RB a écrit 552 commentaires

  • [^] # Re: FFx 75

    Posté par . En réponse à la dépêche Pas de confinement pour Firefox 74. Évalué à 1 (+2/-2).

    Si si, j'ai testé on arrive bien sur le même site :'-D

    Sérieusement, plutôt d'accord avec toi, mais avec un bémol.

    Dans le système des DNS, le TLD n'était pas censé fournir un service. Donc toto.com ne devrait pas/jamais être utilisé. Les navigateurs font donc le choix d’officialiser un "alias" entre le TLD et www (chose qui est finalement faite de facto sur 99% des domaines).

    Qui irait mettre sur son domaine deux services différents sur les DNS toto.com et www.toto.com ? Personne. Le seul cas que l'on voit sont les domaines ou le TLD est juste inutilisé, donc l'aliasser visuellement dans le navigateur n'a pas d'impact.

  • [^] # Re: Indices

    Posté par . En réponse au journal Petit défi Python. Évalué à 2 (+1/-0).

    Pareil :-)

  • # RIP et merci

    Posté par . En réponse à la dépêche Le créateur de Templeet nous a quitté. Évalué à 10.

    Je pense que linuxfr est le seul site que je consultais il y a plus de 20 ans et où je continue de venir très régulièrement.

    J'adorais les graphismes du début et notamment tout ce que faisait Ayo73, d'ailleurs mon avatar fait référence à cette belle période où tout était encore à faire pour le logiciel libre.

    Poutous à toute l'équipe !

  • # Tout un pan de ma vie qui s'en va

    Posté par . En réponse au journal Fin du service SWITCHmirror . Évalué à 4.

    Je vis en suisse, dans les années 90 c'était sur SWITCH que je downloadais des isos Linux depuis le réseau académique. Ça ne me rajeunit pas :-/

    Origin of the SWITCHmirror

    The roots of SWITCHmirror go way back to the early 90's when the SWITCHinfo FTP server provided access to
    mirrored content otherwise inaccessible during the office hours. At that time, all international links to the
    Internet were completely overloaded during the day. Incremental mirroring during the night provided a huge
    benefit to the SWITCH Community. Popular packages at that time were the RFC and Internet-Draft documents as
    well as open source software like GNU and X11.

    Sniff

  • # Crowfunding ?

    Posté par . En réponse au journal Slackware est financièrement mal en point. Évalué à 8.

    J'ai un peu de mal a suivre Patrick, il n'est pas très bon communiquant je pense.

    La Slackware est une distribution qui a une très grande cote de popularité chez les linuxiens (un peu moins jeunes).

    Malheureusement, il (me semble) communique très peu et on entend très peu parler de la distrib hors anniversaire et release majeures (tous les X années).

    A une époque il était très malade et je crois qu'il a bien été soutenu par la communeaute.

    Il devrait vraiment utiliser des sites comme patreon ou autre pour être soutenu de manière continue, je suis certain que le revenu ne serait pas négligeable. Il pourrait aussi crowfunder les futures release.

    On dirait qu'il attend toujours d’être dans de fâcheuses postures pour crier a l'aide, c'est dommage.

  • [^] # Re: liste non exhaustive

    Posté par . En réponse au sondage Oui j’avoue, ma plus grosse boulette c’est d’avoir :. Évalué à 8.

    Avant d'aller me coucher, rsync dans mauvais sens (depuis le snapshot vieux de 2 mois vers la prod):
    + le backup "normal" a tourné pendant la nuit !

    1) vieux code => disparition des features (le logiciel évoluait régulièrement)
    2) les documents restaurés à une version antérieure !

    Réveil très brutal avec incompréhension totale de la part du client sur ce qui se passait (et retours d'utilisateurs).

    Pour le 1), facile git,

    Pour le 2), l'énorme stress:
    A. Enlever la possibilité aux utilisateurs de retravailler leurs offres (elles se baseraient potentiellement sur une version plus ancienne).
    B. Faire un programme qui extrait la dernière version du document en comparant dans l'historique du versionning sous AWS S3.
    C. Rétablir l'accès

    Mon pire début de journée, c'était cette année :-)

  • [^] # Re: Combien d'usagers?

    Posté par . En réponse au journal part de marché Linux ?. Évalué à 3.

    Il faut aussi voir comment sont classés tous les outils de monitoring (genre qui envoient une requête / (5) minute(s) ) pour voir si le site est up ou pas, sur des sites à faible visiteurs ces outils peuvent représenter un énorme % de traffic.

  • [^] # Re: Je n'ai pas envie de cliquer

    Posté par . En réponse au journal Recrutons. D'accord, mais sur quels critères ?. Évalué à 2.

    J'ai aussi été contacté par eux et j'avais une bonne partie de ces mêmes questions. La partie la plus dure de cet interview était de comprendre l'anglais car la femme qui était à Londres parlait un anglais natif très rapide et en plus au téléphone…

    Bref, sur ces mêmes questions, j'ai répondu juste à peu près à tout. On sait très bien que la personne à l'autre bout du fil n'est pas un ingénieur (ce sont les étapes ultérieures), qu'il faut donc donner la réponse qu'elle attend sans étaler sa science.

    1. what is the type of the packets exchanged to establish a TCP connection? Me: in hexadecimal: 0x02, 0x12, 0x10 – literally "synchronize" and "acknowledge".

    Franchement… c'est si compliqué de dire SYN, SYN-ACK, ACK ?

    Je pense que dans un entretient il faut aussi savoir se mettre à niveau avec la personne qui pose les questions et comprendre les attentes.

  • [^] # Re: Aurora ?

    Posté par . En réponse au journal Hébergement PostgreSQL en ligne. Évalué à 1.

    Comme répondu plus bas, c'est soit du compatible mysql, soit postgre, ça se choisit à l'instantiation.

    En l'occurence pour Aurora le datacenter le plus proche est en Irelande, je crois que j'avais un ping de l'ordre de 30-40ms (jusqu'au data center, ensuite je n'ai pas mesuré la latence du service RDS, mais ça doit se compter en dizaines de ms).

    Je pense que c'est, dans bien des cas, jouable à distance, même si dans mon cas je vais généralement vouloir mettre toute mon archi chez eux.

  • [^] # Re: Aurora ?

    Posté par . En réponse au journal Hébergement PostgreSQL en ligne. Évalué à 1.

    Pour préciser, Aurora, est une offre RDS qui offre (actuellement) une compatibilité MySQL 5.6 (et en beta postgresql) avec de multiples avantages:
    - totalement managé / redondant (6 réplications data dans 3 zones)
    - perfs annoncées de 5x + pour mysql et 2x pour postgresql
    - pas besoin d'allouer une taille pour la DB (grossi automatiquement jusqu'à 64To)

  • # Aurora ?

    Posté par . En réponse au journal Hébergement PostgreSQL en ligne. Évalué à 1.

    Postgresql est en beta, cela semble très prometeur:

    https://aws.amazon.com/blogs/aws/amazon-aurora-update-postgresql-compatibility/

  • [^] # Re: Intérêt de MATE ?

    Posté par . En réponse à la dépêche Sortie de MATE 1.16. Évalué à 6.

    Pour moi c'est Gnome 3 qui aurait dû avoir un autre nom et Gnome 2 qui n'aurait pas dû être abandonné…

    N'oublions pas que Gnome 3 n'était pas du tout dans la continuité et qu'il a fallut des années pour qu'il devienne plus mature et retrouve un public (et pas forcément les utilisateurs de Gnome 2).

    De toute façon, dans le logiciel libre chacun travaille sur les projets qui l'intéresse pour des raisons subjectives, la notion de perte de temps et de ressources n'a pas de sens avec des "bénévoles" qui n'ont pas non plus d'objectifs quantifiables autre que celui de prendre du plaisir.

  • [^] # Re: Intérêt de MATE ?

    Posté par . En réponse à la dépêche Sortie de MATE 1.16. Évalué à 10.

    La différence est dans les détails.

    Pour avoir essayé de configurer Gnome 3 avec "les bonnes extensions" pour que ça ressemble à gnome 2, ce n'était jamais satisfaisant (sans dire que la configurabilité de Gnome 3 n'avait rien à voir avec ce qu'on pouvait faire sur Gnome 2).

    Le projet "cinnamon" fait ce que tu dis (étendre Gnome 3 pour le faire ressembler au 2):
    https://en.wikipedia.org/wiki/Cinnamon_(software)

    C'est d'ailleurs le même gars derrière les 2 projets.

    Gnome 2 était mon desktop préféré et Mate continue de le faire évoluer. Pour moi c'est parfait bien qu'effectivement il y aie (très) peu de nouveautés visibles entre les release, Mate marche très bien.

  • [^] # Re: Carte graphique et version du noyau ?

    Posté par . En réponse au message (résolu) gel fréquent du sytème. Évalué à 1.

    Par expérience si Linux est pas stable:

    • soit problème de ram (à vérifier rapidement avec memtest)
    • soit problème avec drivers graphique (le point faible de linux, que ce soit nvidia, ati/amd ou même intel), dans ce cas, essaie déjà de changer de noyau (voir plus bas)
    • autre problème hardware/drivers ? y aller pas élimination, éventuellement désactiver des devices dans le bios et voir si ça disparaît ou persiste

    => une fois le problème isolé tu trouveras probablement un workaround spécifique

    Dans ubuntu, pour changer de noyau, récupère les paquets des kernel upstream et suit la doc ici:
    https://wiki.ubuntu.com/Kernel/MainlineBuilds

    Bonne chance !

  • [^] # Re: +1

    Posté par . En réponse au journal Plonkileaks ou l'humour au pays du secret bancaires. Évalué à 4.

    Il étaient passés chez Ruquier quand même:

    https://www.youtube.com/watch?v=tIkAHltpr74

    Accessoirement, je suis aussi sur Neuchâtel et je cherche éventuellement un nouveau boulotde développeur dans le coin (dans un environnement linux/free software friendly), alors si quelqu'un a un tuyau c'est bienvenu :)

  • [^] # Re: Qui veut de l'interopérabilité ?

    Posté par . En réponse à la dépêche Les trois générations de messagerie instantanée. Évalué à 2.

    Comme dit plus bas, si l'état ne s'en était pas mélé, qui sait ?

    Pour l'email, il y a eu des tentatives de se l'approprier (époque MSN, Steve Jobs aussi voulait en faire un truc proprio à une époque). Le fait que le standard soit déjà bien établi lui a permis de résister.

    Sinon, je reste à penser que c'est une question de masse critique (on va dire plusieurs centaines de millions d'utilisateur) qui fait passer à la stratégie de la fermeture.

    Si on regarde les acteurs concernés: Apple, Microsoft, Google, Facebook/Whatsapp, Viber, les trucs chinois et russes, aucun n'est interopérable.

  • # Qui veut de l'interopérabilité ?

    Posté par . En réponse à la dépêche Les trois générations de messagerie instantanée. Évalué à 1.

    Ceux qui veulent de l'interopérabilité entre leur "chat" et les autres c'est systématiquement les "petits" acteurs qui veulent pouvoir interopérer avec les plus grands.

    Une fois que le service grossi et qu'une masse critique est atteinte, pour obtenir un avantage concurrentiel il vaut mieux ne plus être interopérable et espérer que la masse actuelle d'utilisateur vont servir de levier pour amener leurs contacts qui n'y sont pas encore.

    => Il n'y aura donc jamais d'interopérabilité car ce n'est pas stratégique.

    => XMPP ne sert pas à grand chose, enfin, c'est l'alternative libre au mon propriétaire qui malheureusement concerne 99% de nos contacts. C'est déjà quelque chose que de fédérer les logiciels libres de messagerie.

    J'aimerais aussi ajouter, que technologiquement parlant, les problèmes que "résout" XMPP ne sont pas vraiment ardus, donc c'est plus une standardisation qu'une aide technique essentielle. Je veux malheureusement dire par là que suivant mon besoin de discussion instantanée, même en partant de 0, en inventant mon propre protocole, je peux avoir quelque chose de fonctionnel en quelques heures de travail puis l'étendre.

  • [^] # Re: gné

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Cette sécurité me semble théorique. Dans quel cas est-ce que l'attaquant connais l'un sans pouvoir déduire l'autre ?

    Se faire voler un mot de passe parce qu'on l'a noté ou réutilisé sur un site qui l'a mal protégé est possible non ? Cela n'implique pas une autre perte simultanée.

    Le fait que l'un soit une string (le master password) et l'autre un élément issu d'un logique "visuelle" implique qu'ils ne seront pas stocké / utilisé de la même manière. Un master password pourra être (même si c'est mal) réutilisé ailleurs, le pattern probablement pas.

    Finalement, le pattern peut-être faible ou extrêmement fort, tout dépend du choix de l'utilisateur. S'il est faible alors on s'expose a une attaque brute force tout comme pour le master password.

    Keepassx est un système avec stockage sécurisé alors que le mien est une approche sans stockage.

    C'est utile pour une appli web car c'est un élément bloquant pour que le créateur du site (ou un gars sur le réseau), mais dans ce cas là ce n'est pas une sécurité en plus, c'est l'unique sécurité !

    Les grilles ne doivent bien évidement pas être accessibles ou transiter en clair sur le réseau. C'est pour ça que ma webapp est totalement réalisée en javascript et donc exécutée uniquement côté client.

  • [^] # Re: gné

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Salut, voir mon commentaire plus bas, car tu confonds ce que j'ai fait avec un système de grille fixe.

    Les 2'800 milliards ne viennent pas du pattern. C'est les différents caractères possibles (26 + 10) ^ 8, donc pour un mot de passe de 8 caractères aléatoires dans cet alphabet.

    Le pattern est une sécurité additionnelle. Ne pas oublier qu'on peut aussi attaquer le master password s'il est faible.

  • [^] # Re: gné

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Oui mais
    1) tu dépends de keepassx :)
    2) tu n'as pas la deuxième sécurité du pattern, si ton master password est compromis tous les mots de passes sont compromis (après je dis pas, si on est dans un cas ou ton pc est hacké et tout passe au keylogger, un attaquant aura vite fait dans mon système aussi d'avoir le master password + mot de passe finale et obtiendra le pattern).

    Un système comme le mien je peux y accéder depuis d'importe où et dans un cas extrême on peut même le refaire "à la main" avec juste du sha-512.

    Compromis toussa… comme disait mon maitre chinois, la vérité est dans chacun d'entre nous

  • [^] # Re: two factors

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Salut,

    ce dont tu parles n'est pas mon système. Il ne s'agit pas d'une grille aléatoire que l'on garde.

    La grille change, pas le pattern ni le master password.

    Le système passe très bien à l’échelle, je gère des centaines de mots de passe avec.

    Quand tu as besoin d'un mot de passe, soit:
    1) tu le sait par cœur (quand on l'utilise souvent)
    2) tu lances la grille, tu tapes le master password et l'identifiant et tu "lis" ton mot de passe et basta

    Donc pas de grilles à mémoriser et un seul pattern à avoir.

  • [^] # Re: gné

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Et concernant la lourdeur: oui, c'est un peu fastidieux à expliquer, mais une fois qu'on à l'habitude de son pattern/préfixe, le tout va très vite et je lis mon mot de passe en quelques secondes après génération :)

    Si certains site n'imposaient pas des restrictions complètement stupides sur le contenu des mots de passe alors il n'y aurait pas besoin d'ajouter ces "compléments". Mais comme il y en a, je préfère faire un schéma qui s'adapte, plutôt que de devoir gérer une série d'exception qui n'accepteront pas les mots de passe venant directement de la grille.

  • [^] # Re: gné

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 2.

    On va dire que l'avantage c'est de ne pas dépendre d'un logiciel, d'une synchronisation, tu peux y accéder depuis un smartphone sans rien installer de plus, …

    Le pattern est également un élément de sécurité supplémentaire au cas ou quelqu'un se ferait voler son master password.

    L'avantage aussi, c'est que c'est une méthode générique, qui marche pour tout et pas uniquement pour des password concernant de sites web (je ne dis pas que pwgen n'est pas générique, je ne le connais pas), et même si quelqu'un t'observe il n'aura pas d'infos sur ton mot de passe (suivant les gestionnaires de mots de passe j'imagine qu'il est également difficile de voir le mot passe vu qu'il est éventuellement très long ou masqué).

    Mais je te l'accorde volontiers, c'est un choix personnel, un gestionnaire de mot passe bien utilisé peut largement faire l'affaire.

  • # Motivation du projet

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 2.

    Aujourd'hui, la plupart des gens sont conscients qu'il faut se faire un 'bon' mot de passe plutôt qu'un truc à la noix tel '123456'. Je vois pas mal de gens dans mon entourage qui tournent avec 2 mots de passe: celui important et celui qui ne l'est pas.

    Par contre, ils ré-utilisent leur bon mot de passe à différentes places (souvent accompagné de leur email/user).

    En fait, ils ne se rendent pas compte, qu'il suffit d'un seul site, qui soit malhonnète, ou qui se fasse pirater, pour que leur super mot de passe ne soit plus secret du tout.

    A partir de là, toute solution basée sur une génération et qui évite une réutilisation du mot de passe est déjà un énorme pas en avant (je sais, on était au bord du gouffre ;p).

    J'ai déjà partiellement converti 2-3 personnes de mon entourage à remplacer leur système par celui-ci mais c'est toujours difficile d'en expliquer le fonctionnement, d'où viennent ces grilles, … c'est pour ça que j'ai passé pas mal de temps supplémentaire sur la version web afin d'essayer de rendre tout ça un peu user-friendly et avec le tutorial, ça rend le tout plus compréhensible.

  • [^] # Re: Indéterministe

    Posté par . En réponse au journal Générateur de mot de passe. Évalué à 1.

    Oui, merci.

    Ma phrase sur les gestionnaire de mot de passe n'avait pas de lien direct avec ce qu'on disait avant (c'est juste que c'est aussi une approche avec un master password).

    Non les grilles ne sont pas destinées à être imprimées, elles sont différentes pour chaque identifiant, il faut donc y puiser le mot de passe puis fermer la "fenêtre".

    C'est fait exprès de n'afficher que le minimum d'informations, il est préférable qu'on ne puisse même pas voir a quel identifiant/site correspond la grille en cours, seul celui qui vient de taper l'identifiant le sait.

    Un autre site génère qqc qui correspond plus à l'approche dont vous parlez: http://www.passwordcard.org/fr