zurvan a écrit 1102 commentaires

Par curiosité: comment as-tu trouvé celle-là?

j'ai cherché à "lampiris" et "invoice" sur YouTube (mais ça aurait été plus pertinent avec "billing") :

https://www.youtube.com/results?search_query=Lampiris+invoice

par rapport à la possibilité de tomber par hasard sur une URL valide (plusieurs milliards de milliards face à seulement 1 million de clients), le risque est très très faible. Un informaticien ne se contente sans doute pas d'une "sécurité par l'obscurité", mais en fait personne n'ira fouiller là-dedans juste pour récupérer une adresse et une consommation, rien n'est crucial dedans.

Je doute qu'ils stockent 1 million de vidéo de leurs clients, je me demande s'il n'est pas possible de générer à la volée le rendu de la vidéo, avec les données des clients en surimpression, à la demande, en fonction des 32 caractères passés dans l'URL. Ça me semble le plus plausible.

J'imagine que ça doit ressembler à cela : https://www.youtube.com/watch?v=S68bw3ZWLCw ("Lampiris - Billing explanation (Personalized video)")

Dans le cas où des personnes voudraient changer de sexe dans le futur (par exemple pour voir ce que c'est que d'être un mâle privilégié), comment ça se passe si le diplôme indique "doctoresse" à la place du docteur qu'elles seraient devenues ? Ne vaudrait-il pas mieux indiquer dès le départ, pour tout le monde, "doct(eu/o)r.esse" sur le diplôme, pour envisager tous les cas de figure ?

J'ai essayé avec www.https.com//lampiris-viadialog.s3-eu-west-1.amazonaws.com/2_ELEC_NEGATIVE_FR20191013/v.html?[12121212121212121212121212121212]
ainsi qu'avec www.https.com//lampiris-viadialog.s3-eu-west-1.amazonaws.com/2_ELEC_NEGATIVE_FR20191013/v.html?[00000000000000000000000000000001]

et en utilisant une url plus en rapport aussi, avec http://lampiris-viadialog.s3-eu-west-1.amazonaws.com/2_ELEC_NEGATIVE_FR20191013/v.html?[00000000000000000000000000000001] etc

bah, contre toute attente, ça ne mène à rien. Prouve-nous qu'il y a une faille en nous montrant une URL qui mène à une vidéo où on trouve des données nominatives. Avec 16³² combinaisons (soit heu, plusieurs milliards de milliards de milliards de combinaisons), et avec 1 millions de clients, ça fait une chance infime de tomber sur un URL "valide".

J'ai rien compris à son histoire, sérieux. L'auteur aurait dû respirer un coup avant de pousser son coup de gueule.

la vidéo est disponible sans authentification, juste un code d'identification

ça veut dire quoi ? C'est dans le style https://login.example.com?login=xxxx&password=yyyyy ?

Dans ce cas, en tapant des adresses au hasard, d'autres utilisateurs ne pourront pas accéder à tes données. Ou alors, comment ça pourrait fuiter, il faut nous expliquer ?

mon adresse postale complète
mes données de facturation complètes pour l'année écoulée
les index de mes compteurs électriques
le montant mensuel que je vais payer à partir de maintenant
bien sûr, avec le nom de mon fournisseur d'électricité

heu, tu n'as pas ton nom d'indiqué sur ta boîte aux lettres ? Parce qu'on peut récupérer ces données juste en se baladant dans ta rue.

Tes mensualisations d'électricité. Mazette, quelle information critique. Laisse-moi deviner, c'est entre 75 et 200 € par mois non ? On peut reconstruire quoi avec ça comme information ? Que tu as un serveur qui tourne chez toi ?

ça n'est rien comparé au préjudice que ces en****és viennent de faire subir à leurs clients!

Tu parles d'un préjudice. Les gens sont vraiment devenus fragiles depuis les années 2000…
Fais un procès à cette société si tu penses être dans ton droit. Mais je doute que tu gagnes.

Certes, ce n'est pas super malin leur manière de procéder, mais ça s'adresse à 99% de la population qui se contentera de ça.

même si je change de fournisseur, tout ce qui me reste à faire maintenant, pour revenir à une situation à peu près normale (pour autant que ce soit possible), c'est déménager… C'est le genre d'option qui me reste.

Tu penses qu'Amazon parse les millions de vidéos sur leurs plateforme pour récupérer ton adresse postale ? Tu n'as jamais commandé sur internet ?

Déménager, sérieux… rien que ça… Tu m'as l'air vraiment traumatisé par cette expérience, soit tu en fais trop pour étayer ton propos et lui donner plus d'impact (en réalité tu passes pour un jusque-boutiste ou un rageux, ce qui n'est pas à ton avantage finalement), soit tu as un problème d'ordre psychologique, parce que là tu n'es que dans les suppositions. Certes, c'est le propre de l'informaticien d'envisager tous les cas de figures, et même le pire, mais là ça sort du raisonnable.

j'ai dit une bêtise (que je ne peux pas corriger), c'est Appimage que j'ai utilisé, pas flatpak… du coup je présume que flatpak fonctionne un peu comme snap.

Je n'ai pas demandé à avoir snap installé sur mon système, ça c'est fait sans mon consentement.

bah, mauvais système, changer de système hein ! Si tu es un sysadmin expérimenté, pourquoi n'utilises-tu pas plutôt Debian ? (ce n'est pas du sarcasme, juste une vraie question)

Linux Mint n'a pas Snap par défaut, du coup je n'ai pas de /snap chez moi.
La première fois que j'ai été confronté à Snap, c'était sur un boîtier nextcloud que j'avais commandé (disque dur + boîtier + ubuntu sur carte sd pour gérer l'ensemble), ça m'avait apparu assez opaque effectivement et compliqué en cas de plantage, et j'ai depuis réinstallé un système plus simple qui fonctionne toujours maintenant.

Je ne connais pas flatpak, par contre AppImage est complètement différent, il faut plus voir ça comme les .dmg chez Apple, c'est juste une application avec la plupart des bibliothèques intégrées dedans. Quand j'ai installé l'AppImage de Krita, ça m'a mis tout ce dont j'avais besoin sans installer les dépendances de KDE sur mon système.

Idem, je n'ai pas trop compris le coup de gueule de Ploum. Pour ma part j'utilise LinuxMint, qui bien que dérivé d'Ubuntu, n'est pas centré sur Snap, du coup je pense que j'ai encore accès à apt-get pour la totalité des logiciels (utilisables sous Debian), et ça me convient bien comme ça.

Par contre, pour certains logiciels multimédia, il n'était pas toujours évident d'avoir la dernière version, ou une version de développement à jour.

Plutôt que de galérer (parfois), à tout compiler soi-même, quel plaisir d'avoir accès à des versions Flatpak, qui permettent d'utiliser immédiatement un logiciel fonctionnel.

Peut-être que flatpak ne fonctionne pas bien sur ubuntu vanilla (je ne vois pas trop pourquoi), mais sur linux mint 19 je n'ai eu aucun problème sur tous les flatpak téléchargés. En général je les copie dans /opt et créé un raccourci vers le bureau. Je peux comme ça utiliser les dernières versions de LMMS, Musescore, Krita…

bah, il se retrouve seul contre tous, le "camp du bien" lui assénant les vérités habituelles et de l'ironie facile, pas étonnant qu'il ait envie de casser son clavier. Pour avoir fréquenté des artisans et indépendants d'un côté, et des profs et fonctionnaires de l'autre, je peux comprendre le fossé qui existe entre les deux.

Pour le logiciel de discussion, je viens de voir qu'une nouvelle sortie de Rolisteam allait voir le jour, ça pourrait être une alternative intéressante et ludique aux logiciels de chat plus classiques (et qui nécessitent un serveur) : https://linuxfr.org/redaction/news/rolisteam-v1-9-la-nouvelle-version

En petit jeu rapide et pas vraiment violent, j'ai récemment joué à Sybil's Tail, c'est tout mignon avec de petites fleurs qui apparaissent lorsqu'on progresse, c'est pas très dur mais ça se corse au bout d'un moment. C'est fait avec de gros pixels (avec pico-8) mais peut-être que ça leur plaira : https://sol-foxie.itch.io/sybils-tail
Sur la même console virtuelle on trouve Celeste qui est assez connu (il y a eu un remake moins lofi qui est sorti), bon par contre c'est plus corsé comme niveau de jeu.

Je viens de tester avec ma session (qui rame avec firefox de lancé), du coup j'ai eu le temps de taper "killall mate-screensaver" (plus exactement j'ai eu le temps de taper killall xscreensaver, de voir que ce n'était pas le bon programme, de lancer un petit "ps -aef saver", de voir que ça s'appelait mate-screensaver, de tuer le process) et ça a contourné la sécurité, je n'ai pas eu à retaper le mot de passe.

Je n'ai pas testé ça, mais parfois aussi lorsqu'on bouge la souris pour rallumer la session (que ça soit en veille ou juste avec l'économiseur d'écran sur le noir), on voit parfois le bureau non verrouillé, avec tout ce qu'il y a dessus (bonjour la confidentialité), et au bout de quelques secondes (qui peuvent durer assez longtemps si le PC est "chargé") le verrouillage d'écran reprend le dessus et alors il faut taper le mot de passe pour poursuivre. Je présume que si on est assez rapide on peut lancer un "killall xscreensaver" pour reprendre la main avant que ça verrouille de nouveau.

Donc non, peut mieux faire niveau sécurité et confidentialité.

j'ai reçu rapidement la tablette (trouvée sur la boutique officielle du fabricant sur aliexpress), la qualité est plutôt bonne vu le prix, c'est sûr ce n'est pas une wacom, le stylet est moins confortable en main (un peu fin), et ça raccroche un peu sur la tablette, mais pour s'initier au dessin digital c'est vraiment le top.

Il y a quelques mois justement je voulais m'acheter une tablette graphique, j'ai vu le prix des wacoms et j'ai abandonné l'idée. Maintenant que je regarde de nouveau leur site, je vois que les petites tablettes à 80-100 € qui existent aussi sont tellement pas mises en avant que je ne les avais pas vues. Mais je ne sais pas comment ça se compare avec la XP-Pen (qui vaut quand même 4 fois moins cher).

En tout cas je ne regrette pas du tout cet achat.

Pour les pilotes, j'ai téléchargé l'officiel, mais il n'est pas libre et il nécessite Qt 5.10 (dans ma distribution dernier cri je n'ai que la version 5.9 de Qt), du coup je me suis rabattu sur celui de Digimend, qui fonctionne parfaitement (et qui s'installe sans recompiler le noyau, grâce à DKMS…)

Avec gimp j'ai bien la sensibilité à la pression etc, et là je vais essayer Krita, sans doute plus adapté pour ce type de dessin. Ça fonctionne bien également avec Aseprite, pour faire du pixel art.

(doublon)

Oui il y a bien une limite pour la mémoire disponible, de plus les cartouches PNG sont générées par le programme lui même.

aucune idée, peut-être que le développeur voulait un truc plus sexy ?

Bien vu pour l'ArduBoy, j'avais évoqué UzeBox dans un commentaire plus haut, mais le kit de ce dernier n'est plus commandable en ce moment on dirait.

J'ai été voir les outils pour ArduBoy, on dirait que c'est codé avec l'IDE de l'arduino, il y a également un émulateur (qui tourne avec Atom/Electron je crois), et il faut donc coder en C++.

Dans le même style (et en couleur dans la nouvelle version), il y a le Gamebuino :
https://gamebuino.com/fr avec pas mal de tuto et des émulateurs. On peut programmer en C++ ou python.

Il doit exister d'autres projets du genre. Je n'en ai pas parlé dans l'article parce que je voulais surtout focaliser sur les machines qui se comportent un peu comme des ordinateurs indépendants (même si dans la liste des "fantasy consoles" il y en a beaucoup qui ne se comportent pas comme ça).

Bref, il reste encore à imaginer une machine hardware qui pourrait avoir son IDE intégré, mais est-ce que le jeu en vaudrait la chandelle ?

bien vu ! Je crois que j'avais lu sur un site web que ce n'était que la bordure, mais du coup c'était imprécis (et faux donc). En fait c'est le même principe que celui utilisé en stéganographie comme le précise le wiki. Merci.

Si un modérateur passe par là, il peut remplacer

Par exemple, les « cartouches » de jeux sont au format PNG (oui oui, le format d’image), ce qui présente au centre la jaquette du jeu, et le code en lui‐même se trouve… dans la bordure grise qui entoure l’image, les diverses nuances de gris permettant d’encoder les données.

par

Par exemple, les « cartouches » de jeux sont au format PNG (oui oui, le format d’image), ce qui présente la jaquette du jeu, et le code en lui‐même se trouve… stocké dans les 2 bits les moins significatifs de chacun des 4 canaux de couleur, dans l'ordre ARGB. Une image de 160 pixels de large et 205 pixels de haut donnant un stockage possible de 32800 octets. De ceux-ci, seuls les 32769 premiers sont utilisés. En résumé les diverses nuances de couleurs permettent d’encoder les données selon un procédé que l'on retrouve en stéganographie.

il existe des outils pour convertir des données de zx spectrum en fichier wav, pour pouvoir justement les envoyer dans une véritable machine. Les données sont encodées dans l'audio. Je pense que c'est le même principe que le bruit de friture des modems internet 56k.

https://github.com/leiradel/tape2wav

Tu peux voir le processus de chargement ici par exemple : https://www.youtube.com/watch?v=cFD2zfD6qa8 (sur mon zx spectrum je n'ai pas de lecteur de k7, juste un audio in, le principe est le même)

pas tant que ça en fait, on trouve maintenant pas mal de bibliothèques permettant de développer depuis un PC, en C ou autre, et de cross compiler pour des machines de type Megadrive, Amstrad, ZX Spectrum…

Par exemple : https://www.bytesizeadventures.com/modern-mega-drive-programming-getting-started/

Je ne comprends pas trop, pourquoi un motif fallacieux ? Ce n'est pas parce qu'ils disent que la fonctionnalité incriminée est maintenant dans leur code que c'est pour cette raison qu'ils ont fait fermer le concurrent. L'argument d'avoir la fonctionnalité, c'est plutôt pour signifier à leurs clients : "arrêtez d'utiliser le produit concurrent qui bafoue notre licence, utilisez plutôt l'original qui fait la même chose maintenant".

La raison évoquée c'est que du code proprio rendu public a été utilisé chez ce concurrent :

"About a month after we made the code of our proprietary features publicly accessible, developers of Search Guard directly copied the source code"

et qu'en plus des éléments de code ont été retrouvé avant la publication, chez ce même concurrent, alors que le code n'avait pas encore été rendu public, ce qui leur fait penser que les concurrents ont décompilé leurs binaires (je ne vois rien de mal à ça, je ne sais pas si c'est légal ou pas…) :

"Most of these instances of copying occurred before we opened our proprietary code last year, which means the Search Guard developers intentionally decompiled our binary releases in order to copy our code. "

Je ne sais pas si ce qui est dit dans leur lettre est vraie ou pas, mais ça me semble justifier la demande de fermeture, et l'ouverture d'un procès. Je ne connais aucune des deux parties et je n'utilise aucun des logiciels évoqués, c'est juste une question de logique. On trouverait normal de faire un procès à une boîte qui utilise du code sous GNU GPL pour le réinjecter dans du code proprio.

Il faudrait aussi corriger : "sous le motif d’avoir copi*er* le code propriétaire" => "sous le motif d'avoir copi*é*…"
(markdown merde toujours autant…)

je pense qu'il ne souhaitait pas faire du retrogaming vis à vis de matériel existant, mais trouver un système de développement qui simulerait des machines des années 1990-2000. Mais j'ai l'impression que les types de jeu de cette époque étaient plus vastes : 2D avec des photos, bouts de films avec des acteurs, 3D précalculées (7the guest), 3D avec de gros pixels (ultima underworld), 3D qui donne l'impression que c'est de la 2D (Heart of Darkness) etc

Oui c'est triste, il avait 28 ans. C'était en faisant de la spéléo si j'ai bien compris.

« I like offending people, because I think people who get offended should be offended. »

Linus Torvalds