C'est un peu n'importe quoi comme mot juste parce qu'on n'aime pas leur gestion des attaques.
Non, ce n'est pas due low hosting, c'est de la gestion d'attaque. Que tu aimes ou pas, ça reste du hosting. Si tu n'aimes pas, pas de soucis tu vas voir ailleurs. Perso je comprend vu le nombre d'admin pas doué qu'il y a, ça sécurise le serveur en attendant que tu rentres chez toi, dans le cas où tu te fais pourrir l'accès.
Pour la petite histoire, OVH m'a mis mon adresse mail en mode rescue aussi, et ben… j'ai apprécié. Car comme un con j'avais mis un pass faible et me l'était fait piraté, et le fait que mon adresse mail soit bloqué m'a permis de tout récupérer sans me faire blaklister de partout. J'ai corrigé le pass, contacté OVH comme dans la procédure donnée et il ont repassé en mode "normal". Toi tu dirais que c'set du low hosting, moi je dis qu'ils ont bien fait.
OVH a répondu que leur système de détection était automatisé, qu’il ne feraient aucune exception même si on apportait la preuve que les machines testées étaient à nous
OVH, c'est du low cost, et en low cost ben c'est tout dans un moule ou tu cherches ailleurs (et perso, ça ne me choque pas plus que ça et si tu veux jouer avec des tests d'attaque je pense que leur prendre une baie virtuelle ou physique devrait faire l'affaire afin de séparer leur réseau public et ton réseau privé), surtout que le low cost attire les admins du dimanche et qu'il faut donc éviter que son réseau se fasse pourrir sa réputation envers l'extérieur.
Victime de phishing ? La loi oblige votre banque à vous rembourser !
Cet article parle toujorus de CB, et je ne parles pas de CB…
dans le cas de la CB, c'est clair : pas de code 4 chiffre = pas de responsabilité, quoi que dise la banque.
Et filer ton login/pass de la banque à une autre entité ressemble plus à filer ton code 4 chiffres qu'autre chose (le numéro de CB ressemble plus à filer ton RIB, pareil pas de risque)
On parle du login/pass qui est celui de ton accès à ta banque… On ne parle plus de CB (ce que tu as regardé, et la je suis d'accord : seul le code à 4 chiffres vaut signature, c'est dire aussi le délire de ceux qui ne veulent pas filer le CCV au dos de la carte alors qu'il est dmeandé maitnenant quasi à chaque fois), mais de lien contractuel entre ta banque et toi directement, sans intermédiaire (bref, les mêmes login/pass qui servent quand tu fais les virements toi-même).
Tu as un sacré problème perso avec les numéros de CB…
tu fantasmes.
Il y a une énorme différence avec les CB : avec les CB, tu es couvert en cas d'utilisation pas par toi du numéro de CB. le login/pass de ta banque est personnel et t'engage.
Bref, tu mélanges tout et n'importe quoi pour rentrer dans ton délire tout seul.
Mais tu ne rentres pas le login/password sur le site d'e-commerce quand même ?
Sur le site de sofortüberweisung, le "tiers de confiance".
si c'est un site tiers auxquel ta banque a signé un accord et accordé sa confiance, c'est (un peu) moins choquant (mais je n'aime aussi pas trop ça).
Je n'aime pas ça du tout. J'estime que seul le site de ma banque devrait avoir le login/pass. La, çapermet au site de "passer le virement" pour toi et de dire au site de commerce que c'est fait, mais c'est bien limite…
Mais bon, ça dérange pas foule (faut dire, avec ceux qui hurlent que leur numéro de CB est enregistré alors qu'on s'en fout, le message sur les vrais problèmes de sécurité ont du mal à passer… un peut comme le certificat SSL de LinuxFr qui pollue les message sur SSL ;-) )
Pour sofortûberweisung, tu ne rentres pas ton numéro de carte, mais ton login et pass de ta banque, et ce pas sur le site de ta banque.
Ca fait froid dans le dos en terme de sécurité… Mais ça marche, c'est utilisé, à priori pas tant de fraude que ça (j'imagine que pour les site il faut montrer patte blanche, mais voila, ça "éduque" les gens à filer leur login/pass à n'importe quoi et donc à d'autres moment ce sera une arnaque)
Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…
Et c'est quelques jours de trop.
Ce n'est pas pour rien que les cartes bancaires sont adorées, y compris en national ou européen.
Le virement n'est pas une solution viable, car ne répond pas au besoin (la confirmation immédiate) ni aux garanties de remboursement (Paypal est adoré pour ça).
Sinon, pas mal d'entreprises acceptent les virements, j'en fait assez souvent.
Fail, le permis à 1€ coutant aussi cher que les "autres" (c'est un prêt) : "Cette aide se présente sous la forme d'un prêt à taux zéro."
Donc raté, tu n'as pas répondu à la demande de comment passer son permis avec 1€, tu as proposé à la personne de s'endétter.
Sinon :
La question est : comment fait-on, en pratique, pour sécuriser correctement sans débaucher tous les experts en sécurité du monde pour assurer le support client.
On se documente. Il y a plein d'explications sur le net sur les principes (à commencer par sécuriser sa base de passwords pour pas cher).
Il n'y a vraiment pas grand chose de neuf dans le domaine.
La question n'était pas de savoir s'il était acceptable d'opposer un budget limité à l'obligation de sécurisation.
J'ai fais un petit pic, OK, mais on peut aussi le prendre comme tel, et repréciser la question si besoin. Désolé, mais commencer par "un budget limité" n'est pas non plus des plus avenants (on le sait qu'on ne peut pas proposer des solutions à 1 millions!), et il faut être clair sur ce sujet : la sécurisation à un coût!
Je pense que justement ce n'est pas si facile que ça vu que Google et Facebook commencent seulement à le faire (c'est des poids lourds !).
C'est une question de volonté. Jusqu'à il y a peu, la sécurité n'était pas un sujet important du tout (on s'en foutait même, faut voir le nombre de sites qui stockent les pass en clair, et ça faisait chier lese utilisateurs qui maitenant sont plus sensibilisés au vol d'itentité et en viennent à demander)
je connais des petites entreprises qui font de la double authentification dès que tu changes d'IP ou de navigateur (plutôt pass + mail pour des raisons de coûts que pass + mobile, mais l'idée est la) depuis très longtemps. a chaque fois, ça venait plus de l'admin pointilleux que de la hierarchie (qui trouve ça plutôt chiant même, car les utilsiateurs râlent qu'on double-authentifie). Ca prend du temps (donc de l'argent), mais pas tant que ça.
Désolé, j'ai réagi en premier sur la notion de coût, qui n'a pas grand chose à faire dans ce domaine (ok pour pas dépenser 1000€/personne, mais sinon le budget est obligatoire, point).
La première chose à faire est d'interdire à tout employé de filer la moindre information (c'est gros quand même de filer des infos) sous peine de sanction (par l'Etat de préférence, la c'est au citoyen de râler) ni d'accpeter 10 essais (car où on accepte que la personne tente plusieurs fois pour 2 chiffres manquants).
Ensuite, la double authentification (pass + mobile par exemple) + mail à l'ancienne adresse quand ça change.
Et si la personne a perdu tout ses logins/pass, on joue avec les adresse postales physiques (courrier avec l'adresse enregistrée sur le compte, donc pas de fausse adresse).
On rajoute que tout est chiffré correctement de leur côté (machine séparée, pas de dump possible etc…)
En fait, c'est ce que commencent à faire Google, Facebook etc… Et rien de tout ça ne coûte la peau des fesses, rien n'est nouveau, c'est faisable par n'importe quelle entreprise avec un peu de bonne volonté (c'est ce qui manque le plus).
Il n'empêche que personnellement j'ai trouvé la gestion un peu cavalière.
Mais… Je n'ai rien dit la dessus, tu noteras ;-).
J'ai juste noté qu'à partir où le proprio met n'importe quoi dans le owner name, une spec dirait alors "comportement du logiciel indéfini". Après on peut voir si c'est cavalier ou pas (et je n'ai pas donné mon avis dessus! J'en ai pas, l'histoire est trop limite et me garde de condamner Gandi pour ça, ni de l'acclamer, car ça doit pas être simple de rester neutre), mais le fait est que l'origine du problème reste un owner name pourri.
Le truc est que j'ai répondu à la question : tu ne fais pas si tu n'es pas capable de faire, point.
Ensuite, il a répondu à la question lui-même (formation etc).
Que répondrais-tu à une personne qui a 1€ en poche (donc moins que les frais d'inscription au permis) et veut conduire quand même? Bref, je critique la question, et si la réponse on ne fait pas ne te plait pas, ça ne change pas qu'on doit passer son permis de conduire pour pouvoir conduire.
Bon on va pas revenir sur qui a tord ou qui a raison,
Et je les remercie de le faire, j'utilise cette fonctionnalité tous les jours.
Ce n'est pas parce qu'un couteau permet de tuer qu'on n'utilsie pas de couteaux.
S'il tient absolument à en enregistrer un, utiliser une carte virtuelle à usage unique
Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.
Bon on va pas revenir sur qui a tord ou qui a raison,
Ben si, car dans le cas du lien, le registar avait un choix pourri à faire.
L'erreur a été de mettre un nom bidon. Ne mettez jamais un nom bidon dans le "owner name"… C'est lui qui décide qui est proprio.
Si c'est une contrainte, je met aussi une autre contraire : pénalité financière en cas de faille.
Le comment, c'est à eux de le faire, pas à moi.
Sinon, c'est ce que tu as mis : sensibilisation, formation, au point de dire que si ils merdent, c'est une faute professionnelle. Pour conduire une voiture, on a besoin d'un permis, "budget limité" n'est pas recevable lors d'un contrôle de police. Si le budget est trop limité, tu ne fais pas, point.
(et il n'y a pas besoin d'être expert sécurité pour ne pas donner d'info ou ne pas authentifier une personne n'importe comment, c'est surtout respecter un process).
De mon point de vue, une grosse amende aux entreprises qui font ce genre de connerie devrait les motiver à faire attention. Et clé sous la porte si tu fais pas attention.
Le budget limité n'est pas une excuse (imagine un artisan "excusez-moi, j'ai détruit votre appart, mais c'est que mon budget sécurité est limité vous comprennez")
Trouve-moi le nom Amazon dans le premier lien…
Le point commun est plutôt les entreprises qui utilisent des données publiques ou facilement récupérables pour t'authentifier.
(ça ne cautionne pas l'idée que Amazon et Paypal filent comme ça des numéros, mais ce n'est qu'une faille parmi d'autres).
Argh, j'ai pensé que les autres liens étaient la même histoire que le premier lien et pas fait attention. Toutes mes confuses. Quelle idée aussi de mettre des URL et pas des titres! les URL en mode texte, c'est mal!
Pour Paypal, admettons… Ingéniérie sociale classique (pas acceptable, mais admettons), et en théorie les chiffres sont peu utiles (n'importe qui peut regarder ces chiffres au dessus de ton épaule).
Mais un registar qui se base sur un numéro de CB, c'est… Un peu limite non?
Mon registar n'est pas GoDaddy, mais je ne sais pas sa politique à ce sujet :(. (Il me semble qu'ils sont pourtant bien plus méfiant. Après, un bon petit procès (au civil) au registar pour les pertes subies à cause de son incompétence…
Ca me rappelle la même histoire avec un nom de domain à 65 Milions ou plus récent le couple Amazon-Apple.
on parle de livres d'occasion là… Le prix est fluctuant.
en effet. Mais je compare ce que je peux comparer, désolé de m'interesser au sujet du journal. sur Amazon, c'est une moyenne que j'ai pris (ça commence à 4€ si tu n'as pas été curieux) sur plusieurs offres, 9€ pour le même livre est carrément trop cher. Pour le neuf, sans fluctuation, c'est quand même plus cher pour le même service, quelque soit l'excuse (le libraire a un prix fixe pour le livre lui-même, mais rien ne l'empèche de prendre un peu de ce prix fixe pour diminuer les frais de port facturés, c'est son choix de faire aussi cher).
la balade, les rencontres,
On est donc bien d'accord : on n'est plus dans la littérature, la lecture, mais la recherche de contact humain en bonus.
Le service recherché n'est plus le même, et la, ça vaut le coup.
Désolé, je m'interessais à la lecture, pas le besoin de contact humain à tous prix pour ça, je n'avais pas compris qu'on ne parlait pas du même service recherché, on ne m'avais pas prévenu que c'était un package qui était recherché (at la, Amazon ne fait pas ce service). Tout le monde ne recherche pas un package, il faut le dire quand c'est ça dont vous parlez, dire quand vous ne parlez pas d'accès à la littérature.
Tu compares une vente directe (amazon) avec un revendeur.
Je compare un service que je cherche.
Pourquoi chercher une excuse sur une quelconque différence hors suejet pour justifier un prix plus cher pour un même service?
Si au moins tu avais dit que je comparais un livre à un livre + discutte + servirait le café… (la le service serait différent)
donc pour ceux qui habitent Paris, ça reviendra moins cher
Pour ceux habitant à proximité du 12è. Parce que bon, gagner 4€ et perdre 1 heure, c'est pas super rentable (le SMIC est à 9€/h, reste les chômeurs certes)
Bren voyons 3€ de frais de port! A ce tarif, c'est le vendeur de livres en ligne qui paie les frais de port.
Le vendeur ne paye pas les frais de port, ça fait même parti du prix pour le neuf (vu que le prix de l'unité est artificiellement élevé et qu'il ne peut pas afficher un prix du livre plus bas, ça ne pose aucun problème, ça peut même ête 0.01€ pour les frais de port)
Or tu compares Scylla avec des vendeurs occasionnels qui sont tous des particuliers.
Je compare un service (pouvoir lire une oeuvre sur mon canapé le plus vite possible et avec le moins possible de temps perdu dans le processus après que j'ai envie de lire le livre, et la encore, les délais sont longs 2 jours mini pour celui-ci, j'ai plus l'habitude de quelques minutes pour la livraison), tu me parles de moyen mais les moyens sont le problème du vendeur, pas de l'acheteur.
Sinon, on en serait encore aux chevaux pour les déplacements, "car tu compares la voiture aux chevaux". Le monde change, les technologies et les possibilités d'interaction entre les personnes (morales ou physiques) aussi.
[^] # Re: Bienvenu dans l'univers du low cost
Posté par Zenitram (site web personnel) . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 10.
C'est un peu n'importe quoi comme mot juste parce qu'on n'aime pas leur gestion des attaques.
Non, ce n'est pas due low hosting, c'est de la gestion d'attaque. Que tu aimes ou pas, ça reste du hosting. Si tu n'aimes pas, pas de soucis tu vas voir ailleurs. Perso je comprend vu le nombre d'admin pas doué qu'il y a, ça sécurise le serveur en attendant que tu rentres chez toi, dans le cas où tu te fais pourrir l'accès.
Pour la petite histoire, OVH m'a mis mon adresse mail en mode rescue aussi, et ben… j'ai apprécié. Car comme un con j'avais mis un pass faible et me l'était fait piraté, et le fait que mon adresse mail soit bloqué m'a permis de tout récupérer sans me faire blaklister de partout. J'ai corrigé le pass, contacté OVH comme dans la procédure donnée et il ont repassé en mode "normal". Toi tu dirais que c'set du low hosting, moi je dis qu'ils ont bien fait.
[^] # Re: Nagios non plus
Posté par Zenitram (site web personnel) . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 9. Dernière modification le 30 janvier 2014 à 20:09.
Je cite :
OVH, c'est du low cost, et en low cost ben c'est tout dans un moule ou tu cherches ailleurs (et perso, ça ne me choque pas plus que ça et si tu veux jouer avec des tests d'attaque je pense que leur prendre une baie virtuelle ou physique devrait faire l'affaire afin de séparer leur réseau public et ton réseau privé), surtout que le low cost attire les admins du dimanche et qu'il faut donc éviter que son réseau se fasse pourrir sa réputation envers l'extérieur.
[^] # Re: Meh => virements rapides en Belgique
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
Cet article parle toujorus de CB, et je ne parles pas de CB…
dans le cas de la CB, c'est clair : pas de code 4 chiffre = pas de responsabilité, quoi que dise la banque.
Et filer ton login/pass de la banque à une autre entité ressemble plus à filer ton code 4 chiffres qu'autre chose (le numéro de CB ressemble plus à filer ton RIB, pareil pas de risque)
[^] # Re: Meh => virements rapides en Belgique
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
On parle du login/pass qui est celui de ton accès à ta banque… On ne parle plus de CB (ce que tu as regardé, et la je suis d'accord : seul le code à 4 chiffres vaut signature, c'est dire aussi le délire de ceux qui ne veulent pas filer le CCV au dos de la carte alors qu'il est dmeandé maitnenant quasi à chaque fois), mais de lien contractuel entre ta banque et toi directement, sans intermédiaire (bref, les mêmes login/pass qui servent quand tu fais les virements toi-même).
[^] # Re: Meh => virements rapides en Belgique
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
Tu as un sacré problème perso avec les numéros de CB…
tu fantasmes.
Il y a une énorme différence avec les CB : avec les CB, tu es couvert en cas d'utilisation pas par toi du numéro de CB. le login/pass de ta banque est personnel et t'engage.
Bref, tu mélanges tout et n'importe quoi pour rentrer dans ton délire tout seul.
[^] # Re: Meh
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
donc coût supplémentaire, fail
(en plus du délai)
C'est bien que des sites le fassent, mais ça ne concurrence pas les CB et Paypal.
[^] # Re: Meh => virements rapides en Belgique
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2. Dernière modification le 30 janvier 2014 à 15:03.
Sur le site de sofortüberweisung, le "tiers de confiance".
Je n'aime pas ça du tout. J'estime que seul le site de ma banque devrait avoir le login/pass. La, çapermet au site de "passer le virement" pour toi et de dire au site de commerce que c'est fait, mais c'est bien limite…
Mais bon, ça dérange pas foule (faut dire, avec ceux qui hurlent que leur numéro de CB est enregistré alors qu'on s'en fout, le message sur les vrais problèmes de sécurité ont du mal à passer… un peut comme le certificat SSL de LinuxFr qui pollue les message sur SSL ;-) )
[^] # Re: Meh => virements rapides en Belgique
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Pour sofortûberweisung, tu ne rentres pas ton numéro de carte, mais ton login et pass de ta banque, et ce pas sur le site de ta banque.
Ca fait froid dans le dos en terme de sécurité… Mais ça marche, c'est utilisé, à priori pas tant de fraude que ça (j'imagine que pour les site il faut montrer patte blanche, mais voila, ça "éduque" les gens à filer leur login/pass à n'importe quoi et donc à d'autres moment ce sera une arnaque)
# ZFS On Linux
Posté par Zenitram (site web personnel) . En réponse au journal ZFS dans l'installateur de Debian. Évalué à -4. Dernière modification le 29 janvier 2014 à 20:32.
(supprimer, j'ai pas vu "Root Filesystem")
[^] # Re: Meh
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 5.
Et c'est quelques jours de trop.
Ce n'est pas pour rien que les cartes bancaires sont adorées, y compris en national ou européen.
Le virement n'est pas une solution viable, car ne répond pas au besoin (la confirmation immédiate) ni aux garanties de remboursement (Paypal est adoré pour ça).
Sinon, pas mal d'entreprises acceptent les virements, j'en fait assez souvent.
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à -1.
Fail, le permis à 1€ coutant aussi cher que les "autres" (c'est un prêt) : "Cette aide se présente sous la forme d'un prêt à taux zéro."
Donc raté, tu n'as pas répondu à la demande de comment passer son permis avec 1€, tu as proposé à la personne de s'endétter.
Sinon :
On se documente. Il y a plein d'explications sur le net sur les principes (à commencer par sécuriser sa base de passwords pour pas cher).
Il n'y a vraiment pas grand chose de neuf dans le domaine.
J'ai fais un petit pic, OK, mais on peut aussi le prendre comme tel, et repréciser la question si besoin. Désolé, mais commencer par "un budget limité" n'est pas non plus des plus avenants (on le sait qu'on ne peut pas proposer des solutions à 1 millions!), et il faut être clair sur ce sujet : la sécurisation à un coût!
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 4.
C'est une question de volonté. Jusqu'à il y a peu, la sécurité n'était pas un sujet important du tout (on s'en foutait même, faut voir le nombre de sites qui stockent les pass en clair, et ça faisait chier lese utilisateurs qui maitenant sont plus sensibilisés au vol d'itentité et en viennent à demander)
je connais des petites entreprises qui font de la double authentification dès que tu changes d'IP ou de navigateur (plutôt pass + mail pour des raisons de coûts que pass + mobile, mais l'idée est la) depuis très longtemps. a chaque fois, ça venait plus de l'admin pointilleux que de la hierarchie (qui trouve ça plutôt chiant même, car les utilsiateurs râlent qu'on double-authentifie). Ca prend du temps (donc de l'argent), mais pas tant que ça.
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 4. Dernière modification le 29 janvier 2014 à 17:07.
Désolé, j'ai réagi en premier sur la notion de coût, qui n'a pas grand chose à faire dans ce domaine (ok pour pas dépenser 1000€/personne, mais sinon le budget est obligatoire, point).
La première chose à faire est d'interdire à tout employé de filer la moindre information (c'est gros quand même de filer des infos) sous peine de sanction (par l'Etat de préférence, la c'est au citoyen de râler) ni d'accpeter 10 essais (car où on accepte que la personne tente plusieurs fois pour 2 chiffres manquants).
Ensuite, la double authentification (pass + mobile par exemple) + mail à l'ancienne adresse quand ça change.
Et si la personne a perdu tout ses logins/pass, on joue avec les adresse postales physiques (courrier avec l'adresse enregistrée sur le compte, donc pas de fausse adresse).
On rajoute que tout est chiffré correctement de leur côté (machine séparée, pas de dump possible etc…)
En fait, c'est ce que commencent à faire Google, Facebook etc… Et rien de tout ça ne coûte la peau des fesses, rien n'est nouveau, c'est faisable par n'importe quelle entreprise avec un peu de bonne volonté (c'est ce qui manque le plus).
[^] # Re: Rien de nouveau, mais...
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Mais… Je n'ai rien dit la dessus, tu noteras ;-).
J'ai juste noté qu'à partir où le proprio met n'importe quoi dans le owner name, une spec dirait alors "comportement du logiciel indéfini". Après on peut voir si c'est cavalier ou pas (et je n'ai pas donné mon avis dessus! J'en ai pas, l'histoire est trop limite et me garde de condamner Gandi pour ça, ni de l'acclamer, car ça doit pas être simple de rester neutre), mais le fait est que l'origine du problème reste un owner name pourri.
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à -5.
Le truc est que j'ai répondu à la question : tu ne fais pas si tu n'es pas capable de faire, point.
Ensuite, il a répondu à la question lui-même (formation etc).
Que répondrais-tu à une personne qui a 1€ en poche (donc moins que les frais d'inscription au permis) et veut conduire quand même? Bref, je critique la question, et si la réponse on ne fait pas ne te plait pas, ça ne change pas qu'on doit passer son permis de conduire pour pouvoir conduire.
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Et je les remercie de le faire, j'utilise cette fonctionnalité tous les jours.
Ce n'est pas parce qu'un couteau permet de tuer qu'on n'utilsie pas de couteaux.
Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.
[^] # Re: Rien de nouveau, mais...
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Ben si, car dans le cas du lien, le registar avait un choix pourri à faire.
L'erreur a été de mettre un nom bidon. Ne mettez jamais un nom bidon dans le "owner name"… C'est lui qui décide qui est proprio.
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à -2.
Si c'est une contrainte, je met aussi une autre contraire : pénalité financière en cas de faille.
Le comment, c'est à eux de le faire, pas à moi.
Sinon, c'est ce que tu as mis : sensibilisation, formation, au point de dire que si ils merdent, c'est une faute professionnelle. Pour conduire une voiture, on a besoin d'un permis, "budget limité" n'est pas recevable lors d'un contrôle de police. Si le budget est trop limité, tu ne fais pas, point.
(et il n'y a pas besoin d'être expert sécurité pour ne pas donner d'info ou ne pas authentifier une personne n'importe comment, c'est surtout respecter un process).
[^] # Re: Bravo
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 0. Dernière modification le 29 janvier 2014 à 15:48.
De mon point de vue, une grosse amende aux entreprises qui font ce genre de connerie devrait les motiver à faire attention. Et clé sous la porte si tu fais pas attention.
Le budget limité n'est pas une excuse (imagine un artisan "excusez-moi, j'ai détruit votre appart, mais c'est que mon budget sécurité est limité vous comprennez")
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Trouve-moi le nom Amazon dans le premier lien…
Le point commun est plutôt les entreprises qui utilisent des données publiques ou facilement récupérables pour t'authentifier.
(ça ne cautionne pas l'idée que Amazon et Paypal filent comme ça des numéros, mais ce n'est qu'une faille parmi d'autres).
[^] # Re: Rien de nouveau, mais...
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Argh, j'ai pensé que les autres liens étaient la même histoire que le premier lien et pas fait attention. Toutes mes confuses. Quelle idée aussi de mettre des URL et pas des titres! les URL en mode texte, c'est mal!
# Rien de nouveau, mais...
Posté par Zenitram (site web personnel) . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 5.
Pour Paypal, admettons… Ingéniérie sociale classique (pas acceptable, mais admettons), et en théorie les chiffres sont peu utiles (n'importe qui peut regarder ces chiffres au dessus de ton épaule).
Mais un registar qui se base sur un numéro de CB, c'est… Un peu limite non?
Mon registar n'est pas GoDaddy, mais je ne sais pas sa politique à ce sujet :(. (Il me semble qu'ils sont pourtant bien plus méfiant. Après, un bon petit procès (au civil) au registar pour les pertes subies à cause de son incompétence…
Ca me rappelle la même histoire avec un nom de domain à 65 Milions ou plus récent le couple Amazon-Apple.
[^] # Re: Dur le service parisien
Posté par Zenitram (site web personnel) . En réponse au journal Stanislas Lem, un auteur de SF à redécouvrir. Évalué à -5.
en effet. Mais je compare ce que je peux comparer, désolé de m'interesser au sujet du journal. sur Amazon, c'est une moyenne que j'ai pris (ça commence à 4€ si tu n'as pas été curieux) sur plusieurs offres, 9€ pour le même livre est carrément trop cher. Pour le neuf, sans fluctuation, c'est quand même plus cher pour le même service, quelque soit l'excuse (le libraire a un prix fixe pour le livre lui-même, mais rien ne l'empèche de prendre un peu de ce prix fixe pour diminuer les frais de port facturés, c'est son choix de faire aussi cher).
On est donc bien d'accord : on n'est plus dans la littérature, la lecture, mais la recherche de contact humain en bonus.
Le service recherché n'est plus le même, et la, ça vaut le coup.
Désolé, je m'interessais à la lecture, pas le besoin de contact humain à tous prix pour ça, je n'avais pas compris qu'on ne parlait pas du même service recherché, on ne m'avais pas prévenu que c'était un package qui était recherché (at la, Amazon ne fait pas ce service). Tout le monde ne recherche pas un package, il faut le dire quand c'est ça dont vous parlez, dire quand vous ne parlez pas d'accès à la littérature.
[^] # Re: Dur le service parisien
Posté par Zenitram (site web personnel) . En réponse au journal Stanislas Lem, un auteur de SF à redécouvrir. Évalué à -2. Dernière modification le 29 janvier 2014 à 11:38.
Je compare un service que je cherche.
Pourquoi chercher une excuse sur une quelconque différence hors suejet pour justifier un prix plus cher pour un même service?
Si au moins tu avais dit que je comparais un livre à un livre + discutte + servirait le café… (la le service serait différent)
Pour ceux habitant à proximité du 12è. Parce que bon, gagner 4€ et perdre 1 heure, c'est pas super rentable (le SMIC est à 9€/h, reste les chômeurs certes)
[^] # Re: Dur le service parisien
Posté par Zenitram (site web personnel) . En réponse au journal Stanislas Lem, un auteur de SF à redécouvrir. Évalué à -4. Dernière modification le 29 janvier 2014 à 11:09.
Le vendeur ne paye pas les frais de port, ça fait même parti du prix pour le neuf (vu que le prix de l'unité est artificiellement élevé et qu'il ne peut pas afficher un prix du livre plus bas, ça ne pose aucun problème, ça peut même ête 0.01€ pour les frais de port)
Je compare un service (pouvoir lire une oeuvre sur mon canapé le plus vite possible et avec le moins possible de temps perdu dans le processus après que j'ai envie de lire le livre, et la encore, les délais sont longs 2 jours mini pour celui-ci, j'ai plus l'habitude de quelques minutes pour la livraison), tu me parles de moyen mais les moyens sont le problème du vendeur, pas de l'acheteur.
Sinon, on en serait encore aux chevaux pour les déplacements, "car tu compares la voiture aux chevaux". Le monde change, les technologies et les possibilités d'interaction entre les personnes (morales ou physiques) aussi.