Oui, et? Les PdM de Firefox était pour quelque chose, même contre IE par défaut, et même contre Chrome en pub. C'est bien le hic, à un moment Mozilla n'est plus affichable comme "gentil contre les ogres" car utilise les mêmes manières… Et la on voit encore un itération (virer les plus petits sans toucher au management).
C’est fou cette incapacité que tu as à être cohérent avec toi même dès qu’il s’agit d’attaquer Mozilla.
Tu aurais pu contre-argumenter avec du contenu, mais bon ça a l'air impossible, donc cette phrase banalement vide et passe-partout.
C'est fou cette incapacité à imaginer un constat, une analyse, un avis, dès qu’il s’agit de m’attaquer. Comme tu ne peux pas contre-argumenter, tu imagines que j'ai une dent contre Mozilla (ce qui n'est absolument pas le cas, c'est juste une entité que j'analyse) pour te convaincre de répondre à un "méchant".
Les attaque personnelle sont signe qu'en réalité, pas de critique sur ce qui est écrit… Merci de m'indiquer (bizarrement certes) que mon raisonnement est cohérent.
Un petit bémol : à la limite un tel revenu, pourquoi pas… si la personne vaut le coup.
Une CEO n'est pas que administrateur, c'est une personne qui peut réorganiser une boîte, faire qu'elle coule ou pas, pas moins important que les dev.
Maintenant, les CEO qui y croient sont rémunérés à la performance! Amazon, Apple, Facebook, Tesla… sont comme ça. On voir les gens qui y croient ou les administrateurs ;-).
Il faut aussi que le montant soit adapté, et pour une boîte qui ne fait pas un grand CA hum…
Ici, il y a bien un soucis sons pour autant généraliser à tous les CEO, la théorie qui émerge ces dernières années est que le management pense que s'est perdu et empochent autant qu'ils peuvent avant que ça s'écroule pour de bon. Le fait que la CEO vire tranquille avec juste des buzzwords sans annoncer de baisse de revenu pour le management conforte cette théorie.
Question pour les connaisseurs (j'avoue ne pas avoir trop cherché) : déjà des cas réels d'un tel volé non verrouillé (déjà, on commence la théorie ici :) ) et dont des crackers peuvent faire croire à l'app que l'utilisateur a mis son empreinte, ou toute autre méthode pour pouvoir valider la transaction? Bref, qu'on puisse arriver au but malgré les protections mises en place (cloisonnement des applis quand en "live", si on veut rooter il faut rebooter donc le code pour déchiffrer le contenu chiffré donc mort, etc)?
Je cherche à savoir si un tel volé non verrouillé donne accès à la partie bancaire (en imaginant qu'on ne récupère pas l'empreinte ailleurs, un autre problème et si on a peur de ça on désactive l'empreinte et met un code).
Merci de soulever un vrai problème, pas un imaginaire.
J'ai eu le soucis (tel qui démarre plus), et j'avoue que je suis resté surpris… j'avais encore la carte SIM, changé de tel, allé sur le site web de la banque, indiqué que tel cassé, et ils m'ont redonné accès su le nouveau tel… avec confirmation par SMS :). A revoir…
Pour les autres trucs (accès VPN etc), j'ai contacté le support et ils ont viré l'ancien tel et j'ai pu mettre le nouveau.
le cas de panne/perte est clairement un problème car avec un peu d’ingénierie sociale (pas forcément des plus automatisable, faut une cible "qui rapporte") on a un accès pendant quelques minutes/heures (le temps que la victime réagisse à la notification sur le tel qui est "déconnecté")
en attendant, c'est mieux que ce qu'on avait avant (surtout pour moi, je suis parfois en zone blanche sans accès au SMS mais à Internet, j'apprécie ne plus avoir les SMS :) ).
Si on vole le mobile, on a les deux facteurs en un !
T'es-tu renseigné un tout petit peu avant de troller avec ta haine de ce que tu ne comprends pas en tête? c'est lassant ces attaques sans connaître le sujet.
Justement, les apps mobiles "correctes" (j'imagine que les autres se feront rappelées à l'ordre bientôt…) demandent quelque chose que le mobile volé n'a pas (un mot de passe ou une empreinte). Et ce sans parler de la première barrière d'un mobile volé (tel verrouillé et chiffré, aucun accès à l'app configurée, ça fait beaucoup de contraintes pour le voleur et en pratique, tu as des exemples réel de problème de masse? théorie des puristes qui ne comprennent pas pourquoi les gens déteste la solution proposée contre solution utilisée car compromis sécurité et praticité)
Critiquer, ok, mais en parlant de la réalité que vous avez testé et non de son fantasme s'il vous plaît…
Le vendeur envoie une facture à l'acheteur.
L'acheteur envoie cette facture à sa banque et une confirmation qu'il veut la payer.
La banque paye le vendeur et envoie une confirmation à l'acheteur.
super idée! On pourrait l’appeler, allez… "virement bancaire avec identifiant de la facture dans son objet"? Tiens, ça existe déjà, on est même passé en instantané (10 secondes dans ce cas), libre à tout le monde d'implémenter, si rentable (de clients vraiment prêt à payer plus pour ça par exemple) par rapport à ça.
(en réalité de plus en plus d'entreprises acceptent le virement, qui a l'avantage de leur coûter moins cher en frais de transaction; bon, en réalité ils préfèrent encore plus le prélévement bancaire, moins sujet à oublis qui coûtent cher en relance)
La banque vérifie l'IBAN et demande au client de confirmer qu'il veut bien payer.
Ouais, faudrait s'assurer de ça, et… Ben tiens, on revient au même problème envoyer nom du commerçant et montant pour faire confirmer en double authentification, tu n'as rien résolu du tout, juste déplacé le problème qui est toujours la dans la chaîne en pratique, saloperie de pratique.
Bordel on ne peut pas avoir une contre-argumentation correcte, on doit se taper des trolls qui ne comprennent rien au sujet…
(à part interdire les vieilles ampoules et conseiller aux gens d'isoler leur logement).
En vrac ce qui me passe par la tête en quelques secondes (j'imagine que j'en laisse donc pas mal de côté) :
- nouvelles constructions actuellement en basse consommation ("RT2012", max 50 kWhep/m²/an, primaire max 200 kWh/m²/an) obligatoire, prochainement en "énergie positive" ("RE2020", avec max de 12 kWhep/m²/an, primaire max 100 kWh/m²/an, et produire de l'énergie correspondante) obligatoire,
- lave-linge, lave-vaisselle, four, frigo etc avec des interdictions pour les plus énergivores et des incitation pour investir dans le moins énergivores (en tape dans l'ajout de "+", on en est à 3, à "A"),
- nos PC avec une interdiction (si j'ai bien suivi, au mini au US?) d'inférieur de 80% transformé et incitation à investir dans des alims qui sont dans les 90%, en attendant que les 96% deviennent moins chères
- les équipements en veille qui devaient pas dépasser 1 W, maintenant 0.5 W, peut-être prochainement 0.2 W
Alors certes il y a encore de la marge (on fait toujours des "rabais" sur les prix aux gros consommateurs plutôt que de facturer au même prix pour les inciter à améliorer le rendement, sous excuse de compétitivité avec l'étranger, on n'incite pas encore les constructeurs de box internet à calmer la conso…), mais pas que quelques ampoules non plus…
C'est ce que fait une de mes banques mais j'aimerai avoir l'option de pouvoir utiliser TOTP pour lequel il existe des outils libres.
Et comment avec TOTP tu reçois le nom du vendeur et le montant que tu valides explicitement, données nécessaires pour être dans le cadre du sujet?
Je te défie de me montrer des outils libres qui répondent au besoin, perso je n'ai pas trouvé (et ça m’intéresse, rien que pour mon accès à mes serveurs par exemple, ça indiquera l'IP et la localisation par exemple et je taperai sur "ok c'est moi", plus sécurisé et plus simple que TOTP, et oui je sais je pourrai développer moi-même, je le ferai peut-être un jour quand j'aurai marre du compliqué mis en avant par de libristes :) ).
TOTP était bien en son temps (offline) mais dommage que les gens de standard dans le milieu n'ont pas pris le temps de faire une spec pour le online (unidirectionnel au pire avec un champs texte, et mieux bidirectionnel avec un "oui je suis d'accord" qui remonte, taper le code reçu c'est vieux même si 95% des entités l'utilisent encore, perso je râle à remplir un code avec une app, ils ont le bidirectionel et ne l'utilisent pas… Une des raisons qui m'a fait choisir une entité pour ma carte bancaire), bon l'avantage avec les "apps" c'est que c'est pas si chiant que ça pour 99% des gens d'avoir plein d'apps.
Un code via SMS … certes ce n'est pas ce qu'il y a de plus sécurisé mais répond a la législation […]
Factuellement faux.
(plus précisément, il y a un délai de tolérance jusqu'à mars 2021 car les banques étaient en retard, mais normal que les banques n'attendent pas la date limite pour passer à autre chose, surtout quand la limite théorique était l'année dernière, les banques ont eu de la chance de ne pas se faire taper sur les doigts, grâce au nombre de pas douées)
euh, il y a que ça qui t'a marqué? ;-) (et oui, pas compris comment Firefox fait mieux que Chrome dans la lutte contre le corona ou le racisme, à ma connaissance Firefox peut être utilisé par les racistes comme Chrome peut être utilisé par les anti-racistes)
Perso j'y ai vu plutôt une compétition du meilleur score au "bullshit bingo"…
Bon, pour tenter de troller encore plus je tente de traduire en mots plus direct la longue tirade :
On a merdé sur notre business model, on essaye de trouver d'autres moyens pour récupérer de la thune alors attendez vous à plus de thune réclamée et plus de demande de développements gratos, en attendant plutôt que de demander en tant que communauté soudée aux dev' et autres plutôt bien payés de faire un effort en réduisant d'un quart leur salaire loin du SMIC, on vire le quart d'entre eux comme les autres boites, faut pas déconner faut pas nous voir comme une communauté de dév' vraiment soudée, et comme les autres boites on vous enrobe ça de trucs "jolis" qui n'ont pas grand chose à voir.
On dirait que Mozilla (re)fait pas mal pour démotiver leur communauté, après il ne faudra pas s’étonner que pas foule ne conseille Firefox face à Chrome hégémonique…
Je voulais séparer l'info objective du lancé de troll, alors pour le lancé de troll : par contre aucune info dans la com' de Mozilla sur une potentielle réduction du salaire de la présidente qui aux dernières nouvelles pointe à $2.5 millions par an (x5 en quelques années, les années de perte de part de marché et maintenant de licenciements), ça donne quand même une d'impression amère de boite "comme les autres" qui vire les petits sans montrer l'exemple des temps dur en haut (par exemple en revenant mini au salaire d'avant voire en dessous tant que les comptes ne sont pas au beau fixe)… Ils cherchent des volontaires (=gratuit), mais pas sûr que les volontaires souhaitent aider une personne à gagner $2.5 millions par an, va falloir trouver des carottes pour attirer.
Est-ce que ça ne montrerait pas un défaut de TLS (1.3 inclus), celui de pouvoir détecter le protocole même sans la clé privée?
J'imagine que la prochaine étape est d'avoir un protocole qui n'est détectable que par celui qui a la clé privée (chiffrement dès le premier octet de la communication), dans le style de Truecrypt (qui ne permet pas de savoir que le disque est chiffré par lui sans avoir le mot de passe, ça reste que du "bruit" d'octets qui ne veulent rien dire).
La seule alternative est de ne pas utiliser Google est pour vous de ne pas utiliser tous les fonctionnalités très utiles est de rester bloqué technologiquement au début des années 2000, vous faites en pratique une super pub à Google :-D comme seule alternative pour les gens souhaitant profiter des nouvelles technologies (bref, la large majorité des gens).
Si au moins vous faisiez la pub de Apple…
Pour ceux qui n'ont pas envie de se taper 25 minutes potentiellement inutiles, un résumé écrit?
(oui, j'ai du mal avec les podcasts et compagnie, à la mode mais je dois être vieux con, j'aime l'écrit qui permet de se faire plus rapidement une idée et sauter ce qui n’intéresse pas, et 25 minutes c'est long pour une réponse)
Si tu me demandes une manière d'arriver à gérer l'affaire, j'ai bien quelque chose à évoquer mais je tiens à ce que ça se fasse dans le plus grand respect mutuel. Je ne me crois pas plus malin que n'importe qui et si mon raisonnement contient des failles, tout ce que je souhaite c'est de les évoquer, éventuellement de les résoudre, sans prise de bec.
Différence entre affichage ("non non je ne me crois pas plus malin") et la réalité ("le gouvernement fait n'importent quoi et je suis sûr que ma solution est mieux, enfin en théorie et je ne vais pas le dire sous excuse bidon en espérant que les gens y croient")…
C'est si dur d'accepter que la théorie n'est pas la pratique?
(Bon, la pas de chance mais je suis un peu énervé à avoir vu passer 17000 timbrés qui affichent ne pas "croire" en la pandémie comme si on parlait d'un dieu, alors ben la pratique c'est gérer dans la vraie vie ces timbrés et adapter, certes pas forcément vu comme cohérent au global mais il y a une raison locale quand on regarde… ce qui ne veut pas dire qu'on est d'accord, mais dire "stupide" sans démonter la raison d'un choix c'est surtout montrer sa propre stupidité).
Déjà, pour qu'on y crois un peu, il faudrait que ton "analyse" de l'existant soit un minimum correct, et comme c'est juste vindicatif…
Je tilte parce que ça a été installé sans prévenir l'utilisateur!
L'utilisateur a été prévenu, et a même explicitement donné son accord à l'installation de services Google, lors de la première mise en route du mobile. Quelle différence entre "service covid" et d'autres services Google? aucune à part un nom qui te plaît pour attaquer. Et si tes amis n'ont pas compris qu'ils délèguent la gestion à Google, il y a un soucis (note : pas propre à Doogle, si tu as une Debian tu délègues les même droits à Debian etc).
Absolument RIEN de nouveau, tous les mois Google/fabriquant fait des mises à jour avec des nouveaux services. Même des upgrades complète d'OS qui change la présentation et les fonctionnalités visible pour l’utilisateur! Demande-toi pourquoi tu parles de ce services parmi et pas les 99 autres…
Ici, tu fais un journal juste pour balancer de la théorie du complot (je ne suis pas le premier à te le dire mais j'abonde), pour ton plaisir personnel de taper sur un grand méchant que tu t'inventes, en espérant que le mot "covid" sera un déclencheur chez tes cibles.
Dans ton journal :
En Belgique, le gouvernement impose aux restaurateurs de prendre des coordonnées personnelles (nom de famille et numéro de téléphone) d'au moins une personne par table, de stocker ces données pendant deux semaines, puis de les détruire ensuite. Ils sont notifiés en cas de contamination. Je suis en train de me demander à quoi on joue! Enfin merde, ce n'est pas la responsabilité des restaurateurs mais celle des autorités!
Merci pour la démonstration, tu montres ici que tu fustiges en un tir les autorités à la fois pour faire quelque chose et ne rien faire. la responsabilité des autorités est d'agir, elle agit en faisant une loi qui délègue à X suivant le plus pratique de son point de vue, ici les restaurateurs, le suivi, et tu te plains quand même.
Je vais te révéler un secret : rien de nouveau pour les restaurateurs, ils ont déjà comme plein d'entreprise à gérer te telles délégation, genre horreur on leur a aussi délégué depuis longtemps la facturation de la TVA, et tu n'en fais pas un journal pour autant.
des informations toutes aussi contradictoires les unes que les autres…
A lire tes réactions "outrées" à l'explication de ta peur irrationnelle, tu ne te rends même pas compte que tu participes à la désinformation, les "informations toutes aussi contradictoires les unes que les autres", par ton journal… tu fais partie du problème des informations toutes aussi contradictoires les unes que les autres.
Juste pour info : il y a eu beaucoup d'article qui ont parlé que Google et Apple travaillent sur une API "covid" pour que les apps puissent s'y connecter tout en ne pouvant pas trop attaquer la vie privée, si tu te renseignes tu trouveras… Et je sais que tu sais faire la différence entre "service" / "API" et "app"…
Je serai toujours impressionné par la nature humaine sur le 2 poids 2 mesures (ici "covid" dans un service Google active un journal pour en parler en "horreur", mais pas le reste).
Bon, tu as l'air de ne vraiment pas vouloir accepter que TU as fais une connerie.
On ne laisse pas sa carte comme çà, rien que au cas où une autre personne arrive si tu ne veux pas penser sécurité (on t'a déjà expliqué que tu aurais pu tomber dans l'arnaque classique).
On fini sa transaction (au choix : finir ce que tu voulais faire ou annulation pour faire plus tard) PUIS on aide la personne qui demande de l'aide.
Dans le même style, on dit aux apprentis héros qu'il faut penser en priorité à sa sécurité avant de penser à celle de l'autre (généralement on a 2 morts à la place de 1…)
le magasin est peut-être chiant pour toi à ne pas avoir envie de se faire chier (suit la procédure, et encore pas sûr qu'ils peuvent y faire quelque chose), mais en face ce n'est pas mieux (voire…).
Je me suis mal exprimé, effectivement les gens heureux que je connais ne balancent pas leur thune dans ce plaisir très court pour le prix de l'espoir. Vous connaissez des gens heureux qui jouent au loto?
Et le pire c'est sans doute que le chiffre d'affaire du loto et autres jeux d'espoir augmente… les gens ont l'argent, mais il y a un soucis de comment le dépenser en ratio plaisir sur coût.
Mais comme un autre a dit plus haut, on ne peut convaincre par démonstration objective, on ne peut que constater et montrer une alternative qui existe, perso je vois de plus en plus de gens ne pas proposer l'argent ni le loto donc espoir léger.
La recharge de motivation arrive chaque mois, autour du 25 dans mon cas.
C'est triste que ce soit que ça, si on parle d'informatique (si c'est de job sans compétence nécessaire et mal payé, mon commentaire serait hors sujet), car tu as le choix.
Perso j'estime gagner le quart de ce à quoi je peux prétendre (basé sur le montant auquel je me vend quand j'accepte du taf qui m’intéresse moins) car justement cette motivation financière est certes utile mais que jusqu'à un certain niveau (largement inférieur à ce que gagne un développeur compétent), et ensuite je priorise mon confort de vie (emplacement, trajet…) et sujet de mon travail.
Et justement, il me semble comprendre que l'auteur du journal ne parle pas thune car c'est nécessaire mais pas suffisant.
Il est évident que si jamais je gagne au loto je quitte mon emploi sous peu, ce qui ne veut pas dire arrêter de travailler mais travailler uniquement sur ce que j'ai envie et quand j'en ai envie.
Pourquoi voir les choses aussi binairement? Les gens les plus heureux que je connaisse n'ont pas attendu de gagner au loto, ils ont au contraire pris le contrôle de leur vie sans attendre une chance sur 1 million.
8h/jour assis à s'éclater les yeux devant un écran
On parle quand même d'un domaine où il y a pénurie… il faut te poser des questions.
2 jours de vie par semaine
On parle de normal, donc pas bête de travail, les 8 heures laissent largement de quoi faire dans les 5 autres jours. Pose toi des questions sur toi.
+25 à 45 jours de congés par an.
Encore 35 ans à tenir.
On parle d'un domaine où on est bien payé, on a de la marge sauf à avoir une envie de tout dépenser (pose toi des questions sur tes priorités), tu peux facilement (pour preuve d'autres ont largement moins) mettre disons 1/3 de ton salaire en épargne placé et tu peux partir vers 50 ans.
Rappelons que "67 ans" est la protection de l'état, pas un minimum, tu es libre de partir avant si tu fais le nécessaire. Même en ayant eu des années très creuses j'ai perso de quoi m'arrêter quand je veux, certes j'étais plutôt autour de la moitié voire 2/3 de côté sans me forcer et sans souffrir (juste pas acheter de l'affichage) mais encore une fois on parle pas de salaire au SMIC…
Bref, tout n'est pas la et l'auteur du journal a des soucis sur la valeur de son travail (un très gros sujet très subjectif, pas facile), mais ton défaitisme dans ton commentaire est bien autre chose, un peu hors sujet, qui vient surtout de ta gestion du temps et de l'argent (sujet moins subjectif, plus monde de consommation qui ne rend pas heureux).
PS : rare mais certaines boites acceptent le 80%, surtout si elles ne veulent pas te perdre car tu vaux. Faut valoir par contre ;-).
Il est étonnant que "axa.fr" marche, il est indiqué en "Revoked" chez ssllabs. Et ça redirige sur www.axa.fr. ils ne sont pas parfait :) (ils ont l'air d'avoir un petit soucis HSTS aussi, que ssllabs n'aime pas).
La différence doit venir de la (essaye www.axa.fr qui n'a pas le soucis, mai https://cryptcheck.fr/https/www.axa.fr dit que c'est trop gentils car accepte les vieux trucs, comme quoi ils ne veulent pas virer tout le monde partout :) ).
Mais j'ai déchanté quand j'ai vu que c'est une option payante
Les banques semblent essayer de récupérer de la thune sur tout et n'importe quoi, ça en devient ridicule surtout niveau prix (j'ai vu entre 0.10 €, à la limite, et 1 €, du n'importe quoi), mais à mon avis c'est comme les abo pour l'interface web, à force des disrupteurs le feront au même prix que virement normal et les autres suivront, il faut attendre que les dinosaures réagissent… Perso, je vois que Transferwise est plutôt à la pointe sur le sujet, et ils s'emmerdent même pas à proposer le choix, ils annoncent juste que c'est fait si le récipendiaire supporte la chose, et même prix (pas gratuit car ils se financent sur ça, mais ça me va car ils n'essayent pas de me forcer à payer pour rien genre un abo mensuel), ce qui est logique quand on sait que ça leur coûte 0.02 € de leur côté une fois les investissements (qui devraient faire partie des truc de base, pas à "rentabiliser en faisant payer") soit pas grand chose de plus que virements à l'ancienne.
Il existe pourtant TOTP qui est un standard bien défini pour l'authentification à 2 facteurs
Est-ce que TOTP permet d'envoyer un message au terminal avec l'action demandée (connexion, paiement de montant X à entité Y, ajout de RIB de entité Z etc) et que si on clique "oui je veux ça" ça valide la transaction sans se farcir à rentrer un code?
C'est ce que font certaines banques (pas toutes encore sur la partie aceptation, qui restent à l'ancienne malgré l'app qui permet l'échange d'info).
Perso, ayant goûté à l'interaction sans prie de tête (ne rien avoir à rentrer comme "code"), j'aurai du mal à retourner à un style TOTP et même SMS (je fais en râlant quand pas le choix car "vieillot".
TOTP était super à une époque, depuis la technologie a évolué et les usages aussi, et à ma connaissance TOTP n'a pas su évoluer, du coup les banques n'ont pas eu la possibilité de prendre pour moins cher une technologie libre adaptée, et ont donc développé dans leur coin car standardiser leur revient plus cher et trop long sans réel avantage pour elles.
Un navigateur qui ne supporte PAS TLS1.2 ou AES suppose que tu utilises un navigateur/OS type Android 4.3
[…]
Une suite qui serait conforme avec le futur A+ (disparition de SHA-1) est conforme avec l’intégralité de la planète aussi, minus 2-3 trucs complètement obsolètes en 2020…
Moi-même petit fournisseur d'app Android, j'ai des utilisateurs qui râlent même en 2020 quand je casse la compatibilité Android 4.2 (en pratique stats d'hier : 0.2% d'Android avec version <=4.3), c'est une réalité quoi qu'on pense du niveau de sécurité qu'on veut, et il faut assumer les virer, pas se dire qu'ils n'existent pas (bon je vais sans doute tenter de virer ma compatibilité WinXP de mon plus gros logiciel, j'espère qu'en 2020 mes quelques râleurs de 2018 auront upgradé ou du moins seront assez minoritaires…).
A noter que 0.2% ça peut être rien pour toi, mais pour un support client de millions de personnes, c'est de la thune à dépenser pour dire aux clients d'upgrader leur bousin ce qui peut assez mal passer. Tu ne peux pas ne pas faire la différence entre des entités qui gèrent TLS 1.3 avec CHACHA20 mais aussi TLS 1.1 et des entités qui gèrent que TLS 1.1.
PS : pour le downgrade de suite de chiffrement, au temps pour moi, remplacer 1.2 par 1.3… Le besoin est donc surtout de gérer 1.3, et si je comprend bien alors 1.1 peut être encore gérer sans risque pour les clients 1.3. bon resterait les clients 1.2 vulnérable du coup, à méditer…
[^] # Re: Pas vendredi?
Posté par Zenitram (site web personnel) . En réponse au lien Mozilla vire 250 personnes (un quart du staff). Évalué à 1. Dernière modification le 12 août 2020 à 17:52.
Oui, et? Les PdM de Firefox était pour quelque chose, même contre IE par défaut, et même contre Chrome en pub. C'est bien le hic, à un moment Mozilla n'est plus affichable comme "gentil contre les ogres" car utilise les mêmes manières… Et la on voit encore un itération (virer les plus petits sans toucher au management).
Tu aurais pu contre-argumenter avec du contenu, mais bon ça a l'air impossible, donc cette phrase banalement vide et passe-partout.
C'est fou cette incapacité à imaginer un constat, une analyse, un avis, dès qu’il s’agit de m’attaquer. Comme tu ne peux pas contre-argumenter, tu imagines que j'ai une dent contre Mozilla (ce qui n'est absolument pas le cas, c'est juste une entité que j'analyse) pour te convaincre de répondre à un "méchant".
Les attaque personnelle sont signe qu'en réalité, pas de critique sur ce qui est écrit… Merci de m'indiquer (bizarrement certes) que mon raisonnement est cohérent.
Passons donc…
[^] # Re: C'est consternant mais...
Posté par Zenitram (site web personnel) . En réponse au lien Mozilla vire 250 personnes (un quart du staff). Évalué à 8.
Un petit bémol : à la limite un tel revenu, pourquoi pas… si la personne vaut le coup.
Une CEO n'est pas que administrateur, c'est une personne qui peut réorganiser une boîte, faire qu'elle coule ou pas, pas moins important que les dev.
Maintenant, les CEO qui y croient sont rémunérés à la performance! Amazon, Apple, Facebook, Tesla… sont comme ça. On voir les gens qui y croient ou les administrateurs ;-).
Il faut aussi que le montant soit adapté, et pour une boîte qui ne fait pas un grand CA hum…
Ici, il y a bien un soucis sons pour autant généraliser à tous les CEO, la théorie qui émerge ces dernières années est que le management pense que s'est perdu et empochent autant qu'ils peuvent avant que ça s'écroule pour de bon. Le fait que la CEO vire tranquille avec juste des buzzwords sans annoncer de baisse de revenu pour le management conforte cette théorie.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à 1.
Question pour les connaisseurs (j'avoue ne pas avoir trop cherché) : déjà des cas réels d'un tel volé non verrouillé (déjà, on commence la théorie ici :) ) et dont des crackers peuvent faire croire à l'app que l'utilisateur a mis son empreinte, ou toute autre méthode pour pouvoir valider la transaction? Bref, qu'on puisse arriver au but malgré les protections mises en place (cloisonnement des applis quand en "live", si on veut rooter il faut rebooter donc le code pour déchiffrer le contenu chiffré donc mort, etc)?
Je cherche à savoir si un tel volé non verrouillé donne accès à la partie bancaire (en imaginant qu'on ne récupère pas l'empreinte ailleurs, un autre problème et si on a peur de ça on désactive l'empreinte et met un code).
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à 1.
Merci de soulever un vrai problème, pas un imaginaire.
J'ai eu le soucis (tel qui démarre plus), et j'avoue que je suis resté surpris… j'avais encore la carte SIM, changé de tel, allé sur le site web de la banque, indiqué que tel cassé, et ils m'ont redonné accès su le nouveau tel… avec confirmation par SMS :). A revoir…
Pour les autres trucs (accès VPN etc), j'ai contacté le support et ils ont viré l'ancien tel et j'ai pu mettre le nouveau.
le cas de panne/perte est clairement un problème car avec un peu d’ingénierie sociale (pas forcément des plus automatisable, faut une cible "qui rapporte") on a un accès pendant quelques minutes/heures (le temps que la victime réagisse à la notification sur le tel qui est "déconnecté")
en attendant, c'est mieux que ce qu'on avait avant (surtout pour moi, je suis parfois en zone blanche sans accès au SMS mais à Internet, j'apprécie ne plus avoir les SMS :) ).
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à -4. Dernière modification le 12 août 2020 à 15:19.
T'es-tu renseigné un tout petit peu avant de troller avec ta haine de ce que tu ne comprends pas en tête? c'est lassant ces attaques sans connaître le sujet.
Justement, les apps mobiles "correctes" (j'imagine que les autres se feront rappelées à l'ordre bientôt…) demandent quelque chose que le mobile volé n'a pas (un mot de passe ou une empreinte). Et ce sans parler de la première barrière d'un mobile volé (tel verrouillé et chiffré, aucun accès à l'app configurée, ça fait beaucoup de contraintes pour le voleur et en pratique, tu as des exemples réel de problème de masse? théorie des puristes qui ne comprennent pas pourquoi les gens déteste la solution proposée contre solution utilisée car compromis sécurité et praticité)
Critiquer, ok, mais en parlant de la réalité que vous avez testé et non de son fantasme s'il vous plaît…
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à -2.
super idée! On pourrait l’appeler, allez… "virement bancaire avec identifiant de la facture dans son objet"? Tiens, ça existe déjà, on est même passé en instantané (10 secondes dans ce cas), libre à tout le monde d'implémenter, si rentable (de clients vraiment prêt à payer plus pour ça par exemple) par rapport à ça.
(en réalité de plus en plus d'entreprises acceptent le virement, qui a l'avantage de leur coûter moins cher en frais de transaction; bon, en réalité ils préfèrent encore plus le prélévement bancaire, moins sujet à oublis qui coûtent cher en relance)
Ouais, faudrait s'assurer de ça, et… Ben tiens, on revient au même problème envoyer nom du commerçant et montant pour faire confirmer en double authentification, tu n'as rien résolu du tout, juste déplacé le problème qui est toujours la dans la chaîne en pratique, saloperie de pratique.
Bordel on ne peut pas avoir une contre-argumentation correcte, on doit se taper des trolls qui ne comprennent rien au sujet…
[^] # Re: Est-ce vraiment la bonne question ?
Posté par Zenitram (site web personnel) . En réponse au lien Le nucléaire est-il l'ennemi de l'écologie ?. Évalué à 5. Dernière modification le 12 août 2020 à 14:57.
En vrac ce qui me passe par la tête en quelques secondes (j'imagine que j'en laisse donc pas mal de côté) :
- nouvelles constructions actuellement en basse consommation ("RT2012", max 50 kWhep/m²/an, primaire max 200 kWh/m²/an) obligatoire, prochainement en "énergie positive" ("RE2020", avec max de 12 kWhep/m²/an, primaire max 100 kWh/m²/an, et produire de l'énergie correspondante) obligatoire,
- lave-linge, lave-vaisselle, four, frigo etc avec des interdictions pour les plus énergivores et des incitation pour investir dans le moins énergivores (en tape dans l'ajout de "+", on en est à 3, à "A"),
- nos PC avec une interdiction (si j'ai bien suivi, au mini au US?) d'inférieur de 80% transformé et incitation à investir dans des alims qui sont dans les 90%, en attendant que les 96% deviennent moins chères
- les équipements en veille qui devaient pas dépasser 1 W, maintenant 0.5 W, peut-être prochainement 0.2 W
Alors certes il y a encore de la marge (on fait toujours des "rabais" sur les prix aux gros consommateurs plutôt que de facturer au même prix pour les inciter à améliorer le rendement, sous excuse de compétitivité avec l'étranger, on n'incite pas encore les constructeurs de box internet à calmer la conso…), mais pas que quelques ampoules non plus…
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à 4. Dernière modification le 12 août 2020 à 11:39.
Et comment avec TOTP tu reçois le nom du vendeur et le montant que tu valides explicitement, données nécessaires pour être dans le cadre du sujet?
Je te défie de me montrer des outils libres qui répondent au besoin, perso je n'ai pas trouvé (et ça m’intéresse, rien que pour mon accès à mes serveurs par exemple, ça indiquera l'IP et la localisation par exemple et je taperai sur "ok c'est moi", plus sécurisé et plus simple que TOTP, et oui je sais je pourrai développer moi-même, je le ferai peut-être un jour quand j'aurai marre du compliqué mis en avant par de libristes :) ).
TOTP était bien en son temps (offline) mais dommage que les gens de standard dans le milieu n'ont pas pris le temps de faire une spec pour le online (unidirectionnel au pire avec un champs texte, et mieux bidirectionnel avec un "oui je suis d'accord" qui remonte, taper le code reçu c'est vieux même si 95% des entités l'utilisent encore, perso je râle à remplir un code avec une app, ils ont le bidirectionel et ne l'utilisent pas… Une des raisons qui m'a fait choisir une entité pour ma carte bancaire), bon l'avantage avec les "apps" c'est que c'est pas si chiant que ça pour 99% des gens d'avoir plein d'apps.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . En réponse au journal Au revoir Google - 1. Évalué à 9. Dernière modification le 12 août 2020 à 11:13.
Factuellement faux.
(plus précisément, il y a un délai de tolérance jusqu'à mars 2021 car les banques étaient en retard, mais normal que les banques n'attendent pas la date limite pour passer à autre chose, surtout quand la limite théorique était l'année dernière, les banques ont eu de la chance de ne pas se faire taper sur les doigts, grâce au nombre de pas douées)
[^] # Re: Pas vendredi?
Posté par Zenitram (site web personnel) . En réponse au lien Mozilla vire 250 personnes (un quart du staff). Évalué à 10. Dernière modification le 11 août 2020 à 20:02.
euh, il y a que ça qui t'a marqué? ;-) (et oui, pas compris comment Firefox fait mieux que Chrome dans la lutte contre le corona ou le racisme, à ma connaissance Firefox peut être utilisé par les racistes comme Chrome peut être utilisé par les anti-racistes)
Perso j'y ai vu plutôt une compétition du meilleur score au "bullshit bingo"…
Bon, pour tenter de troller encore plus je tente de traduire en mots plus direct la longue tirade :
On a merdé sur notre business model, on essaye de trouver d'autres moyens pour récupérer de la thune alors attendez vous à plus de thune réclamée et plus de demande de développements gratos, en attendant plutôt que de demander en tant que communauté soudée aux dev' et autres plutôt bien payés de faire un effort en réduisant d'un quart leur salaire loin du SMIC, on vire le quart d'entre eux comme les autres boites, faut pas déconner faut pas nous voir comme une communauté de dév' vraiment soudée, et comme les autres boites on vous enrobe ça de trucs "jolis" qui n'ont pas grand chose à voir.
On dirait que Mozilla (re)fait pas mal pour démotiver leur communauté, après il ne faudra pas s’étonner que pas foule ne conseille Firefox face à Chrome hégémonique…
# Pas vendredi?
Posté par Zenitram (site web personnel) . En réponse au lien Mozilla vire 250 personnes (un quart du staff). Évalué à 10. Dernière modification le 11 août 2020 à 18:54.
Je voulais séparer l'info objective du lancé de troll, alors pour le lancé de troll : par contre aucune info dans la com' de Mozilla sur une potentielle réduction du salaire de la présidente qui aux dernières nouvelles pointe à $2.5 millions par an (x5 en quelques années, les années de perte de part de marché et maintenant de licenciements), ça donne quand même une d'impression amère de boite "comme les autres" qui vire les petits sans montrer l'exemple des temps dur en haut (par exemple en revenant mini au salaire d'avant voire en dessous tant que les comptes ne sont pas au beau fixe)… Ils cherchent des volontaires (=gratuit), mais pas sûr que les volontaires souhaitent aider une personne à gagner $2.5 millions par an, va falloir trouver des carottes pour attirer.
# Défaut de TLS?
Posté par Zenitram (site web personnel) . En réponse au lien Le grand firewall chinois bloque le trafic HTTPS utilisant TLS 1.3. Évalué à 3.
Est-ce que ça ne montrerait pas un défaut de TLS (1.3 inclus), celui de pouvoir détecter le protocole même sans la clé privée?
J'imagine que la prochaine étape est d'avoir un protocole qui n'est détectable que par celui qui a la clé privée (chiffrement dès le premier octet de la communication), dans le style de Truecrypt (qui ne permet pas de savoir que le disque est chiffré par lui sans avoir le mot de passe, ça reste que du "bruit" d'octets qui ne veulent rien dire).
[^] # Re: Comment ça, Google sait ?
Posté par Zenitram (site web personnel) . En réponse au journal Nous avons un super‑pouvoir pour faire déguerpir les automobilistes 📱 => ⛔ 🚗. Évalué à -10.
La seule alternative est de ne pas utiliser Google est pour vous de ne pas utiliser tous les fonctionnalités très utiles est de rester bloqué technologiquement au début des années 2000, vous faites en pratique une super pub à Google :-D comme seule alternative pour les gens souhaitant profiter des nouvelles technologies (bref, la large majorité des gens).
Si au moins vous faisiez la pub de Apple…
[^] # Re: Comment ça, Google sait ?
Posté par Zenitram (site web personnel) . En réponse au journal Nous avons un super‑pouvoir pour faire déguerpir les automobilistes 📱 => ⛔ 🚗. Évalué à 3. Dernière modification le 06 août 2020 à 14:23.
J'ai ri.
C'est la première chose que tu as faites en démarrant l'OS la première fois… tu étais peut-être trop pressé d'utiliser ton OS.
Tu crois sérieusement que les associations anti Google ne se serait pas jeté dessus si le terme que tu utilises était vrai?
Faut peut-être arrêter parfois de si grands mots, ça rend ridicule plus qu'utile pour contrer Google.
# Résumé?
Posté par Zenitram (site web personnel) . En réponse au lien Comment Dailymotion a perdu la guerre contre YouTube. Évalué à 10.
Pour ceux qui n'ont pas envie de se taper 25 minutes potentiellement inutiles, un résumé écrit?
(oui, j'ai du mal avec les podcasts et compagnie, à la mode mais je dois être vieux con, j'aime l'écrit qui permet de se faire plus rapidement une idée et sauter ce qui n’intéresse pas, et 25 minutes c'est long pour une réponse)
[^] # Re: Situation exceptionnelle
Posté par Zenitram (site web personnel) . En réponse au journal Un service de notification COVID19 a été installée sur mon téléphone Android.... Évalué à 3.
Différence entre affichage ("non non je ne me crois pas plus malin") et la réalité ("le gouvernement fait n'importent quoi et je suis sûr que ma solution est mieux, enfin en théorie et je ne vais pas le dire sous excuse bidon en espérant que les gens y croient")…
C'est si dur d'accepter que la théorie n'est pas la pratique?
(Bon, la pas de chance mais je suis un peu énervé à avoir vu passer 17000 timbrés qui affichent ne pas "croire" en la pandémie comme si on parlait d'un dieu, alors ben la pratique c'est gérer dans la vraie vie ces timbrés et adapter, certes pas forcément vu comme cohérent au global mais il y a une raison locale quand on regarde… ce qui ne veut pas dire qu'on est d'accord, mais dire "stupide" sans démonter la raison d'un choix c'est surtout montrer sa propre stupidité).
Déjà, pour qu'on y crois un peu, il faudrait que ton "analyse" de l'existant soit un minimum correct, et comme c'est juste vindicatif…
[^] # Re: "sans que j'en aie été mis au courant!" La belle affaire.
Posté par Zenitram (site web personnel) . En réponse au journal Un service de notification COVID19 a été installée sur mon téléphone Android.... Évalué à 8. Dernière modification le 01 août 2020 à 11:59.
L'utilisateur a été prévenu, et a même explicitement donné son accord à l'installation de services Google, lors de la première mise en route du mobile. Quelle différence entre "service covid" et d'autres services Google? aucune à part un nom qui te plaît pour attaquer. Et si tes amis n'ont pas compris qu'ils délèguent la gestion à Google, il y a un soucis (note : pas propre à Doogle, si tu as une Debian tu délègues les même droits à Debian etc).
Absolument RIEN de nouveau, tous les mois Google/fabriquant fait des mises à jour avec des nouveaux services. Même des upgrades complète d'OS qui change la présentation et les fonctionnalités visible pour l’utilisateur! Demande-toi pourquoi tu parles de ce services parmi et pas les 99 autres…
Ici, tu fais un journal juste pour balancer de la théorie du complot (je ne suis pas le premier à te le dire mais j'abonde), pour ton plaisir personnel de taper sur un grand méchant que tu t'inventes, en espérant que le mot "covid" sera un déclencheur chez tes cibles.
Dans ton journal :
Merci pour la démonstration, tu montres ici que tu fustiges en un tir les autorités à la fois pour faire quelque chose et ne rien faire. la responsabilité des autorités est d'agir, elle agit en faisant une loi qui délègue à X suivant le plus pratique de son point de vue, ici les restaurateurs, le suivi, et tu te plains quand même.
Je vais te révéler un secret : rien de nouveau pour les restaurateurs, ils ont déjà comme plein d'entreprise à gérer te telles délégation, genre horreur on leur a aussi délégué depuis longtemps la facturation de la TVA, et tu n'en fais pas un journal pour autant.
A lire tes réactions "outrées" à l'explication de ta peur irrationnelle, tu ne te rends même pas compte que tu participes à la désinformation, les "informations toutes aussi contradictoires les unes que les autres", par ton journal… tu fais partie du problème des informations toutes aussi contradictoires les unes que les autres.
Juste pour info : il y a eu beaucoup d'article qui ont parlé que Google et Apple travaillent sur une API "covid" pour que les apps puissent s'y connecter tout en ne pouvant pas trop attaquer la vie privée, si tu te renseignes tu trouveras… Et je sais que tu sais faire la différence entre "service" / "API" et "app"…
Je serai toujours impressionné par la nature humaine sur le 2 poids 2 mesures (ici "covid" dans un service Google active un journal pour en parler en "horreur", mais pas le reste).
[^] # Re: Règle de sécurité de base
Posté par Zenitram (site web personnel) . En réponse au journal Refus de restituer une carte bancaire. Évalué à 7.
Bon, tu as l'air de ne vraiment pas vouloir accepter que TU as fais une connerie.
On ne laisse pas sa carte comme çà, rien que au cas où une autre personne arrive si tu ne veux pas penser sécurité (on t'a déjà expliqué que tu aurais pu tomber dans l'arnaque classique).
On fini sa transaction (au choix : finir ce que tu voulais faire ou annulation pour faire plus tard) PUIS on aide la personne qui demande de l'aide.
Dans le même style, on dit aux apprentis héros qu'il faut penser en priorité à sa sécurité avant de penser à celle de l'autre (généralement on a 2 morts à la place de 1…)
le magasin est peut-être chiant pour toi à ne pas avoir envie de se faire chier (suit la procédure, et encore pas sûr qu'ils peuvent y faire quelque chose), mais en face ce n'est pas mieux (voire…).
[^] # Re: Tripalium
Posté par Zenitram (site web personnel) . En réponse au journal Quelles sont vos motivations au travail ?. Évalué à 4. Dernière modification le 28 juillet 2020 à 11:13.
Je me suis mal exprimé, effectivement les gens heureux que je connais ne balancent pas leur thune dans ce plaisir très court pour le prix de l'espoir. Vous connaissez des gens heureux qui jouent au loto?
Et le pire c'est sans doute que le chiffre d'affaire du loto et autres jeux d'espoir augmente… les gens ont l'argent, mais il y a un soucis de comment le dépenser en ratio plaisir sur coût.
Mais comme un autre a dit plus haut, on ne peut convaincre par démonstration objective, on ne peut que constater et montrer une alternative qui existe, perso je vois de plus en plus de gens ne pas proposer l'argent ni le loto donc espoir léger.
[^] # Re: Tripalium
Posté par Zenitram (site web personnel) . En réponse au journal Quelles sont vos motivations au travail ?. Évalué à 8.
C'est triste que ce soit que ça, si on parle d'informatique (si c'est de job sans compétence nécessaire et mal payé, mon commentaire serait hors sujet), car tu as le choix.
Perso j'estime gagner le quart de ce à quoi je peux prétendre (basé sur le montant auquel je me vend quand j'accepte du taf qui m’intéresse moins) car justement cette motivation financière est certes utile mais que jusqu'à un certain niveau (largement inférieur à ce que gagne un développeur compétent), et ensuite je priorise mon confort de vie (emplacement, trajet…) et sujet de mon travail.
Et justement, il me semble comprendre que l'auteur du journal ne parle pas thune car c'est nécessaire mais pas suffisant.
Pourquoi voir les choses aussi binairement? Les gens les plus heureux que je connaisse n'ont pas attendu de gagner au loto, ils ont au contraire pris le contrôle de leur vie sans attendre une chance sur 1 million.
[^] # Re: Aucune.
Posté par Zenitram (site web personnel) . En réponse au journal Quelles sont vos motivations au travail ?. Évalué à 2.
On parle quand même d'un domaine où il y a pénurie… il faut te poser des questions.
On parle de normal, donc pas bête de travail, les 8 heures laissent largement de quoi faire dans les 5 autres jours. Pose toi des questions sur toi.
+25 à 45 jours de congés par an.
On parle d'un domaine où on est bien payé, on a de la marge sauf à avoir une envie de tout dépenser (pose toi des questions sur tes priorités), tu peux facilement (pour preuve d'autres ont largement moins) mettre disons 1/3 de ton salaire en épargne placé et tu peux partir vers 50 ans.
Rappelons que "67 ans" est la protection de l'état, pas un minimum, tu es libre de partir avant si tu fais le nécessaire. Même en ayant eu des années très creuses j'ai perso de quoi m'arrêter quand je veux, certes j'étais plutôt autour de la moitié voire 2/3 de côté sans me forcer et sans souffrir (juste pas acheter de l'affichage) mais encore une fois on parle pas de salaire au SMIC…
Bref, tout n'est pas la et l'auteur du journal a des soucis sur la valeur de son travail (un très gros sujet très subjectif, pas facile), mais ton défaitisme dans ton commentaire est bien autre chose, un peu hors sujet, qui vient surtout de ta gestion du temps et de l'argent (sujet moins subjectif, plus monde de consommation qui ne rend pas heureux).
PS : rare mais certaines boites acceptent le 80%, surtout si elles ne veulent pas te perdre car tu vaux. Faut valoir par contre ;-).
[^] # Re: À jour ?
Posté par Zenitram (site web personnel) . En réponse au journal Quand la Caisse d'Épargne force ses clients à réactiver des protocoles de sécurité obsolètes. Évalué à 0.
Il est étonnant que "axa.fr" marche, il est indiqué en "Revoked" chez ssllabs. Et ça redirige sur www.axa.fr. ils ne sont pas parfait :) (ils ont l'air d'avoir un petit soucis HSTS aussi, que ssllabs n'aime pas).
La différence doit venir de la (essaye www.axa.fr qui n'a pas le soucis, mai https://cryptcheck.fr/https/www.axa.fr dit que c'est trop gentils car accepte les vieux trucs, comme quoi ils ne veulent pas virer tout le monde partout :) ).
[^] # Re: Que des cookies ??
Posté par Zenitram (site web personnel) . En réponse au journal Quand la banque populaire force ses clients à manger des cookies. Évalué à 3.
Les banques semblent essayer de récupérer de la thune sur tout et n'importe quoi, ça en devient ridicule surtout niveau prix (j'ai vu entre 0.10 €, à la limite, et 1 €, du n'importe quoi), mais à mon avis c'est comme les abo pour l'interface web, à force des disrupteurs le feront au même prix que virement normal et les autres suivront, il faut attendre que les dinosaures réagissent… Perso, je vois que Transferwise est plutôt à la pointe sur le sujet, et ils s'emmerdent même pas à proposer le choix, ils annoncent juste que c'est fait si le récipendiaire supporte la chose, et même prix (pas gratuit car ils se financent sur ça, mais ça me va car ils n'essayent pas de me forcer à payer pour rien genre un abo mensuel), ce qui est logique quand on sait que ça leur coûte 0.02 € de leur côté une fois les investissements (qui devraient faire partie des truc de base, pas à "rentabiliser en faisant payer") soit pas grand chose de plus que virements à l'ancienne.
Ca viendra…
[^] # Re: Applications mobiles
Posté par Zenitram (site web personnel) . En réponse au journal Quand la banque populaire force ses clients à manger des cookies. Évalué à 1.
Est-ce que TOTP permet d'envoyer un message au terminal avec l'action demandée (connexion, paiement de montant X à entité Y, ajout de RIB de entité Z etc) et que si on clique "oui je veux ça" ça valide la transaction sans se farcir à rentrer un code?
C'est ce que font certaines banques (pas toutes encore sur la partie aceptation, qui restent à l'ancienne malgré l'app qui permet l'échange d'info).
Perso, ayant goûté à l'interaction sans prie de tête (ne rien avoir à rentrer comme "code"), j'aurai du mal à retourner à un style TOTP et même SMS (je fais en râlant quand pas le choix car "vieillot".
TOTP était super à une époque, depuis la technologie a évolué et les usages aussi, et à ma connaissance TOTP n'a pas su évoluer, du coup les banques n'ont pas eu la possibilité de prendre pour moins cher une technologie libre adaptée, et ont donc développé dans leur coin car standardiser leur revient plus cher et trop long sans réel avantage pour elles.
[^] # Re: À jour ?
Posté par Zenitram (site web personnel) . En réponse au journal Quand la Caisse d'Épargne force ses clients à réactiver des protocoles de sécurité obsolètes. Évalué à 6. Dernière modification le 19 juillet 2020 à 22:07.
[…]
Moi-même petit fournisseur d'app Android, j'ai des utilisateurs qui râlent même en 2020 quand je casse la compatibilité Android 4.2 (en pratique stats d'hier : 0.2% d'Android avec version <=4.3), c'est une réalité quoi qu'on pense du niveau de sécurité qu'on veut, et il faut assumer les virer, pas se dire qu'ils n'existent pas (bon je vais sans doute tenter de virer ma compatibilité WinXP de mon plus gros logiciel, j'espère qu'en 2020 mes quelques râleurs de 2018 auront upgradé ou du moins seront assez minoritaires…).
A noter que 0.2% ça peut être rien pour toi, mais pour un support client de millions de personnes, c'est de la thune à dépenser pour dire aux clients d'upgrader leur bousin ce qui peut assez mal passer. Tu ne peux pas ne pas faire la différence entre des entités qui gèrent TLS 1.3 avec CHACHA20 mais aussi TLS 1.1 et des entités qui gèrent que TLS 1.1.
PS : pour le downgrade de suite de chiffrement, au temps pour moi, remplacer 1.2 par 1.3… Le besoin est donc surtout de gérer 1.3, et si je comprend bien alors 1.1 peut être encore gérer sans risque pour les clients 1.3. bon resterait les clients 1.2 vulnérable du coup, à méditer…