Christie Poutrelle a écrit 234 commentaires

Je suis bien d'accord sur le fait qu'OVH doive se protéger, j'ai cependant eu la malchance, à de nombreuses reprises, de me retrouver avec une machine éteinte ou restreinte (et même une fois une menace de me faire fermer le service définitivement sous 24h) par OVH.

A chaque fois qu'ils mettent en place une nouvelle mesure de sécurité (faut dire ce qui est, qui se traduit le plus souvent par bloquer la moitié d'internet de leur réseau) ils le font sans prévenir.

Par exemple, j'ai un bounceur IRC perso sur un de mes dédiés, il ne mange pas de pain et génère peu de traffic, mais le jour où OVH décida de couper complètement le traffic vers les serveurs Undernet, un de leurs script un peu excité pensa que ce fût une tentative de hack (c'était juste mon bounceur qui ne pouvait comprendre pourquoi internet n'existait plus pour lui). Résultat des courses, ils ont failli détruire l'intégralité de mes données (incluant un historique de 10 de mails) avec comme avertissement un simple mail moins de 24h avant.

Ne vous méprenez pas, j'apprécie énormément le service d'OVH ; Cependant non ce n'est pas low cost (pas que en tout cas) et si le prix à payer pour avoir un service sécurisé c'est d'être coupé de la moitié de la planête, je trouve ça vraiment gonflé de leur part.

Je confirme, StartSSL c'est bien.

Pourquoi ça ne pourrait pas être possible?

for myvalue in mylist:
    if plop:
        # Code bien long...
    else:
        # ...

Ou alors j'ai pas compris ta question?

J'ai eu pendant longtemps ce genre de problème, mais c'était dans les débuts 2000 quand mon serveur était configuré en open relay (erreur de débutant de ma part à l'époque); C'est d'ailleurs un gentil admin réseau qui m'avait prévenu en m'envoyant un mail perso pour me dire qu'il était spammé par mon domaine. Mais ça ne semble plus m'arriver depuis un bail, depuis que j'ai reconfiguré mon serveur pour faire des checks stricts à la reception d'un mail. Je viens de me vérifier et mon serveur n'est pas blacklisté.

Je ne sais pas quelle magie noire opère (je viens de regarder dans mes spams classés par spamassassin) mais il ne me semble pas avoir dedans de mails qui correspondent à l'entourloupe décrite. Je ne connais pas assez le protocole mail, mais je sais que j'avais à peu près fait tout ce qui est là dedans: http://www.cyberciti.biz/tips/postfix-spam-filtering-with-blacklists-howto.html ainsi que deux ou trois autres feintes, faudrait que je retrouve la doc dessus.

Ça n'empechera bien sûr personne de faire croire qu'il envoie un mail de chez moi à partir d'un autre serveur, mais si tout le monde fait plus ou moins ça ça semblerait être efficace pour empêcher l'impersonation que tu décris.

Me trompe-je?

Ah super! Est-ce bien stable? Je cherchais une alternative depuis longtemps, et aucune n'a émergé en deux ans, je suis content d'en voir une arriver!

Cyanogen ce n'est pas que pour les neuneus, c'est aussi pour les gens qui veulent mettre à un jour un vieux téléphone! L'interface est beaucoup plus réactive sur mon vieux Samsung Galaxy Ace 2 que le firmware opérateur (Android 4.1 avec la surcouche Samsung qui me casse les bonbons), tout est plus rapide, ça mange moins de RAM, j'ai moins de plantages, et pour courroner le tout je préfère l'ergonomie par défaut de ce dernier!

Donc Cyanogen n'a pas que de bon, mais pour faire tourner un Android 4 sur un téléphone avec 256M de RAM, c'est quand même super (testé et approuvé sur un vieux Galaxy Y).

Perso pour le calendrier j'utilise Owncloud, j'ai monté une instance sur un dédié perso de chez OVH. J'utilise une appli payante (bouh) https://play.google.com/store/apps/details?id=org.dmfs.caldav.lib&hl=fr qui marche à merveille.

J'utilise Owncloud pour mes contacts aussi, avec l'appli Carddav Sync du même autheur (qui elle est gratuite) et une fois de plus j'en suis très content!

Ça me permet déjà d'éviter de tout donner à Google, et j'ai désactivé les synchros Google pour ces deux choses là. Pour les mails, idem, je n'utilise pas Google mais un server mail perso; Sur android l'appli mail est pas mal et permet d'utiliser un serveur arbitraire, donc ça me convient!

Pour les applications, je suis d'accord que pour tout ce qui est Facebook et Twitter utiliser les version web c'est cool sur une tablette, mais pas sur un téléphone malheureusement.

Le fait d'avoir acheté une application me force malheureusement à avoir donné toutes mes infos à Google pour pouvoir payer, mais ce sont les seules qu'il détient, et c'est pas plus en ce sens que materiel.net, amazon ou autre fournisseur de services.

J'ai bien peur que pas mal de ton code puisse être sujet aux injections SQL. J'ai juste jeté un œil très rapide je peux pas le dire avec certitude, mais ça manque de filtrage des entrée/sorties.

De plus tu utilises beaucoup les variables $_GET et $_POST directement (du moins j'en ai bien l'impression) et que tu ne valides pas complètement les entrées de tes formulaires.

Il est trop beau ton prompt, vas y partage ton PS1 siouplé!

Mon expérience personnelle est que Firefox est un poil plus lent à l'affichage et au démarrage mais que globalement dès que du JS s'emballe (c'est à dire à peu près partout et tout le temps) Chrome mange beaucoup de plus de RAM et devient lent; Voir souvent ne répond plus du tout - et ce au même endroit où Firefox va mouliner un peu dans la semoule avant de reprendre le contrôle et me proposer de tuer le script fautif.

Chrome même dans ses dernières version va jusqu'à faire planter plusieurs de mes machines (un Core i3 sous Gentoo avec 6G de ram, un Haswell i5 sous Archilinux avec 8G de RAM, même symptômes, il tombe en swap ou prend 100% du CPU, dans les deux cas seul le reboot permet de reprendre la main).

Alors l'un dans l'autre, je choisis Firefox qui se montre beaucoup plus stable à la longue, et beaucoup moins consommateur que son homologue Googlien sur le long terme, même s'il est un poil plus long pour changer d'onglet.

Je vois pas comment un utilisateur ayant tapé la bonne adresse puisse se faire prendre à ça, mis à part si sa couche réseau est sujette à un beau man-in-the-middle et qu'il ne cause pas à la machine à laquelle il pense causer. Si c'est le cas y'a juste plus rien à faire. Où alors j'ai pas saisi ta remaque ?

Si l'utilisateur est sujet à une attaque, c'est contrecarré par le fait que le cookie de session HTTPS ne sera lu côté serveur que si la connexion est bien en HTTPS, donc même si l'attaque réussi à forger des requêtes avec le navigateur de l'utilisateur, elle ne pourra pas pour autant prendre son identité, puisqu'une requête aboutissant en HTTP ne permettra pas au code malicieux de faire quoi que ce soit. Et puis finalement tout ce que ça pourra faire est une infinite redirect loop, puisqu'en bloquant la redirection puis en tapant de nouveau le serveur, il redirigera de nouveau, etc… Si vraiment le hacker vire le cookie non secure et tente une action sur le site, le site sait que la connexion à la base provient d'une session HTTPS et n'identifiera normalement pas l'utilisateur en HTTP, encore une fois.

Tu crois vraiment que Madame Michu en personne est venue voter ici?

Toujours avec une carte SD, mon desktop à un lecteur et tous mes portables aussi.

Pour madame Michu, la question c'est plutôt "Quels avantages à rester en 32 bits". Je pense honnêtement aujourd'hui que la réponse est aucun: tu installes n'importe quelle distribution digne de ce nom en 64 bits et les potentiels problèmes de Mr. Tout Le Monde sont résolus par cette dernière (le Flash qui ne marche qu'en 32 bits par exemple est utilisé avec nspluginwrapper de manière transparente).

Pour un serveur, ou un utilisateur avancé, il faut savoir plusieurs choses: le 64 bits a priori est censé être plus performant pour tout ce qui est gros traitement de données (registres 48 bits je crois au lieu de 32) je suis pas trop sûr des détails, mais normalement c'est plus rapide.

Par contre, désavantage: la taille des pointeurs est plus élevée, donc tu consommes plus de mémoire.

Pour les administrateurs système, il faut savoir que des logiciels (comme le serveur de base de données clé-valeur Redis, par exemple) va stoquer tous ses entiers en 64 bits si l'OS est en 64bits, et en 32 bits sinon. Conclusion: il va utiliser beaucoup plus de mémoire pour le stockage de ces données (et un système de stockage clé valeur va potentiellement être utilisé pour stoquer des compteurs en masse, choses du genre).

Donc personnellement, j'ai pas de réponse universelle; Par contre, pour Mme Michu, la vraie question c'est "Pourquoi pas?".

Privatiser les bénéfices, mutualiser les pertes.

Seul Microsoft peux décider de porter sa techno native sur Linux. Sinon cela sera, au mieux dans le meilleur des cas, une course derrière le lapin...

Mono marche très bien sous Linux, plein de logiciels l'utilisent. Et puis il faut avouer que le C# (en toute objectivité) est vraiment un très bon langage. C'est comme un Java++ avec des bonus natifs au langage (accesseurs, events et delegates, qui aboutissent d'ailleurs à des threads implicites) c'est vraiment que de très très bonnes idées.

Banshee est un super logiciel. Je trouvé l'UI bien meilleure que Rythmbox (mais ça reste subjectif).

Moi aussi j'ai fait du Mono sur mon temps libre. J'ai porté des projets Visual/Windows de traitement de flux réseau (projet perso) sous Linux. D'ailleurs j'avais un soft qui tournait presque plus rapidement sous Linux (j'avais supportais une meilleure capacité serveur en terme de nombre de clients, sur la même machine physique).

Tu oublies que quand KDE4 est sorti, ça bugguait sévère avec les drivers NVidia. N'oublies pas l'histoire avant de juger.

Si GNOME était un système d'exploitation, QT/KDE seraient ensemble carrément la machine qu'il y'a autour. Avec Phonon et autre joyeusetés, c'est environnement de complet de bureau, point à la ligne fin de l'histoire.

Les deux environnements se sont toujours tapés la bourre, et KDE pompe aussi des choses chez les gens de GNOME. Et puis QT est horriblement moche, et je déteste l'ergonomie de KDE (je préfèrais mille fois KDE 3 honnêtement).

Bref, le mec qui a écrit ce journal est lumineux !

Oui c'est vrai, à condition qu'il reste privé. Si la personne qui à modifié le code le redistribue, il a obligation de conserver la GPL, et d'indiquer l'origine du code (auteur et ou software dont il est issu). Il doit aussi publier l'intégralité de son code (chose sur laquelle je suis moins sûr, mais c'est il me semble le côté "viral" de la GPL).

C'est le côté le de la GPL.

Je reste assez persuadé que le système de Karma est complètement biaisé.

Encore une url en HTTPS qui nous fait changer de contexte quand on navigue en HTTP.

Templeet ne propose pas une réécriture de l'URL dans les posts avec une URL relative quand il détecte que c'est une de ses propres URL?

Encore une bonne raison de donner un coup de jeune à ce site.

C'est fou ces gens qui ne supportent pas la critique.