est juste des boites qui utilisaient des versions de centreon pas à jour qui se sont faites poutrer. Centreon.com l'éditeur n'a pas eu d'intrusion (en tout cas pas en lien avec cette affaire, soyons réservés :D )
En utilisant des logiciels libres, on utilise généralement des codes développés avec une certaine bienveillance.
Ca me parait un peu rapide comme assertion et non étayée, mais pourquoi pas. Et même si c'est vrai, en quoi est-ce un gage de sécurité accrue?
Il arrive nécessairement que des gens introduisent des failles volontairement
encore une fois non étayé, mais mettons que oui. En quoi la bienveillance empêche un repo quelconque de recevoir une PR avec une backdoor très subtile? et de merger ce code?
À tous égards généralement, l'utilisateur de code privateur est pris pour une poire
je dirais oui.
Après tout, il se déleste volontairement de sa liberté, alors pourquoi mériterait-il la moindre sécurité
Les parasites aiment garder l'hôte vivant. Si les systèmes privateurs avaient une sécurité proche de 0, alors ils ne pourraient pas fonctionner. Voir ton anecodte sur un windows98 ou la machine est vérolée avant d'avoir fait quoi que ce soit. Les systèmes privateurs mettent un accent énorme sur la sécurité (pour conserver précieusement les données récoltées par eux-mêmes, certes.)
Sur Linux, aucun problème de ce type. Inutile de configurer iptables ou tcp-wrapper. Aucun logiciel n'était disposé à communiquer tout et n'importe quoi avec l'extérieur. Tout simplement l'absence de malveillance.
Bin, non, puisque comme le dit l'article de medium, c'est le user qui tape "pip install machin" et que tu peux sans difficultés mettre de la vérole dans "machin".
L'article n'est d'ailleurs pas totalement hermétique à ces considérations mentionnant que le peu d'utilisateurs incompétents de GNU/Linux joue certainement un rôle dans la réputation [bien fondée] de ces systèmes.
Dernièrement on apprenait que sudo a trainé une faille de sécurité pendant 10 ans (!!!!). Utilisateurs incompétents? Code review? Croyance infondée que c'est le voisin qui surveille le code de l'autre? Naïveté? Je sais pas, mais il semble qu'il y ait beaucoup de pieds d'argile chez le colosse linux.
Il y a pas mal de personnes qui sont de l'avis de dire que le reproductible build ne sert à rien. Les arguments sont intéressants. Notamment que reproducible build ou pas, il faut trust le vendor.
# slackware
Posté par octane . En réponse au lien Slackware 15.0 release candidate one. Évalué à 6.
Slackware, c'est vraiment une bonne distro :-)
C'est (très) rugueux au début, mais tu peux la polir exactement à ta main. Une nouvelle slackware, ça fait toujours plaisir \o/
[^] # Re: Actualité et divisions
Posté par octane . En réponse au journal [HS] Quand quelqu'un vous parle de liberté.... Évalué à 2.
y'a pas de troll. Y'en a un qu'est bien, et l'autre qui vaut pas un clou et on devrait l'oublier. Après un rm -rf de ses sources.
# license, tout ça
Posté par octane . En réponse au message place d'Android dans le mouvement linux. Évalué à 3.
Linux (le kernel) est libre. Android se base sur un kernel linux (et tout un tas d'autres trucs). Android permet de lancer des applications. Ces applications peuvent être libres ou propriétaires, payantes ou gratuites.
Donc le lien android utilise linux -> l'appli machin est libre n'est pas vérifié du tout.
Maintenant, tu parles de chrome qui "reconnait" des photos (j'y connais rien). Chrome est dispo sur tous les OS (linux, mac, windows, android). Donc j'aurai tendance à dire: installes chrome sous linux et regarde si ça marche?
Ensuite, si tu veux Android et pas de smartphone, tu peux utiliser un émulateur. Il y a le SDK google, ou plein d'autre (j'ai utilisé genymotion dans le temps).
[^] # Re: Exagération ?
Posté par octane . En réponse à la dépêche La fin de la vie privée pour la correspondance numérique. Évalué à 5.
on parle de hash (fonction de prise d'empreinte à sens unique), mais juste au dessus:
Ca ressemble plus à de la regexp quand même. Donc si je dis: "oh oui, mon petit bichon, je t'aime" en parlant de mon chien, le robot (idiot) va grep sur "mon petit" et sur "aime" -> bim bam boum -> menottes police prison.
# rigolo
Posté par octane . En réponse au journal Les cons sur LinuxFR. Évalué à 10.
J'ai lu, je t'ai pris pour un con arrogant, puis j'ai relu (j'ai suivi tes conseils haha), et j'ai trouvé ça marrant en vrai \o/
Et n'oubliez pas, même si tout le monde est d'accord pour dire: "mort aux cons", cette belle unité se fissure lorsqu'il faut définir qui est le con.
# Torché à l'arrache
Posté par octane . En réponse au message Script shell à entrées différentes / interactives ?. Évalué à 3.
dans l'ordre, tu lances ./script.sh file1.MP4 fileout.mp4
$1 -> premier argument (comme ça tu as l'autocomplétion du shell)
$2 -> second argument
ensuite, read variable va te demander une variable, si tu fais entrée, la variable n'est pas renseignée (elle n'existe pas)
[ -z $ratio ] --> Ca veut dire, on teste si la variable ratio existe
&& --> si la condition est vraie ($ratio n'existe pas)
ratio="plop" -> on lui met la valeur par défaut
En gros, soit $ratio vaudra "plop" soit la valeur que tu lui met.
et la ligne de commande à la fin ça va être du genre
$ ffmpeg -i "$1" -c:a "$libvorbis" -c:v "$libx265" -crf "$crf" -preset "$fast" -ss "$ss" -map_metadata 0 -y "$2"
# noyau
Posté par octane . En réponse au message Système alternatif à android pour marque Wiko ?. Évalué à 4.
exactement. Entre l'installeur, le noyau, la tétrachiée de périphériques différentes et les constructeurs qui filent pas forcément les specs, c'est en vrai très difficile.
[^] # Re: Vote électronique et pourquoi pas ?
Posté par octane . En réponse au journal Vote par ordinateurs de vote / machines à voter en France, depuis 2017. Évalué à 8.
Je comprends pas quel problème tu résouds avec ton système?
Le dépouillement est instantané, ok. Sachant qu'on a les résultats globalement déjà dans la minute qui suit la fin de l'élection, à quoi ça sert?
Je vois un problème, c'est qu'il devient possible de suivre minute après minute la tenue de l'élection. A 10h, on sait qu'il y a 45 bulletins pour A, 23 pour B, etc… Est-ce un problème? On a vu des élus tenter de rameuter la population aux urnes lorsque leurs résultats partiels sont mauvais, ça risque d'amplifier le modèle.
Ce qrcode soulève aussi le problème de la sincérité du vote: s'il est visible et qu'une caméra dans l'urne peut le lire, n'importe qui peut le lire. On peut toujours corriger ça avec un tag NFC qui a une portée ridiculeusement courte, ou un besoin d'alimentation externe (pour éviter que quelqu'un avec une grosse antenne lise ton vote entre l'isoloir et l'urne). Là, impossible pour un tiers de savoir si tu as voté, pour qui tu as voté, etc.. Ca complexifie un poil la tenue de l'élection: une enveloppe contenant un tag NFC avec alimentation externe (ou système équivalent).
Bien. Revenons au problème initial. On a fait tout ça pour quoi déjà? Pour avoir des résultats rapidement? On ajoute une complexité folle pour quel résultat? Tout ça pour au final recompter manuellement (c'est dans ta proposition: "Je pars du principe qu'on garde un dépouillement humain qui sera le résultat définitif"). Donc si F c'est la fin de l'élection, à F+0s l'ordinateur donne le résultat, à F+1mn on a la confirmation des bureaux de vote. Tout ça pour gagner quelques pouillèmes de secondes, permet moi de dire que je ne vois que des inconvénients à ce système.
[^] # Re: Uni
Posté par octane . En réponse au message Devenir Pentester. Évalué à 2.
En vrai, c'est quasi faux. De manière exceptionnelle, tu trouves du taf sans diplome. Fais un diplôme, et fais toi embaucher.
NON. Il existe suffisamment de sites de challenges dans lesquels il est légal de jouer avec (sans parler des bug bounty). Ne fais pas joujou avec l'infra du voisin sans son accord.
Clairement non. Le hacker qui a défoncé une boite et qui se fait engager par la suite, c'est de la légende urbaine. Si tu défonces une boite, tu risques surtout d'avoir des ennuis.
[^] # Re: métier
Posté par octane . En réponse au message Devenir Pentester. Évalué à 2.
du coup, tu as la réponse à tes questions :)
passionné -> lit tout ce que tu peux sur l'informatique, teste, bidouille, soude, installe, formatte, compile, déglingue tout.
grand niveau en informatique -> fait des études d'info
L'association des deux devrait du coup te permettre d'avancer vers le métier de pentester
# métier
Posté par octane . En réponse au message Devenir Pentester. Évalué à 3.
C'est pas l'inverse? Tu utilises des vulnérabilités pour t'introduire dans une entreprise.
La question qui suit, c'est: comment on apprend les vulns? Bah, apprend l'informatique (au sens large). Et après, fait des challenges, y'a masse d'informations sur internet. On dit souvent que la première du pentester, c'est de savoir chercher :) donc cherches, lis, cherche encore, lis encore, et ça viendra.
Après, est-ce que les pentesters ont pas une image un peu fausse? Genre trouver des XSS et envoyer des .doc avec macro en phishing, c'est pas forcément du Mr Robot avec des écrans qui clignotent :D
[^] # Re: Résolu
Posté par octane . En réponse au message [Résolu] Créer un alias à l'intérieur d'un logiciel. Évalué à 10.
et au passage, compress est une commande système :)
donc peut-être utiliser un autre nom
[^] # Re: Sujet rarement débattu, merci
Posté par octane . En réponse au journal Et si on parlait de microcodes (firmware) open source pour serveur. Évalué à 6.
pour iLO par exemple, ça a l'air pas génial
https://www.sstic.org/2021/presentation/hpe_ilo_5_security_go_home_cryptoprocessor_youre_drunk/
il y a d'autres docs dans ce doc avec des previous research qui font un peu peur. Conclusion: séparez physiquement les réseaux !!!
# yep
Posté par octane . En réponse au journal Sortie de Kdenlive 21.04. Évalué à 4.
Je découvre un peu kdenlive et c'est vraiment génial comme logiciel, et je peux monter plein de petits films, c'est marrant. Y'a encore quelques trucs qui m'échappent:
-dans la timeline, j'aimerai zoomer ou avoir une précision quasi image par image pour couper au bon moment, c'est pas super simple :-/
-idem dans la timeline, j'aimerai synchroniser des sons avec des images. C'est pas super simple pour synchro le milieu du son avec une image par exemple
-same avec la possibilité de baisser une partie du son (Genre un bruit à effacer sur une piste sonore). Là, je coupe le son en deux et je fais un fade out/fade in, mais si on pouvait "sculpter" la piste sonore ça serait super
-j'ai toujours pas compris comment superposer un effet visuel à une vidéo (genre un kaméhameha). A priori je peux remplacer une portion d'image par une autre, mais pas superposer en mode "genre fond vert"
-Il y a 5000 effets de compositions avec chacun 500 paramètres, mais comment trouver des effets sans les passer un par un? Genre faire un arrêt sur image?
RTFM je sais, mais c'est touffu comme logiciel :-)
[^] # Re: Port 22
Posté par octane . En réponse au journal L'étrange affaire du port 0. Évalué à 6.
bah c'est y'a longtemps. A cette époque, des numéros de ports il y en avait pleins. Le mec justifie sa demande par une explication pas trop mal branlée, le gars est d'accord, bim port 22.
c'est juste une association port <-> service, pas une revue formelle de protocole. Les ports peuvent changer, les associations aussi, personne t'empêche de dévier de ce fichier, donc y'a pas de risque à accepter.
Faut pas oublier que pendant longtemps, le DNS c'était un fichier texte /etc/hosts que les gens s'envoyaient par ftp et par mail (si si). Les gars se connaissaient tous par leurs prénoms et ça déconnait pas mal (les RFC du premier avril, le "I'm a teapot" etc…)
Tout ça pour dire que 14h, ouais, ça me parait pas anormal.
[^] # Re: Demande de témoignage sur un de vos anciens posts
Posté par octane . En réponse au journal de l'art et la manière de faire du gratin dauphinois. Évalué à 2.
bonjour, il n'y a pas grand chose à dire, c'est vieux tout ça. Cordialement
[^] # Re: Quel est le problème ?
Posté par octane . En réponse au journal La Bourse ou la vie ?. Évalué à 5.
même pas. C'est la promesse d'un gain futur qui te fait avancer. Et l'entêtement fait partie de ce schéma.
non, on parle de gagner beaucoup. Dans un futur proche quoique incertain, mais si si, faut juste y croire. Et ça finit généralement mal pour le crédule :-(
[^] # Re: Quel est le problème ?
Posté par octane . En réponse au journal La Bourse ou la vie ?. Évalué à 10.
[Ref needed]
Il y a beaucoup (vraiment beaucoup) de gens qui vont continuer. Ca s'appelle l'effet d'engagement je crois. Tu te lances dans une activité (poker, bourse, oncle nigérien à héritage) , et ça te coûte (money, mental, efforts) moins cher de continuer pas après pas plutôt que de te dire que tu as perdu, et qu'il faut abandonner.
[^] # Re: Mes serveurs n'intéressent personnes
Posté par octane . En réponse au journal Statistiques de tentatives de connexion SSH par des bots. Évalué à 1.
Je +1 pour le changement de port d'ailleurs. Et, petite histoire. Je l'avais mis sur un port plus bas que 1024 au début. J'ai eu moins de log, puis ça a commencé à venir, je sais pas trop comment le port a été trouvé, d'ailleurs? Des gens qui scannent? Des gens qui utilisent des services commes shodan?
Du coup, j'ai pris un port > 50000 et depuis, c'est le calme plat dans mes logs :-)
Je n'ai jamais été coincé par un réseau pénible, sans doute car j'utilise de plus en plus ma connexion 4G comme point d'accès internet.
Du coup, blindez votre conf ssh (interdire le root login, clé, etc..) et changez de port \o/
[^] # Re: stats
Posté par octane . En réponse au journal LinuxFr.org : première quinzaine de février 2021. Évalué à 3.
merci :)
# stats
Posté par octane . En réponse au journal LinuxFr.org : première quinzaine de février 2021. Évalué à 3.
"Le minimum est négatif" le minimum de la moyenne des dépêches est négatif? Certains mois, des dépêches sont dépubliées? Je comprends pas trop ce "minimum négatif".
Ou alors s'agit t'il des points de karma associés à une dépêche? (ce qui rend logique la phrase)? Et du coup, le nombre moyen de dépêches publiés par mois serait combien?
[^] # Re: attaque et ampleur non divulguées
Posté par octane . En réponse au lien des instances centreon compromises. Évalué à 5.
https://www.centreon.com/societe/salle-de-presse/communiques-de-presse/centreon-apporte-des-eclaircissements-suite-a-la-parution-du-rapport-de-lanssi/
centreon semble dire que non. C'est juste des boites qui utilisaient des versions de centreon pas à jour qui se sont faites poutrer. Centreon.com l'éditeur n'a pas eu d'intrusion (en tout cas pas en lien avec cette affaire, soyons réservés :D )
[^] # Re: Manqué
Posté par octane . En réponse au lien Linux et la sécurité, tel un désert et un oasis ?. Évalué à 3.
Ca me parait un peu rapide comme assertion et non étayée, mais pourquoi pas. Et même si c'est vrai, en quoi est-ce un gage de sécurité accrue?
encore une fois non étayé, mais mettons que oui. En quoi la bienveillance empêche un repo quelconque de recevoir une PR avec une backdoor très subtile? et de merger ce code?
je dirais oui.
Les parasites aiment garder l'hôte vivant. Si les systèmes privateurs avaient une sécurité proche de 0, alors ils ne pourraient pas fonctionner. Voir ton anecodte sur un windows98 ou la machine est vérolée avant d'avoir fait quoi que ce soit. Les systèmes privateurs mettent un accent énorme sur la sécurité (pour conserver précieusement les données récoltées par eux-mêmes, certes.)
Bin, non, puisque comme le dit l'article de medium, c'est le user qui tape "pip install machin" et que tu peux sans difficultés mettre de la vérole dans "machin".
Dernièrement on apprenait que sudo a trainé une faille de sécurité pendant 10 ans (!!!!). Utilisateurs incompétents? Code review? Croyance infondée que c'est le voisin qui surveille le code de l'autre? Naïveté? Je sais pas, mais il semble qu'il y ait beaucoup de pieds d'argile chez le colosse linux.
[^] # Re: Sécurité de la chaîne d'approvisionnement
Posté par octane . En réponse au journal Assurer la sécurité informatique sur le modèle de la sécurité alimentaire. Évalué à 7.
https://blog.cmpxchg8b.com/2020/07/you-dont-need-reproducible-builds.html
Il y a pas mal de personnes qui sont de l'avis de dire que le reproductible build ne sert à rien. Les arguments sont intéressants. Notamment que reproducible build ou pas, il faut trust le vendor.
[^] # Re: Hérésie !
Posté par octane . En réponse au journal de l'art et la manière de faire du gratin dauphinois. Évalué à 7.
ah bin, on vient de m'envoyer ça
https://www.youtube.com/watch?v=rvWbqzK5n80
Recette : L'authentique Gratin Dauphinois | Archive INA | 1981