Ozz a écrit 311 commentaires

  • [^] # Re: juste une arnaque

    Posté par  . En réponse au journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !. Évalué à 4.

    Je n'y connais rien en bourse, mais l'action AMD semble monter (+1,91) pour le moment, alors que le nasdaq descend légèrement (-0,28), du coup en imaginant que c'est vraiment une opération de manipulation de cours pour des shorts, ils ont complètement foiré leur coup ou bien?

  • [^] # Re: XFCE Terminal

    Posté par  . En réponse à la dépêche Quel terminal pour 2018 ?. Évalué à 4.

    Et il supporte un mode à la guake avec xfce4-terminal --drop-down, à associer avec la touche de son choix dans les préférences clavier de xfce.

  • [^] # Re: mauvaise idée

    Posté par  . En réponse au journal Générateur de mot de passe. Évalué à 10.

    Non, c'est 40965 soit 60 bits d'entropie.

    Arrêtez d'essayer de contredire Randall Munroe, il est plus fort que vous.

  • [^] # Re: mauvaise idée

    Posté par  . En réponse au journal Générateur de mot de passe. Évalué à 10.

    Je pense que tu n'as pas bien compris le XKCD, parce que justement il dit de ne pas faire de permutations malines, mais de tirer 4 mots purement aléatoirement dans une liste de mots communs (en l’occurrence dans une liste de 2048 mots pour avoir 44 bits d'entropie). Si tu veux avoir 60 bits d'entropie comme indiqué dans l'article, tu peux tirer 5 mots dans une liste de 4096 mots, l'idée reste la même et elle est valide.

  • # Le mien

    Posté par  . En réponse au journal Générateur de mot de passe. Évalué à 6. Dernière modification le 20/01/18 à 18:14.

    J'en profite pour montrer mon générateur de mot de passe, parce que les 3 millions d'autres ne suffisaient pas: https://pacific-sea-76848.herokuapp.com

    C'est une application gadget/demo pas finie que j'avais préparée pour démontrer le style de mot de passes générés avec mes listes de mots.

    Le source est là: https://github.com/mbelivo/nodiceware-web (yep, y a zéro documentation et c'est le bazar).

  • [^] # Re: 300^4 = 8100000000

    Posté par  . En réponse au journal Générateur de mot de passe. Évalué à 4.

    C'est pire que ça, ça tire 3 mots parmi 162 et en plus les mots sont réparti dans 6 catégories et les mots ne peuvent pas venir deux fois d'une même catégorie, ce qui réduit encore l'entropie. Je pense que ça fait des mots de passe extrêmement faible, on est très loin des 4 mots aléatoires parmi 2048 de xkcd.

  • [^] # Re: Diceware

    Posté par  . En réponse au journal Générateur de mot de passe. Évalué à 3.

    Et il y a des listes alternatives ici: https://github.com/mbelivo/diceware-wordlists-fr

  • [^] # Re: Extensions

    Posté par  . En réponse au journal Le Firefox nouveau est arrivé !. Évalué à 5.

    Il est réputé plus performant, il a des options plus avancées*, et il n'est pas développé par une entreprise au business modèle pour le moins contestable.

    * si tu veux aller plus loin que le simple bloqueur de pub, y a un "requestPolicy simplifié" intégré (à activer), dont je suis fan perso. https://github.com/gorhill/uBlock/wiki/Dynamic-filtering

  • [^] # Re: Extensions

    Posté par  . En réponse au journal Le Firefox nouveau est arrivé !. Évalué à 7.

    Si adblock plus est libre, sous licence GPLv3, https://adblockplus.org/source

    Mais ublock origin c'est mieux, donc y a pas trop de raison de l'utiliser.

  • [^] # Re: si si, on sait pourquoi

    Posté par  . En réponse au journal Arrestation du développeur Debian Dmitry Bogatov. Évalué à 4.

    Je ne sais pas ce que dis ton lien, mais dans cet article (en) ça parle de messages liés à son nœud de sortie Tor.

  • # KISS

    Posté par  . En réponse au journal Du bon partitionnement entre un SSD et un HDD . Évalué à 9.

    Je ferais tellement plus simple

    /: tout le SSD
    /home: tous le HDD
    swap en fichier pour la souplesse, sur le SSD parce que tant qu'a faire, autant swaper efficacement.
    /tmp en tmpfs

    Voir je mettrai aussi des dossiers genre $HOME/{.config,.cache,.mozilla} sur le ssd pour vraiment profiter de ses performances (pour Firefox particulièrement).

    Et l'usure? J'ai décidé de faire confiance à ceux qui disent que ce n'est pas un si gros problème :) (mon SSD low cost vieux de 6 ans tiens le coup pour l'instant)

  • [^] # Re: J’ai pas tout compris mais j’y mets mon grain de sel quand même

    Posté par  . En réponse au journal des (autres) listes de mots pour générer des phrases de passe en français . Évalué à 3.

    Ça demande un effort, mais c'est mémorisable.

    compare ça:

        $ for i in {1..10}; do src/rolldice wordlist_fr_4k.txt; done
        radio module donniez barrage panique
        nazi luisant amante saveur pluie
        refuser doudou navette saigner mienne
        essai surface urine valse confier
        soupe exploit noir via falloir
        capable oublie capable tarder bazar
        empare morbide poisson balcon coucou
        fixer avale piaule lisez pisse
        exclama zinc entra expert gazon
        trompe affecte fourmi chienne confond

    (mention spécial à nazi luisant, amante saveur pluie!)

    avec ces mots de passe de force et d'accessibilité équivalentes:

        >>> for i in range(10):
        ...     print(''.join(rng.choice(string.ascii_lowercase+' ') for x in range(13)))
        ... 
        lywmmfmfogbwu
        yppwsarlnnopv
        sorhkusccxpor
        nyisrkpixcctp
        bhbjngtniesdy
        hsslunoxtaups
        odjeuushuogii
        ucabuumaiiywo
        fichqetxbxleh
        hukcxjyxafchw
  • [^] # Re: J’ai pas tout compris mais j’y mets mon grain de sel quand même

    Posté par  . En réponse au journal des (autres) listes de mots pour générer des phrases de passe en français . Évalué à 3.

    Ah oui, je viens de comprendre la confusion, l'entropie dont il est question, c'est la force du mot de passe, rien à voir avec le générateur de nombres aléatoires.

  • [^] # Re: J’ai pas tout compris mais j’y mets mon grain de sel quand même

    Posté par  . En réponse au journal des (autres) listes de mots pour générer des phrases de passe en français . Évalué à 2.

    Alors les histoires d'entropie à la base c'est juste pour déterminer automatiquement combien tirer de mots dans la liste donnée en paramètre.

    J'ai des listes de 1296 / 4096 / 7776 / 8192 mots et je voulais juste passer la liste à mon générateur sans me poser la question moi même de combien de mots j'ai besoin.

    Par defaut rolldice va tirer assez de mots pour avoir au moins 56 bits d'entropie (modifiable avec le paramètre --entropy), donc 5 mots dans une liste de 4096 mais 6 mots dans une liste de 1296. On peut aussi spécifier le nombre de mots que l'on veut et à ce moment rolldice utilise le calcul d'entropie pour afficher un warning si elle semble faible (<44 bits), par exemple si on ne demande que 4 mots dans une liste de 1296.

    Y a aussi une vérification superflus avec mes listes (# make sure we really have desired entropy, assuming [a-z] only words) mais que j'ai mis quand même parce que pourquoi pas, qui vérifie ça: http://world.std.com/%7Ereinhold/dicewarefaq.html#14characters

  • [^] # Re: J’ai pas tout compris mais j’y mets mon grain de sel quand même

    Posté par  . En réponse au journal des (autres) listes de mots pour générer des phrases de passe en français . Évalué à 5.

    J'avoue que mon journal est un peu fouillis.

    Simplement (je refais le topo)

    J'ai créer une liste de mots français les plus courants destiné à être utilisée pour générer des passphrases "facile" à retenir et à taper.

    En fait, j'en ai créé plusieurs avec des propriétés différentes, et un petit générateur de passphrases. C'est disponible ici: https://github.com/mbelivo/diceware-wordlists-fr

    Exemple de passphrase généré:
    $ src/rolldice wordlist_4k.txt
    rendre ultime renifle loger rame

    C'est inspiré du xkcd 936 et des wordlists de l'eff

    Pour aller plus loin, mais en fait juste paraphraser le xkcd

    Il y a bien un rapport avec john ou crunch, qui sont pensés pour cracker les mots de passe du genre m4rT3au!007, qu'on a tous fait un jour parce que… ben c'est le moyen le plus simple de faire un mot de passe qui correspond aux critères qu'on nous enseigne et qu'on arrive à retenir.

    La sécurité théorique de ce type de mot de passe est forte, j'ai utilisé 11 caractères dans un pool de ~70, il faudra en moyenne 7011 / 2 (~267 / 2) tentatives pour brute forcer le mot de passe… si les 11 caractères avaient été sélectionnés aléatoirement parmi les 70 caractères de départ, ce qui n'est clairement pas le cas. La sécurité réelle est énormément plus faible.

    L'idée ici c'est d'utiliser des mots de passe composés de mots courants, sans les modifier, pris réellement aléatoirement dans un pool de mots plus important pour avoir des mots de passe mémorisable à la sécurité connu.

    Même en annonçant que j'ai tiré 5 mots dans le fichier wordlist_4k.txt, il faudra, de façon certaine, 260 / 2 tentatives en moyenne pour brute forcer ce mot de passe (c'est 18 ans à 1 milliard d'essais par seconde)

  • [^] # Re: Intéressant

    Posté par  . En réponse au journal Ce soir, ça parle technique à l'assemblée nationale. Évalué à 6. Dernière modification le 15/04/15 à 22:24.

    Roh, magique l'excuse facebook (facebook le fait, ça choque personne), et les députés qu'applaudissent en plus…

  • [^] # Re: Flux video

    Posté par  . En réponse au journal Ce soir, ça parle technique à l'assemblée nationale. Évalué à 1.

    Chez moi ça marche avec mpv, mais pas avec vlc

  • [^] # Re: Plutôt d'accord

    Posté par  . En réponse au journal Je n'aime pas le code moderne. Évalué à 3.

    les "fausses" annotations sont loin de faire l'unanimité, même chez les "modernes". Tu peux faire du symfony sans les utiliser du tout, c'est pas plus compliqué, ça manque un poil de doc pour les entités doctrine, qui est le seul domaine ou la doc pousse vraiment les annotations, autant que je me souvienne.

    Mais surtout n'utilise pas symfony si t'aimes pas, un agrégat de lib qui te plaisent pour faire ta sauce, c'est cool. Et justement PSR, composer et les namespaces, ça permet de faire ça simplement et un peu plus maintenable, même s'il peut y avoir des choses à redire sur les implem/syntax.

    Ozz, qui n'a presque plus honte de faire du php pour se nourrir.

  • [^] # Re: Anonymat

    Posté par  . En réponse au journal Quadrature is dying. Évalué à 5.

    https://soutien.laquadrature.net/faq#faq-10

    Puis-je faire un don via BitCoin ou d'autres crypto-monnaies ?

    Bien sûr ! Vous pouvez soutenir La Quadrature en donnant à l'un de ces comptes en crypto-monnaie :

    bitcoin : 1CTQP6g2GMMc99JoZ63qE8yxtpZeV2NJnP
    litecoin : LKGbQd7V1NEYaZNrzQvPLKdyAun9jssxAN
    ppcoin : PCdyZar8L6bJ6tqRHW4c4tM7wHZVpU5zK3

  • # licence

    Posté par  . En réponse à la dépêche Agrégateur Leed, la 1.6 est sortie. Évalué à 3.

    A noter, il semble que ce logiciel soit sous licence non libre CC by-nc-sa.

  • [^] # Re: tag

    Posté par  . En réponse au journal Diaspora devient un projet communautaire. Évalué à 2.

    "Buddycloud: qui a le vent en poupe, mais ça s'oriente plus sur du twitter like il me semble, à voir j'ai suivi de loin ces derniers temps."

    C'est mort. J'ai beaucoup discuté avec les devs, j'ai vu le code. C'est mort de chez mort.

    On peux en savoir plus?

  • [^] # Re: Une population qui vieillit

    Posté par  . En réponse à la dépêche RMLL 2012 : LinuxFr.org, les réussites, les problèmes et les pistes d'amélioration. Évalué à 10.

    C'est peut-être plutôt que le niveau est en hausse ici. On est une majorité à avoir des années de libre derrière nous maintenant, on peut se parler de dizaines de technos, de concepts sans rien expliciter. J'avais franchement pas un bon niveau les premières années ou je suis venu ici.

    Y a aussi que le libre est moins cool. Quand j'ai découvert le libre et Linux dans un article de propagande sur internet, j'avais 17 ans, je surfais en 56k depuis un Windows 98 et la mode était aux freewares, au sharewares et au logiciels commerciaux crackés. Le libre s'était, pour moi, nouveau et subversif, Linux c'était un chalenge technique, et y avait beaucoup moins de pognon autour de tout ça. Aujourd'hui faire tourner un linux dans une vm, c'est juste normal et y a rien de cool là dedans.

    Et le système de modération ne simplifie les choses pour les nouveaux arrivants, ils vont faire un commentaire un peu naïf et se faire démonter. Et après ils postent à -2 et ils sont frustrés (et ils ne sont pas au courant que pour avoir un 10 il suffit de faire une blague sur les claviers qui se blo

  • [^] # Re: Titres

    Posté par  . En réponse au journal Encore de tout, de rien, des liens, du dev. Évalué à 3. Dernière modification le 18/06/12 à 23:58.

    Y à qu'a demander, ça devrait vite être complété.
    Moi j'ai (spoiler donc):

    http://i.imgur.com/W6sdLh.jpg
    Inception

    http://i.imgur.com/iwlgTh.jpg
    American beauty

    http://i.imgur.com/cBysFh.jpg
    L'exorciste

    http://i.imgur.com/lLznVh.jpg
    La famille Adams

    http://i.imgur.com/VpCQDh.jpg
    The big lebowski

    http://i.imgur.com/oNQwfh.jpg
    ???

    http://i.imgur.com/xuOl0h.jpg
    ???

    http://i.imgur.com/1QsPjh.jpg
    2001 a space odyssey

    http://i.imgur.com/MVrR7h.jpg
    Psychose

    http://i.imgur.com/iHFgyh.jpg
    ???

    http://i.imgur.com/qw9dyh.jpg
    Orange mécanique

    http://i.imgur.com/k1CbMh.jpg
    Piège de cristal???

    http://i.imgur.com/H7CMZh.jpg
    Le parrain

    http://i.imgur.com/Pfm1kh.jpg
    Pour une poignée de dollars (ou un autre de la trilogie)

    http://i.imgur.com/kXu81h.jpg
    Pulp fiction

    http://i.imgur.com/oefASh.jpg
    Harry Potter

    http://i.imgur.com/KHPu7h.jpg
    Les temps modernes

    http://i.imgur.com/qhMdCh.jpg
    Indiana Jones - Les aventuriers de l'arche perdue

    http://i.imgur.com/sjuqAh.jpg
    Raging bull

    http://i.imgur.com/bJ9Fyh.jpg
    Le Silence des agneaux

    http://i.imgur.com/v7znmh.jpg
    La guerre des étoiles

    http://i.imgur.com/O1TWhh.jpg
    Un des James Bond

    http://i.imgur.com/XCKUAh.jpg
    Shinning

  • [^] # Re: A propos des extensions FF pour la vie privé

    Posté par  . En réponse à la dépêche HTTPS Everywhere en version 2.0.1. Évalué à 3.

    Déjà avec adblock plus easylist+fr et noscript et ne pas accepter les cookies tiers, j'ai pas énorme de requêtes vers les trackers et aucun de leurs cookies (hormis google quoi).

    Ghostery c'est pas libre, pas forcément un problème mais du coup j'ai pas confiance (c'est pas parce que je suis parano qu'il ne sont pas après moi).
    Du coup j'ai opté pour la purge les cookies à la fermeture de firefox sauf ceux marqués comme à préserver (cookie culler ou biscuit). Je trouve ça moins contraignant et plus précis (cookie vs domaine) que la plupart des autres solutions, même si ce n'est pas parfait niveau vie privé.
    Et je purge les cookies flash avec un script (y a bien betterprivacy en extension firefox, mais je crois que c'est pas libre, et moins j'ai d'extensions mieux c'est)

    Une astuce que j'ai vu passer y a pas longtemps sur un blog quelconque: Utiliser ABE de noscript (onglet avancé) pour interdire certaines requêtes cross site (un genre de request policy du pauvre).
    Exemple qui était donné:

    # Only Facebook may embed Facebook
    Site        .facebook.com .fbcdn.net .facebook.net
    Accept from .facebook.com .fbcdn.net .facebook.net
    Deny        INCLUSION POST
    
    # Only Google may embed Google +1
    Site        plusone.google.com
    Accept from         google.com
    Deny        INCLUSION POST
    
    

    +1 pour Certificate Patrol.

  • [^] # Re: Les trucs qui s'amuse a tripatouiller la conf réseau

    Posté par  . En réponse au journal The destructive desktop — Linux in trouble?. Évalué à 1.

    Ah, merci pour l'info.

    En fait j'avais déjà lu qu'il fallait préférer ip à ifconfig/route, mais vu que ça ne m'avait jamais posé de problème et les vieilles habitudes étant ce qu'elles sont, j'ai fait comme si je n'avais rien vu et j'ai fermé l'onglet en sifflotant.