Le moment où tu fais un transtypage explicite, c'est le moment où tu dis au compilateur « ta gueule, je sais ce que je fais »
Ha ha…
Ca peut être aussi "le client veut 0 warning dans sa config du compilo, ben on va lui faire plaisir".
Bon, certes, ce n'est pas complètement contre ton "ta gueule, je sais ce que je fais", mais ça veut dire plutôt "ce que je fais est faire plaisir au client" que "ce que je fais, je connais son impact sur le code" qui est plutôt sous-entendu, me trompe-je?
On te donne une corde, tu peux t'en servir pour t'empêcher de tomber du haut de la falaise, mais si tu te sers de ton cou pour t'accrocher, forcément tu vas avoir des surprises.
Tu peux aussi t'en servir pour faire croire que tu va empécher la personne de tomber de haut de la falaise pour lui faire plaisir et qu'il se lance, mais vaut mieux pas qu'il en ai besoin, on est pas sûr que la corde ne soit qu'une ficelle. Pas aussi binaire que tu le penses, et ne pas savoir arrive plus souvent que tu le penses.
Oui, on peut faire n'importe quoi avec un cast, et c'est bien le problème : n'importe qui peut, alors que tu minimises ("si tu te sers de ton cou pour t'accrocher, forcément tu vas avoir des surprises", tout de suite…)
Bref, tout ça pour dire que les gens (moi compris) savaient tout le temps ce qu'ils font quand ils castent à coup de "(type)var", c'est plus ton rêve que la réalité, et que c'est pour ça que certains préfèrent l'interdire complètement dans leur politique de code.
L’idée qui anime notre projet est de rehausser le niveau de sécurité des emails, POUR TOUS, c’est-à-dire pour le boulanger, l’employée du bureau, la dessinatrice de mode, mon grand-père, mes enfants, les profs… Nous pensons que tout le monde a le droit d’avoir une zone de confidentialité, en particulier sur Internet.
Le problème est de savoir faire la différence entre une zone de confidentialité, et une fausse zone de confidentialité.
Si la technique pose problème, il vaut mieux dire "on peux pas" que de faire croire qu'on peut.
En plus d’avoir mis au point une solution technique qui sécurise grandement les emails stockés sur les serveurs
J'attends toujours une démonstration que c'est plus sécurisé que chez OVH (par exemple) : par exemple si OVH met mon mot de passé en PBKDF2 sur un serveur bien à part, c'est plus sécurisé qu'un serveur qui ne stocke pas (il traite) mais qui permet à n'importe quel pirate en herbe de mettre un hook dans le code pour récupérer le mot de passe en clair.
La question est de savoir en quoi vous permettez plus de confidentialité (contre qui?) que les concurrents. Vous ne stockez pas le pass? OK, mais ça ne change pas que vous pouvez l'avoir quand vous en avez envie (le seul délai est jusqu'à ma prochaine connexion)! Donc ça me protège contre qui? (pas de vous, pas de l'Etat puisqu'il peut vous obliger à dumper mon pass… Donc de qui?)
Bref, j'ai du mal à voir autre chose que la vente d'un faux sentiment de sécurité, en surfant sur la vague de la peur mais en n'ayant pas de solution technique pour remplir ce qui est dit.
Ce type d’offre manquait cruellement en France…
Le problème n'est pas franco-français (ça vaut aussi pour le code en français, si j'embauche une personne pour auditer, elle ne sera pas forcément francophone), ce qui fait donc penser à une opération marketing de se limiter à un pays.
Je ne suis pas d'accord que cela se fasse automatiquement. (…)
Tu aimes les complications, libre à toi ("OK"? Mais j'ai rien à dire d'autre que "OK", je paye la prestation).
J'ai un peu de sous en plus sur le compte, rien de mortel, pour n'importe qui (on parle pas de gros montants, et non être limite n'est pas une question de revenu, il y a des "pauvres" pas limites et des "riches" dans le rouges à la fin du mois, qu'on me sorte pas "mais t'es riche", ça n'a rien à voir), c'est quand même bien plus simple.
Bref, sans doute une façon de voir, quand on aime les demandes de confirmation inutiles.
Et si ça ne passera pas, je trouverai un autre moyen de payer.
Je serai mauvais vendeur, car je dirai "pas envie de me prendre la tête avec un autre moyen, disons nous au revoir et je laisse les autres dépenser de l'argent à gérer les râleurs pour le plaisir, moi j'aime bien les gens qui préfèrent le simple et moins cher pour tout le monde".
Oui, factuellement c'est trop propre, le but n'est pas de faire déduire que systemd est moins bien, non, pas du tout, "qui sont donc facile à aménager comme on veut" est écrit gratuitement, sans sous-entendre "l'autre c'est moins bien", pas du tout.
Mais bien sûr…
mais cela reste des scripts shells, qui sont donc écrit par des humains. Voila, j'ai mis une autre phrase, aussi peu utile. On peut remplir avec plein de trucs inutile, ou ne pas mettre, si il n'y a aucun sous-entendu.
Dit-moi donc pourquoi tu as écrit "qui sont donc facile à aménager comme on veut".
PS : pour info, je trouve "facile à aménager comme on veut" comme un inconvénient, car ce n'est pas à cet endroit que le processus metier devrait permettre des hacks. Il faut cloisonner pour pouvoir industrialiser, gérer proprement. Merci pour l'aide à flinguer ce principe.
mais cela reste des scripts shells, qui sont donc facile à aménager comme on veut.
Je vais te révéler un secret : avec systemd, tu peux lancer un… Script shell, qui sont donc facile à aménager comme on veut.
(ça ne doit pas être la première fois que tu lis cette information, surtout que la personne à laquelle tu réponds te l'a déjà dit mais pas assez directement il faut croire, qu'en conclure sur la personne qui ressort une n-ième fois cet "inconvénient" de systemd?)
C'est à dire que systemd va mutualiser et industrialiser le processus métier.
Tout à fait.
J'ai l'impression que le clash arrive car d'un côté des gens veulent travailler (être productif) avec Linux, et de l'autre des gens veulent être payés pour jouer avec Linux, et pour ces derniers la fête est finie (les entreprises n'avaient pas le choix avant, elles devaient payer ceux qui voulaient jouer car c'était les seuls) mais maintenant elle a le choix et donc elle choisit l'industrialisation du processus métier.
Comme à chaque fois, on voit surtout le mécanisme de rente : ceux qui ont la rente (ici, leur connaissance des bizaretés du shell pour un init) ne veulent pas la perdre, alors que les nouveaux souhaitent avancer.
mais par où je commence pour ajouter une option perso (un smart-reload ou je ne sais quoi)?
Perso, je ne sais pas, autant pour systemd que pour SysV.
Tu démontres le problème principal des "vétérans" : ils ne veulent pas faire l'éffort d'apprendre ce qu'ils ont déjà appris, parce qu'ils savent faire avec le vieux bousin, grâce à l'expérience, et qui trouvent chiant de se retrouver avec un nouveau système où il faut apprendre alors qu'on veut même pas essayer de voir les avantages qu'il va ensuite procurer une fois les premiers pas passés.
Pas de chance, les nouveaux arrivent, et font plus simple, donc celui qui doit apprendre aujourd'hui va apprendre la version la plus simple (non, pas SysV, j'en suis 100% sûr même si je ne connais ce cas précis) et les vétérans experts en vieillerie iront pointer au chômage (ce qui est normal, quand on ne veut pas apprendre la nouvelle syntaxe parce qu'on connait l'ancienne).
Dur dur d'apprendre de nouveau et de se retrouver non plus avec son argument d'autorité (je suis vétéran, je sait un peu plus car j'ai appris par coeur les commandes du vieux bousin à force) mais à se battre contre les jeunes avec ses compétences plutôt ;-).
le projet est finalement passé en stade de béta-test. (…) quelqu'un à testé ?
Je viens de tester : j'ai ouvert la page principale, pas vraiment compris ce qu'il en était du concept, cliqué sur quelques pages, tombé sur "Try prototype", cliqué un peu partout, et ai fermé l'onglet.
béta, vraiment?
Concept, vraiment? (voir le premier commentaire de la dépèche LinuxFr)
Je crois qu'il ne vaut mieux pas en faire trop la publicité pour le moment…
Tu as essayé leur équivalent Doodle? Tu crois sérieusement qu'à part quelques geeks perdus ça interesserait du monde un truc aussi difficile à utiliser?
caliopen
Pas compris, et le "Fork me on GitHub" bien visible me fait peur, ça doit pas être pour un utilisateur qui veut utiliser. Et rien d'autre (je suis utilisateur de base, si je trouve pas je ne cherche pas plus, je passe).
GitLab
Celui-la, OK, bien que ça soit pas aussi sexy que GitHub quand on arrive dessus (les utilisateurs de GitHub ne doivent pas être la cible)
Mais ce qu’il faut reconnaitre à Framasoft, c’est qu’elle se remue pour être visible.
Ben oui, tiens, c'est bien le soucis qu'on doive noter qu'elle se remue pour être visible, c'est 50% du taf à faire quand on fait que copier le voisin avec pour argument "on n'a pas NSA".
la clé de chiffrement personnelle est entre les mains de l'utilisateur uniquement (Mailden n'en possède pas de copie, seul l'utilisateur peut déchiffrer et exploiter ses données).
La FAQ dit le contraire :
"Lorsque vous vous connectez au serveur Mailden pour récupérer vos emails, vous transmettez de façon sécurisée votre mot de passe."
Donc ils ont le mot de passe eux aussi (on leur transmet).
Apparemment Mailden offre une parade technique fiable
Même pas en apparence pour qui a un minimum de baguage technique (savoir qu'à partir du moment qu'on transmet un pass, ben l'autre l'a).
C'est que de la communication (un peu de chiffrage pour dire qu'on est différent, mais sinn on ne pense pas sécurité globale).
le jour où l'Etat veut voir ton compte, il prend le controle du serveur chez eux, et a ton pass à ta prochaine connexion.
Ca ne change vraiment pas grand chose (OK, ils ne stockent pas il parait, mais d'une on ne sait pas vraiment, confiance à avoir sur des nouveaux, et de deux on peut stocker les pass de manière sécurisée aussi, à coup de machine dédiée aux pass qui empèche un dump, avec PBKDF2 etc).
Ce service est-il une bonne solution pour les utilisateurs ne pouvant s'autohéberger ?
Son avantage est d'être hébergé en France. C'est tout.
Le chiffrement intégral coté serveur est un plus sur les solution type hébergeur (ex : OVH), où les données ne sont pas chiffrées si je ne m'abuse,
On ne sait pas, mais en fait on s'en fout : ils ont la clé, donc ils peuvent déchiffrer, ça ne change rien en pratique pour la NSA, uniquement en cas de vol physique de disque dur (vous en avez souvent entendu parlé de vol de disque dur? La NSA a plus l'habitude de se connecter à chaud, donc avec lectur de votre mot de passe quand vous le transmettez…)
Le tout pour 30€/ans,
Chez OVH, c'est 9€/an avec un nom de domaine, "que" 2 Go (faut déjà les remplir en mail) et pour 30€/an tu as nom de domaine, hébergement web, MySql, 10 (et non pas un seul compte) email (de 5 Go mais bon ça suffit, "30 Go" c'est pour faire qui a la plus grosse, je préfère 3 comptes de 5 Go que 1 compte de 1 To), avec le même avantage réel (c'est hébergé en France), donc bon, ça me parait bien cher pour ce que c'est.
Bref, le site surfe sur la peur du moment, sans apporter de solution mais en cherchant ton porte-monnaie. Bienvenue marketing.
Qwant (le moteur de recherche français qui se cherche une place)
Pour résumer, l'idée est la, il y a du bon et du moins bon (par exemple remplacer Doodle est pas bien compliqué et ils y vont petit à petit surtout avec leur version en bat, remplacer GitHub par contre j'ai un gros doute)
A noter qu'ils ne développent pas (les programmes eux-mêmes), ils intégrent surtout, donc ils dépendent des projets upstream.
C'est très louable comme initiative, mais ça pourrait aussi faire des dégâts si ça capte beaucoup d'attention doublé d'une mauvaise presse!
Ca va dépendre pas mal de comment ils vont "forcer" les gens à voir leur produit (et je leur ai déjà fait une remarque sur leur "popup" pour faire un don avant de tester), ils doivent gérer. Mais oui, c'est risqué. Maintenant, ce sont les seuls à se bouger, les autres disant "google ça pue" mais ne proposant rien que des idées "installe x" (non, l'utilisateur ne veut pas installer, il veut utiliser), si il y a une pierre à jeter, c'est contre tous ceux qui crachent sur Doodle, Google, GitHub etc mais ne se bougent pas plus que ça (sérieux, faire un remplaçant à Doodle n'est pas bien compliqué, encore faut-il le vouloir).
Perso Doodle (par exemple, mais Google aussi) me convient et je me fou de la NSA, mais que tous ceux qui râlent contre la NSA se bougent et codent pour montrer qu'ils sont vraiment contre la NSA. Je pense que le plus gros problème est que les mecs de Framasoft sont bien seuls (et comme ils sous-entendent, ils s'en sont pris plein la gueule en critiques plutôt que de l'aide, de la part des "libristes", donc bon, voila, anti-NSA semble synonyme d'anti-rechercher à faire sortir les gens de la NSA, bref râler pour le plaisir mais pas plus, comme pour les forkeursde Debian)
Si je comprend bien, c'est systemd 0.0.1pre-alpha1: une seule des fonctions de systemd (celle des units à la place de scripts) est ici faites par un programme externe qui va transformer les units en script pour que les scripts soient lancés à l'ancienne, et ces scripts tu ne dois pas les modifier car ils seront écrasé à la prochaine itération, ça fait des scripts statiques (limités aux fonctionnalité du programme qui gère les units). De plus, aucune mise à jour depuis 2008, ça a l'air très vivant comme logiciel.
Euh… Autant mettre systemd non? Ou déjà faire un programme qui lise des units systemd plutôt que "metainit files"? (ho, tiens, c'est ce que dit Misc…)
(Ce programme aurait sans doute été interessant si il avait fait le boulot de systemd, comme par exemple faire un fichier "metainit" universel avec le programme qui adapte suivant les distros, mais vu que le mainteneur Debian et l''auteur du programme sont une personne, que le "site web" du projet est le repo Debian, j'ai un doute que ça pense à autre chose que Debian)
Tout le monde a oublié l'existence de metainit. Les quelques fois où j'en ai parlé ça n'a pas eu l'air d'intéresser grand monde.
Je comprend, ça a l'air d'être aussi vivant que les forks Debian à cause de systemd.
Si on peut condamner l'AFP, c'est de ne pas avoir mis de "NdA: attention le mot est mal utilisé, même en anglais" faute (comme la personne de la BBC) d'avoir les compétences pour savoir ce que c'est.
Mieux vaut à mon sens un bon fork pour voir qui est vraiment prêt à mettre les mains dans le cambouis
Depuis le temps qu'on entend parler de fork, rien de concret (et lit le site mis en lien, personne ne dit qu'il va tenter un fork, au contraire ils disent qu'ils ne vont pas le faire). Ca ne te donne pas un petit indice sur le nombre de personnes prêtes à mettre les mains dans le cambouis?
Justement, c'est bien le soucis : veteran != bon.
On peux juste être expérimenté sur savoir comment mieux faire tourner la manivelle d'un voiture pour la démarrer, et ne pas aimer apprendre à tourner une clé de contact (zut, comment on va vendre nos cours pour mieux faire tourner la manivelle? Ho, problème sur notre business!)
Ca s'appelle un argument d'autorité, et généralement ça annon qu'on a pas d'autre argument.
ignores the needs of most of its users.
Oui, mais bien sûr, après l'argument d'autorité, voila qu'on prend les gens pour de cons incapables de regarder les besoins.
Ca va convaincre.
J'aurai inversé la rôles plutôt, mais bon quand on veut pas ouvrir les yeux.
only few of us have the time and patience to interact with Debian on a voluntary basis.
on a envie de se lacher vite fait sur un pauvre site web en gros caractères, mais on affiche la couleur direct : on a envie que les autres se fassent chier pour nous, mais nous on a acuune envie de se faire chier.
Résumons donc : argument d'autorité, les autres sont des cons, et on ne veut pas se bouger. Crédible qu'il y aura un fork?
J'adore toujours autant les anti-systemd : ils sont la pour râler qu'on leur modifie leurs petites habitudes de vieux, mais à part ça quand il s'agit de faire autre chose que troller… C'est beau, merci pour le moment sourire.
on voit de plus en plus de monde qui pense migrer si systemd devient incontournable sous Linux.
chiche, tu veux qu'on ouvre la paris entre ceux qui font et ceux qui disent qu'ils vont faire? Allez, je pari moins de 1% de la masse de râleurs va effectivement le faire, et je prend de la marge (et j'en profite pour parier que tous les forks Linux qui ont pour idée de juste virer systemd vivront entre 0 et 1 version, les personnes derrière ces idées de fork ne tolerant pas la démocratie ni n'ayant une idée réelle de ce qu'ils veulent hormis "c'était mieux avant", ça va être dur de trouver assez de monde motivé par la tonne de boulot à faire, et par un système qui sera de moins en moins performant en comparaison de système moderne, dans le temps)
Quel est le lien entre un harceleur et un troll? un troll ne vise personne, au contraire du harcèlement.
J'avoue avoir du mal à suivre. Beau mélange des genres.
Sinon, pour le harcèlement, multiplier par 4 la peine effective, ça ne la change pas en pratique (quel nombre reste le même une fois multiplié par 4?), et si on commençait à appliquer la loi actuelle (même si la raison du harcèlement déplait)?
Visiblement les développeurs de firefox pensent que chrome est le meilleur navigateur, il faudrait peut-être que je suive leurs conseils…
Avec Chrome, je ne peux pas télécharger une vidéo de Youtube (les addons le permettant sont rejetés et impossible d'ajouter un addons hors de leur store), ils ont viré la possibilité pour les addons d'avoir des onglets verticaux etc…
Donc non, ils ne pensent pas forcément que Chrome est le meilleur navigateur, mais… Ca n'interdit toutefois pas de prendre les bonnes idées d'ailleurs, ne pas les accepter "parce que Chrome le fait" c'est un argument des plus nulss quand même.
Ps : "subir", rien que ça? Personne ne t'oblige à choisir Firefox, tu peux même forker grâce au libre. saloperie de liberté où tu peux tout faire et où les autres ne sont pas obligés de t'obeir!
Non.
Tout est question de niveau de confiance : si l'entreprise a trop de plaintes de clients, elle perd son droit de prendre des cartes, donc va perdre du business, donc ne le fait pas.
La où les puristes veulent une solution ultra sécurisé quitte à faire chier tout le monde, ceux qui réussissent trouve un juste milieu entre sécurité et ne pas faire chier tout le monde.
ou si c'est pareil avec une VISA,
Dernièrement, j'ai rendu une voiture de nuit (donc agence fermée), elle avait quelques km en trop par rapport au contrat.
Et ben, j'ai reçu un mail me disant qu'ils allaient retirer quelques Euros en plus sur ma carte Visa, et ça va en défriser certains ici, mais j'étais très content de n'avoir rien à faire, merci Visa (et l'entreprise).
En pratique, de souvenir j'avais entré mon code avec une autorisation de retrait qui était supérieure au montant du "contrat" de base.
En ces pré-autorisations sont de plus en plus courantes (même Paypal s'y met, je l'ai eu une fois je crois, de demander l'autorisation Paypal pour telle entreprise, sans montant, et après j'ai choisis mes montants. Pareil, je suis content car voila, ça fait pas chier son monde comme système, tant pis pour les quelques râleurs que c'est pas assez sécurisé, de toutes façons ils trouveront toujours quelque chose à dire)
Et c'est un soucis?
Je vais peut-être te surprendre, mais je fais partie des ces non rares personnes qui a toujours son portable sur lui.
Il y a vraiment une sacrée problématique de voir les usages actuels… On croirait les éditeurs de quotidiens qui n'ont pas compris que les gens lisent les journaux maintenant sur mobile plutôt qu'en papier…
Le monde évolue… (d'ailleurs, l'idée est de se passer de carte, de clé de voiture et j'en passe, et d'utiliser son portable en RFID plutôt, pour avoir une carte en moins, une clé en moins etc et comme on a toujours son portable sur soit, justement. Etonnant non comme ça se rejoint? Les anti-RFID vont être mal dans quelques années, ou alors ils feront comme souvent : ils feront avec à force de se rendre qu'en fait ça va bien, et trouveront une nouvelle technologie à combattre)
Pourtant les gens réussissent à retenir leurs numéros de téléphone non ?
On ne connait pas les mêmes personnes (bis).
Perso, je ne connais pas mon numéro de téléphone (j'ouvre mon téléphone à chque fois qu'on me le demande), car justement : c'est chiant.
En fait, il y a des gens qui connaissent par coeur plein de numéros (surtout celui de papa/maman), mais perso je sélectionne le contact sur mon tel (quand je ne double-clique pas sur leur nom sous Skype, meilleur qualité) et en connait aucun. et j'en suis pas spécialement malheureux (ça laisse de la place pour d'autres choses).
Et je ne suis pas un cas exceptionel (comme il y a plein de gens qui doivent retenir non pas 1 code de 4 chiffres, mais 2 ou 3 ou plus codes de Carte).
Donc pareil : encore une assertion pas vraiment vraie… Mais on peut toujours faire comme si ces gens n'existent pas, en attendant je vois de plus en plus de gens (les gens qui ont les cartes, oui, pas que les commerçantt) qui activent et apprécient leurs cartes ayant RFID mais on peut toujours mettre des oeillères et faire comme si c'était vrai que personne n'aime ça. Je sais, je suis sur un site d'anti tout ce qui passe (même de trucs pour Linux genre systemd, donc vraiment, il y a de tout en anti) donc vais être bien seul :-D
Je ne connais pas grand monde qui se plaint de ce système. En fait, personne. 4 chiffres, c'est rapide
Ha? On ne connait pas les mêmes personnes. Entre les gens qui oublient leur code (surtout avec plusieurs cartes, ben oui ça arrive, rien qu'entre perso et compte joint par exemple), et le temps que ça met pour payer (oui, c'est long), il y a carrément du monde qui se plaint. Donc les clients se plaigneny d'oublier leur code, et les vendeurs se plaignent de la durée de transaction.
D'ailleurs, surprise, c'est une des raison pour laquelle les vendeurs cherchent des solutions…
Nier qu'il y a une demande d'amélioration, c'est vraiment bien précher des convaincus comme tu dis…
L'empreinte digitale, elle est disponible partout. Sur mon verre que je laisse au bureau, sur la poignée de porte de la voiture que je laisse dans la rue. C'est de l'identification. Et encore, ça se falsifie assez facilement.
Hum… on parie?
Et s'il faut en rajouter : comment ça se passe avec une carte partagée, sur un compte joint par exemple,
Gni??? JAMAIS. Sur un compte joint, chaque personne a une carte. Sérieux, il y en a qui se font chier à se refiler la carte "tiens, c'est toi qui va faire les courses aujourd'hui, prend la carte"?
Sans compter que tu violes les conditions (après, faudra pas venir te plaindre que untel viole la GPL, tu violes les règles quand tu as envie aussi).
mais il arrive qu'on se fasse confiance entre parents et enfants aussi.
Tu te plainds d'un manque de sécurité, mais tu parles complètement de t'en foutre de la sécurité (le controle fait partie de la sécurité).
Comme quoi… Chacun voit ce qu'il veut voir.
Après, je suis forcément pas convaincu par des arguments qui ne convainc que les convaincus (bon, tu as prévenus…), vu que je suis utilisateur heureux des cartes à RFID (ça, ça doit faire hurler certains…) n'ayant jamais eu de problèmes en pratique.
PS : bon, après, RFID c'est avec un plafond très bas donc ça ne me dérange vraiment pas (c'est pareil que des espèces sur lequel il n'y a aucun code, n'en déplaise aux anti Carte RFID qui se baladent avec des espèces) est-ce que j'accepterai de payer par empreinte digitale n'importe quel montant, la je tique quand même.
Si j'ai bien compris (mais je suis vraiment pas à l'aise, n'hésitez pas à me corriger), c'est un ajout au protocole, donc tous les clients et serveurs actuels ne pourront pas tester, et il faut que les deux supportent cette extension, si un seul ça ne marche pas, exact?
On parle quand même d'IE6 dans l'histoire (le seul encore dans la nature qui ne supporte pas TLS), donc des produits qui n'ont plus aucun support et donc aucune mise à jour, pas sûr qu'IE7 (TLS1.0) sera mis à jour…
Je suis même étonné que cette attaque ne sort que maintenant.
Pareil.
en fait, je me demande où est la "nouveauté" : par design (partie non authetifiée, dont l'intégrité sur qui cause n'est pas testée, donc il modifie tout ce qu'il veut), un MITM peut choisir le protocole à utiliser en refusant les protocoles "trop sécurisés" et c'est le client qui passe de lui-même en une version plus faible.
Le problème vient donc "juste" que SSLv3 est plus ou moins (il faut du temps quand même) troué est qu'il peut toujours être utilisé (il est accepté autant côté client que serveur), et donc ce problème apparait automatiquement (par design) dès qu'on a su que SSLv3 avait un problème.
La nouveauté est-elle que quelqu'un a regardait comment fonctionnait la phase de négociation du protocole et s'en rendu compte que n'importe quel MITM peut choisir le protocole utilisé? C'est gros (car c'est assez basique), sutout qu'on aura alors exactement le même problème quand on aura TLSv2.0 et que TLSv1.x sera troué : qu'est-ce qui est prévu pour ne pas avoir le même problème plus tard? On redécouvrira cette faille de la négociation à ce moment-la (est-ce que TLSv1.3 a un mécanisme pour détecter que c'était pas le protocole qui été préféré par le client)?
Ou alors, j'ai loupé un passage du problème, je n'arrive pas à comprendre. Quelqu'un pour expliquer en quoi ça ne fait pas partie du design de l'initialisation HTTPS qu'un MITM puisse décider quel protocole utiliser (quel mécanisme est mis en oeuvre pour sécuriser la liste des protocoles supportés qui est envoyée au serveur, et qui est ici cassé)?
les droites et ultra-droites n'ont pas le monopole de l'obscurantisme et de l'innovation par le bas
Tiens, étonnant tu as oublié de citer l'ultra-gauche qui n'est pas bien mieux à ces sujets (voire pire).
Tu oublies en fait que ces problèmes n'ont rien à voir avec un clivage gauche/droite, il y a des gens qui pensent des choses très différentes de tous les côtés. Ha la réalité politique…
belle invention anarchiste/libertaire qu'est l'internet.
Tu fais un bien beau mélange à vouloir associer Internet à tes opinions politiques. Ou comment essayer de tirer la couverture chez soit, même si à la base ça n'a pas grand chose (voir rien) à voir. Dommage pour toi, Internet permet de faire communiquer les Hommes, quelles que soient leurs opinions politiques, et à ma connaissance aucun de ses personnages clés d'Internet ne se revendique libertaire/anarchiste (et même dans le libre, RMS veut des règles, il est très très loin d'être libertaire/anarchiste vu la longueur et le nombres de contraintes de sa licence préférée).
Qulture (avec un gros Q)
Clair qu'avec ça, on va te prendre au sérieux. Tu va convaincre du monde que tes idées sont meilleures, toi, c'est sûr!
[^] # Re: C++
Posté par Zenitram (site web personnel) . En réponse au journal CPP Con sur Youtube. Évalué à 0. Dernière modification le 22 octobre 2014 à 18:10.
Ha ha…
Ca peut être aussi "le client veut 0 warning dans sa config du compilo, ben on va lui faire plaisir".
Bon, certes, ce n'est pas complètement contre ton "ta gueule, je sais ce que je fais", mais ça veut dire plutôt "ce que je fais est faire plaisir au client" que "ce que je fais, je connais son impact sur le code" qui est plutôt sous-entendu, me trompe-je?
Tu peux aussi t'en servir pour faire croire que tu va empécher la personne de tomber de haut de la falaise pour lui faire plaisir et qu'il se lance, mais vaut mieux pas qu'il en ai besoin, on est pas sûr que la corde ne soit qu'une ficelle. Pas aussi binaire que tu le penses, et ne pas savoir arrive plus souvent que tu le penses.
Oui, on peut faire n'importe quoi avec un cast, et c'est bien le problème : n'importe qui peut, alors que tu minimises ("si tu te sers de ton cou pour t'accrocher, forcément tu vas avoir des surprises", tout de suite…)
Bref, tout ça pour dire que les gens (moi compris) savaient tout le temps ce qu'ils font quand ils castent à coup de "(type)var", c'est plus ton rêve que la réalité, et que c'est pour ça que certains préfèrent l'interdire complètement dans leur politique de code.
[^] # Re: L'esprit de Mailden
Posté par Zenitram (site web personnel) . En réponse au journal Que penses-tu du service mail Mailden ?. Évalué à 5. Dernière modification le 22 octobre 2014 à 15:07.
Le problème est de savoir faire la différence entre une zone de confidentialité, et une fausse zone de confidentialité.
Si la technique pose problème, il vaut mieux dire "on peux pas" que de faire croire qu'on peut.
J'attends toujours une démonstration que c'est plus sécurisé que chez OVH (par exemple) : par exemple si OVH met mon mot de passé en PBKDF2 sur un serveur bien à part, c'est plus sécurisé qu'un serveur qui ne stocke pas (il traite) mais qui permet à n'importe quel pirate en herbe de mettre un hook dans le code pour récupérer le mot de passe en clair.
La question est de savoir en quoi vous permettez plus de confidentialité (contre qui?) que les concurrents. Vous ne stockez pas le pass? OK, mais ça ne change pas que vous pouvez l'avoir quand vous en avez envie (le seul délai est jusqu'à ma prochaine connexion)! Donc ça me protège contre qui? (pas de vous, pas de l'Etat puisqu'il peut vous obliger à dumper mon pass… Donc de qui?)
Bref, j'ai du mal à voir autre chose que la vente d'un faux sentiment de sécurité, en surfant sur la vague de la peur mais en n'ayant pas de solution technique pour remplir ce qui est dit.
Le problème n'est pas franco-français (ça vaut aussi pour le code en français, si j'embauche une personne pour auditer, elle ne sera pas forcément francophone), ce qui fait donc penser à une opération marketing de se limiter à un pays.
[^] # Re: Avec code mais sans limite…
Posté par Zenitram (site web personnel) . En réponse au journal Identification versus authentification : l'embrouille de Zwipe et Mastercard.. Évalué à -2.
Tu aimes les complications, libre à toi ("OK"? Mais j'ai rien à dire d'autre que "OK", je paye la prestation).
J'ai un peu de sous en plus sur le compte, rien de mortel, pour n'importe qui (on parle pas de gros montants, et non être limite n'est pas une question de revenu, il y a des "pauvres" pas limites et des "riches" dans le rouges à la fin du mois, qu'on me sorte pas "mais t'es riche", ça n'a rien à voir), c'est quand même bien plus simple.
Bref, sans doute une façon de voir, quand on aime les demandes de confirmation inutiles.
Je serai mauvais vendeur, car je dirai "pas envie de me prendre la tête avec un autre moyen, disons nous au revoir et je laisse les autres dépenser de l'argent à gérer les râleurs pour le plaisir, moi j'aime bien les gens qui préfèrent le simple et moins cher pour tout le monde".
[^] # Re: Forkons Fedora !
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à -6. Dernière modification le 21 octobre 2014 à 08:32.
Oui, factuellement c'est trop propre, le but n'est pas de faire déduire que systemd est moins bien, non, pas du tout, "qui sont donc facile à aménager comme on veut" est écrit gratuitement, sans sous-entendre "l'autre c'est moins bien", pas du tout.
Mais bien sûr…
mais cela reste des scripts shells, qui sont donc écrit par des humains. Voila, j'ai mis une autre phrase, aussi peu utile. On peut remplir avec plein de trucs inutile, ou ne pas mettre, si il n'y a aucun sous-entendu.
Dit-moi donc pourquoi tu as écrit "qui sont donc facile à aménager comme on veut".
PS : pour info, je trouve "facile à aménager comme on veut" comme un inconvénient, car ce n'est pas à cet endroit que le processus metier devrait permettre des hacks. Il faut cloisonner pour pouvoir industrialiser, gérer proprement. Merci pour l'aide à flinguer ce principe.
[^] # Re: Forkons Fedora !
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à -5. Dernière modification le 21 octobre 2014 à 08:12.
Je vais te révéler un secret : avec systemd, tu peux lancer un… Script shell, qui sont donc facile à aménager comme on veut.
(ça ne doit pas être la première fois que tu lis cette information, surtout que la personne à laquelle tu réponds te l'a déjà dit mais pas assez directement il faut croire, qu'en conclure sur la personne qui ressort une n-ième fois cet "inconvénient" de systemd?)
[^] # Re: Forkons Fedora !
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à -2.
Tout à fait.
J'ai l'impression que le clash arrive car d'un côté des gens veulent travailler (être productif) avec Linux, et de l'autre des gens veulent être payés pour jouer avec Linux, et pour ces derniers la fête est finie (les entreprises n'avaient pas le choix avant, elles devaient payer ceux qui voulaient jouer car c'était les seuls) mais maintenant elle a le choix et donc elle choisit l'industrialisation du processus métier.
Comme à chaque fois, on voit surtout le mécanisme de rente : ceux qui ont la rente (ici, leur connaissance des bizaretés du shell pour un init) ne veulent pas la perdre, alors que les nouveaux souhaitent avancer.
[^] # Re: Forkons Fedora !
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à -2.
Perso, je ne sais pas, autant pour systemd que pour SysV.
Tu démontres le problème principal des "vétérans" : ils ne veulent pas faire l'éffort d'apprendre ce qu'ils ont déjà appris, parce qu'ils savent faire avec le vieux bousin, grâce à l'expérience, et qui trouvent chiant de se retrouver avec un nouveau système où il faut apprendre alors qu'on veut même pas essayer de voir les avantages qu'il va ensuite procurer une fois les premiers pas passés.
Pas de chance, les nouveaux arrivent, et font plus simple, donc celui qui doit apprendre aujourd'hui va apprendre la version la plus simple (non, pas SysV, j'en suis 100% sûr même si je ne connais ce cas précis) et les vétérans experts en vieillerie iront pointer au chômage (ce qui est normal, quand on ne veut pas apprendre la nouvelle syntaxe parce qu'on connait l'ancienne).
Dur dur d'apprendre de nouveau et de se retrouver non plus avec son argument d'autorité (je suis vétéran, je sait un peu plus car j'ai appris par coeur les commandes du vieux bousin à force) mais à se battre contre les jeunes avec ses compétences plutôt ;-).
[^] # Re: C'est le moment de revenir sur le projet caliop ?
Posté par Zenitram (site web personnel) . En réponse au journal Que penses-tu du service mail Mailden ?. Évalué à 4. Dernière modification le 20 octobre 2014 à 10:12.
Je viens de tester : j'ai ouvert la page principale, pas vraiment compris ce qu'il en était du concept, cliqué sur quelques pages, tombé sur "Try prototype", cliqué un peu partout, et ai fermé l'onglet.
béta, vraiment?
Concept, vraiment? (voir le premier commentaire de la dépèche LinuxFr)
Je crois qu'il ne vaut mieux pas en faire trop la publicité pour le moment…
[^] # Re: Qualité des alternatives?
Posté par Zenitram (site web personnel) . En réponse à la dépêche Framasoft veut dégoogliser Internet !. Évalué à 0.
Tu as essayé leur équivalent Doodle? Tu crois sérieusement qu'à part quelques geeks perdus ça interesserait du monde un truc aussi difficile à utiliser?
Pas compris, et le "Fork me on GitHub" bien visible me fait peur, ça doit pas être pour un utilisateur qui veut utiliser. Et rien d'autre (je suis utilisateur de base, si je trouve pas je ne cherche pas plus, je passe).
Celui-la, OK, bien que ça soit pas aussi sexy que GitHub quand on arrive dessus (les utilisateurs de GitHub ne doivent pas être la cible)
Ben oui, tiens, c'est bien le soucis qu'on doive noter qu'elle se remue pour être visible, c'est 50% du taf à faire quand on fait que copier le voisin avec pour argument "on n'a pas NSA".
# Ben non
Posté par Zenitram (site web personnel) . En réponse au journal Que penses-tu du service mail Mailden ?. Évalué à 5. Dernière modification le 20 octobre 2014 à 08:43.
La FAQ dit le contraire :
"Lorsque vous vous connectez au serveur Mailden pour récupérer vos emails, vous transmettez de façon sécurisée votre mot de passe."
Donc ils ont le mot de passe eux aussi (on leur transmet).
Même pas en apparence pour qui a un minimum de baguage technique (savoir qu'à partir du moment qu'on transmet un pass, ben l'autre l'a).
C'est que de la communication (un peu de chiffrage pour dire qu'on est différent, mais sinn on ne pense pas sécurité globale).
le jour où l'Etat veut voir ton compte, il prend le controle du serveur chez eux, et a ton pass à ta prochaine connexion.
Ca ne change vraiment pas grand chose (OK, ils ne stockent pas il parait, mais d'une on ne sait pas vraiment, confiance à avoir sur des nouveaux, et de deux on peut stocker les pass de manière sécurisée aussi, à coup de machine dédiée aux pass qui empèche un dump, avec PBKDF2 etc).
Son avantage est d'être hébergé en France. C'est tout.
On ne sait pas, mais en fait on s'en fout : ils ont la clé, donc ils peuvent déchiffrer, ça ne change rien en pratique pour la NSA, uniquement en cas de vol physique de disque dur (vous en avez souvent entendu parlé de vol de disque dur? La NSA a plus l'habitude de se connecter à chaud, donc avec lectur de votre mot de passe quand vous le transmettez…)
Chez OVH, c'est 9€/an avec un nom de domaine, "que" 2 Go (faut déjà les remplir en mail) et pour 30€/an tu as nom de domaine, hébergement web, MySql, 10 (et non pas un seul compte) email (de 5 Go mais bon ça suffit, "30 Go" c'est pour faire qui a la plus grosse, je préfère 3 comptes de 5 Go que 1 compte de 1 To), avec le même avantage réel (c'est hébergé en France), donc bon, ça me parait bien cher pour ce que c'est.
Bref, le site surfe sur la peur du moment, sans apporter de solution mais en cherchant ton porte-monnaie. Bienvenue marketing.
Tu veux dire le meta-moteur qui n'est pas moteur?
[^] # Re: Qualité des alternatives?
Posté par Zenitram (site web personnel) . En réponse à la dépêche Framasoft veut dégoogliser Internet !. Évalué à 5. Dernière modification le 20 octobre 2014 à 08:18.
j'avais fait un journal sur le sujet. Faut aussi lire les commentaires (réponses des auteurs).
Pour résumer, l'idée est la, il y a du bon et du moins bon (par exemple remplacer Doodle est pas bien compliqué et ils y vont petit à petit surtout avec leur version en bat, remplacer GitHub par contre j'ai un gros doute)
A noter qu'ils ne développent pas (les programmes eux-mêmes), ils intégrent surtout, donc ils dépendent des projets upstream.
Ca va dépendre pas mal de comment ils vont "forcer" les gens à voir leur produit (et je leur ai déjà fait une remarque sur leur "popup" pour faire un don avant de tester), ils doivent gérer. Mais oui, c'est risqué. Maintenant, ce sont les seuls à se bouger, les autres disant "google ça pue" mais ne proposant rien que des idées "installe x" (non, l'utilisateur ne veut pas installer, il veut utiliser), si il y a une pierre à jeter, c'est contre tous ceux qui crachent sur Doodle, Google, GitHub etc mais ne se bougent pas plus que ça (sérieux, faire un remplaçant à Doodle n'est pas bien compliqué, encore faut-il le vouloir).
Perso Doodle (par exemple, mais Google aussi) me convient et je me fou de la NSA, mais que tous ceux qui râlent contre la NSA se bougent et codent pour montrer qu'ils sont vraiment contre la NSA. Je pense que le plus gros problème est que les mecs de Framasoft sont bien seuls (et comme ils sous-entendent, ils s'en sont pris plein la gueule en critiques plutôt que de l'aide, de la part des "libristes", donc bon, voila, anti-NSA semble synonyme d'anti-rechercher à faire sortir les gens de la NSA, bref râler pour le plaisir mais pas plus, comme pour les forkeursde Debian)
[^] # Re: Autant qu'ils forkent
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à -5. Dernière modification le 20 octobre 2014 à 08:01.
Si je comprend bien, c'est systemd 0.0.1pre-alpha1: une seule des fonctions de systemd (celle des units à la place de scripts) est ici faites par un programme externe qui va transformer les units en script pour que les scripts soient lancés à l'ancienne, et ces scripts tu ne dois pas les modifier car ils seront écrasé à la prochaine itération, ça fait des scripts statiques (limités aux fonctionnalité du programme qui gère les units). De plus, aucune mise à jour depuis 2008, ça a l'air très vivant comme logiciel.
Euh… Autant mettre systemd non? Ou déjà faire un programme qui lise des units systemd plutôt que "metainit files"? (ho, tiens, c'est ce que dit Misc…)
(Ce programme aurait sans doute été interessant si il avait fait le boulot de systemd, comme par exemple faire un fichier "metainit" universel avec le programme qui adapte suivant les distros, mais vu que le mainteneur Debian et l''auteur du programme sont une personne, que le "site web" du projet est le repo Debian, j'ai un doute que ça pense à autre chose que Debian)
Je comprend, ça a l'air d'être aussi vivant que les forks Debian à cause de systemd.
[^] # Re: WTF ?
Posté par Zenitram (site web personnel) . En réponse au journal La chasse aux trolls est ouverte !. Évalué à 1. Dernière modification le 19 octobre 2014 à 20:54.
Non.
Internet trolls face up to two years in jail under new laws (BBC)
Si on peut condamner l'AFP, c'est de ne pas avoir mis de "NdA: attention le mot est mal utilisé, même en anglais" faute (comme la personne de la BBC) d'avoir les compétences pour savoir ce que c'est.
[^] # Re: Autant qu'ils forkent
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à 4.
Depuis le temps qu'on entend parler de fork, rien de concret (et lit le site mis en lien, personne ne dit qu'il va tenter un fork, au contraire ils disent qu'ils ne vont pas le faire). Ca ne te donne pas un petit indice sur le nombre de personnes prêtes à mettre les mains dans le cambouis?
# J'ai bien ri
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à 8. Dernière modification le 19 octobre 2014 à 20:19.
Sur le site
Justement, c'est bien le soucis : veteran != bon.
On peux juste être expérimenté sur savoir comment mieux faire tourner la manivelle d'un voiture pour la démarrer, et ne pas aimer apprendre à tourner une clé de contact (zut, comment on va vendre nos cours pour mieux faire tourner la manivelle? Ho, problème sur notre business!)
Ca s'appelle un argument d'autorité, et généralement ça annon qu'on a pas d'autre argument.
Oui, mais bien sûr, après l'argument d'autorité, voila qu'on prend les gens pour de cons incapables de regarder les besoins.
Ca va convaincre.
J'aurai inversé la rôles plutôt, mais bon quand on veut pas ouvrir les yeux.
on a envie de se lacher vite fait sur un pauvre site web en gros caractères, mais on affiche la couleur direct : on a envie que les autres se fassent chier pour nous, mais nous on a acuune envie de se faire chier.
Résumons donc : argument d'autorité, les autres sont des cons, et on ne veut pas se bouger. Crédible qu'il y aura un fork?
J'adore toujours autant les anti-systemd : ils sont la pour râler qu'on leur modifie leurs petites habitudes de vieux, mais à part ça quand il s'agit de faire autre chose que troller… C'est beau, merci pour le moment sourire.
[^] # Re: Beaucoup de bruit
Posté par Zenitram (site web personnel) . En réponse au journal Un fork de Debian à cause de systemd ?. Évalué à 10. Dernière modification le 19 octobre 2014 à 20:06.
chiche, tu veux qu'on ouvre la paris entre ceux qui font et ceux qui disent qu'ils vont faire? Allez, je pari moins de 1% de la masse de râleurs va effectivement le faire, et je prend de la marge (et j'en profite pour parier que tous les forks Linux qui ont pour idée de juste virer systemd vivront entre 0 et 1 version, les personnes derrière ces idées de fork ne tolerant pas la démocratie ni n'ayant une idée réelle de ce qu'ils veulent hormis "c'était mieux avant", ça va être dur de trouver assez de monde motivé par la tonne de boulot à faire, et par un système qui sera de moins en moins performant en comparaison de système moderne, dans le temps)
[^] # Re: WTF ?
Posté par Zenitram (site web personnel) . En réponse au journal La chasse aux trolls est ouverte !. Évalué à 5. Dernière modification le 19 octobre 2014 à 19:58.
Quel est le lien entre un harceleur et un troll?
un troll ne vise personne, au contraire du harcèlement.
J'avoue avoir du mal à suivre. Beau mélange des genres.
Sinon, pour le harcèlement, multiplier par 4 la peine effective, ça ne la change pas en pratique (quel nombre reste le même une fois multiplié par 4?), et si on commençait à appliquer la loi actuelle (même si la raison du harcèlement déplait)?
[^] # Re: Option obligatoire
Posté par Zenitram (site web personnel) . En réponse à la dépêche Firefox : dites 33, comme chez le docteur. Évalué à -1.
Avec Chrome, je ne peux pas télécharger une vidéo de Youtube (les addons le permettant sont rejetés et impossible d'ajouter un addons hors de leur store), ils ont viré la possibilité pour les addons d'avoir des onglets verticaux etc…
Donc non, ils ne pensent pas forcément que Chrome est le meilleur navigateur, mais… Ca n'interdit toutefois pas de prendre les bonnes idées d'ailleurs, ne pas les accepter "parce que Chrome le fait" c'est un argument des plus nulss quand même.
Ps : "subir", rien que ça? Personne ne t'oblige à choisir Firefox, tu peux même forker grâce au libre. saloperie de liberté où tu peux tout faire et où les autres ne sont pas obligés de t'obeir!
[^] # Re: Avec code mais sans limite…
Posté par Zenitram (site web personnel) . En réponse au journal Identification versus authentification : l'embrouille de Zwipe et Mastercard.. Évalué à -2.
Non.
Tout est question de niveau de confiance : si l'entreprise a trop de plaintes de clients, elle perd son droit de prendre des cartes, donc va perdre du business, donc ne le fait pas.
La où les puristes veulent une solution ultra sécurisé quitte à faire chier tout le monde, ceux qui réussissent trouve un juste milieu entre sécurité et ne pas faire chier tout le monde.
Dernièrement, j'ai rendu une voiture de nuit (donc agence fermée), elle avait quelques km en trop par rapport au contrat.
Et ben, j'ai reçu un mail me disant qu'ils allaient retirer quelques Euros en plus sur ma carte Visa, et ça va en défriser certains ici, mais j'étais très content de n'avoir rien à faire, merci Visa (et l'entreprise).
En pratique, de souvenir j'avais entré mon code avec une autorisation de retrait qui était supérieure au montant du "contrat" de base.
En ces pré-autorisations sont de plus en plus courantes (même Paypal s'y met, je l'ai eu une fois je crois, de demander l'autorisation Paypal pour telle entreprise, sans montant, et après j'ai choisis mes montants. Pareil, je suis content car voila, ça fait pas chier son monde comme système, tant pis pour les quelques râleurs que c'est pas assez sécurisé, de toutes façons ils trouveront toujours quelque chose à dire)
[^] # Re: On ne connait pas les mêmes personnes
Posté par Zenitram (site web personnel) . En réponse au journal Identification versus authentification : l'embrouille de Zwipe et Mastercard.. Évalué à -8. Dernière modification le 17 octobre 2014 à 22:30.
Et c'est un soucis?
Je vais peut-être te surprendre, mais je fais partie des ces non rares personnes qui a toujours son portable sur lui.
Il y a vraiment une sacrée problématique de voir les usages actuels… On croirait les éditeurs de quotidiens qui n'ont pas compris que les gens lisent les journaux maintenant sur mobile plutôt qu'en papier…
Le monde évolue… (d'ailleurs, l'idée est de se passer de carte, de clé de voiture et j'en passe, et d'utiliser son portable en RFID plutôt, pour avoir une carte en moins, une clé en moins etc et comme on a toujours son portable sur soit, justement. Etonnant non comme ça se rejoint? Les anti-RFID vont être mal dans quelques années, ou alors ils feront comme souvent : ils feront avec à force de se rendre qu'en fait ça va bien, et trouveront une nouvelle technologie à combattre)
[^] # Re: On ne connait pas les mêmes personnes
Posté par Zenitram (site web personnel) . En réponse au journal Identification versus authentification : l'embrouille de Zwipe et Mastercard.. Évalué à -10. Dernière modification le 17 octobre 2014 à 21:49.
On ne connait pas les mêmes personnes (bis).
Perso, je ne connais pas mon numéro de téléphone (j'ouvre mon téléphone à chque fois qu'on me le demande), car justement : c'est chiant.
En fait, il y a des gens qui connaissent par coeur plein de numéros (surtout celui de papa/maman), mais perso je sélectionne le contact sur mon tel (quand je ne double-clique pas sur leur nom sous Skype, meilleur qualité) et en connait aucun. et j'en suis pas spécialement malheureux (ça laisse de la place pour d'autres choses).
Et je ne suis pas un cas exceptionel (comme il y a plein de gens qui doivent retenir non pas 1 code de 4 chiffres, mais 2 ou 3 ou plus codes de Carte).
Donc pareil : encore une assertion pas vraiment vraie… Mais on peut toujours faire comme si ces gens n'existent pas, en attendant je vois de plus en plus de gens (les gens qui ont les cartes, oui, pas que les commerçantt) qui activent et apprécient leurs cartes ayant RFID mais on peut toujours mettre des oeillères et faire comme si c'était vrai que personne n'aime ça. Je sais, je suis sur un site d'anti tout ce qui passe (même de trucs pour Linux genre systemd, donc vraiment, il y a de tout en anti) donc vais être bien seul :-D
# On ne connait pas les mêmes personnes
Posté par Zenitram (site web personnel) . En réponse au journal Identification versus authentification : l'embrouille de Zwipe et Mastercard.. Évalué à -10. Dernière modification le 17 octobre 2014 à 21:20.
Bon, pour le plaisir…
Ha? On ne connait pas les mêmes personnes. Entre les gens qui oublient leur code (surtout avec plusieurs cartes, ben oui ça arrive, rien qu'entre perso et compte joint par exemple), et le temps que ça met pour payer (oui, c'est long), il y a carrément du monde qui se plaint. Donc les clients se plaigneny d'oublier leur code, et les vendeurs se plaignent de la durée de transaction.
D'ailleurs, surprise, c'est une des raison pour laquelle les vendeurs cherchent des solutions…
Nier qu'il y a une demande d'amélioration, c'est vraiment bien précher des convaincus comme tu dis…
Hum… on parie?
Gni??? JAMAIS. Sur un compte joint, chaque personne a une carte. Sérieux, il y en a qui se font chier à se refiler la carte "tiens, c'est toi qui va faire les courses aujourd'hui, prend la carte"?
Sans compter que tu violes les conditions (après, faudra pas venir te plaindre que untel viole la GPL, tu violes les règles quand tu as envie aussi).
Et c'est mal. Pas d'avoir confiance, mais la La confiance n'exclut pas le contrôle
Tu te plainds d'un manque de sécurité, mais tu parles complètement de t'en foutre de la sécurité (le controle fait partie de la sécurité).
Comme quoi… Chacun voit ce qu'il veut voir.
Après, je suis forcément pas convaincu par des arguments qui ne convainc que les convaincus (bon, tu as prévenus…), vu que je suis utilisateur heureux des cartes à RFID (ça, ça doit faire hurler certains…) n'ayant jamais eu de problèmes en pratique.
PS : bon, après, RFID c'est avec un plafond très bas donc ça ne me dérange vraiment pas (c'est pareil que des espèces sur lequel il n'y a aucun code, n'en déplaise aux anti Carte RFID qui se baladent avec des espèces) est-ce que j'accepterai de payer par empreinte digitale n'importe quel montant, la je tique quand même.
[^] # Re: Quelques ressources supplémentaires sur le sujet
Posté par Zenitram (site web personnel) . En réponse à la dépêche CVE-2014-3566 — Vulnérabilité POODLE. Évalué à 3.
Si j'ai bien compris (mais je suis vraiment pas à l'aise, n'hésitez pas à me corriger), c'est un ajout au protocole, donc tous les clients et serveurs actuels ne pourront pas tester, et il faut que les deux supportent cette extension, si un seul ça ne marche pas, exact?
On parle quand même d'IE6 dans l'histoire (le seul encore dans la nature qui ne supporte pas TLS), donc des produits qui n'ont plus aucun support et donc aucune mise à jour, pas sûr qu'IE7 (TLS1.0) sera mis à jour…
[^] # Re: Quelques ressources supplémentaires sur le sujet
Posté par Zenitram (site web personnel) . En réponse à la dépêche CVE-2014-3566 — Vulnérabilité POODLE. Évalué à 2.
Pareil.
en fait, je me demande où est la "nouveauté" : par design (partie non authetifiée, dont l'intégrité sur qui cause n'est pas testée, donc il modifie tout ce qu'il veut), un MITM peut choisir le protocole à utiliser en refusant les protocoles "trop sécurisés" et c'est le client qui passe de lui-même en une version plus faible.
Le problème vient donc "juste" que SSLv3 est plus ou moins (il faut du temps quand même) troué est qu'il peut toujours être utilisé (il est accepté autant côté client que serveur), et donc ce problème apparait automatiquement (par design) dès qu'on a su que SSLv3 avait un problème.
La nouveauté est-elle que quelqu'un a regardait comment fonctionnait la phase de négociation du protocole et s'en rendu compte que n'importe quel MITM peut choisir le protocole utilisé? C'est gros (car c'est assez basique), sutout qu'on aura alors exactement le même problème quand on aura TLSv2.0 et que TLSv1.x sera troué : qu'est-ce qui est prévu pour ne pas avoir le même problème plus tard? On redécouvrira cette faille de la négociation à ce moment-la (est-ce que TLSv1.3 a un mécanisme pour détecter que c'était pas le protocole qui été préféré par le client)?
Ou alors, j'ai loupé un passage du problème, je n'arrive pas à comprendre. Quelqu'un pour expliquer en quoi ça ne fait pas partie du design de l'initialisation HTTPS qu'un MITM puisse décider quel protocole utiliser (quel mécanisme est mis en oeuvre pour sécuriser la liste des protocoles supportés qui est envoyée au serveur, et qui est ici cassé)?
# Ah ouais, quand même...
Posté par Zenitram (site web personnel) . En réponse au journal Enfin une ministre de la Qulture qui comprend l'internet !. Évalué à -9. Dernière modification le 16 octobre 2014 à 07:45.
Tiens, étonnant tu as oublié de citer l'ultra-gauche qui n'est pas bien mieux à ces sujets (voire pire).
Tu oublies en fait que ces problèmes n'ont rien à voir avec un clivage gauche/droite, il y a des gens qui pensent des choses très différentes de tous les côtés. Ha la réalité politique…
Ha, je ne savais pas que le pole recherche de l'armée des plus grands pays du monde était anarchiste/libertaire, ni une université de ce même pays.
Tu fais un bien beau mélange à vouloir associer Internet à tes opinions politiques. Ou comment essayer de tirer la couverture chez soit, même si à la base ça n'a pas grand chose (voir rien) à voir. Dommage pour toi, Internet permet de faire communiquer les Hommes, quelles que soient leurs opinions politiques, et à ma connaissance aucun de ses personnages clés d'Internet ne se revendique libertaire/anarchiste (et même dans le libre, RMS veut des règles, il est très très loin d'être libertaire/anarchiste vu la longueur et le nombres de contraintes de sa licence préférée).
Clair qu'avec ça, on va te prendre au sérieux. Tu va convaincre du monde que tes idées sont meilleures, toi, c'est sûr!