et peut être même l'incrémenter quelques lignes plus bas.
Et comment tu vas être sûr que tu ne risque pas te faire un overflow?
count c'est un "int", un "long" ? Ah, non pas de bol, il est lu d'un stream octet par octet, c'est un "byte".
Sur un langage moderne (j'imagine que Java a maintenant l'équivalent), on peut manipuler sans soucis le type d'une variable au type inféré:
autocounter=getNextValue();if(counter==numeric_limits<decltype(counter)>::max())throwoverflow_error("counter too big");++counter;
Intérêt: on devient insensible à une évolution de l'API de getNextValue(), par exemple si le type de retour passe de "int" à "long"…
Tu as raison, il me semble, dans tout ce que tu dis. Mais il me semble qu'on mélange deux choses:
D'un côté ton post souligne le problème de trouver (éventuellement) un modèle économique pour financer le logiciel libre.
Dans ce journal on parle de soumettre à l'impôt et aux cotisations sociales des activités qui sont déjà rémunératrices et qui n'ont aucun lien avec le partage ou le bénévolat. On parle essentiellement de sociétés qui utilisent le paravent du collaboratif pour échapper à l'impôt et aux cotisations sociales. Que fait Uber en collaboratif? Bon, ils doivent bien profiter de code libre pour leur plateforme, profiter du travail des chauffeurs pour s'enrichir, et après? Il me semble qu'une boîte comme ça est l'exact opposé d'un développeur libre peu ou pas financé. Je les rapprocherais même des boîtes que tu cites comme prenant des ressources collectives pour en faire du fric et ne jamais rien reverser en retour.
On parle de partage de code? L'impôt aussi, ça fait du partage: ça forme des programmeurs, ça fait de la recherche, ça ouvre de plus en plus les données, ça paie des gens qui font (aussi) du libre (sisi!)… Ça fait les routes pour les chauffeurs d'Uber, ça fait la voirie pour évacuer les déchets qu'on laisse après son passage dans un logement BnB… Est-ce collaboratif de ne pas payer l'impôt?
Quand au journal, finir sur le manque de financement des développeurs du libre pour essayer de nous tirer une larme, ça sent la grossière manipulation. Pour rappel, Travis Cordell Kalanick "vaut" 6.2 milliards de dollars d'après Wikipédia, et je ne vois pas en quoi il a donné quoi que ce soit à la collectivité.
Merci, non seulement pour les rencontres et l'annonce alléchante du programme mais aussi pour le travail d'exhumation des anciennes rencontres et autres sources.
Ça a l'air très très bien ces meetup ! Du coup, alléché mais ne pouvant faire le déplacement régulièrement, je me demandais si on pouvait trouver une version en ligne de ces rencontres, que ce soit une vidéo, ou au pire les slides (le quizz, le quizz!!). En grattant un peu:
Alors c'est lui aussi, les numéros de séquence de TCP et le 3 way handshake! C'est beau de simplicité.
On a des tout grands barbus qui disparaissent (aussi Postel et Ritchie, j'espère que Cerf, Thomson et Kernigham prennent soin de sa santé). Ils ont contribué à monter les bases de l'informatique d'aujourd'hui sans faire fortune avec, sans faire trop de bruit.
À côté de ça, demandez (non, pas autour de vous, c'est pas représentatif) qui sont les grands informaticiens et on vous balancera le nom de milliardaires…
Pour ceux qui (comme moi) se posent la question "Où en est le sympathique btrfs face au sympathique Zfs" (on est pas vendredi), on a des pistes de réponse rapides dans une Comparaison wikipedia de systèmes de fichiers
TL;DR: ce qui me semble le plus limitant est l'absence de chiffrement de btrfs, sinon, ça a l'air très proche dans l'avancement.
Ceci dit, la comparaison est vraiment générale et les listes wikipedia sont parfois sujettes à erreurs. Voici donc d'autres sources:
On a un test de perfs récents dans un rapport de projet de fin d'étude. Btrfs a l'air d'assurer de plus gros débits que Zfs, mais la question de la stabilité est posée.
Il y a les slides d'un talk à la Linuxcon 2014 avec pas mal de détail, notamment sur la licence mais l'auteur est peut-être partial ;)
Si vous avez d'autres bonnes sources récentes, je suis preneur :)
J'ai mal utilisé le terme chiffrement: je pensais à une injection de clé, avec en plus un "key streching" (désolé, pas d'idée de traduction) histoire d'augmenter l'entropie et de ralentir le hachage (pas besoin de vitesse en utilisation normale dans ce cas) pour limiter le bruteforce, le tout itéré avec une bonne fonction de hachage (Keccak?). C'est un peu ce que tu décris, sauf qu'il y a peu d'itérations (10 me semble bien faible mais c'est bien leur défaut, tu as raison!) et que, par défaut, ils se contentent d'un hash MD5 (voir leur code) alors qu'ils utilisent crypto-js qui supporte du sha3 (donc du Kekkac).
Dommage, je trouvais l'idée sympa. Enfin, ça reste toujours mieux que du mot de passe identique partout…
Sinon, qq'un a une idée de comment le navigateur assure qu'un "processus" (pas au sens système) javascript ne peut jamais accéder à la mémoire d'un autre "processus"? C'est threadé et laissé à l'OS? Je pensais au mot de passe maître qui réside en mémoire et ça ne m'inspire pas confiance (à tort?).
| C'est une bonne idée à la condition que l'information sur le fait que tu utilises supergenpass reste secrète.
Non, c'est pas juste un hachage du nom du site : c'est un chiffrement du nom du site avec une clé (commune à tous les sites) si j'ai bien compris les explications. Tant qu'ils n'ont pas la clé, l'algo ne suffit pas.
Pour l'interaction Web/Keepass, il existe Keefox, un module firefox pour s'interfacer avec Keepass. Je n'ai jamais essayé.
PS: Je me réponds parce que je ne peux plus modifier le post: j'ai un joli logo de Gandalf qui m'interdit de passer en me prenant pour un Balrog alors que le bouton "Modifier" est présent. On a une limite du nombre de modifs / unité de temps sous LinuxFr?
Ma solution: un git privé qui partage qq fichiers dont un fichier keepassx protégé par une masterkey.
Inconvénients:
- Bien sûr, les mécanismes de merge de git sont sans intérêt sur un fichier chiffré: penser à bien synchroniser avant et après chaque modif.
- Git se fout des droits (lecture pour tout le monde): bien penser à protéger les répertoires en amont en cas d'attaque locale
- Il me faut un serveur accessible 24/7
Intérêts:
- J'utilise déjà pas mal Git pour de la synchro/sauvegarde, du coup pas un outil de plus à maintenir
- J'ai relativement confiance en Git pour la sécurité. Au pire, si mon Git est compromis, il me reste la masterkey.
- Même si le diff n'a aucun sens sur ma base de mots de passes, je bénéficie quand même de la possibilité de remonter une ancienne version de mes mots de passe (y compris si mon dépot local si l'origin n'est pas accessible).
- Je ne pose pas mes données sensibles sur la machine de quelqu'un d'autre.
ps: Comme notifié plus haut, keepass, c'est pas un champion de l'intégration automatique dans toutes les applis. Mais en pratique, ça ne me gêne pas trop (surtout des pass web et des accès via SSH avec des authorized key (pas besoin du pass)).
C'est la reprise de ma solution 1. Trop manuel pour moi, il faut automatiser, que diable! :)
Et l'automatisation pose justement un problème, vu que je n'arrive pas à trouver de critère pour permettre à i3 de faire la différence entre les fenêtres en question.
Merci beaucoup d'avoir testé tout ça (ça me permet de confirmer que le bug existe toujours, contrairement aux rapports de bug fermés), et content du rappel de i3 :)
ps: Je vois néanmoins une solution d'automatisation à base de binding de touche et de xdotool mais on est pas assez vendredi pour proposer une horreur comme ça :)
Mes p'tits gars n'auront plus d'excuses pour ne pas accentuer correctement leurs majuscules (Bordel, elle s'appelle "CAPS-lock", pas "SHIFT-lock", la touche de verrouillage!).
Sachant qu'on a pas encore de retours d'utilisations ni vraiment de jeux compatibles intéressants, ça risque de faire un bide très rapidement.
Je pensais naïvement que c'était le driver de la carte graphique qui gérait ça, comme pour la stéréo à lunettes. À bien y réfléchir, je suppose que c'est pour gérer les mouvements de la tête comme une entrée hid ? Ça pourrait pas être bêtement géré comme une périphérique USB?
En gros avoir la version certifiée de l'ancien logiciel avec la fonction annulation supprimer et la version intégrale en parallèle. Contrairement au papier (et encore) tout ce qui est écrit sur un disque peut être facilement modifié.
Tu peux même imaginer plus simple: j'imagine que toutes les données sont stockées par un sgbd classique. Qu'est ce qui empêche d'avoir non pas un autre logiciel complet mais juste un petit bout de soft attaquant directement la base de donnée et supprimant la dernière transaction? Tu associes le truc à une combinaison de touches et le tour est joué, avec un exécutable tout petit et pas de partie visible repérable facilement. Tu peux même imaginer un mode automatique qui fait disparaître aléatoirement (pourcentage réglable) certaines transactions répondant à certains critère…
Il y a une façon technique de réaliser (paramétrer?) des sgbd pour être sûr qu'ils n'acceptent aucune modification après coup, et que ce mécanisme soit irréversible?
Il se vend comme un rm sans option qui fait juste un appel système à la primitive Posix unlink.
Extrait de info unlink:
Synopsis: It avoids the bells and whistles of the more commonly-used ‘rm’ command
En plus, ça n'a pas l'air bien portable:
On some systems ‘unlink’ can be used to delete the name of a directory. On others, it can be used that way only by a privileged user. In the GNU system ‘unlink’ can never delete the name of a directory.
Je ne nie pas l'utilité de clients lourds. J'utilise moi même sylpheed-claws et kmail et quasiment jamais de webmail. J'ajouterais un avantage des clients lourds: le fait que le mail puisse résider sur ma machine, et donc puisse être indexé par un outil de recherche de contenu (recoll) qui indexe aussi les autre fichiers.
Je ne critique pas la qualité de Thunderbird, que je connais assez mal mais que j'ai réparer chez des copains qui y étaient affichés (essentiellement des problèmes de plugins non compatibles avec certaines version, parfois des corruptions de toute la BAL en mbox).
Questions:
Quels sont les liens technologiques entre firefox et mozilla? Est ce que, par exemple, l'utilisation de XUL est un choix pour thunderbird ou une conséquence de son lien au navigateur?
Le passage de thunderbird à la communauté ne peut-il pas relancer son développement?
Je pense par exemple à la navigation par GPS, le truc qui te permet de faire un trajet en voiture.
Je n'utilise pas maps, l'application par défaut. J'utilise OSMAnd disponible sous freedroid: c'est pas mal du tout.
Pour les players, mon coeur balance entre flowplayer et sirensong. Il y a aussi des fans de Quasar. Tout ça se trouve soit sur le store officiel, soit sous openrepos (installer le gestionnaire de store warehouse).
iOS a des PdM faibles et il y a bien plus d'iOS en service que de Mac OS X dans la nature => argument sans intérêt.
Sauf si tu es développeur (qui sont minoritaires dans la population).
Si google (hors Android) injecte dans l'argent et des moyens dans Android, la concurrence n'est elle pas faussé par rapport à une boîte qui ne vendrait que l'OS?
Toute boîte qui est diversifié dans son activité fait cela, ce n'est pas propre à Google et c'est parfaitement légal.
Donc, puisque que google sponsorise android, je ne verrais aucun inconvénient à ce que l'Europe sponsorise Jolla :)
Et pourtant plein de constructeurs sont partis de 0 ou presque pour finalement se répandre un peu partout. Des téléphones modulaires au concept radicalement différent semble intéressé pas mal de monde, il y a du concept derrière à exploiter…
Tu reviens au matériel, marché qui est, lui, concurrentiel (en fait, on parle des assembleurs, les fabricants de RAM, de processeurs ou de dalles sont peu nombreux). La situation en matériel est différente de celle des OS, avec une concurrence beaucoup plus agressive.
Des téléphones modulaires au concept radicalement différent semble intéressé pas mal de monde, il y a du concept derrière à exploiter…
J'aimerais bien mais là non plus, je n'ai guère d'espoir. Le fairphone et le blackphone existent toujours mais coûtent un bras. On attend toujours le phonebloks.
Personnellement, j'espère maintenant juste pouvoir utiliser un SailfishOs tout libre sur une téléphone classique conçu pour Android, en payant éventuellement la compagnie pour le développement de l'Os. Ayant le plaisir de me retrouver mes applis linux (non X) directement recompilées pour le téléphone, je vais avoir du mal à retourner en arrière.
ps: Sur les autres Os qui ont été tenté, ça m'a l'air mal barré: j'ai testé firefoxOS sur un ZTE et je ne trouve ça ni réactif, ni pratique. J'ai pas pu mettre la main sur un téléphone avec UnbuntuPhone mais je n'en attends pas grand chose (peut-être serais-je surpris). On verra…
Posté par Trollgouin .
En réponse au journal De la nausée.
Évalué à 6.
Dernière modification le 02 décembre 2015 à 11:33.
Attention, tu parles d'OS et non de matériel ici aussi.
Oui, j'ai mal légendé le schéma, je parle bien (et quasi uniquement) d'OS. Mea Maxima Culpa.
Ils n'ont pas exploité correctement les modules matériels via la coque communicante.
Délégués à la communauté. On a pas mal de trucs marrants, mais rien de révolutionnaire. Et ça touche (hélas) peu de monde.
L'OS certes agréable manque de beaucoup de fonctions de base pour quantité de personnes.
Perso, je n'ai rien trouvé qui manque dessus et qui puisse être défini comme "fonction de base". Ceci dit, je n'aime pas les réseaux dits sociaux. Tu penses à quoi?
La Russie voulait faire cela, mais attention,
La Russie a prétendu vouloir faire cela. De mémoire, ils nous ont déjà fait le coup avec d'autres technos (dont linux à un moment)…
Sailfish OS est loin d'être libre (c'est le bas-moyen niveau qui sont libres, tout ce qui est graphique ne l'est pas ou presque).
Lipstick n'est pas libre (je l'ai bien précisé). Mais décrire "tout ce qui est graphique" comme non libre me semble un peu abusé: on reste sur du QtQuick et du Wayland, deux technos libres.
Par contre, pour le bas niveau, je doute sur certaines parties:
La VM android (Dalvik ou c'est passé à ART?) me semble de mémoire soumise à redevance. Dalvik est sensé être ouvert (modulo les disputes avec Oracle) mais pour ART, je ne sais pas du tout.
Est ce qu'on a pas du blob propriétaire pour gérer certains éléments du bas niveau (firmware, driver…)?
L'État n'a pas à intervenir, il y a assez de concurrences.
Au niveau des OS, il y a deux acteurs qui écrasent les autres en termes de marché.
aucun acteur n'abuse de sa position dominante.
Mouais. Je vais taper sur le plus méchant des deux mais on peut développer pour un IPhone sans avoir un Mac? On peut distribuer des applis IOS sans passer par leur store? On est sur qu'une application légale sera autorisée par leur store? On a des outils pour migrer ses données depuis un IPhone vers un autre système?
Est ce que google gagne des sous avec Android ou est ce qu'il continue de vivre sur la publicité du moteur de recherche et sur l'analyse des données utilisateurs ? Si google (hors Android) injecte dans l'argent et des moyens dans Android, la concurrence n'est elle pas faussé par rapport à une boîte qui ne vendrait que l'OS?
Et d'une manière plus générale, même si les acteurs étaient fair-play, la situation d'oligopole n'est elle pas suffisante en elle même pour leur assurer une hégémonie à long terme (parc d'applis existantes, habitudes…)?
Microsoft et le Ministère s'entendront pour:
* Se soumettre mutuellement pour accord préalable avant impression ou diffusion tout projet communication envisagé concernant ou mentionnant un des axes de partenariat évoqué[…]
* Se notifier tout projet de communication par article de presse, reportage radio ou télévisé, afin de s'entendre sur les éléments de langages qui seront utilisés.
On a un ministère qui se soumet volontairement sa communication à l'autorisation d'un prestataire privé?
2- Relisons les gentilles déclarations de Pellerin sur le logiciel libre après la consultation législative et apprécions à la lumière de l'accord M$/éducation nationale ce magnifique caca de taureau qu'elle nous a servi.
3-
La convention signée est disponible ici
Oh, un PDF scanné traitant d'usages numériques… C'est ça, les "compétences du 21ème siècle"?
Posté par Trollgouin .
En réponse au journal De la nausée.
Évalué à 9.
Dernière modification le 24 août 2019 à 18:18.
Sur les pépins de Jolla, on a surtout affaire à un problème d'introduction d'un nouvel acteur dans un monde oligopolistique.
Sur les chiffres de Répartition des ventes de smartphones, on voit deux acteurs bouffer tout le marché. Même Nokrosoft, avec des moyens financiers énormes et un bon savoir faire sur le matériel n'arrive pas à se faire une place. Un petit n'a aucune chance, surtout si il se lance dans le matériel (
Les seules façons (à ma connaissance) d'introduire un nouvel acteur sur le marché sont
Avoir de grosses coucougnettes financières, perdre des sous pendant des années en vendant à perte, dépenser des fortune en budget de pub en espérant s'y retrouver à long terme (cf Microsoft et les consoles).
Offrir un avantage dont tout le monde a absolument besoin et qui est introuvable et non portable sur les autres systèmes (là, on aurait l'open source, la protection des données mais la plupart des gens s'en foutent). Les ajouts juste du style "c'est meilleur" ne suffisent pas (Betamax vs VHS) pour contraindre des utilisateurs à changer les habitudes.
Casser le monopole avec un soutien étatique ou supra étatique, commencer par attaquer un marché de niche et étendre plus tard.
Nous aurions pu espérer ici une intervention d'états ou d'unions d'états lassés de l'espionnage politique et économique, conscient de l'importance du contrôle des outils numériques. Le problème est que beaucoup de nos politiques semblent aussi bouchés que la population sur le sujet (voir je suis député européen et je ne sais pas utiliser un téléphone ou alors le refus de nos ministres d'utiliser des téléphones sécurisés (Thalès faisait des machins pas conviviaux mais plutôt sûrs)). Pourquoi ne pas foutre des sous dans Jolla en échange d'une ouverture totale du code (il doit rester un bout de lipstick propriétaire) et de choix d'une meilleure sécurisation (avec un OS et un sous store sérieusement audité)?
Ceci dit, il restera au passage le problème de l'audit du matériel…
Pas de page unique pour toutes les vidéos, on y accède via l'année de la conférence, puis soit par le programme, soit par un lien dédié. On y trouve des liens vidéo et/ou diapo, ou poster.
[^] # Re: Inférence de types
Posté par Trollgouin . En réponse à la dépêche Sortie de JDK 10. Évalué à 7.
Sur un langage moderne (j'imagine que Java a maintenant l'équivalent), on peut manipuler sans soucis le type d'une variable au type inféré:
Intérêt: on devient insensible à une évolution de l'API de getNextValue(), par exemple si le type de retour passe de "int" à "long"…
[^] # Re: Quid des hackers ? Ben voila "quid des hackers"
Posté par Trollgouin . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 1.
Tu as raison, il me semble, dans tout ce que tu dis. Mais il me semble qu'on mélange deux choses:
D'un côté ton post souligne le problème de trouver (éventuellement) un modèle économique pour financer le logiciel libre.
Dans ce journal on parle de soumettre à l'impôt et aux cotisations sociales des activités qui sont déjà rémunératrices et qui n'ont aucun lien avec le partage ou le bénévolat. On parle essentiellement de sociétés qui utilisent le paravent du collaboratif pour échapper à l'impôt et aux cotisations sociales. Que fait Uber en collaboratif? Bon, ils doivent bien profiter de code libre pour leur plateforme, profiter du travail des chauffeurs pour s'enrichir, et après? Il me semble qu'une boîte comme ça est l'exact opposé d'un développeur libre peu ou pas financé. Je les rapprocherais même des boîtes que tu cites comme prenant des ressources collectives pour en faire du fric et ne jamais rien reverser en retour.
On parle de partage de code? L'impôt aussi, ça fait du partage: ça forme des programmeurs, ça fait de la recherche, ça ouvre de plus en plus les données, ça paie des gens qui font (aussi) du libre (sisi!)… Ça fait les routes pour les chauffeurs d'Uber, ça fait la voirie pour évacuer les déchets qu'on laisse après son passage dans un logement BnB… Est-ce collaboratif de ne pas payer l'impôt?
Quand au journal, finir sur le manque de financement des développeurs du libre pour essayer de nous tirer une larme, ça sent la grossière manipulation. Pour rappel, Travis Cordell Kalanick "vaut" 6.2 milliards de dollars d'après Wikipédia, et je ne vois pas en quoi il a donné quoi que ce soit à la collectivité.
# Merci
Posté par Trollgouin . En réponse à la dépêche Douzième rencontre parisienne C++ mercredi 27 avril 2016. Évalué à 2.
Merci, non seulement pour les rencontres et l'annonce alléchante du programme mais aussi pour le travail d'exhumation des anciennes rencontres et autres sources.
# Alléchant...
Posté par Trollgouin . En réponse à la dépêche Onzième rencontre C++ francophone jeudi 31 mars 2016 à Paris. Évalué à 2.
Ça a l'air très très bien ces meetup ! Du coup, alléché mais ne pouvant faire le déplacement régulièrement, je me demandais si on pouvait trouver une version en ligne de ces rencontres, que ce soit une vidéo, ou au pire les slides (le quizz, le quizz!!). En grattant un peu:
Les slides.
Les vidéos. Attention, le lien sur le site des rencontres (et non pas le site de rencontres) est faux: il y a un tiret en trop dans l'adresse.
[^] # Re: Deux témoignages techniques
Posté par Trollgouin . En réponse au journal Ray Tomlinson est décédé. Évalué à 4.
Alors c'est lui aussi, les numéros de séquence de TCP et le 3 way handshake! C'est beau de simplicité.
On a des tout grands barbus qui disparaissent (aussi Postel et Ritchie, j'espère que Cerf, Thomson et Kernigham prennent soin de sa santé). Ils ont contribué à monter les bases de l'informatique d'aujourd'hui sans faire fortune avec, sans faire trop de bruit.
À côté de ça, demandez (non, pas autour de vous, c'est pas représentatif) qui sont les grands informaticiens et on vous balancera le nom de milliardaires…
… :(
# Zfs vs BTRFS
Posté par Trollgouin . En réponse à la dépêche ZFS, Canonical et GPL. Évalué à 5.
Pour ceux qui (comme moi) se posent la question "Où en est le sympathique btrfs face au sympathique Zfs" (on est pas vendredi), on a des pistes de réponse rapides dans une Comparaison wikipedia de systèmes de fichiers
TL;DR: ce qui me semble le plus limitant est l'absence de chiffrement de btrfs, sinon, ça a l'air très proche dans l'avancement.
Ceci dit, la comparaison est vraiment générale et les listes wikipedia sont parfois sujettes à erreurs. Voici donc d'autres sources:
On a un test de perfs récents dans un rapport de projet de fin d'étude. Btrfs a l'air d'assurer de plus gros débits que Zfs, mais la question de la stabilité est posée.
Il y a les slides d'un talk à la Linuxcon 2014 avec pas mal de détail, notamment sur la licence mais l'auteur est peut-être partial ;)
Si vous avez d'autres bonnes sources récentes, je suis preneur :)
[^] # Re: Base de la position de Canonical
Posté par Trollgouin . En réponse à la dépêche ZFS, Canonical et GPL. Évalué à 7.
Il est même utilisé en production dans quelques coins, notamment sur certains téléphones.
D'un autre côté, une vieux système de fichier, ça a un côté rassurant, surtout que Sun s'est toujours bien débrouillé pour les IO.
[^] # Re: SuperGenPass
Posté par Trollgouin . En réponse au journal Où mettre son archive de mots de passe ?. Évalué à 1.
Arg. J'aurais du relire tout le thread avant de répondre :)
On a les mêmes inquiétudes…
[^] # Re: SuperGenPass
Posté par Trollgouin . En réponse au journal Où mettre son archive de mots de passe ?. Évalué à 3.
Merci pour les infos:
J'ai mal utilisé le terme chiffrement: je pensais à une injection de clé, avec en plus un "key streching" (désolé, pas d'idée de traduction) histoire d'augmenter l'entropie et de ralentir le hachage (pas besoin de vitesse en utilisation normale dans ce cas) pour limiter le bruteforce, le tout itéré avec une bonne fonction de hachage (Keccak?). C'est un peu ce que tu décris, sauf qu'il y a peu d'itérations (10 me semble bien faible mais c'est bien leur défaut, tu as raison!) et que, par défaut, ils se contentent d'un hash MD5 (voir leur code) alors qu'ils utilisent crypto-js qui supporte du sha3 (donc du Kekkac).
Dommage, je trouvais l'idée sympa. Enfin, ça reste toujours mieux que du mot de passe identique partout…
Sinon, qq'un a une idée de comment le navigateur assure qu'un "processus" (pas au sens système) javascript ne peut jamais accéder à la mémoire d'un autre "processus"? C'est threadé et laissé à l'OS? Je pensais au mot de passe maître qui réside en mémoire et ça ne m'inspire pas confiance (à tort?).
[^] # Re: SuperGenPass
Posté par Trollgouin . En réponse au journal Où mettre son archive de mots de passe ?. Évalué à 1.
| C'est une bonne idée à la condition que l'information sur le fait que tu utilises supergenpass reste secrète.
Non, c'est pas juste un hachage du nom du site : c'est un chiffrement du nom du site avec une clé (commune à tous les sites) si j'ai bien compris les explications. Tant qu'ils n'ont pas la clé, l'algo ne suffit pas.
[^] # Re: Git + keepassx
Posté par Trollgouin . En réponse au journal Où mettre son archive de mots de passe ?. Évalué à 1.
Pour l'interaction Web/Keepass, il existe Keefox, un module firefox pour s'interfacer avec Keepass. Je n'ai jamais essayé.
PS: Je me réponds parce que je ne peux plus modifier le post: j'ai un joli logo de Gandalf qui m'interdit de passer en me prenant pour un Balrog alors que le bouton "Modifier" est présent. On a une limite du nombre de modifs / unité de temps sous LinuxFr?
# Git + keepassx
Posté par Trollgouin . En réponse au journal Où mettre son archive de mots de passe ?. Évalué à 4. Dernière modification le 26 janvier 2016 à 09:32.
Ma solution: un git privé qui partage qq fichiers dont un fichier keepassx protégé par une masterkey.
Inconvénients:
- Bien sûr, les mécanismes de merge de git sont sans intérêt sur un fichier chiffré: penser à bien synchroniser avant et après chaque modif.
- Git se fout des droits (lecture pour tout le monde): bien penser à protéger les répertoires en amont en cas d'attaque locale
- Il me faut un serveur accessible 24/7
Intérêts:
- J'utilise déjà pas mal Git pour de la synchro/sauvegarde, du coup pas un outil de plus à maintenir
- J'ai relativement confiance en Git pour la sécurité. Au pire, si mon Git est compromis, il me reste la masterkey.
- Même si le diff n'a aucun sens sur ma base de mots de passes, je bénéficie quand même de la possibilité de remonter une ancienne version de mes mots de passe (y compris si mon dépot local si l'origin n'est pas accessible).
- Je ne pose pas mes données sensibles sur la machine de quelqu'un d'autre.
ps: Comme notifié plus haut, keepass, c'est pas un champion de l'intégration automatique dans toutes les applis. Mais en pratique, ça ne me gêne pas trop (surtout des pass web et des accès via SSH avec des authorized key (pas besoin du pass)).
[^] # Re: faudra que j'essaie
Posté par Trollgouin . En réponse au message La console de présentation de libreoffice et I3 (ou awsome, ou e17...). Évalué à 1.
C'est la reprise de ma solution 1. Trop manuel pour moi, il faut automatiser, que diable! :)
Et l'automatisation pose justement un problème, vu que je n'arrive pas à trouver de critère pour permettre à i3 de faire la différence entre les fenêtres en question.
Merci beaucoup d'avoir testé tout ça (ça me permet de confirmer que le bug existe toujours, contrairement aux rapports de bug fermés), et content du rappel de i3 :)
ps: Je vois néanmoins une solution d'automatisation à base de binding de touche et de xdotool mais on est pas assez vendredi pour proposer une horreur comme ça :)
[^] # Re: gestionnaire de fenêtres
Posté par Trollgouin . En réponse au message La console de présentation de libreoffice et I3 (ou awsome, ou e17...). Évalué à 3.
Modifié, merci :)
Sinon, i3, c'est un gestionnaire "rangeant" tes fenêtres, c'est déjà pas si mal :P
[^] # Re: faudra que j'essaie
Posté par Trollgouin . En réponse au message La console de présentation de libreoffice et I3 (ou awsome, ou e17...). Évalué à 1.
Merci :)
# Majuscules accentuées
Posté par Trollgouin . En réponse à la dépêche Sortie de WinCompose 0.7.5. Évalué à 1.
Super idée! À toi, mille mercis!
Mes p'tits gars n'auront plus d'excuses pour ne pas accentuer correctement leurs majuscules (Bordel, elle s'appelle "CAPS-lock", pas "SHIFT-lock", la touche de verrouillage!).
[^] # Re: Ça fait cher les frais de port
Posté par Trollgouin . En réponse au journal Oculus Rift : trop cher !. Évalué à 1.
Je pensais naïvement que c'était le driver de la carte graphique qui gérait ça, comme pour la stéréo à lunettes. À bien y réfléchir, je suppose que c'est pour gérer les mouvements de la tête comme une entrée hid ? Ça pourrait pas être bêtement géré comme une périphérique USB?
[^] # Re: Inutile ?
Posté par Trollgouin . En réponse au journal la fin des logiciels libres de comptabilité et de gestion de caisses. Évalué à 5.
Tu peux même imaginer plus simple: j'imagine que toutes les données sont stockées par un sgbd classique. Qu'est ce qui empêche d'avoir non pas un autre logiciel complet mais juste un petit bout de soft attaquant directement la base de donnée et supprimant la dernière transaction? Tu associes le truc à une combinaison de touches et le tour est joué, avec un exécutable tout petit et pas de partie visible repérable facilement. Tu peux même imaginer un mode automatique qui fait disparaître aléatoirement (pourcentage réglable) certaines transactions répondant à certains critère…
Il y a une façon technique de réaliser (paramétrer?) des sgbd pour être sûr qu'ils n'acceptent aucune modification après coup, et que ce mécanisme soit irréversible?
# Unlink
Posté par Trollgouin . En réponse au journal Le core utile. Évalué à 3.
Il se vend comme un
rmsans option qui fait juste un appel système à la primitive Posixunlink.Extrait de
info unlink:En plus, ça n'a pas l'air bien portable:
# Est ce une mauvaise nouvelle?
Posté par Trollgouin . En réponse au journal Mozilla s'apprête à laisser la main pour Thunderbird. Évalué à 1.
Disclaimer:
Questions:
[^] # Re: système d'exploitation
Posté par Trollgouin . En réponse au journal De la nausée. Évalué à 4.
Je n'utilise pas maps, l'application par défaut. J'utilise OSMAnd disponible sous freedroid: c'est pas mal du tout.
Pour les players, mon coeur balance entre flowplayer et sirensong. Il y a aussi des fans de Quasar. Tout ça se trouve soit sur le store officiel, soit sous openrepos (installer le gestionnaire de store warehouse).
Sauf si tu es développeur (qui sont minoritaires dans la population).
Donc, puisque que google sponsorise android, je ne verrais aucun inconvénient à ce que l'Europe sponsorise Jolla :)
Tu reviens au matériel, marché qui est, lui, concurrentiel (en fait, on parle des assembleurs, les fabricants de RAM, de processeurs ou de dalles sont peu nombreux). La situation en matériel est différente de celle des OS, avec une concurrence beaucoup plus agressive.
J'aimerais bien mais là non plus, je n'ai guère d'espoir. Le fairphone et le blackphone existent toujours mais coûtent un bras. On attend toujours le phonebloks.
Personnellement, j'espère maintenant juste pouvoir utiliser un SailfishOs tout libre sur une téléphone classique conçu pour Android, en payant éventuellement la compagnie pour le développement de l'Os. Ayant le plaisir de me retrouver mes applis linux (non X) directement recompilées pour le téléphone, je vais avoir du mal à retourner en arrière.
ps: Sur les autres Os qui ont été tenté, ça m'a l'air mal barré: j'ai testé firefoxOS sur un ZTE et je ne trouve ça ni réactif, ni pratique. J'ai pas pu mettre la main sur un téléphone avec UnbuntuPhone mais je n'en attends pas grand chose (peut-être serais-je surpris). On verra…
[^] # Re: système d'exploitation
Posté par Trollgouin . En réponse au journal De la nausée. Évalué à 6. Dernière modification le 02 décembre 2015 à 11:33.
Oui, j'ai mal légendé le schéma, je parle bien (et quasi uniquement) d'OS. Mea Maxima Culpa.
Délégués à la communauté. On a pas mal de trucs marrants, mais rien de révolutionnaire. Et ça touche (hélas) peu de monde.
Perso, je n'ai rien trouvé qui manque dessus et qui puisse être défini comme "fonction de base". Ceci dit, je n'aime pas les réseaux dits sociaux. Tu penses à quoi?
La Russie a prétendu vouloir faire cela. De mémoire, ils nous ont déjà fait le coup avec d'autres technos (dont linux à un moment)…
Lipstick n'est pas libre (je l'ai bien précisé). Mais décrire "tout ce qui est graphique" comme non libre me semble un peu abusé: on reste sur du QtQuick et du Wayland, deux technos libres.
Par contre, pour le bas niveau, je doute sur certaines parties:
Au niveau des OS, il y a deux acteurs qui écrasent les autres en termes de marché.
Mouais. Je vais taper sur le plus méchant des deux mais on peut développer pour un IPhone sans avoir un Mac? On peut distribuer des applis IOS sans passer par leur store? On est sur qu'une application légale sera autorisée par leur store? On a des outils pour migrer ses données depuis un IPhone vers un autre système?
Est ce que google gagne des sous avec Android ou est ce qu'il continue de vivre sur la publicité du moteur de recherche et sur l'analyse des données utilisateurs ? Si google (hors Android) injecte dans l'argent et des moyens dans Android, la concurrence n'est elle pas faussé par rapport à une boîte qui ne vendrait que l'OS?
Et d'une manière plus générale, même si les acteurs étaient fair-play, la situation d'oligopole n'est elle pas suffisante en elle même pour leur assurer une hégémonie à long terme (parc d'applis existantes, habitudes…)?
Je suis bien moins optimiste que toi…
# Communication et foutage de gueule
Posté par Trollgouin . En réponse au journal De la nausée. Évalué à 10.
1- Au chapitre "communication", j'hallucine:
On a un ministère qui se soumet volontairement sa communication à l'autorisation d'un prestataire privé?
2- Relisons les gentilles déclarations de Pellerin sur le logiciel libre après la consultation législative et apprécions à la lumière de l'accord M$/éducation nationale ce magnifique caca de taureau qu'elle nous a servi.
3-
Oh, un PDF scanné traitant d'usages numériques… C'est ça, les "compétences du 21ème siècle"?
[^] # Re: système d'exploitation
Posté par Trollgouin . En réponse au journal De la nausée. Évalué à 9. Dernière modification le 24 août 2019 à 18:18.
Sur les pépins de Jolla, on a surtout affaire à un problème d'introduction d'un nouvel acteur dans un monde oligopolistique.
Sur les chiffres de Répartition des ventes de smartphones, on voit deux acteurs bouffer tout le marché. Même Nokrosoft, avec des moyens financiers énormes et un bon savoir faire sur le matériel n'arrive pas à se faire une place. Un petit n'a aucune chance, surtout si il se lance dans le matériel (
Les seules façons (à ma connaissance) d'introduire un nouvel acteur sur le marché sont
Nous aurions pu espérer ici une intervention d'états ou d'unions d'états lassés de l'espionnage politique et économique, conscient de l'importance du contrôle des outils numériques. Le problème est que beaucoup de nos politiques semblent aussi bouchés que la population sur le sujet (voir je suis député européen et je ne sais pas utiliser un téléphone ou alors le refus de nos ministres d'utiliser des téléphones sécurisés (Thalès faisait des machins pas conviviaux mais plutôt sûrs)). Pourquoi ne pas foutre des sous dans Jolla en échange d'une ouverture totale du code (il doit rester un bout de lipstick propriétaire) et de choix d'une meilleure sécurisation (avec un OS et un sous store sérieusement audité)?
Ceci dit, il restera au passage le problème de l'audit du matériel…
[^] # Re: Et ?
Posté par Trollgouin . En réponse à la dépêche JRES 2015 à Montpellier du 8 au 11 décembre 2015. Évalué à 2. Dernière modification le 27 novembre 2015 à 09:49.
Les vidéos sont diffusées (je ne sais pas à partir de quelle année).
Tu peux les trouver là:
https://archives.jres.org/
Pas de page unique pour toutes les vidéos, on y accède via l'année de la conférence, puis soit par le programme, soit par un lien dédié. On y trouve des liens vidéo et/ou diapo, ou poster.
Il y a pas mal de choses intéressantes :)