steph1978 a écrit 2960 commentaires

Moi aussi je suis choqué, j'écris du Awk presque tous les jours avec bonheur.

J'ai confondu avec Haxe qui transpile en PHP et Hack le PHP compilé de FB.

Du coup je pensais voir un truc ressemblant à du PHP. Et en fait non. Ça ressemble pas mal à du Go.

Mais alors est ce que ce serait pas Go le langage pour les 100 ans à venir ?

un peu archaïque en 2120.

À supposer que notre civilisation industriello-numérique basée sur le consumérisme et les énergies fossiles perdurent jusqu'à cette date…

Et évidemment tu gardes aussi des logins différent.

Le login est bien souvent l'email auquel tu dois pouvoir être joint par le service. donc très peu de variabilité.

et j'ai pas 200 mots de passe à mémoriser

J'ai 1200 logins dans mon navigateurs et environ 150 dans mon keypass. Ça va être chaud de me rappeler où j'ai mis les agrafes.

ait au moins la décence

Justement non puisque j'utilise un générateur de mots de passe il n'a pas de préférence entre les caractères contrairement à un humain avec des mots.

'correct horse battery strapple'

En ce basant sur un dictionnaire de 2048 mot in a une entropie de 44 bits.

Un mot de passe de 8 Maj+min+num+sym a une entropie de 49 (47 avec les contraintes évoquées).

Mais surtout, je ne crois pas une seconde que les gens vont se répartir équitablement les 2048 mots. Il va y avoir un énorme biais statistique. On va se retrouver avec les 256 mots les plus communs et donc 32 bits d'entropie.

Si ton générateur de mot de passe [..] un gestionnaire de mot de passe qui lui aussi peut être troué […]

Avec des si …

Et si tu as deux cents mots de passe à te souvenir, bon courage avec la méthode du 'correct horse battery staple'.

Bien vu

Je me suis vautré sur les positions.

Ton raisonnement me paraît bon et je retrouve le résultat pour 8

P =8  # password size
T = 70**P  # Total combinations
U = (70-26)**P  # no upper case combinations
L = U  # no lower case positions
N = (70-10)**P  # no numbers combinations
S = (70-8)**P  # no special chars combinations
F = U + L + N + S  # forbidden
R = T - F  # total with rules
T/R
#    3.5567199807533645

Cependant pour 4 - on est d'accord que je peux créer un bon paquet de mots de passe du genre lUn? ; je dirai même qu'il y en a 26*26*10*8*4! = 1'297'920. Si je fais le calcul ci-dessus, je trouve:

P = 4  # password size
T = 70**P  # Total combinations = 24,01E+06
U = (70-26)**P  # no upper case combinations
L = U  # no lower case positions
N = (70-10)**P  # no numbers combinations
S = (70-8)**P  # no special chars combinations
F = U + L + N + S  # forbidden = 35,23E+06
R = T - F  # total with rules = -11,22E+06 !!
T/R
#   -2.139446655869337

Et j'ai aussi des nombres aberrant pour 5 et 6.

Et je me dis qu'on en enlève trop car un combinaison sans nombre peut aussi être une combinaison sans majuscule. Donc on compte des choses en double ou triple.

Un comptage correct ne ferai qu'aller dans le sens de l'argument: l'entropie ne baisse pas tant que ça. Pour 8 on doit avoir une bonne approximation on va dire …

fortement

imperceptiblement

C'est subjectif donc faisons un peu de dénombrement.

Sur un mot de passe de 8 caractères, si on prend 26 LETTRES + 26 lettres + 10 ch1ffr3s + 8 "caractères spéciaux" (je suis gentil, faudrait voir ce que les gens choisissent en vrai).

Sans règles tu es à 70^8 = 576'480'100'000'000 combinaisons possibles.

Avec une règle "au moins un chiffre, un caractère spécial, une majuscule et une minuscule" tu es à 10*8*26*26*(26+26+10+8)^4 = 1'298'460'800'000 combinaisons possibles.

C'est à dire (70^4)/(10*8*26*26) ~= 444x moins d'entropie. Mais si statistiquement les gens utilisent principalement le mm caractère spéciale, on passe à 3552x moins.

tu vas empêcher les attaques sur les mdp avec faible entropie

En effet car sans règle, il est probable que les gens ne mettraient que des minuscules par exemple. Ce qui nous donne 26^8 = 208'827'064'576 combinaisons et donc 2760x moins d'entropie.

la solution ?

ne pas laisser les gens créer des mots de passe, utiliser un générateur de mot de passe, un gestionnaire de mots de passe et du MFA quand c'est critique.

J'ai mis que une "*" à la fin et cela bloque bien par préfixe.
Testé hier. Premier blocage à peine 15 minutes après l'insall….

En mode complétion (pas chat), il me donne

Le Mont-Saint-Michel est en bret
agne, il est situé entre les départements de la Manche et d'Ille-et-Vilaine.

Note que j'ai mis un "t" car il partait sur le mot "bref" sinon.

En mode chat, comme il n'y a pas vraiment de début de conversation, le résultat n'est pas pertinent.

D'autre part le mode completion est plus brut de fonderie alors que le mode chat a été beaucoup rééduqué.

ça marche pour la page du moteur de recherche mais pas pour la barre de recherche. la barre de recherche, elle fait ce que lui dit la config du module de recherche, pas ce qui est stocké dans le cookie du site du moteur.

Ceci est partiellement faux, en tout cas pour Searx.

Dans Searx, l'element qui permet d'ajouter le moteur à FF est :

<link title="zoTop" type="application/opensearchdescription+xml" rel="search" href="/opensearch.xml?method=POST&amp;autocomplete=duckduckgo"/>

Et en effet si on change Préférences - Onglet "Vie Privée" - Méthode HTTP => GET

La ligne se change en :

<link title="zoTop" type="application/opensearchdescription+xml" rel="search" href="/opensearch.xml?method=GET&amp;autocomplete=duckduckgo"/>

Cependant, si le module a été ajouté alors qu'il était en POST, le fait de changer pour le site ne changera pas pour le module FF. Peut être en le supprimant et en le recréant.

D'autre part cette fonctionnalité a été implémenté en octobre 2020. Avant cette date, le module était configuré pour faire du POST.

Comme tout bon moteur de recherche, searx propose de s'ajouter à la liste des moteurs de recherche de firefox.

Mais le moteur souvent réglé pour faire du POST (privacy oblige). Or, mois je veux du GET pour que mon navigateur se rappelle ce que j'ai tapé dans la barre d'adresse.

Cela peut être changé avec une petite bidouille:

• aller dans about:profiles et noter le chemin de stockage du profile FF : /home/guest/.mozilla/firefox/gtserg6hh.default
• ⚠️ quitter FF, sinon, perte de données
• ouvrir un terminal
• aller dans le dossier profile cd /home/guest/.mozilla/firefox/gtserg6hh.default
• décompresser le fichier de conf des moteurs de recherche mozlz4a -d search.json.mozlz4 search.json
  • mozlz4a peut être récupéré ici
• idéalement, faire un pretty-print du json pour ne pas tout avoir sur une seule ligne ; ça peut se faire avec un jq '.' search.json | sponge search.json
• ouvrir le fichier décompressé dans un éditeur de text
• chercher votre moteur de recherche, ex: CTRL+F tuxcloud
• modifier le block URL pour remplacer les POST par des GET

      "_urls": [
        {
          "params": [
            {
              "name": "q",
              "value": "{searchTerms}"
            }
          ],
          "rels": [
            "results"
          ],
          "template": "https://searx.tuxcloud.net/search",
          "method": "POST"
        },
        {
          "params": [],
          "rels": [
            "suggestions"
          ],
          "template": "https://searx.tuxcloud.net/autocompleter?q={searchTerms}",
          "type": "application/x-suggestions+json",
          "method": "POST"
        }
      ],

en

      "_urls": [
        {
          "params": [],
          "rels": [
            "results"
          ],
          "template": "https://searx.tuxcloud.net/search?q={searchTerms}"
        },
        {
          "params": [],
          "rels": [
            "suggestions"
          ],
          "template": "https://searx.tuxcloud.net/autocompleter?q={searchTerms}",
          "type": "application/x-suggestions+json"
        }
      ],

• enregistrer et fermer
• recompresser le fichier mozlz4a search.json search.json.mozlz4
• reouvrir FF

peut-être les moteurs disponibles dans la config

Oui y un peu de ça

Mais en vrai je tape un peu au pif. Et quand une instance commence à piquer du nez, j'en change.

moi j'utilise l'instance https://searx.tiekoetter.com au quotidien sur mon FF perso et l'instance https://searxng.nicfab.eu/ sur mon FF pro.

mais surtout, il y a pleins d'instance live !

Le droit à la copie privée, c'est pour faire la copie d'une œuvre que tu as acheté.
Télécharger un film en P2P, ce n'est pas exercer son droit à la copie privée, c'est juste du piratage. Faut appeler un chat un chat.

Donc c'est copier un Blueray que tu as chez toi, par exemple. Sauf que si tu y parviens c'est que tu as contourné le DRM placé dessus, ce qui est illégale.

Donc en pratique, le droit à la copie privée, tu ne peux pas vraiment l'exercer. C'est donc une belle arnaque.

Mais @Glandos a eu une bonne remarque, c'est une "exception à la copie privée", pas une droit opposable. Donc si je comprends bien, tu ne peux pas réclamer aux voleurs éditeurs la possibilité de le faire;

Petit malin !

Tu oublies qu'il y a la taxe sur la copie privée mais aussi l'interdiction de contourner les DRM.

Donc tu payes pour un droit que tu ne peux pas exercer.

ça revient à dire que Microsoft quoi qu'ils fassent c'est des méchants.

Oui

À aucun moment ils n'ont prévu d’œuvrer pour le bien commun. C'est une pur entreprise capitaliste qui utilise tous les moyens pour arriver à ses fins : gagner du pognons et continuer à gagner du pognon.

Et ils y parviennent, malgré des produits toujours très médiocres, mais grâce à une force de lobbyistes, de juristes, d'avocats, de commerciaux et de marketeux phénoménale.

Ça m'a rappelé une reportage TV sur le même sujet (très engagé sur les problème de notre société donc). Et il me semblait qu'il y avait un jeu de mot avec Spiderman.

Il y a bien une

Speed Hair Women

et un

Speed'hair Man

!!

PS: pour des recherches rapides, reprendre le snippet de mon premier commentaire et passer ça dans fzf: curl -fsS '...' | jq -r '.data.features[].properties.nom' | fzf

$ curl -fsS 'https://static.data.gouv.fr/resources/coordonnees-des-enseignes-de-coiffure-comportant-des-jeux-de-mots-cocasses-dans-leur-appellation/20231011-084948/coiffeurs.json' | jq -r '.data.features[].properties.nom' | tee >(wc -l 1>&2) | grep -iFc hair 
3711
6217

donc en gros 60% jeu de mot avec "hair".

J'aime bien "avertir", ça a le mérite d'être pédagogique.

Je confirme, tu ne peux pas changer le contenu du fstring à l'exécution. Le fstring est "compilé" en code python converti en AST compilé en bytecode au moment du chargement du script.

il y a une extension FF pour ça : https://addons.mozilla.org/en-US/firefox/addon/clearurls/

Pas simple de savoir exactement quels paramètres de l'url permettent le tracking.

Les UTM c'est un classique, mais je dirai que c'est utilisé par le moins méchants.

Regardez ce que met un Amazon dans les URL des produits pour savoir que madame Michu partage avec des liens avec monsieur Martin. Ça représente trois quart des paramètres, qui peuvent être retirés sans perdre le lien vers la page article.

Je dirai que les liens appartiennent à ceux qui les postent et que ceux qui cliquent n'ont qu'à pas cliquer n'importe où.

Les fournisseurs privés ont tendance à mettre bien en avant leur solution maison d'app mobile (GoldenJail Authenticator) ou le numéro de mobile (SMS) comme nécessaire au 2FA.
Parce que cela leur permet de collecter une donnée privée très intéressante.
Mais en cherchant bien dans le formulaire, il traîne toujours un "autre moyen" qui permet d'accéder au TOTP.

Le TOTP a l'avantage de ne pas nécessiter d'application privée - moi j'utilise Aegis Authenticator - et de fonctionner en mode avion.

Le TOTP n'étant finalement qu'un générateur pseudo-aléatoire initialisé par une "graine" (seed), c'est très facile à implémenter avec un petit script et un gestionnaire de mot de passe classique.

Et au final, c'est quoi ?

Je gagne quelque chose ?