Le 29/01/2016 à 11h 36

Neliger a écrit :



Cette croisade ridicule…







Pourquoi ridicule ?







keul a écrit :



C’est quoi le rapport entre un développeur et HTTPS?

HTTPS, c’est du boulot de SYSADMIN, c’est qui qui va gérer la mise en place des certificats et la configuration du serveur web.

Le seul truc que le développeur doit faire, c’est de ne pas mettre HTTP en dur dans ses URL.

n négligeable de sites web, les plus impactés étant ceux qui auto-hébergent leurs blogs/wordpress)





Je pense quand que certains developpeur devrait ‘y mettre. Développer des applications qui utilisent TLS pour ses communications internes et externes devrait quand même impliquer de connaitre un minimum le protocole. J’ai déjà bosser avec des devs Java qui captait rien et qui ne voulait rien capter au concept de trustore et de keystore et c’est franchement pénible.



Donc oui ce n’est pas aux développeurs de configurer le serveur pour activer HTTPS , en revanche ils doivent savoir le manipuler pour communiquer avec des web services en HTTPS, avec un LDAPS ou tout simplement pour éviter de faire n’importe quoi au niveau des biblio de crypto …



J’ai déjà bossé dans une boite ou les developpeurs et les sys admin n’arrêtaient pas de se renvoyer la balle les uns n’ayant pas la curiosité de comprendre ce que les autres faisaient. Je ne sais pas si c’est dans beaucoup de boîte la même chose mais ça avait le don de m’agacer prodigieusement. Ce ne sont pas des jobs si éloignés de mon point de vue mais c’est un autre débat.

Le 03/09/2015 à 07h 45

lanoux a écrit :



effectivement ont paye pour des trucs qu’on utilise pas….j’ai pas de gosses et j’en veux pas et je paye pour les écoles …..sans raler



la ou ça me gonfle c’est payer pour du poubelle la vie….la je hurle!!!!





Faut comparer ce qui est comparable  quand même on parle de télévision pas d’un service essentiel comme l’éducation ou la gestion des déchets.

 



 Quand je regarde une chaine comme france 2 je me demande à quoi ça sert que ce soit financer par l’argent public …

Le 03/09/2015 à 06h 55

Perso je suis en Belgique et j’aime bien la façon de procéder de mon opérateur cable internet/tv ( voo). J’ai la télé et internet. Il est possible de choisir internet sans la télé et inversement se sont deux services séparés. Il n’y a pas de box. Si on choisit internet on a un modem/routeur switch standard. Si on choisit la télé on reçoit un décodeur et on paye tous les ans une redevance télé directement à l’opérateur et pas sous forme d’impôt. C’est quand même pas mal et assez juste.

Le 21/08/2015 à 09h 31

Ils vont créer une compétences spéciales pour donner cet enseignement ? 

Le 28/04/2015 à 06h 25

methos1435 a écrit :



Le problème c’est que si une personne chargée de faire respecter la loi se met à faire ce qui lui chante selon ses propres convictions personnelles on ne s’en sort plus…

On est plus à une époque où on fusillait les gens à tour de bras, du moins chez nous. Si à un moment donné tu n’es plus en accord avec tes principes fondamentaux tu changes de métiers, on t’exécutera pas pour ça…



Après c’est toujours pareil, ya des infractions légères que tu peux laisser passer, d’autres non. Non: ce n’est pas un respect stricte de la loi mais chaque policier ou gendarme est confronté à ça. Je dis juste qu’un ““flic”” ne PEUT PAS tenir un discours de désobéissance. 





Oui mais on est arrivé à une époque où on ne fusille plus es gens à tour de bras parce que des gens se sont battus pour en arrivé là, parce qu’ils n’ont pas accepté le discours simpliste “ la loi c’est la loi”



Je n’apprécie pas la condescandance de ph11 mais ses arguments sont assez pertinent sur ce sujet.

Le 27/04/2015 à 16h 08

jethro a écrit :



Profil type du fan adulte de comic

 ça donne envie …





en faite tu n’as aucun argument et tu es juste un troll en faite " />

Le 27/04/2015 à 08h 53

jethro a écrit :



Je trouve inquiétant que des adultes aillent voir des films de super héros US destinés aux enfants et aux ado.





Quoi les adutes ne doivent regarder que des trucs pour les adultes ? " />



Ce serait cool que tu développes ce genre de réflexion m’interpelle toujours.

 

Le 16/04/2015 à 08h 08

bakou a écrit :



Le Google Authentificator est en effet assez merdique à mettre en place. Mais j’utilise celui de Blizzard depuis longtemps et c’est un vrai bonheur.

Autre facteur qui peut jouer pour l’adoption de ce type de dispositif, c’est de quelle manière l’input du code et à quelle fréquence il est demandé.

Je vais prendre un exemple: WildStar utilise Google Authentificator. Lorsque l’on se connecte au jeu, le code est demandé et doit être saisi à l’aide d’un clavier virtuel (donc à la souris). Si vous décidez de déconnecter le perso (pour changer de perso par exemple), le jeu redemande de s’authentifier. Au final, c’est fastidieux et les joueurs ont rapidement boudé le dispositif (malgré des récompenses en jeu)

Coté Blizzard, le code est demandé au lancement du jeu mais n’est pas redemandé tout de suite même en cas de déconnexion. De plus, le code est saisissable directement au clavier. L’utilisation est donc assez simple et rapide.



Vous me direz “un clavier virtuel, c’est plus de sécurité puisqu’anti-keylogger”. Je vous répondrai que de capter l’input d’un code expirant au bout d’une minute n’a que très peu d’utilité sauf à être en train de surveiller en temps réel.





Mise en place du google authenticator galère ? ça prend 5 minutes et encore je suis large :/

Le 11/04/2015 à 09h 35

popolski a écrit :







J’ai ri " />

Le 09/04/2015 à 09h 23

CoooolRaoul a écrit :



Une analyse ici: “Cyber attaque contre TV5 : qui, comment, pourquoi…”



 Par contre un passage m’interpelle:

“Les journalistes de TV5 comme beaucoup d’autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes.C’est vraisemblablement lors d’une de ses sessions – récente- que l’adresse IP a été dérobée et avec elle, l’identité du réseau de la chaîne.”



Normalement, dans le meilleur des cas c’est l’IP externe du proxy qui est récupérée, et celle ci est tout a fait publique (elle est présentée aux sites webs visités par les postes du réseau interne)



Ou bien faut conclure qu’a TV5 les PC bureautique sont directement connectés au net, sans proxy ni NAT tout en étant simultanément connectés au PC “techniques”.  Au secours!



 



comment peut on remonté une IP via skype ? C’est un protocole de communication peer to peer ? Je pensais naivement qu’il y’avait un serveur microsoft servant d’intermédiaire. Bon j’avoue je ne me suis jamais vraiment renseigné sur le protocole.



 



 

Le 09/04/2015 à 08h 15

Northernlights a écrit :



L’année du rabattage sur le piratage.



C’est pas pour autant que les meurs changent





Tu veux dire moeurs non ? " /> ( je suis pas à cheval sur l’ortho mais là ^^)



 

Le 07/04/2015 à 08h 00

JoePike a écrit :



Je suis pas sûr que de supprimer un système ou la banque ne peut pas piquer son pourcentage soit nécessairement une avancée " />



Et supprimer un système de paiement ou le client peut se retourner contre la banque parce que la signature n’est pas la bonne ( par exemple) soit aussi une avancée.



" />



par contre ce sera une vraie révolution " />







Oui mais justement le soucis c’est quand tu as un type comme moi qui ne sait pas signer ( en gros je fais des signatures différentes à chaque fois), le chèque est plus une source d’inquiétude qu’autre chose " />. D’ailleurs comment prouver qu’une signature manuscrite est fausse  ?



 En tout cas perso je n’ai pas de chequier et je refuse systématiquement les paiements par chèques quand on me doit de l’argent c’est un moyen de paiement qui me gonfle ( oui j’ai pas plus d’arguments que ça " /> )

Le 06/04/2015 à 08h 21

Flogik a écrit :



Personnellement un compte commun chez ING direct, très satisfait. Mais une fois qu’il faut faire un prêt immobilier (c’est mon cas), ya plus personne. 



Le fait de scanner/photographier les chèques, je trouve que c’est une réelle avancée !





En faite la véritable avancé ce serait de supprimer les chèques " />

Le 14/03/2015 à 01h 15

Keizo a écrit :



Donc ne pas utiliser de NAS ( Network Attached Storage ) pour des données en masse ou critique ?

Qu’est ce que tu pourrais avoir à part un NAS ?

Un upload sur un serveur dans un datacenter ? Donc pour des données critiques tu préfère les confier à une autre boite qu’à toi même ?





Une infra SAN fibre  histoire de faire simple ? " />







Non par contre là où je suis un peu plus partagé avec synology ( et les concurrents) c’est que l’on mélange stockage et application.



Alors que je pense qu’un NAS en entreprise ne devrait que se concentrer sur le stockage des données et fournir des protocoles pour servir ses données ( samba, NFS , LUN ….).

 

Le 13/03/2015 à 12h 57

bons baisers de Szczebrzeszyn a écrit :



Intéressant en usage personnel ou petite structure sans données critiques ces fonctions cloud.



Docker disponible… A voir en utilisation pro, sachant que je ne recommande jamais un NAS comme serveur pour des données critiques ou en masse.







Pourquoi donc ?

Le 09/02/2015 à 18h 48

jethro a écrit :



Merde  ! " />  Je doit être un fumier alors, vu que mon asso emploie des intermittents  du spectacle…



Plus sérieusement, je pense (et c’est mon droit) que QdN sont particulièrement mauvais, qu’ils plantent les sujets qu’ils abordent et qu’il feraient mieux d’arrêter.

 

Coté subvention et donation, je ne peux rien leur dire. S’ils devaient vivre de mes dons, il y a longtemps qu’ils auraient arrêté et choisi un vrai travail. " />



 

 

  

 

   







Et sur le sujet de la séparation des pouvoir et du blocage administratif tu penses qu’ils se plantent où ?

 

Le 23/01/2015 à 11h 22

kong1973 a écrit :



ok mais les mallettes sont entreposés dans un pièce sécurisé (ok peut être pas dans toutes les villes …),  c’est le même firmware depuis 2002 dans celle de ma ville, il n’y a qu’un port serie qui n’est  accessible qu’en enlevant les scelles … et tous les ans il est possible a tous les citoyens de voir la machine electronique (demonté) et explication du fonctionnement mais y a pas foule qui vient …





Oui mais pour comprendre le fonctionnement de la machine ( au niveau firmware), il faut que le citoyen en question  soit un technicien. Or pour compter non. Qu’est ce qui garantie que le firmware n’est pas modifié entre deux élection? Qui garantie que les scellés ne sont pas ouvert entre deux élections ? D’ailleurs qui peut ouvrir ces scéllés en dehors despériodes d’éelections ? Est-ce qu’il faut deux personnes différentes pour les ouvrir ?



PArdon mais comme tu te vantes de faire de l’info et que tu dis quelques phrases plus loin qu’il n’y ap as de programmes dans ces machines je me demande si tu comprend bien le concept de firmware et de programme. Tu fais quoi dans l’informatique ? Non parce que tu utilises cela comme argument d’autorité c’est un peu osé.

Le 15/01/2015 à 18h 03

tass_ a écrit :



Perso on peut les rendre à l’Allemagne j’en ai rien à faire xD A part des neo nazis, des tueurs en série et des usines désaffectées y a pas grand chose.



Mais plus sérieusement oui il serait temps qu’un gouvernement un poil courageux remette à niveau ces deux départements..





Tu veux les droits de l’hommes dans la figure ? " />



Ils peuvent retirer la loi sur le blasphème s’ils veulent. Mais tout le reste on garde " />

 

Le 27/11/2014 à 18h 00

Nozalys a écrit :



D’une part, ya plein de gens qui ne regardent pas la TV sur leurs smartphones ou tablettes, mais d’autre part, faut pas oublier tous les foyers non éligibles à l’ADSL 4Mbps (minimum pour un flux TV) et sans couverture 3G+ convenable (minimum aussi). C’est mon cas, chez moi ya 3 PC, 2 tablettes, 2 smartphones, pourtant on n’a que du 700 kbps, et du EDGE. Me voir contraint a payer une taxe pour le simple fait de posséder ces appareils me met hors de moi.





C’est vrai que je n’avais même pas penser à cet argument. Merci d’avoir compléter mon avis  c’est tout à fait juste. Si la redevance était appliquée il y’aurait une inégalité manifeste et évidente.

Le 26/11/2014 à 17h 23

Romaindu83 a écrit :



Que d’hypocrisie dans tout ce merdier ! Surtout de la part des Internautes. A l’époque où a été  crée la redevance TV, soit le 30 juillet 1949, il n’existait qu’un appareil capable de retransmettre les chaîne de télévision : le téléviseur. Plus de 60 ans après, de nouveaux appareils ont vu le jour, qui permettent eux aussi de regarder la télévision. Ceux sont les smartphones, les tablettes et les ordinateurs. Pourquoi ne seraient-ils pas assujetti eux aussi à la redevance TV ?



Vous êtes des geeks, des technophiles, vous aimez les évolutions technologiques. Acceptez donc aussi que des taxes qui concernaient un seul appareil, car il n’existait que celui-là à l’époque de la création de cette taxe, soient étendu à d’autres équipement.



Petite précision : je ne possède pas de téléviseur et je ne paie pas de redevance TV. Mais je sais être pragmatique.





Et quand on s’en sert pas pour regarder la télé ? C’est très loin d’être leur fonction première. Il ne faut pas assujettir le fait de posséder un support permettant de visionner France télévision mais le fait de réellement visionner France Télévision. Il est actuellement techniquement possible d’effectuer ces contrôles ( mise en place de décodeur sur la télé, mise en place d’un système d’authentification sur les applications et les site web permettant le visionnage de France télévision).



  





 

Le 26/11/2014 à 17h 14

televore a écrit :



je vois pas le problème… il est juste que ceux qui profitent des chaines publiques participent à son financement. Ce qui n’est pas juste, c’est que celui qui regarde la télévision sur son PC ne paye pas, alors que son voisin avec une télé paye.

Et si tout le monde payait, la redevance baisserait ou les productions seraient de meilleure qualité…





Ce qui n’est pas juste c’est la personne qui possède un ordi ou un smartphone, qui paie la taxe et qui ne regarde pas france TV sur ces appareils.



Sinon qu’ils mettent en place un site de replay reservé aux personnes qui paient la redevance avec un système d’authentification et basta

Le 23/11/2014 à 09h 58

methos1435 a écrit :



Au commentaire posté tu te souviens parfois du client en question, à sa façon de réagir.

         


 Pour les VAD électroniques par un TPE le code n'est pas obligatoire (d'ailleurs en règle générale, le code n'a rien d'obligatoire), seul le numéro de la carte l'est. Certes l'abus est déplorable mais c'est utilisable dans certaines conditions (genre, dans certaines conditions,  la validation de la nuit qui n'a pas été annulée par un client dans les délais). C'est pas pour rien qu'un hôtelier demande quasi systématiquement les infos de la CB pour une réservation par téléphone. C'est tout ce qu'il ya de plus légal dans que c'est prévu dans les conditions (ici en l'occurence même si la décision en elle même est nulle, il est fait mention d'une facturation en cas de commentaire négatif).        

 Attention de ne pas s'exciter en traitant tout le monde de voleur ou de fraudeur parce que ça par contre c'est punissable. 

Je me pose une question au vue de ton commentaire. Pour avoir le droit de conserver des numéro de carte bancaire ne faut il pas respecter certains Standard ? Je pense notamment à PCI DSS.



Un hotelier à le droit de demander le cryptogramme de sécurité et surtout le conserver ? Il me semble qu’aucune transaction n’est possible sans cela. Mais je me trompe peut être.

Le 22/11/2014 à 17h 17

Je ne vois pas non plus en quoi cela est ambigü. Ils ont reconstitué Paris afin de donner un cadre ayant un semblant de réalisme. Mais je ne pense pas qu’ils aient présentés le jeu comme étant une leçon d’histoire. Je ne vois pas trop quel est l’intérêt des journalistes ou des politiques de mettre le jeu au pilori et de lui reprocher les créateurs d’être parti dans tous les sens. Je trouve que c’est un peu une insulte à l’intelligence des joueurs qui à mon avis savent bien faire la part des choses entre fiction et réalité.



Maintenant si la vision du jeu rejoint celle de l’extrème droite je m’en contre-fiche puisque ce n’est qu’une oeuvre de fiction. Pour en revenir au sujet de base, je sais qu’il y’a des thèses d’extrème droite qui présente la révolution comme une période d’hyer violence. Mais c’est un peu la faute de l’école si ces thèses fonctionnent. Je ne sais pas si ça a évolué, mais à mon époque ( je suis né en 1986) l’enseignement de la révolution était assez dogmatique. On nous présenté le gentil peuple contre le méchant roi alors que les choses sont quand même un peu plus nuancé. 

Le 22/11/2014 à 14h 57

Bejarid a écrit :



Ouah, le premier article que je vois sur rue89 qui ne soit une insulte à l’intelligence humaine, respect d’avoir trouvé ça !





Un peu quand même. Je vois pas pourquoi ils font tout un foin de  ces incohérences historiques.  C’est un jeu vidéo de fiction pas une leçon d’histoire. C’est même la première chose qui est écrite lorsqu’on lance le jeu. Les journalistes ne savent vraiment plus quoi écrire. 

Le 13/11/2014 à 08h 38

Aces a écrit :



" />

Où je bossais avant, les mise à jour se programmaient la nuit et généralement, une semaine après les patchs dispo par Ms .

Mais bon, ce temps est révolu j’espère.





Une semaine de délai pour déployer ce n’est pas trop mal non ? Bon sauf si ce délai n’est pas utilisé pour faire des tests.

Le 06/11/2014 à 18h 17

hycday a écrit :



qui parle de chinois idiots ? travailler est idiot ? on peut parler des japonais aussi si tu veux 

“ca arrivera chez eux aussi” : quoi donc exactement? d’avoir raz le bol et donc de vouloir congés/rtt/grève/35h etc? et bien d’ici là ils auront peut etre vu l’effet sur l’europe et y réfléchiront à deux fois





Euh oui trop travaillé est idiot " />. C’est utile de développer ?



Sinon je ne pense pas que ce soit typiquement français de penser au congés et au repos. Perso j’y pense tout le temps quand je n’y suis pas " />  et ça ne m’empêche pas de bosser correctement.



Et puisqu’on parle du Luxembourg. Il y’a autant de jours de congés qu’en France voir plus pour certaines convention collective. Perso si je dépasse 40 heure par semaines j’ai des recup. Je récupère même les jours feriés qui tombent le week-end.  Je comprend donc pas trop ton laïus sur les congés. Ce n’est quand même pas typiquement français comme préoccupation comme le laisse penser ton premier commentaire sur le sujet.



 

Le 06/11/2014 à 17h 33

ActionFighter a écrit :



Pas faux, mes sentiments seraient plus mitigés que ça " />





La nuance est dans le “les expatriés qui nous vendaient le modèle luxembourgeois”. Je ne prône absolument pas le “travaillez français” " />







Oui mais quelque part si on y reste c’est qu’on le trouve plutôt bien " />.



 Après bon on peut penser qu’une harmonisation fiscale equilibrerait peut-être un peu les choses. Mais il ne faut pas se voiler la face ça ne règlera pas les problèmes de la France. Il y’a quand même une différence de mentalités assez flagrante je trouve.

Le 06/11/2014 à 17h 25

ActionFighter a écrit :



Tu parles de stratégies à long ou à court terme ?



Parce qu’enfiler profondément ses voisins, ça marche un temps, mais en général, le retour de flamme fait très mal.

Le jour où les pays mettront en place ce que je dis plus haut, à savoir taxer les bénéfices dans le pays où ils sont réalisés, le Luxembourg pourra dire au revoir à tous les sièges d’entreprises qui sont venus s’installer là bas, et on verra tous les expatriés qui nous vendaient le modèle luxembourgeois revenir la queue entre les jambes en France pour bénéficier d’une protection sociale qu’ils étaient les premiers à décrier.

Oui, les gens qui ne sont pas payés quand ils font grève, c'est clairement des fainéants... saleté de gauchistes qui peuvent bouffer des patates pendant 2 mois pour défendre leurs droits...

Euh Donc tu serais content de nous voir revenir en France chômeur c’est ça ?



Tes propos manquent un peu de nuance. Il doit il y’avoir des expatriés qui décrient le modèle sociale français mais il y’en a d’autres qui y sont allés simplement parce qu’ils se sont vu proposés un travail quoi " /> .

Le 02/10/2014 à 17h 45

Comment peut on s’assurer qu’ils ne feront pas de la QOS pour favoriser leur service ?



Les FAI ne devraient pas être autorisé à proposer autre chose que des tuyaux.

Le 06/08/2014 à 10h 51

carbier a écrit :



Si des données ne sont stockées qu’à un seul endroit, ce n’est pas une sauvegarde… au mieux c’est un archivage…







Euh l’archivage est un process tout aussi voir plus compliqué que la sauvegarde. Tu as déjà lu les exigences pour être archiveur numérique ? C’est quand même assez balaise.



Sinon je



jeje07 a écrit :

• 100000
  
  
  
  trop de gens confondent NAS avec sauvegarde……
  
  
  
  
  
  
  
  
  
  C’est vrai mais ça reste quand même un composant intéressant pour faire une sauvegarde. Si tu mets toutes tes données sur un NAS c’est déjà pas mal mais c’est pas complet. Après pour faire une sauvegarde dans les règles de l’art, il faut disposer d’un deuxième site et c’est pas facile.
  

Le 10/07/2014 à 21h 24

BlackSharkfr a écrit :



Euh…. non, c’est l’inverse en fait.



Il est connu que les utilisateurs sont ignorants des principes de sécurité les plus élémentaires, et qu’ils outrepassent volontiers le peu qu’ils connaissent à chaque fois que ça les arrange.



Celui qui est responsable de la sécurité, c’est celui qui conçoit le système et le met à disposition des utilisateurs.

Il est de sa responsabilité de s’assurer que le système soit robuste, qu’il ne puisse pas être détourné, d’apprendre aux utilisateurs à l’utiliser, et de surveiller sa bonne mise en application.



La plus grosse faille, c’est quand le créateur d’un site donne à un utilisateur (quelqu’un d’inculte vis à vis de la sécurité) la tâche critique de créer le mot de passe, sensé être long, complèxe, difficile à deviner et unique… bref tout ce qu”on sait pertinemment que la très grande majorité des utilisateurs ne feront pas.



C’est comme si un serrurier, demandait à ses client de dessiner eux même la forme de sa clé. On sait dès le départ que ce ne sera pas sûr.







Et donc tu veux dire qu’il faut imposer le mot de passe à lutilisateur ?



Djaron a écrit :



ah oui tu as raison j’ai oublié ca aussi



le mythe du mot de passe super compliqué en l337 style de roxxor facon geek des années 90 qui serait le graal de la securité, hors c’est faux

de nos jours avec les puissances à dispo des fermes de calcules/reseaux zombies et autres botnets, les sites qui imposent une longueur maximum par exemple, meme avec des caracteres speciaux et des chiffres+lettre ca vaut as tripette



de nos jours ce sont les agencements de mots courants et/ou les phrases passes qui ont le plus de chance de resistr, car la ou l’ascii n’a que 256 caracteres, les langues les plus communes (anglais, espagnol, francais, etc) ont par exemple plus de 500 ou 600 mots de longueurs 6,7 ou 8 signes et ont donc plus de chance de resister ET à du brute force ET de l’attaque par dico pour peu que votre phrase passe soit completement illogique



(exemple con vous prenez un chiffre en chiffre, un adjectif qualiticatif semantiquement attaché a une personne, un nom d’object/de fruit/marque de bagnole et un nom de couleur ou un autre truc, vous separez par des underscore, des etoiles ou autre et hop vous obtenez un mot de passe qui

1. sera facile à retenir car ABSURDE donc marquant les esprits
   


2. qui necessitera en brute force plus de temps de cassage que votre esperance de vie
   


3. resistera aux attaques par dico
   
   
   
   Exemple: 5_mechantes_peugeot_bourgeonnantes (c’est con j’avais prevenu, moi je fais ca avec autre chose mais c’est du meme accabit)
   
   Le_cactus_jaune_recycle_3_chiens_liquides
   
   
   
   le mythe du mot de passe de W4rL0rD5 c’est fini
   
   
   
   
   
   Aurais tu connaissance de littérature sur le sujet ? Je bosse dans la sécu et les mots de passe style W4rL0rD5 ont encore le vent en poupe ( que ce soit auprès des autideurs ou de la direction). J’ai cherché de la littérature sur le sujet mais à chaque fois je tombe sur le fameux dessin XKCD ou des références à celui-ci.
   

Le 11/05/2014 à 08h 21

Est ce que l’on peut également interroger les prises via une API ou bien seul l’interface graphique de contrôle est disponible ?



En tout cas en ce moment je m’interesse à cette solution : http://www.fibaro.com/fr/système-fibaro/wall-plug. On peut interroger les composants via z-wave. Ce qui me semble est assez intéressant pour une intégration perso. Quelqu’un a déjà essayé cette marque ?

Le 02/05/2014 à 10h 32

Lafisk a écrit :



lol, quand on voit la config pc qu’il faut … le framerate sera de quoi ? 10 fps avec des graphisme digne de la n64 ? " />









Peut être aussi parce que sur un PC les développeurs sont pas foutu d’optimiser leur dev pour des configs qui ne sont pas des monstres de guerre " />

Le 21/04/2014 à 12h 09

Inodemus a écrit :



Je ne donne mes mots de passe à personne, je ne les partage pas entre les sites sensibles, je ne télécharge pas de virus et je ne rentre pas mes mots de passe n’importe où non plus. Si un site n’est pas capable de sécuriser l’accès avec seulement mon mot de passe (ou impose des limites débiles dessus), ce n’est pas ma responsabilité mais la sienne.









Je ne vois pas trop comment on peut renforcer plus la sécurité en utilisant le mot de passe + politique des mots de passe. Ca ne permet pas de se protéger contre le vol de mot de passe via un virus sur le poste client. Mise à part le 2FA, il y’a pas tellement de solution pour se prévenir du vol de mot de passe par une application malveillante. Tu en as ?



Tu aurais pas le syndrome de l’utilisateur invincible ? Le prend pas mal, mais des gens qui ont ce discours ne sont pas les derniers à êtres victime d’incident de sécurité généralement. Quoiqu’il en soit, ta position implique qu’il faut faire confiance au bon sens de l’utilisateur. C’est en parti vrai, mais penser que cela suffit n’est pas vraiment réaliste.







Faith a écrit :



Ce système d’authentification est certes plus fiable, mais il est aussi beaucoup plus chiant pour le client.

Quand ma banque a mis ça en place, elle a enregistré une baisse de 60% du nombre de connexions… Et nous avons tous pesté contre cette cochonnerie.



La banque a fait demi-tour tellement les clients étaient mécontents. Aujourd’hui: consultation via connexion normale et actes sensibles via authentification plus forte. C’est nettement préférable, et largement assez sécurisé.







Ta banque a eu raison de faire demi tour, car les clients se seraient dirigé vers une banque moins regardante sur la sécu. Elle a choisi de ne pas prendre le risque de perdre des clients (risque faible à mon sens mais je suis pas expert). Mais au fond je pense qu’il ne faut pas tenir compte des clients râleurs. Si les banques se mettaient d’accord ( ou si on leur imposait) un standard de double authentification les clients qui veulent du web banking n’auraient pas le choix.



Je ne suis pas d’accord sur le fait de protéger certaines opérations. De mon point de vue de client, l’accès au solde de compte et aux historiques de transactions est tout aussi sensible que la possibilité de faire des virements. Elle doit donc être protégé de la même façon.

Le 19/04/2014 à 13h 17

wizman03 a écrit :



Pour le Crédit Mutuel, je n’ai plus spécialement confiance en leur service sécurité. J’ai pu constater un peu par hasard que si le mot de passe du compte est 12345678, n’importe quel mot de passe commençant pas 12345678 fonctionnera, le site ne faisant le test que sur la longueur attendue du mot de passe… Ce qui laisse au final une infinité de mot de passe pouvant fonctionner et pouvant accéder au compte.

Après leur avoir signalé, on m’a simplement répondu qu’effectivement c’est bien comme ça que cela marche.







Un bémol quand même. Au bout de 3 essais infructeux ton compte est bloqué.



Je ne défend pas le système de sécurité du CC hein je peste toute l’année.



Mais sincèrement le mot de passe à fait son temps. Il est temps que les banques française passent aux deux facteurs. Sur ma banque belge on ne m’a pas laissé le choix. L’authentification se fait grâce à une signature électronique faite via la carte de crédit et un boitier non relié au PC. C’est très efficace.

Le 16/04/2014 à 18h 11

ashlol a écrit :



Perso je suis pour car étant souvent en déplacement ça me permettrais enfin de voter. Rien que pour le dernier vote je n’ai pas pu car j’étais loin du bureau vote physiquement parlant (quelques milliers de km). Il y a la procuration mais du coup c’est pareil faut faire confiance à la personne à laquelle tu donnes procuration.



Même le vote papier n’empêche pas les fraudes donc bon.







Non le vote papier n’empêche pas la fraude mais elle est beaucoup plus simple en mode électronique.

Le 14/04/2014 à 16h 16

romainsromain a écrit :



Oh qu’il est mignon, il contribue à un système élitiste plutôt que de payer des impôts ou de soutenir des enseignements généraux à la fac ….







Comme je disais dans une autre news, il y’a une vraie obsession pour l’impot dans ce pays c’estdingue " />







Network a écrit :



C’est pas gratuit pour l’auditeur les MOOC justement ?









Si si

Le 12/04/2014 à 10h 40

elezoic a écrit :



Entre une communication HTTP en clair où il faut pouvoir intercepter la trame IP sur le chemin, et un serveur avec une faille qui divulgue à X des données concernant Y alors que le seul point commun est de s’être adresser au même serveur, et parfois en divulguant carrément les certificats, qui est le moins vulnérable autrement dit qui est le plus sécurisé ?









Je ne disais pas qu’un cas était plus sécurisé que l’autre, les deux sont des gruyères du coup. La faille openSSL est un gruyère par erreur et l’interface HTTP est un gruyère par conception .



Avec la faille openSSL, tu ne sais pas qui l’exploiter et tu ne sais pas ce qu’elle fuite. C’est la même chose avec une authentification HTTP , tu ne sais pas sur Internet qui intercepte le trafic et qui l’analyse. Et ce n’est pas de la parano excessive. Il suffit de se connecter à un Wifi public. Une fois la faille detectée et patchée c’est ok. L’interface d’authentification HTTP par contre continuera à fuiter de l’information









elezoic a écrit :



Personnellement, j’ai travaillé sur un système d’authentification à une époque où on avait pas de certificats SSL pour nos domaines publiques. Et comme j’étais déjà parano j’ai mis en place un système d’authentification à base de hash et de jetons (au départ je voulais faire du chiffrement asymétrique mais je n’ai pas trouvé de lib js pour ça) de manière à ce que le mot de passe ne transite jamais en clair. (sauf quand le JS est défaillant ou désactivé, là ça passe tout en clair)



Là je teste depuis quelques mois le Multi-factor Authentification pour les comptes à privilèges du site. D’ailleurs j’ai remarqué que sur Amazon AWS, le formulaire d’authentification avait légèrement changé depuis le début de semaine pour les comptes secondaires. Il est nécessaire de savoir que le MFA est activé sur le compte dès la première étape, alors qu’avant il y avait d’abord la vérification login-mot de passe et après une étape MFA qui apparaissait que si le compte en nécessitait une.







Pour ton paragraphe 1 comment faisais tu du coup ? Tu essayé de forcer l’utilisation de javascript ?



Il est clair que l’authentification à multiples facteurs est une excellente solution. Je travaille pour un fournisseur de service en ligne pour professionnel et nous tentons de pousser l’authentification multiples facteurs chez nos clients. Mais c’est difficile à imposer. Certains gros clients sont carrément réticent à distribuer des token et même à gérer des numéro de téléphone. On essaie de tenir bon mais si on insiste trop on risque de perdre de gros marché.







SebGF a écrit :



Mettre à jour OpenSSL, redémarrer les services concernés : Yaka faukon, encore une fois, ça ne se fait pas en cinq minutes. Tout changement nécessite une évaluation de l’impact sur l’environnement, les services ne peuvent pas forcément être redémarrés à volonté, pour peu qu’il y ait du progiciel à la con qui a un truc bizarre embarqué ça devient vite le bordel… Ne sous estimez pas la capacité des éditeurs de progiciels à faire des trucs tordus.

Et si les serveurs sont chez un prestataire ? Genre mon site commercial est hébergé par Machin et la descente de commandes client/interro stock/etc se fait par request/reply avec mon SI.

Plus on rajoute d’intermédiaires dans la boucle, plus les délais deviennent longs…







C’est la qu’on est content d’avoir tous nos services derriere le même type de proxy. On a pu tout mettre à jour en 2h ( au mépris des tests je l’admets). Mais avec un code d’exploitation facilement disponible il était plus sage de mettre à jour et risqué une indispo de quelques minutes plutôt que de voir des robots commencer à scanner nos adresse pour récupérer de l’info.

Le 12/04/2014 à 08h 02

David_L a écrit :



Oui mais est-ce le cas de tout le monde. Si tu te fais pirater ton compte NXi, tu t’en fous sans doute. Pas moi " /> Tout est relatif ;)



Donc dire : osef, on peut se faire pirater tant que les comptes GAFA sont saufs. Mais je crains que ça soit un peu court comme raisonnement généralisé :)







Moi ça me ferait chier de me faire piraté mon compte NXI " />



Sinon je me permets de demander, vous avez discuté avec le credit mut’, il y’a t’il une adresse quelconque permettant de leur adresser les questions de secu ?

Le 12/04/2014 à 08h 00

xillibit a écrit :



J’ai envoyé hier à ma banque en leur parlant d’openSSL et leur envoyant un lien vers un article qui en parle mais ils n’ont rien compris, ils me parlent de pishing. " />









Les banques françaises sont vraiment à la ramasse. Au crédit mut’ j’ai un simple identifiant/mot de masse. Et le mot de passe ne peut pas dépasser 8 caractère. Il y’a une politique de blocage des comptes. Mais bon ça ne protège pas vraiment le mot de passe. En plus cette politique de blocage est pourri, mon identifiant est mon numéro de compte, si quelqu’un veut m’emmerder il fait 3 fausses tentative de connexion et je suis obligé d’aller physiquement à ma banque pour débloquer le compte.



J’en ai parlé à mon conseiller il y’a deux semaines, il m’a fait des yeux rond lol.

Le 12/04/2014 à 07h 20

elezoic a écrit :



La même CNIL qui nous a demandé en début d’année de forcer les formulaires d’authentification en HTTPS. Ironiquement un serveur pur-HTTP-tout-en-clair a été pendant quelques années plus sécurisé qu’un gruyère avec openssl à jour. " />



Heureusement qu’on ne passe pas notre temps à mettre à jour des serveurs et que les nôtres sont encore à l’époque de lucid.









Euh il était certes pas exposé à cette faille votreserveur d’authentification HTTP, mais vos utilisateurs étaient exposés à d’autre types d’attaques. Dire que c’était plus sécurisé est à mon avis une erreur.



Mais peut être que tu déconnais " />





En tout cas je suis au crédit mutuel. J’étais entrain de leur préparer un e-mail pleines de remarques sur la sécurité de leur web banking. Je vais leur toucher un mot de cette histoire de serveur de paiement car ils n’ont absolument pas communiqué là dessus.

Le 11/04/2014 à 15h 25

Néanmoins, à terme, vous devrez changer TOUS vos mots de passe, sur TOUS les services que vous utilisez. Il faudra néanmoins respecter quelques règles, en ayant en tête une chose : la sécurité amène forcément de la complexité. Vouloir éviter tous les problèmes en utilisant le nom du chien de la famille et la date de naissance de la petite dernière comme mot de passe, même sur des sites sensibles, ne fait que vous exposer plus à un potentiel piratage de vos comptes. Vous n’avez jamais eu de problème ? C’est aussi ce que disent ceux qui n’ont jamais fait de sauvegarde de données… jusqu’au jour où ils perdent tout.





Le soucis dans ce genre de cas c’est de définir le terme. Avec les entreprises qui ne communiquent pas comment savoir si le nécéssaire a été fait ou pas pour changer les mot de passe en tout sécurité ?



N’y a t’il pas une projet de loi européen en cours obligeant les fournisseurs de services à notifier les incidents ?



Perso, j’ai pris la décision de notifier mes contacts facebook. J’ai peut être eu tord mais je leur ai conseillé de faire un changement de mot de passe sur tout les services en ligne contenant des info sensibles.

Le 10/04/2014 à 11h 10

misterB a écrit :



Il se base sur les système américain, ou chaque citoyen doit payer ses impôts fédéraux, ce qui équivaut pour nous Européen a payer des impôts à l’union Européenne et non à l’état Français " />



Ensuite cet impôt est calculé en fonction de tes revenus et des taxes que tu paies localement, si tu es au Luxembourg il y a des chances que tu aies a payer qqchose, mais pas si tu es en France par exemple, ensuite l’impôt fédéral est bcp moins élevé que le celui des états donc au final c’est pas super violent pour les ricains, et si tu es dans un pays n’ayant pas d’accord avec les US et que ton compte n’es pas aux US, comme bcp de riacins tu gruge a mort " />







Oui ok mais je trouve dommage de réduire le droit de vote à une simple histoire fiscale.



Malgré tout je ne serai pas contre la mise en place d’un impôt européen géré par une administration commune aux états membres. Actuellement je suis citoyen français, travaillant au Luxembourg et vivant en Belgique. Je déclare et paie mes revenus au Luxembourg car j’y travaille, je déclare mes impots en Belgique car j’y réside. Je fais également une déclaration en France car j’ai une très faible source de revenu en France. Tout ça est relativement facile grâce aux différents accords passés ces dernières années. Mais voilà ça demande quand même une bonne organisation. Alors que tout ceci serait bien plus simple si c’était géré au niveau suptranationale



Après je reconnais que mon cas est un peu rare, mais je ne fais que utiliser les possibilités offertes par Schengen

Le 10/04/2014 à 08h 32

seblamb a écrit :



Déclarer ces revenus et payer des impôts, c’est différent. D’ailleurs c’est le régime des multinationales.

De plus la sécu et les impôts pas les même chose, c’est pas le même budget ni les mêmes prélèvements.



Par contre le consulat, les écoles françaises par ex sont payés par les impôts.



Et le fait d’être Français cela suffit-il à avoir une influence sur le vote du budget ?







Le droit de vote est il une question de revenu qu’on déclare ? Je ne déclare pas mes revenus en France car je n’y travaille et n’y vit mais mon régime fiscal étant directement lié a des décisions politiques je ne vois pas pourquoi je n’aurai pas le droit d’avoir mon mot à dire par le vote. D’ailleurs quel est l’intérêt de déclarer des revenus si on ne paie pas d’impôts. J’aimerai comprendre la logique

Le 09/04/2014 à 18h 58

chien a écrit :



Est-ce que openvpn peut être également touché?









Ca doit dépendre de la version openSSL utilisé par openVPN. Un collègue a essayé avec l’openVPN du synology pas réussi à exploiter la faille.



Sur mon syno j’ai fait les tests avec le SSL du DSM et j’ai réussi à exploiter la faille. Les deux ne doivent pas utilisé la même version ( nous sommes sur la même version du DSM)

Le 09/04/2014 à 18h 29

Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.













sylvere a écrit :



c’est un bon exercice d’entrainement, et une piqûre de rappel pour les gens concernés (administrateurs, fabriquant).

Car on n’est pas à l’abris un jour de la découverte d’une vraie faille facilement exploitable, ce jour là il faudra réagir vite !









Vous ne la trouvez pas suffisament facilement exploitable ? Il y’a qu’a voir les screenshots du service d’authentification de chez yahoo pour se rendre compte du soucis. Il vous faut quoi ?



J’ai essayé sur mon syno et effectivement j’ai de l’info. PAs eu de mot de passe ou de session mais j’ai eu une liste des fichiers que j’ai manipuler la veille

Le 09/04/2014 à 14h 31

fred42 a écrit :



Faille présente sur le DSM 5.0 de Synologiy qui ne communique pas sur les failles non corrigées (!) :



Comme si dans le cas présent, cela servait à quelque chose de ne pas communiquer là dessus !



À l’équipe : avec vos contacts privilégiés chez eux, vous pouvez avoir une info sur la date de correction ?







C’est vrai que cette attitude est un peu décevante. Au moins savoir permets à l’utilisateur de prendre action.

Le 09/04/2014 à 13h 14

Je me pose une question quand même.



Les 64 Ko de mémoire renvoyé par le serveur est aléatoire. Comment ça se fait que dans le cas de Yahoo! , le serveur renvoie souvent des login et mot de passe ?



Le nombre d’authentification ? L’implémentation de Yahoo! de la gestion de leur authentification ?

Le 09/04/2014 à 12h 05

Ouais ok je l’ai vraiment lu en diagonal alors . Je vais m’auto fouetter

Le 09/04/2014 à 09h 47

neves a écrit :



L’article du Monde et du Parisien (le même pour les deux journaux) concernant cette vulnérabilité sont consternants de médiocrité et d’erreurs, tant techniques que d’interprétation.









Quels erreurs ? L’article du monde est pas très bon mais lors de ma lecture rapide je n’ai pas vu d’erreur d’interprétation fondamentale.