Le 19/01/2023 à 18h 08

Merci pour ces explications ! Marrante la vidéo des IA qui exploitent les bugs

Le 18/01/2023 à 21h 41

On pourrait assister à une sorte de nivellement niant l’originalité d’autres solutions

Les algos d’optimisation ont souvent ce paramètre, qui consiste à introduire de l’entropie justement pour cette raison, pour élargir le champ des possibles. C’est par exemple une mutation dans un algo dit génétique. Un “x” peut se transformer en “y”, même si ce “y” n’était pas présent dans le set de départ, c’est à dire que d’une certaine façon l’algorithme est capable d’innover.

Et là, j’aimerais bien savoir ce qu’il en est des algos de type machine learning, que je connais bcp moins (s’il y a des experts dans la place ?)
Je crois qu’il y a en principe une dose d’aléatoire utilisée dans la sélection des modèles, qui fait en sorte que les mêmes entrées ne donneront pas nécessairement les mêmes sorties, mais ça me paraît assez fondamentalement différent de l’aléatoire des algos stochastiques car on reste contraint par les modèles initiaux, en quelque sorte l’algo ne s’éloignera jamais des sentiers battus. Ou peut-être y a-t-il d’autres façons d’introduire de l’originalité… Je serais curieux de savoir.

Le 17/01/2023 à 08h 27

Autre problématique qu’on voit pointer : le risque de black-boxisation du comportement de l’OS. C’est déjà très opaque pour l’utilisateur lambda, ça risque de le devenir même pour les experts.
Peut-être faut-il que les IAs expliquent systématiquement leurs choix ? Ce qui soulève une autre question : pourra-t-on systématiquement s’y fier?

Le 21/10/2022 à 20h 09

yl a dit:

C’est d’ailleurs car tout est si bien rangé que depuis au moins 15 ans, tout machin codé en Java est livré avec sa JVM et ses dépendances pour être certain d’avoir un truc fonctionnel! Bonjour le poids du “Hello World” niveau sumo.

Peut-être justement que Java ne s’adresse pas à ceux qui veulent faire un hello world?

Et sinon y’a un truc qui s’appelle graalvm, qui existe depuis un peu plus de 3 ans, et qui permet de faire en java à peu près tout le contraire de ce que tu dis :)

Le 01/07/2022 à 22h 33

Courage l’équipe NXI
Je suis pas sûr que monter le prix de l’abonnement soit une solution (risque de perte d’abonnés ?), Mais peut-être faut-il plus insister sur les dons récurrents , peut-être en présentant des options couplées abo+dons et en incluant des infos comptables sur la situation du mag comme c’est fait dans cet article ?

Le 30/06/2022 à 04h 14

(reply:2080089:Ler van keeg)

Idem. Dès que je cherche une recette de cuisine j’ajoute “-marmiton” à la query => adieu marmiton.
Y’a aussi des extensions, comme https://addons.mozilla.org/en-US/firefox/addon/ublacklist/ (pas encore essayé)

Le 27/05/2022 à 18h 53

Le montant me parait énorme étant données les turbulences que le secteur traverse. C’est le 2e plus gros rachat dans la tech si je ne m’abuse

Le 29/04/2022 à 14h 57

Pour l’anecdote, chez Red Hat il y a eu une fameuse reply-all storm “unsubsquirrel” qui a dégénéré et est restée dans les mémoires, au point que certains ont créé des sites et des goodies .

Tout ça partant de certains qui, ne sachant pas comment se désinscrire d’une liste, ont reply all “unsubscribe” , ça fait boule de neige, puis une typo s’en mêle, etc.

Histoire racontée ici https://www.reddit.com/r/redhat/comments/px7u56/eli5_unsubsquirrel/helnvy3/?utm_source=reddit&utm_medium=web2x&context=3

Le 15/02/2022 à 17h 59

On a d’un côté des boîtes qui veulent se débarrasser des seniors, et de l’autre les Etats qui veulent retarder l’âge de départ à la retraite… On est d’accord qu’il y a un truc qui cloche dans l’approche libérale, non? Un libéral dans la salle pour m’expliquer ?

Le 14/02/2022 à 20h 07

(reply:1930157:Idiogène)

Mais le coût du transport c’est bcp lié au covid, rien ne dit que ça persistera au long terme, si ça se trouve ce sera déjà retombé avant même que les investissements aient commencé à être consommés

Le 14/02/2022 à 18h 56

Je comprends bien ces investissements massifs pour corriger le tir sur le moyen terme, mais la stratégie à long terme, je ne la vois pas.

Quand Ursula VDL dit: « Il est clair qu’aucun pays, ni même aucun continent, ne peut être entièrement autosuffisant. C’est impossible. L’Europe s’emploiera toujours à maintenir les marchés mondiaux ouverts et à les maintenir connectés », elle combat l’idée de protéger l’industrie européenne par des leviers politiques (taxes…). Hors qu’est-ce qui risque de se passer sur le long terme ? La hausse de la production résorbe les pénuries (c’est bien ce qu’on lui demande), donc refait chuter les prix, donc remet les industries EU en grosse tension sur la compétitivité, donc rebolote sur les fermetures et compagnie, et on revient au point de départ.

C’est quoi la stratégie pour lutter contre ça ?

Le 24/01/2022 à 19h 55

“Il n’y a même pas de contre-indication : télécharger un gestionnaire, remplacer ses anciens de mots de passe et s’en servir pour les créations de comptes ne peut qu’améliorer la sécurité générale de vos informations.”

Enfin, mis à part qu’on créé un “single point of failure”, surtout si on utilise les générateurs & online. Un service momentanément inaccessible peut mettre dans la m…

Le 22/01/2022 à 06h 50

Je suppose qu’il y a une raison pour inclure tous ces appareils. À mon avis c’est pour regrouper les équipements numériques (disons numérique plutôt que connecté) les appareils utilisant de l’électronique “avancée”, plus consommatrice de terres rares/lithium/etc , par opposition à “l’électronique à papa”. Je pense qu’il faut voir là une volonté de catégoriser selon le type d’approvisionnement que ça engendre

Le 22/01/2022 à 06h 36

(reply:1925795:étienne)

Je vois pas ça comme étant la norme sur le poste de dev. Tu parles de stacks php que je connais pas trop, alors je ne sais pas ce qu’il en est dans ces environnements, mais pour fréquenter plus des devs go / jvm / js certes les containers sont très utilisés mais pas forcément sur les postes de dev en local. Ça ajoute une interface entre toi et ton programme, donc en général, quand on recherche la simplicité/debuggabilité/réduire la surface de recherche en cas de problème… Ce n’est pas forcément l’idéal

Le 23/12/2021 à 06h 01

Multiplier les langages dans un produit c’est possible, mais ça a aussi un coût qu’il faut mettre en balance avec les gains : complexité accrue (sur l’interfaçage moins aisé/parfois bancal comparé à des modules au sein d’un même language, sur les tests automatisé avec environnements multiples à setup, sur le déploiement…), ça veut dire plus de stacks techniques à maîtriser, recrutement plus difficile (ou alors les équipes travaillent en silo, chacun sur ce qu’il maîtrise, ce qui crée d’autres genre de problèmes), même chose au runtime niveau opération : plus d’environnements à maîtriser et à maintenir.

Bref je dis pas du tout que c’est une mauvaise chose forcément, mais il faut pas voir ça comme LA solution, il y a des contreparties.

Le 22/12/2021 à 23h 04

Je pense qu’aujourd’hui, que que soit le langage, on pourra trouver un tooling mature autour qui va palier aux faiblesses du compilo. Les analyses statiques de code, linters et autres sont devenus incontournables (valgrind, eslint, sonar…). Donc pour peu qu’on prenne le temps de bien les configurer, oui en effet on peut faire du “propre”. Même en JS 😁

(Ceci dit, le premier rempart restera toujours le compilo)

Le 22/12/2021 à 22h 21

“Lenteur” et “conso ram/cpu” ne sont pas la même chose, voire ça peut être opposé.
Exemple, tu veux mesurer ce que tes serveurs sont capables d’encaisser en throughput, tu peux avoir dans certains langages une conso mémoire/cpu relativement faible mais un throughput pas terrible, et dans d’autres une plus grande conso et un meilleur throughput (donc meilleures perfs) et c’est d’ailleurs là où java s’en tire parfois bien.
Ce qui compte c’est d’utiliser efficacement les ressources à disposition. Les optimisations de la JVM aident beaucoup à ça.

Exemple ici des benchs ou des frameworks java sont massivement représentés dans le top 20 sur des centaines de frameworks testés, même s’ils n’ont pas les toutes premières places : https://www.techempower.com/benchmarks/#section=data-r20&hw=ph&test=query

Le 21/12/2021 à 23h 08

J’aimerais quand même bien savoir quels langages tu considères comme secure ou pas, autant pour rust je comprends, mais pour moi tous les autres (java, c, c++, c#, php, js, python…) sont à peu près dans le même sac. Donc la comparaison avec flash, comment dire… si on va dans ce sens, on jette tout aux orties et on ne garde que rust. C’est ça l’idée ? 🙂

Le 21/12/2021 à 22h 38

Globalement d’accord avec ça, la vision de Java comme un langage qui serait un nid de failles est imho une vision très éculée, ceci dit il y a quand même des langages réputés plus secure, comme rust (en fait je vois que lui mais sans doute y en a-t-il d’autres). Mais c’est beaucoup moins mainstream dans tous les cas. Dans les langages mainstream, je n’en vois pas qui saute aux yeux.

Gardons à l’esprit aussi que la majorité des CVE vient toujours de ce bon vieux buffer overflow, qui est plutôt l’appanage de c/c++.

Le 21/12/2021 à 22h 32

anagrys a dit:

Après, je peux me tromper, mais une appli qui embarque une version vulnérable de log4j sans l’utiliser (cas présenté plus haut) est-elle vulnérable à cette faille ? Il me semble qu’il faut qu’un message compromis soit traité par le moteur de la librairie de logging - et que le serveur distant soit accessible, ce qui est peu fréquent dans un SI fait correctement.

Tout à fait.
Encore faut-il vérifier que les dépendances elles-mêmes n’utilisent pas log4j. Dans tous les cas, si on l’a dans son classpath, mieux vaut la mettre à jour (une lib de log c’est pas le plus difficile à mettre à jour en général) ou virer la classe JndiLookup (ne serait-ce aussi que pour se prémunir des futurs usages)

Le 21/12/2021 à 17h 53

Dans mon message auquel tu as répondu, je citais justement les big techs, les banques, etc. Évidemment c’est de leur part que je m’étonne de n’avoir pas, ou mal, audité une lib comme log4j. Pas de la petite PME du coin ;-)
Les grosses ESN, je sais pas comment ils approchent la sécurité, mais j’imagine qu’ils doivent pas faire trop à la légère non plus surtout lorsqu’ils sont sur du stratégique / défense etc.

Le 21/12/2021 à 17h 25

Euhhh… auditer les dépendances c’est la base, y’a tellement de choses qui passent par là, les supply chain attacks notamment. J’aimerais savoir sur quoi tu t’appuies pour dire “aucune société n’audite les dépendances” ?

Le 21/12/2021 à 17h 06

Ce qui me scie le plus dans cette histoire, c’est que la faille existe depuis presque 10 ans, rendant vulnérables les plus grosses boites de la tech, bancaires, les gouvernements etc. et malgré la simplicité de la faille et son exploitation, aucun audit de sécurité ne l’a repérée?
Je sais pas, j’imagine que rien qu’un nom de classe “JndiLookup” devrait allumer deux ou trois warnings chez les infosec, non?

Le 17/12/2021 à 16h 35

Paix à ton âme Aaron Schwartz 😢

Le 08/12/2021 à 19h 25

Ah spour ça que ma CI était dans les choux!

Le 30/11/2021 à 11h 43

Sur le sujet des images docker, c’est tout frais ça vient de sortir : http://jpetazzo.github.io/2021/11/30/docker-build-container-images-antipatterns/

“Anti-Patterns When Building Container Images” par @jpetazzo

Le 24/11/2021 à 20h 31

+1 pour podman, et je me suis mis depuis peu à utiliser le multi-stage comme décrit par SebGF, avec des images “distroless” ou “minimal” ça change la vie!
On crée une image intermédiaire qui embarque toute la toolchain, et une image finale réduite qui n’embarque que le résultat, tout ça au sein d’une même Dockerfile.

Et si alpine reste peut-être une référence concernant la taille de l’image, si on prend en compte d’autres paramètres comme la politique de support/backporting/sécurité d’autres images tirent leur épingle du jeu comme la ubi8-minimal de redhat ou les “distroless” chez gcr.io

Le 24/11/2021 à 23h 06

Je comprends pas trop les commentaires, gaia-x, me semble-t-il, n’a jamais été conçu comme un outil de patriotisme économique, c’est une mauvaise interprétation à mon avis. Évidemment ceux qui fondaient des espoirs là dessus ne peuvent qu’être déçus.
Si je reprends les différentes infos et communiqués qu’on avait au départ, c’est essentiellement :

1. Pour la souveraineté des data (et non pas pas du logiciel sous-jacent iaas/paas/etc. en soi)


2. Pour la disponibilité des data, que je comprends comme une forme d’interopérabilité entre les providers.

Autrement dit le but n’est pas de renforcer l’industrie cloud/software européenne, mais de sécuriser l’usage du cloud pour les utilisateurs européens. (Vis à vis du cloud act, tout ça…)

Partant de là, c’est juste logique que les gros cloud providers soient impliqués, non?

Après, quant à savoir s’il y a des chances de succès, je ne m’avancerais pas…

Le 24/06/2021 à 09h 23

Euh .. j’ai rien dit

$ echo $XDG_SESSION_TYPE
x11

Le 24/06/2021 à 09h 05

Auparavant, tout passait par le CPU, rendant les machines à base de GPU NVIDIA difficilement utilisables.

J’ai nvidia + wayland avec les drivers proprio (rpmfusion) depuis un bail, sans que ça me pose de souci.
Après, j’ai pas fouillé pour chercher si les jeux passent automatiquement en mode X11, mais en tout cas je n’ai pas de config spécifique à faire pour que tout fonctionne.

Le 27/05/2021 à 15h 46

C’est bien beau de demander le retrait des données.. mais même à supposer que clearview se plie aux lois et accède réellement aux demandes de suppression, c’est typiquement le genre de solution qui peut prospérer sur un marché noir, et contre lequel on n’aura pas beaucoup de prise (si ce n’est éviter de publier des photos ou tenter de les falsifier).

Le 13/04/2021 à 16h 13

En tout cas c’est une bonne nouvelle que l’État investisse in fine dans l’open source. Je serais moi aussi curieux de suivre comment ça se passe, quels sont les logiciels concernés, quel sera le degré d’implication.

Prochaine étape, rentrer dans les steering committees ?

Le 06/04/2021 à 10h 48

Java évoluait plutôt lentement jusqu’à java 7, et à partir de Java 8 ils ont passé quelques vitesses. D’ailleurs les lambdas ça date de java 8. Ensuite il y a eu le type inference, switch expression, record, sealed classes … jusqu’à java 16 désormais. Je trouve que ça évolue plutôt vite.
(Pour un aperçu des évolutions: https://dev.to/wejdi_gh/how-java-has-advanced-in-the-past-6-years-from-java-8-to-java-15-4gj3 )

Après, je pense que c’est un peu comme C#, je vois java comme une sorte de standard industriel, parfois un peu à la traîne sur certains points, et des langages qui gravitent autour comme kotlin (comme F# pour C# ?) qui font un peu figure de laboratoire et qui se voient emprunter des features au gré des évolutions du langage mainstream.

Le 06/04/2021 à 10h 30

Dans le monde “enterprise”, ça reste prévalant.
J’ai trouvé ce site, aucune idée de ce que ça vaut : https://www.grandviewresearch.com/industry-analysis/application-server-market , mais il ne prévoient pas de baisse sur le marché des serveurs d’applications, au contraire.

Le 06/04/2021 à 09h 52

(reply:1865368:Boris Vassilieff)

Java & Oracle c’est les montagnes russes, une sorte de “je t’aime moi non plus” qui change au fil des années et des signaux envoyés. Ces dernières années, les ingés d’Oracle ont fait un taf remarquable autour de Graal/Substrate VM par exemple. On ne peut pas dire qu’ils abandonnent la partie. Je ne sais pas si / à quel point Java est rentable aujourd’hui pour Oracle, ça reste certainement une bonne source de revenus via les souscriptions.

Le 01/04/2021 à 13h 36

Chapeau à Georges Stavracas pour ce boulot. Bon, bien sûr, j’attends de voir ça fonctionner de façon stable car pour le moment j’ai toujours des bugs avec le plugin obs-xdg-portal. Mais comment en vouloir à un développeur seul qui se tape tout le taf? Ce qui m’attriste c’est que gnome / red hat via fedora n’aient pas mis un peu plus la main à la pâte pour ces soucis qui dépassent le cadre de OBS uniquement.. comme il l’explique, ça l’a amené à proposer des correctifs dans pipewire, mutter,
xdg-desktop-portal … Si ça se trouve, ça bénéficiera à d’autres apps (comme slack mentionné par marba)

Le 29/03/2021 à 17h 05

Exactement ce que je me suis dit! Mon téléphone n’a plus de mise à jour système depuis deux ans, je risque pas de me faire avoir!

Le 26/03/2021 à 10h 22

deathscythe0666 a dit:

Moi non plus, je ne suis pas d’accord, d’après la majorité des sources qu’on trouve en ligne, en 2019 (je ne sais pas si des stats plus récentes ont déjà été consolidées), le durée de renouvellement moyenne (mondiale) est de 20 mois, et 24 pour la France. Elle est certes en augmentation (effet covid et absence d’évolution majeure) mais certainement pas de quoi la multiplier par 2 ou 3.

Un mot important dans ta phrase, c’est “moyenne”. Si la moyenne de renouvellement est de 24 mois, il y a beaucoup de monde qui renouvelle moins que ça. Donc oui dans les faits, il y a énormément de device android criblées de trous.

Concernant l’article cité plus haut [1] sur les 0-days donnant “l’avantage” à Android, il ne faut pas surinterpréter : non seulement la valeur n’est pas indexée uniquement sur la sécurité du système (la popularité entre en compte), mais surtout, cette approche élude la question de la vulnérabilité des systèmes non mis à jour, puisque dans ces cas-là, même les failles connues publiquement restent non patchées. Ce qui est bien le problème majeur d’Android niveau sécurité.

[1] https://threatpost.com/android-zero-days-worth-more-iphone-exploits/147981/

Le 25/03/2021 à 09h 04

C’est quoi ton souci? J’ai wayland + drivers proprio nvidia, ça fonctionne bien. Peut-être que ça dépend de la carte…

Le 24/03/2021 à 18h 05

(reply:1863026:Trit’)

Personne ne dit ici que les SSD sont fragiles, je crois que tu surinterpretes. Ce n’est pas parce qu’il y a eu du FUD sur ce sujet il y a quelques années, qu’il faudrait s’interdire toute amélioration dans le domaine. D’après la release note, cette compression réduit les “write amplifications”, ce qui a priori est une bonne chose, pas uniquement pour la durée de vie, potentiellement aussi pour les performances (selon le cas d’usage) cf https://fedoraproject.org/wiki/Changes/BtrfsTransparentCompression

Le 26/02/2021 à 20h 14

Merci tu m’as donné envie d’aller faire un don

Le 26/02/2021 à 17h 29

Si c’est pour retrouver du taf dans une boite qui ne prend pas la sécurité à la légère, ils y gagneront.

Le 25/02/2021 à 07h 50

Oh tiens, une répétition de l’affaire Dedalus en vue, à une échelle autrement plus importante? https://www.politico.eu/article/data-at-risk-amazon-security-threat/
Avec whisteblowers virés comme il se doit…

Le 24/02/2021 à 15h 36

Malheureusement le fait que la sécurité soit prise à la légère par des responsables peu scrupuleux, même si ça me fout hors de moi ça ne me surprend pas.

Ce qu’il faut voir c’est comment l’État / l’ANSSI / la CNIL pourrait empêcher ça. Aujourd’hui j’ai pas l’impression qu’ils aient assez de pouvoir ou de volonté pour empêcher ça. Ils paraissent bien peu souvent menaçants contre les mauvais élèves.

Le 24/02/2021 à 15h 31

Il serait aussi question de migrations entre l’ancien et le nouveau systèmes (tous deux de Dedalus), effectuées par Dedalus, qui pourraient être à l’origine de cette fuite (d’après l’article de libé)

Le 24/02/2021 à 16h 57

Le “beaucoup de relecteurs qui vérifient le code”, ça s’applique à quelques grosses / sérieuses boîtes mais c’est loin d’être une généralité, c’est d’ailleurs dans l’argumentaire de cet article.
Je me souviens de cette attaque en 2018 : https://medium.com/@hkparker/analysis-of-a-supply-chain-attack-2bd8fa8286ac
Parfois quand on veut s’attaquer à une cible, il suffit d’examiner les chaînes de dépendances, en dehors du contrôle de la cible, pour y trouver un maillon faible. Cette attaque de 2018 est ingénieuse et en même temps peut être réalisée par un seul hackeur doué, pas besoin d’une armée étatique. Comme dit dans l’article, même lorsqu’on essaye de sécuriser sa supply chain, on peut difficilement tout contrôler tellement ça grossit exponentiellement.

Le 24/02/2021 à 16h 39

C’est le moment de ressortir ce dessin: https://xkcd.com/2347/

Le 23/02/2021 à 17h 14

J’ai râté un épisode, pourquoi ils ont abandonné le message sur les retweets d’article? Ça ne me paraissait pas si mal, c’était quoi le problème?

Le 15/02/2021 à 07h 54

Le hash ne garantit pas l’unicité (il la rend juste probable), or contrairement au mot de passe, une adresse mail sert généralement d’identifiant donc doit absolument être unique. Je suppose que c’est la raison.

Le 12/02/2021 à 11h 47

La responsabilité n’est pas toujours si simple à établir. Les failles peuvent être exploitées en 0-day, venant d’une partie de l’infra qui n’a pas encore de correctif disponible, par exemple. Ici, les passwords leakés sont chiffrés, ce n’est pas dit qu’il y ait un défaut de sécurisation flagrant.