Pinaraf a écrit 3671 commentaires

J'ai déjà été très agréablement surpris par Pdfium, intégré dans chromium. Je pense qu'il gérait les formulaires de procuration correctement.

Continuons sur la petite parenthèse avec quelques anecdotes alors :)

Il y a deux ans, chez mon employeur, j'avais eu la flemme de configurer l'impression avec CUPS, donc j'imprimais mes documents en faisant un cat ficher.pdf | nc 1.2.3.4 631 (je ne suis plus sûr du port). La plupart des imprimantes acceptent ça sans broncher. Sauf une qu'il y avait, une Xerox de je ne sais plus quel modèle, qui me faisait des blagues lors de l'impression de certains documents, en particulier chargés graphiquement (par exemple les cartes d'approche aéronautiques) : l'impression se lançait, le documen commençait à être imprimé, puis une stack trace de l'interpréteur était écrite sur la feuille…

Et plus récemment, un ami m'a montré un bulletin reçu de sa commune l'avertissant du passage d'une course à pied, avec un "voir le plan au verso". Et au verso, un message de trois lignes indiquant une erreur de l'interpréteur PCL dans le module KERNEL…

L'impression c'est très compliqué. Tu as le choix entre :
- une chaine d'impression basée sur du PostScript, langage terriblement compliqué et horrible à implémenter (j'ai lu des estimations à 5 ans pour une personne). C'est par contre "universel".
- une chaine d'impression basée sur du PDF, assez compliqué à implémenter également, notamment avec l'intégration d'un interpréteur ECMAScript pour gérer vraiment toute la norme. C'est la chaine la plus courante sous Linux/MacOS, mais ça ne passe pas sous Windows.
- une chaine d'impression basée sur du XPS ou de l'OXPS… vous vous souvenez la différence entre Office Open XML avant et après la standardisation ? c'est la même idée… avec donc une chaine implémentée que par Microsoft, un format à base de fichiers XML dans un fichier zip, des fichiers de police altérés avec un xor pour qu'on ne les récupère pas telles quelles (véridique)

Dans le monde du libre nous avons 3 principaux moteurs de rendu de PDF :
- poppler, dérivé de xpdf, utilisé par evince/okular,
- pdf.js, utilisé par Firefox,
- pdfium, dérivé/libéré de Foxxit je crois, utilisé par chrome/chromium.

Il y a des projets pour utiliser pdfium dans d'autres contextes que simplement chrome, notamment des "bindings" Qt pour pdfium qui pourraient être utilisés par Okular.

Hello

Je peux pas laisser passer ce message sur ce site.
3D Secure/SecureCode est un protocole reposant sur un ensemble d'éléments.
Les éléments les plus techniques sont le MPI (Merchant Plug In), installé chez le commerçant ou chez son fournisseur de solutions de paiement, le directory server (un annuaire) et l'ACS, Access Control Server.
L'ACS héberge notamment la page web "de la banque" qui affiche le formulaire où saisir le code reçu par SMS ou la date de naissance du chat ou je ne sais quel critère d'authentification.

Et 3D Secure est un protocole compliqué et onéreux à faire certifier. Donc banques et commerçants sous-traitent.
Et, au moins en france, toutes nos banques ont choisi de sous-traiter chez Atos. Yay.
Mais ça ne veut pas dire que 3D Secure est opéré par Atos, juste que toutes les banques françaises mettent leurs oeufs dans le même panier. Rassurez vous… Dans la chaine, y'a des serveurs de Visa et Master Card qui restent sous juridiction US, ne crions pas à une victoire patriotique trop tôt. Une transaction non-3D Secure peut être inconnue des États-Unis, une transaction 3D-Secure non.

En tout cas, bravo Atos pour l'échec critique !

Tout à fait, la capture d'écran me paraissait assez claire : on y voit en hexadecimal le logo de Stern Pinball.
Cf un futur journal pour les détails sur ce fichier :)

Merci, je regarderai.

Pour le moment, je prévoyais de m'amuser avec mon éditeur hexadécimal…

J'ai joué avec les contrastes pour que ça soit lisible… Sur la toute droite c'est l'éditeur hexadécimal qui affiche les offset, au milieu les valeurs en hexa et à droite décodées en ascii…

Et j'oublie le principal dans la question… dans le giga, 99% des données c'est vraiment les données du jeu (image.bin). Je n'ai pas encore analysé, mais il y a probablement :
- toutes les vidéos en 4/16 couleurs sans aucune forme de compression
- tous les sons, sans aucune compression
- toutes les polices, sans aucune compression (je me répète ?)

J'ai parcouru un peu le fichier à l'éditeur hexadécimal et ça ressemble vraiment à du stockage sous cette forme (on voit des formes se dessiner en de-zoomant)
Mais sans aucune forme de compression, une vidéo de 128x32 pixels, en disons 4 couleurs, 30 FPS… déjà 240 kB par seconde. Juste quand tu gagnes une extra-ball, t'as une vidéo de ~5 secondes, donc l'extra coûte 1200 kB. Et des animations sur cet écran, il y en a beaucoup beaucoup.
Et si on ajoute à ça les fichiers sonores, on part sur du volumineux, nécessairement.

Après si ça se trouve, les sons sont en MP3 dégueu, les images compressées à mort, les polices dans d'autres fichiers… mais j'y crois pas :)

Alors dans l'archive d'un giga, il n'y a pas tout le système (!!). Il n'y a pas le shell par exemple, donc les scripts ne risquent pas de marcher.

Tout est sur une carte SD, mais où était le fun de prendre la carte SD pour la brancher sur un PC plutôt que d'analyser le contenu de l'archive ? :) (plus sérieusement, j'ai préféré jouer avec le flipper que l'ouvrir pour le moment, et en plus comme ça vous pouvez «reproduire»)

Sinon quelques chaines intéressantes extraites de la mise à jour :
- GCC: (Sourcery CodeBench Lite 2014.05-29) 4.8.3 20140320 (prerelease)
- /scratch/maciej/arm-linux-2014.05-rel/obj/glibc-2014.05-29-arm-none-linux-gnueabi-i686-pc-linux-gnu/default/csu/abi-note.o

Ça semble correspondre à un usage de ça : https://sourcery.mentor.com/GNUToolchain/release2795
Ils auraient sûrement à gagner à utiliser buildroot, j'enverrai peut-être mon CV pour leur proposer de l'aide :)

J'ai hâte de voir si tu arrives à décompiler le image.bin, on pourrait imaginer changer les règles du flipper !

Je pense pas que les règles seront dans le image.bin hélas, à mon avis ça sera plutôt dans l'exécutable game à côté… Ça m'étonnerait qu'ils utilisent un système de script pour le jeu… Mais c'est à suivre…

Et sinon c'est le modèle de gauche sur la photo, le «pro».

Alors, dans les changelogs, y'a :
1) correction de bugs ou de fautes sur les messages (et il en reste… ils doivent pas avoir de correcteur sur leur éditeur)
2) ajout de nouvelles fonctionnalités…

Cf. http://f0727d06e1d39b514478-a613b39d02a32124478c749a23d19af0.r44.cf5.rackcdn.com/ghostbusters-1_13-README.txt

On n'est pas sur un flipper mécanique, y'a un gros écran de DEL avec au moins un endroit où tu déclenches des jeux interactifs, sans bille, à contrôler au flipper

J'ai oublié de le préciser : le flipper n'est pas connecté à internet, y'a pas de prise réseau… Donc même si ils avaient utilisé OpenSSL 0.9 j'aurais pas critiqué.
Et donc l'outil de communication, imposé dans ma boite hélas, c'est Zoom…

En rust ça compile pas :

error: bitshift exceeds the type's number of bits, #[deny(exceeding_bitshifts)] on by default
 --> src/main.rs:3:9
  |
3 |     a = a >> 64;
  |         ^^^^^^^

error: aborting due to previous error

Tu veux rire un peu ? Regarde ton mail en texte brut, ils ont fait une erreur à l'envoi (en tout cas sur celui que j'ai eu)

Le même mail :
- en texte brut : « You are receiving this email because you are one of the customers where our team was able to identify data that was leaked due to the bug and stored in one of these third party caches. »
- en HTML : « Your domain is not one of the domains where we have discovered exposed data in any third party caches. »

Donc les plus barbus avec mutt et cie (ou avec un lecteur de mail configuré pour le texte brut) vont paniquer, pour les autres c'est bon rien de grave…

Ouais, t'as de la chance, tu aurais pu recevoir « You are receiving this email because you are one of the customers where our team was able to identify data that was leaked due to the bug and stored in one of these third party caches.»
Beaucoup moins fun…

our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines.

Il manque dans ce paragraphe, tout comme dans l'intégralité de la première partie de leur article, un élément crucial qui est certes implicite quand on comprend leur fonctionnement technique, mais qui peut échapper à une personne légèrement moins intéressée : «other sensitive data from any website served previously on this edge server». Ils n'écrivent pas explicitement que le site pentagon.gov peut avoir fourni des données de petitchat.com… (ou l'inverse)

Mais effectivement, mon journal est peut-être mal formulé sur ce point, c'est une minimisation par utilisation de l'implicite plutôt que l'explicite, et le fait de «noyer» dans la technique des points clés du problème. Peut-être qu'une annonce plus officielle, plus corporate, viendra régler cet aspect, mais ça m'étonnerait…

Ouais il abuse le mec de Google, il aurait pu passer par le programme de rapport de failles de CloudFlare et gagner un TeeShirt…

Compare avec ce qui se fait ailleurs, notamment en France (il y a des exemples récents).

Ho je sais qu'il est possible de faire bien pire que ce que fait CloudFlare, mais ils mettent tellement bien en forme que des collègues n'ont pas compris l'impact de la faille tout de suite.
Accessoirement, la courte durée reste théorique, ils disent eux-même «The earliest date memory could have leaked is 2016-09-22.» (mais c'est dans les détails, dans le préambule ils s'abstiennent bien de faire peur).

Leur réponse est parfaite techniquement, mais la section «External impact and cache clearing» devrait être la première section de l'article, et surtout elle ne précise pas assez clairement que chaque mot de passe d'un site utilisant cloudflare a pu potentiellement fuiter dans la loterie. Rien non plus sur l'impact pour des données privées telles que celles qu'a pu récupérer le chercheur de Google (extraits de conversations notamment).
D'ailleurs, quand on donne «0.00003% of requests», je sais pas pour toi, mais je ne trouve pas sur internet le nombre de requêtes traitées par jour par CloudFlare, et donc ce chiffre est inexploitable…

J'utilise ça : http://www.ldlc.com/fiche/PB00032054.html

C'est gros, ça bouge pas, tu peux taper des gens avec et y'a une super molette autour de la bouboule. Mais ça dépend de la taille de ta main.

Tu ne m'as pas bien lu : ils ne respectent pas l'esprit de la licence, mais ils profitent d'une absence d'interdiction de ce qu'ils font… C'est une faille de la licence, mais très difficile à combler.

Ils piétinent allègrement l'esprit de l'AGPL.
Mais ils en respectent la lettre : PDFCreator, sous licence AGPL, est entièrement dépendant de «pdfcmon», une dll qu'ils livrent en freeware et pas en logiciel libre… Et le code AGPL de PDFCreator est bien disponible (mais pas documenté, et en VB.Net il me semble)

Disons que si je pouvais soutenir sans me saborder, ça m'arrangerait :)
En fait, la notion suivante de l'AGPL me bloque : «A "covered work" means either the unmodified Program or a work based on the Program.»

Ça veut dire quoi «based on the Program» en jurilangue ?

on pourra enfin profiter de la qualité 96k

96k comme le prix du casque et du câble plaqué or pour accélérer et améliorer la connexion ?

Haa, ça me rassure.
Un peu d'OpenPOWER peut-être ?

Quand j'ai vu le titre, "Open Hardware", j'ai fait "hoo cool"
Puis j'ai vu l'image : Intel Xeon.

J'ai du dormir trop longtemps cette nuit, les processeurs Intel sont ouverts maintenant ? (alors qu'avant Intel était tout bleu)

Ha ben à OVH ça peut être un admin réseau qui glisse sur un routeur et paf la backbone…

Blague (encore que) à part, le rapport c'est que le serveur chez toi est soumis à vachement beaucoup moins d'aléas que le serveur chez un prestataire extérieur. Ton prestataire extérieur rajoute 3 kilos de couche commerciale, 10 kilos d'intermédiaires techniques internes… La complexité du système est bien supérieure. Certes elle sera supervisée techniquement, mais la globalité du système à prendre en compte n'est plus juste la technique quand on se met à sous-traiter à ce point.
(Et puis ton vieux serveur de fichiers SUN, il était pas avec 18 couches de virtualisation, isolation, commutation et trucs en -tion dans tous les sens, chacune pouvant apporter ses bugs…)