J'admets que j'aurais pu m'y prendre autrement sur la forme (voire soyons fou sur le fond également et contribuer ! on peut rêver).
Ceci dit quand je disais que je ne comprends pas, c'était pas un troll, je ne comprend vraiment pas. Il suffit de chercher "how to store passwords" sur un moteur de recherche pour trouver depuis des années littérallement des kilomètres linéaires de documentation ultra complète (pour qui veut les détails) ainsi que de la vulgarisation TLDR: use bcrypt en gras clignotant.
Donc, autant avoir un code existant mauvais, je peux comprendre, mais une fois qu'on s'est dit bon ça va pas faut faire un truc propre, je comprends pas comment on peut en arriver à conclure SHA, surtout qu'on ne parle pas d'un peu mieux mais beaucoup plus compliqué et risqué à mettre en place ; on parle schématiquement de sha(oldPassword, newPassword) vs. bcrypt(oldPassword, newPassword).
Pour l'anecdote, vers 2011 j'ai eu à modifier l'algo de stockage des mots de passe d'une application utilisée par des services publics (parce que l'existant était du SHA1 et que l'ANSSI exigeait pour 2012 d'utiliser au moins du SHA2). Niveau contraintes je pense que ça vaut bien un jeu. Je me suis dit que quitte à toucher à ça, y aurait pas mieux ? J'ai cherché 1h et j'ai découvert cette problématique, découvert bcrypt, et trouvé tout ce qu'il me fallait pour vendre à mon chef de passer directement à bcrypt.
Ça me parait une attitude saine, qu'on peut attendre d'un dev, et j'ai pas la sensation d'être un génie d'avoir pensé et réussi ça.
A simple and good enough solution is to use crypt(3) with a 16 characters salt[…]. Such a salt would force the use of SHA-512 instead of DES. It's way more secure
Au moins on se marre bien. Remarque le the [current] DES-based scheme [which] limits the password's length up to 8 characters soit-disant acceptable en 2004 mettait déjà pas mal en jambe.
Hachage des mots de passe en SHA-512 au lieu de DES ;
C'est dommage de se dire en 2016 « allez on va faire en sorte de gérer proprement les mots de passe », et, malgré la littérature et la progression dans le bon sens populaire du fait qu'aucun hachage basique n'est un bon système de stockage de mot de passe, se dire que cet objectif sera accompli avec du SHA.
Ce qui n'empêche pas le texte d'être parfaitement lisible et les photos correctes.
Ah parce qu'il y a encore des gens qui impriment des photos ?
Par là je ne cherche pas à dénigrer l'impression de photo, loin de là, mais l'impression personnelle. Pour une soirée diaporama de vacances entre amis, aucun système "physique" ne battra maintenant un écran de TV/projo moderne que ce soit sur la qualité d'affichage (elle imprime du 4k sur 65", ton imprimante ?…) ou la praticité (… en passant d'une photo à l'autre par la pression d'une touche ?) ; pour de l'impression à long terme type "encadrement" (qu'encore une fois je ne cherche pas à dévaloriser) là aussi je ne vois pas comment un système d'impression personnel peut battre la qualité de l'impression pro.
Remarque je vois pas pourquoi imprimer du texte non plus, en fait.
Mais le mal est fait, la confiance a été sérieusement entamée, et beaucoup de gens qui ne sont pas au fait de toutes ces histoires ont déjà jeté ou remplacé leur imprimante, la croyant en panne, et/ou ne seront jamais informés de l’existence d’un patch à installer pour régler le problème.
Du coup c'est bon la confiance est pas entamée. À la rigueur la confiance dans la qualité des HP (et encore) mais pas dans la loyauté d'HP si les millions d'acheteurs (moins les 10 000 qui auront appris l'histoire) ne sauront jamais qu'elle n'était pas vraiment défectueuse.
I've noticed that even after closing KDE and the X server several KDE processes are still shown in htop, notably virtuoso-t, nepomukserver, knotify and various kdeinit4 kio_somethings. I'm no developer, but shouldn't all of these processes been closed properly?
Je connais les détails mais à vrai dire je m'en fiche. De mon point de vue, sur mes ordis sous Linux, je branche mon tel et il apparait dans l'explorateur. Si il faut jouer au plus con à base de "oui mais sur ma slackware 1998 j'ai pas MTP" je peux aussi trouver un vieux coucou sans USB et dire "c'est nul Android j'ai jamais pu le brancher".
Je voudrais par exemple pouvoir considérer le téléphone comme un "mass storage device" et y glisser-déposer de la musique, vidéos, photos, documents… j'ai pas réussi à faire ça avec les téléphones que j'ai croisés jusqu'à présent.
J'ai pu faire ça avec tous les Android que j'ai vus donc déjà c'est pas la faute d'Android, et on pourrait presque en arriver à penser que c'est plutôt la faute de l'utilisateur.
systemd le projet oui. À ce compte-là, OpenBSD ou même Debian en tant que projet incluent des serveurs DHCP. systemd le binaire PID 1 fourni par le projet systemd, non.
Il a pas dit c'est utile selon l'échelle absolue d'Utilité que voici (par contre apparemment toi tu l'as, cette échelle ?), il a dit quelqu'un en voit l'utilité. Ensuite, les mirages, ça existe.
On peut viser un système social protecteur et refuser le profit à tout prix sans pour autant croire que ça passe par créer des rentes de situation sur 40 ans (60 si on compte la retraite).
Évidemment zurvan a l'explication la plus plausible mais je suis sûr qu'on peut trouver des hypothèses marrantes avec une seconde intercalaire en milieu de journée (même si elle serait 11h59m60s et donc 12h00 serait toujours midi mais quand même :-D).
Merci pour vos suggestions (je connais l'offre OVH mais je ne savais pas qu'Alice existait encore) mais je souhaite garder une offre TV, et surtout maintenant que j'ai la fibre Free avec 1G/200M réels il va falloir qu'ils m'en fassent beaucoup, de coups tordus, pour que je parte vraiment :-).
Au delà de la question de la légalité, quand un tarif augmente (parce que l'inflation, parce que ceci cela) c'est une chose (peut-être discutable mais au moins on discute d'un changement sur une seule dimension, et généralement la boite met en avant le pourquoi du comment de l'augmentation, évidemment).
Là c'est "hé cool on vous a mis une option que vous aviez pas demandé ! C'est sympa non ? Ah au fait elle est payante". C'est n'importe quoi, et évidemment en tant qu'autohébergé je ne vais pas quitter Free ; mais c'est une pierre de plus dans la déconstruction de l'attractivité de Free comme conseil pour les 99,999% de mes relations qui s'en foutent des avantages de Free pour les autohébergés.
[^] # Re: Wikileaks n'est plus, évitez d'aller lire c'est du voyeurisme peu honnête
Posté par Sufflope (site web personnel) . En réponse au journal Wikileaks a retrouvé une partie des mails de Hillary Clinton. Évalué à 6.
Je peux te dire que s'ils sont sur DLFP ils ont pas besoin de test urinaire ou sanguin pour être sûr de pas mal de choses à ton propos.
[^] # Re: Gâchis en puissance
Posté par Sufflope (site web personnel) . En réponse au journal HP, l’informatique de trahison.. Évalué à 1.
Et du coup y en a pour les chats ou pas ?
Et si c'est basé sur la clarté extérieure, Lucy Liu et Usain Bolt ils sont de la même ?
[^] # Re: .
Posté par Sufflope (site web personnel) . En réponse à la dépêche Les clients officiels de Ryzom migrent de la version 2.1 à la version 3.0. Évalué à 7. Dernière modification le 11 octobre 2016 à 13:26.
J'admets que j'aurais pu m'y prendre autrement sur la forme (voire soyons fou sur le fond également et contribuer ! on peut rêver).
Ceci dit quand je disais que je ne comprends pas, c'était pas un troll, je ne comprend vraiment pas. Il suffit de chercher "how to store passwords" sur un moteur de recherche pour trouver depuis des années littérallement des kilomètres linéaires de documentation ultra complète (pour qui veut les détails) ainsi que de la vulgarisation TLDR: use bcrypt en gras clignotant.
Donc, autant avoir un code existant mauvais, je peux comprendre, mais une fois qu'on s'est dit bon ça va pas faut faire un truc propre, je comprends pas comment on peut en arriver à conclure SHA, surtout qu'on ne parle pas d'un peu mieux mais beaucoup plus compliqué et risqué à mettre en place ; on parle schématiquement de sha(oldPassword, newPassword) vs. bcrypt(oldPassword, newPassword).
Pour l'anecdote, vers 2011 j'ai eu à modifier l'algo de stockage des mots de passe d'une application utilisée par des services publics (parce que l'existant était du SHA1 et que l'ANSSI exigeait pour 2012 d'utiliser au moins du SHA2). Niveau contraintes je pense que ça vaut bien un jeu. Je me suis dit que quitte à toucher à ça, y aurait pas mieux ? J'ai cherché 1h et j'ai découvert cette problématique, découvert bcrypt, et trouvé tout ce qu'il me fallait pour vendre à mon chef de passer directement à bcrypt.
Ça me parait une attitude saine, qu'on peut attendre d'un dev, et j'ai pas la sensation d'être un génie d'avoir pensé et réussi ça.
[^] # Re: .
Posté par Sufflope (site web personnel) . En réponse à la dépêche Les clients officiels de Ryzom migrent de la version 2.1 à la version 3.0. Évalué à 0.
https://bitbucket.org/ryzom/ryzomcore/issues/206/change-the-hash-method-used-to-store
Au moins on se marre bien. Remarque le the [current] DES-based scheme [which] limits the password's length up to 8 characters soit-disant acceptable en 2004 mettait déjà pas mal en jambe.
[^] # Re: .
Posté par Sufflope (site web personnel) . En réponse à la dépêche Les clients officiels de Ryzom migrent de la version 2.1 à la version 3.0. Évalué à 1.
Merci, au moins un qui comprend. Se dire "tiens on va migrer vers SHA au lieu de MD5, ça c'est du secure" je comprends pas comment on peut en être là.
# .
Posté par Sufflope (site web personnel) . En réponse à la dépêche Les clients officiels de Ryzom migrent de la version 2.1 à la version 3.0. Évalué à 1.
C'est dommage de se dire en 2016 « allez on va faire en sorte de gérer proprement les mots de passe », et, malgré la littérature et la progression dans le bon sens populaire du fait qu'aucun hachage basique n'est un bon système de stockage de mot de passe, se dire que cet objectif sera accompli avec du SHA.
[^] # Re: Rien à redire sur les EcoTank
Posté par Sufflope (site web personnel) . En réponse au journal HP, l’informatique de trahison.. Évalué à 1. Dernière modification le 09 octobre 2016 à 23:47.
Ah parce qu'il y a encore des gens qui impriment des photos ?
Par là je ne cherche pas à dénigrer l'impression de photo, loin de là, mais l'impression personnelle. Pour une soirée diaporama de vacances entre amis, aucun système "physique" ne battra maintenant un écran de TV/projo moderne que ce soit sur la qualité d'affichage (elle imprime du 4k sur 65", ton imprimante ?…) ou la praticité (… en passant d'une photo à l'autre par la pression d'une touche ?) ; pour de l'impression à long terme type "encadrement" (qu'encore une fois je ne cherche pas à dévaloriser) là aussi je ne vois pas comment un système d'impression personnel peut battre la qualité de l'impression pro.
Remarque je vois pas pourquoi imprimer du texte non plus, en fait.
[^] # Re: Résumé approximiteux
Posté par Sufflope (site web personnel) . En réponse au journal HP, l’informatique de trahison.. Évalué à 4.
Et puis :
Du coup c'est bon la confiance est pas entamée. À la rigueur la confiance dans la qualité des HP (et encore) mais pas dans la loyauté d'HP si les millions d'acheteurs (moins les 10 000 qui auront appris l'histoire) ne sauront jamais qu'elle n'était pas vraiment défectueuse.
[^] # Re: [HS] Pratiques sexuelles : il ne faut pas "dévier" de ton référentiel?
Posté par Sufflope (site web personnel) . En réponse au journal HP, l’informatique de trahison.. Évalué à 7.
D'après un recensement des marques plus haut, y en a un paquet d'origine asiatique, ça limite les dégats.
[^] # Re: [HS] Pratiques sexuelles : il ne faut pas "dévier" de ton référentiel?
Posté par Sufflope (site web personnel) . En réponse au journal HP, l’informatique de trahison.. Évalué à 1.
C'est quelqu'un plus haut qui a ajouté faire un truc en juif comme exemple d'expression populaire aux origines nauséabondes.
[^] # Re: Et 4 mois plus tôt, chez Debian ...
Posté par Sufflope (site web personnel) . En réponse au journal systemd: attention à RemoveIPC. Évalué à -3.
https://forum.kde.org/viewtopic.php?f=15&t=90508
https://ubuntuforums.org/showthread.php?t=1883631
Ta gueule merci.
[^] # Re: Quel nom !
Posté par Sufflope (site web personnel) . En réponse au journal Encore une «mini board». Évalué à 0.
Tu l'aimes en la massacrant apparemment. Hitler devait être sioniste.
[^] # Re: Merci
Posté par Sufflope (site web personnel) . En réponse au journal [HS] Abonnés freebox révolution, attention à une possible tentative de vente "forcée".. Évalué à 5.
J'ai pas bien compris de quel fournisseur tu parles, mais en tout cas ton fournisseur de ponctuation se fout de ta gueule.
[^] # Re: $
Posté par Sufflope (site web personnel) . En réponse au journal Lequel d'entre vous a fait ça ?. Évalué à 2.
Ouais c'est vrai ça, la loi de Lynch y a que ça de vrai.
[^] # Re: Ne pas s'emballer
Posté par Sufflope (site web personnel) . En réponse au journal Purism lance un sondage pour la création d'un téléphone entièrement libre avec infra chiffrée. Évalué à 5.
Je connais les détails mais à vrai dire je m'en fiche. De mon point de vue, sur mes ordis sous Linux, je branche mon tel et il apparait dans l'explorateur. Si il faut jouer au plus con à base de "oui mais sur ma slackware 1998 j'ai pas MTP" je peux aussi trouver un vieux coucou sans USB et dire "c'est nul Android j'ai jamais pu le brancher".
[^] # Re: Ne pas s'emballer
Posté par Sufflope (site web personnel) . En réponse au journal Purism lance un sondage pour la création d'un téléphone entièrement libre avec infra chiffrée. Évalué à 3.
J'ai pu faire ça avec tous les Android que j'ai vus donc déjà c'est pas la faute d'Android, et on pourrait presque en arriver à penser que c'est plutôt la faute de l'utilisateur.
[^] # Re: Serveur DHCP
Posté par Sufflope (site web personnel) . En réponse au journal [Bookrmark] How to troll systemd in one blog post. Évalué à 1.
systemd le projet oui. À ce compte-là, OpenBSD ou même Debian en tant que projet incluent des serveurs DHCP. systemd le binaire PID 1 fourni par le projet systemd, non.
[^] # Re: Quoi d’intéressant?
Posté par Sufflope (site web personnel) . En réponse au journal [Bookrmark] How to troll systemd in one blog post. Évalué à -1.
Ah merde je pensais que systemd mettait tout dans PID 1.
[^] # Re: Quoi d’intéressant?
Posté par Sufflope (site web personnel) . En réponse au journal [Bookrmark] How to troll systemd in one blog post. Évalué à 4.
Il a pas dit c'est utile selon l'échelle absolue d'Utilité que voici (par contre apparemment toi tu l'as, cette échelle ?), il a dit quelqu'un en voit l'utilité. Ensuite, les mirages, ça existe.
[^] # Re: question bête?
Posté par Sufflope (site web personnel) . En réponse au journal Où l'on fait le bilan des domaines .fr d'une et deux lettres, un an après leur ouverture au public. Évalué à -2.
https://fr.wikipedia.org/wiki/Agent_contractuel_des_services_publics_fran%C3%A7ais
On peut viser un système social protecteur et refuser le profit à tout prix sans pour autant croire que ça passe par créer des rentes de situation sur 40 ans (60 si on compte la retraite).
[^] # Re: Midi ou 12 h ?
Posté par Sufflope (site web personnel) . En réponse au journal Où l'on fait le bilan des domaines .fr d'une et deux lettres, un an après leur ouverture au public. Évalué à 3.
Évidemment zurvan a l'explication la plus plausible mais je suis sûr qu'on peut trouver des hypothèses marrantes avec une seconde intercalaire en milieu de journée (même si elle serait 11h59m60s et donc 12h00 serait toujours midi mais quand même :-D).
[^] # Re: question bête?
Posté par Sufflope (site web personnel) . En réponse au journal Où l'on fait le bilan des domaines .fr d'une et deux lettres, un an après leur ouverture au public. Évalué à 2.
Je sais que c'est très désuet mais dans l'idée d'un service public il peut y avoir "sacrifier quelques profits".
[^] # Re: j'en pense que
Posté par Sufflope (site web personnel) . En réponse au journal [HS] Abonnés freebox révolution, attention à une possible tentative de vente "forcée".. Évalué à 1.
Merci pour vos suggestions (je connais l'offre OVH mais je ne savais pas qu'Alice existait encore) mais je souhaite garder une offre TV, et surtout maintenant que j'ai la fibre Free avec 1G/200M réels il va falloir qu'ils m'en fassent beaucoup, de coups tordus, pour que je parte vraiment :-).
[^] # Re: j'en pense que
Posté par Sufflope (site web personnel) . En réponse au journal [HS] Abonnés freebox révolution, attention à une possible tentative de vente "forcée".. Évalué à 8.
Au delà de la question de la légalité, quand un tarif augmente (parce que l'inflation, parce que ceci cela) c'est une chose (peut-être discutable mais au moins on discute d'un changement sur une seule dimension, et généralement la boite met en avant le pourquoi du comment de l'augmentation, évidemment).
Là c'est "hé cool on vous a mis une option que vous aviez pas demandé ! C'est sympa non ? Ah au fait elle est payante". C'est n'importe quoi, et évidemment en tant qu'autohébergé je ne vais pas quitter Free ; mais c'est une pierre de plus dans la déconstruction de l'attractivité de Free comme conseil pour les 99,999% de mes relations qui s'en foutent des avantages de Free pour les autohébergés.
[^] # Re: j'en pense que
Posté par Sufflope (site web personnel) . En réponse au journal [HS] Abonnés freebox révolution, attention à une possible tentative de vente "forcée".. Évalué à 7.
Eh bien en tout cas c'est réussi pour ma part : si tu ne l'avais pas écrit ici j'aurais eu une forte probabilité de passer à côté. Merci.