Le 16/05/2023 à 12h 09

Elles ne font pas très envies ces noms de domaines de premier niveau… Vivement .nxi

Le 16/05/2023 à 11h 15

Je ne suis pas un spécialiste et je me permets à nouveau de citer la documentation de KeePass :

Argon2d provides the best resistance against GPU/ASIC attacks. The resistance of Argon2id against GPU/ASIC attacks is somewhat weaker, but Argon2id additionally makes certain side-channel attacks slightly harder.

Mais comme des attaques par canal auxiliaire sont peu pertinentes et moins praticables sur un PC “client” (pas un serveur), ils recommandent plutôt l’utilisation d’Argon2d.

Du reste, je te recommande fortement de lire cette rubrique dans l’aide si tu souhaites en savoir plus sur Argon2 et comment le configurer efficacement

Un dernier détail : tous les algos de chiffrement (AES ou ChaCha20) ou de dérivation de clé ne sont pas forcément supportés par tous les “forks” de KeePass (applications mobiles, KeePassXC, etc.). Attention au choix de ceux-ci si on ouvre une base de données KeePass avec plusieurs applications différentes. Par expérience, ChaCha20 est supporté dans KeePass2Android, mais j’ignore ce qu’il en est pour le reste…

Le 16/05/2023 à 08h 24

D’après la documentation de KeePass, un bon compromis (entre temps de chiffrement/déchiffremnt de la base et la sécurité apportée) est de sélectionner une valeur qui mène à un délai d’une seconde d’itérations (avec AES-KDF) sur sa(ses) machines(s). Selon la puissance de sa bécane, à l’heure actuelle, on est plutôt dans l’ordre des dizaines de millions que 60’000.

Sinon, en plus du classique AES-KDF, il y a la possibilité de choisir la fonction de dérivation Argon2. Ce dernier offre une meilleure résistance aux attaques des GPU/ASIC (du fait que la fonction est exigeante en mémoire vive).

Le 16/05/2023 à 05h 58

D’ailleurs, à celles et ceux qui utilisent KeePass, ne pas hésiter à augmenter le nombre d’itérations de la fonction de dérivation de la clé, dans les paramètres de la base. Le nombre par défaut est vraiment trop faible !

Le 16/05/2023 à 05h 57

Je me méfie toujours des outils ou articles qui essaient de quantifier le temps de “bruteforcer” un mot de passe. Selon la méthodologie employée (utilisation ou non de dictionnaires, nombres de symboles différents utilisés, puissance de calcul, etc.), les chiffres peuvent être très variables et ça peut donner un faux sentiment de sécurité. En plus, tout le monde n’a pas la même définition de ce que doit être un mot de passe robuste.

Le 11/05/2023 à 09h 40

Perso, ce que je comprends, c’est que Wordpress deviendra toujours meilleur en sécurité d’années en années grâce aux nombres de personnes qui essaient de l’attaquer et qui découvrent des failles. 2 millions de sites web vulnérables, mais si les webmasters font leur travail, ce sera aussi bientôt 2 millions de sites web patchés.

On peut critiquer Wordpress, et il y a de quoi sur bien des aspects, mais le CMS fait main par l’artisan du coin (ou une grosse boîte web) n’est pas forcément moins épargné par les failles. C’est juste qu’elles mettront plus de temps à être découvertes, et peut-être encore plus à être patchées si le développeur ne fait rien ou si les clients concernés ne sont plus sous maintenance…

Le 10/05/2023 à 06h 52

Ah les “chasseurs de tête” qui t’envoient des “opportunités” par douzaine… Ça irait si elle n’étaient pas si souvent mal ciblées (par ex, pas ton domaine d’activité, pas ton niveau de formation, pas le bon langage de programmation, pas la bonne langue parlée…).

Le 04/05/2023 à 14h 35

Uther a dit:

Malheureusement le EV pose certains problèmes, comme le fait que c’est trop facile d’obtenir un certificat avec un nom de société trompeur. C’est pour cela qu’ils ne sont plus affichés de manière particulière par les navigateurs : ça présentait plus de risques que de bénéfices.

J’apprends quelque chose. Wikipédia va dans le même sens :

Until 2019, major browsers such as Chrome and Firefox generally offered users a visual indication of the legal identity when a site presented an EV certificate. This was done by showing the legal name before the domain, and a bright green color to highlight the change. Most browsers deprecated this feature providing no visual difference to the user on the type of certificate used. This change followed security concerns raised by forensic experts and successful attempts to purchase EV certificates to impersonate famous organizations, proving the inefficiency of these visual indicators and highlighting potential abuses.

Le 04/05/2023 à 08h 04

Oui, mais ce que je regrette surtout, c’est que les sites avec certificats EV (vérification étendue) ne soient pas davantage mis en valeur comme auparavant. Lorsque tu es habitué à voir le site de ta banque “en vert” et qu’il finit par être indiqué comme n’importe quel autre site sécurisé, je trouve qu’on y perd un peu tout de même. D’autant que certaines banques mettaient en avant ce marquage supplémentaire comme un gage de sécurité (pas un site contrefait) auprès de leurs clients.

Le 04/05/2023 à 07h 10

Pourquoi pas finalement. Dans Firefox, l’icône est déjà très discrète… trop discrète ? Dans le cas de certificats EV, comme pour les banques, j’ai souvenir qu’elle s’affichait en vert avec un encadré de la même couleur qui mettait en exergue le nom de l’institution. Ce n’est plus le cas actuellement, dommage.

En fait, pour en revenir au sujet initial, c’est plus l’absence de HTTPS qui doit être clairement mis en avant que sa présence. Non ?

Le 27/04/2023 à 06h 45

Mais c’est une option ou c’est imposé ? Il va falloir que je migre d’application dans tous les cas, mais en attendant, je vais simplement ne pas faire cette mise à jour…

Le 25/04/2023 à 09h 55

Moralité : désactiver la 2G sur son téléphone ?

Le 21/04/2023 à 09h 59

Ah oui, effectivement, je le connais de nom pourtant mais je l’avais complètement zappé ! Merci.

Le 21/04/2023 à 09h 04

C’est dommage pour le prix, je trouve qu’il y aurait un marché pour des formules moins onéreuses (genre 1 à 2€/mois), quitte à ce qu’elles soient limitées d’une façon ou d’une autre.

Récemment, un retraité, utilisant l’outil informatique mais pas “power user” me demandait comment gérer ses mots de passe autrement qu’en les notant quelque part. Les offres actuellement sur le marché sont trop chères pour lui. Je lui ai bien proposé KeePass, mais il lui faut quelque chose de vraiment simple d’utilisation et synchronisé entre ses appareils (téléphone, PC).

Pour un utilisateur averti comme moi, ça ne me dérange pas de mettre mon conteneur KP dans un Cloud auto-hébergé et de faire des compromis pour l’utilisation sur mobile. Mais dans son cas, c’est une voie sans issue.

Bref, il faudrait quelque chose d’aussi simple que les ténors du marché, autant sécurisé que possible, mais à un tarif bas. Et force est de constater que je n’ai rien trouvé de tel…

Le 18/04/2023 à 12h 42

Voilà, je n’avais pas la terminologie exacte, mais je parlais bien des secret chats, qui n’est pas l’option par défaut. Non pas TLS, effectivement, mais MTProto.

Après, perso je préfère le chiffrement de bout en bout E2E de Signal (utilisé dans d’autres produits comme WhatsApp), éprouvé, mais c’est personnel.

Et non, je n’utilise pas le backup dans le Cloud de WhatsApp, par exemple, donc aucun GAFAM n’a connaissance de mes messages instantanés, ni mes fichiers d’ailleurs (NextCloud auto-hébergé)

Le 17/04/2023 à 11h 21

(reply:2129613antonQ-Robespierre)

Je suis d’accord, il y a une inversion des valeurs qui devient franchement inquiétante. De nos jours, plus besoin d’essayer d’argumenter et de réfléchir, il suffit d’accuser l’autre d’être une sorte d’ennemi (par l’usage de toutes sortes de termes très connotés) et c’est bon. Trop souvent, pour répandre/justifier une idéologie nauséabonde… C’est vraiment très triste.

Le pire, c’est l’utilisation de la religion, chrétienne en particulier, pour justifier certaines prises de position haineuses ! Quand on sait que Jésus promulguait l’amour entre tous, la tolérance, le fait de tendre l’autre joue, etc. On peut dire que ça a bien dégénéré, hélas !

Le 17/04/2023 à 11h 16

Euh chiffré quand on l’active, non, sinon c’est un échange de message dont juste le canal de communication est chiffré (TLS, pas E2E) ?

Le 17/04/2023 à 07h 59

Tiens, tiens, je ne suis même pas étonné de trouver JVC là-dedans

Le 05/04/2023 à 08h 06

J’imagine que les sticks analogiques de nos manettes d’il y a 20 ans n’utilisent pas la même technologie, car ces problèmes de “drift” semblent vraiment récents… La rançon de la miniaturisation ?

Le 14/03/2023 à 09h 56

Parmi les rares films/séries que je regarde obligatoirement en VO

Le 14/03/2023 à 07h 32

Malheureusement, les chasses aux sorcières n’ont jamais réellement cessées, elles ont juste revêtues d’autres formes et d’autres noms… À chaque fois, ce sont les mêmes mécanismes à l’oeuvre : l’incompréhension, la peur et donc la haine, qui est bien souvent la résultante des deux.

J’aimerais dire que tu as raison, mais même sans religions les gens se trouvent toujours des justifications pour haïr son prochain.

Autant, je comprends comment un croyant peut en venir à détester les homosexuels, même si je n’approuve pas, autant je ne saisis pas quelles sont les motivations derrières les homophobes qui n’ont pas “l’excuse” d’un croyance ou religion ?! Là encore, je suspecte une forme d’incompréhension de l’autre et une peur irraisonnée.

Dans tous les cas, c’est triste d’en être encore là au 21ème siècle…

Le 13/03/2023 à 13h 38

C’est fou quand même. Au moins WA, même si elle est loin d’être parfaite, a du chiffrement de bout en bout pour chaque discussion

Le 13/03/2023 à 07h 44

Je n’affirme pas que Signal ou WA ont une porte dérobée, mais qu’il leur est imposé d’en implémenter une sous des prétextes souvent fallacieux et la porte ouverte à toutes sortes d’abus sécuritaires ensuite…

Et je ne vois pas bien ce que vient faire le BYOD dans ce débat

Le 13/03/2023 à 07h 09

Ah encore et toujours ce fantasme d’une porte dérobée sélective…

Le 13/03/2023 à 09h 34

J’ai très très rarement des messages, car ce n’est vraiment pas mon canal privilégier, alors je peux te confirmer malheureusement ce forçage de main supplémentaire de la part de Meta

“Eh, mais j’ai des messages ! Mince, impossible d’y accéder depuis le navigateur mobile, il faut l’app…” Et une fois sur le PC (ou en navigation desktop) : “Mais non, il n’y a rien en fait ?!”

Le 13/03/2023 à 07h 25

Exact, je dois faire pareil.

Autre pratique détestable : lorsque tu es sur la version web mobile, il y a toujours l’icône Messenger qui s’affiche en rouge avec une pastille qui t’annonce des notifications (nouveaux messages). En réalité, lorsque tu passes sur la version desktop, il n’en est rien… Ou comment forcer les gens à installer Messenger…

Le 10/03/2023 à 08h 24

Je n’ai ni l’une ni l’autre application, car je passe uniquement par le navigateur. Sauf que Meta et ses pratiques détestables font qu’il n’est pas possible de consulter ses messages depuis un navigateur mobile… à moins de changer l’UA ou de passer dans la version “Desktop” du site

Le 13/03/2023 à 07h 28

Intéressant, je ne connaissais pas. Après, ce n’est pas très applicable à distance… Et je ne suis pas impatient que nos téléphones aient un capteur à rayons X embarqué

Le 10/03/2023 à 13h 31

Oh purée, j’ai lu 2,095 GB (GigaByte) adults, du coup je ne comprenais pas bien

Le 10/03/2023 à 08h 21

Attendez, on parle d’une reconnaissance faciale qui estime l’âge ou compare le visage par rapport à celui présent sur une carte d’identité, par exemple ?

Si c’est le premier cas, alors bonne chance pour avoir quelque chose de fiable. Même l’être humain dont le cerveau est fait pour reconnaître des visages, peine à parfois à donner un âge à une personne… Entre ceux qui font plus vieux qu’ils ne le sont ou l’inverse, c’est une belle mascarade leur système

Pas étonnant que ça plaise à ceux qui ne jurent que par le solutionnisme technologique…

Le 08/03/2023 à 09h 02

Plus facile à dire qu’à faire. L’écrasante majorité de mes contacts sont sur cette messagerie. Quelques uns ont bien voulu essayer Threema, par exemple, mais au final, les discussions finissent à nouveau sur WhatsApp au bout d’un certain temps…

Au moins, les messages y sont chiffrés de bout en bout, c’est le minimum syndical, mais c’est la foire à la saucisse en ce qui concerne les métadonnées…

Sinon, merci à ne pas glisser sur “l’UE shaming” un peu trop facile Tout ce que l’UE fait n’est pas forcément “mal” ou contre nos intérêts.

Le 02/03/2023 à 09h 52

Je crois qu’avec un processeur Intel récent, c’est assez conseillé car Windows 11 gère mieux les coeurs “asymétriques” (coeurs performants + coeurs économes) des derniers Intel. Le scheduler de Windows 10 est moins (ou pas ?) optimisé pour cela. À moins que cela n’ait changé…

Le 02/03/2023 à 09h 48

Vous avez installé ExplorerPatcher ? C’est lui qui cause les redémarrages de l’explorateur avec la dernière mise à jour. Cas arrivé ici sur 3 machines…

Le 15/02/2023 à 15h 19

Ah mais purée, les ascenseurs dont parle l’article, ce sont les ascenseurs de défilement dans les programmes, pas les ascenseurs qu’on trouve dans les immeubles

Le 02/12/2022 à 09h 32

T’es un peu dur, je suis sûr qu’il a une meilleure forme physique que moi qui en ai 50 ans de moins

Le 21/11/2022 à 10h 07

Hors de propos. À ma connaissance, les entreprises privées sont tenues d’agir lorsqu’une telle chose leur est signalée. On ne parle même pas de contrôle proactif, si je comprends bien, mais d’une totale inaction de leur part… Nuance.

Le 21/11/2022 à 07h 29

Bizarrement, le livre Bad Blood n’est “plus disponible à la vente” sur le site de l’éditeur. Dommage.

Le 03/11/2022 à 07h 57

Presque le prix de la console pour un casque de VR ? Je pense qu’ils auraient pu faire un effort.

Le Meta Quest 2 qui a presque les mêmes caractéristiques (et une mémoire intégrée) débute à 450 €. OK, il a une résolution légèrement inférieure par oeil, pas de HDR et ne monte “que” jusqu’à 90 Hz, mais est-ce que ça justifie un tel écart de prix ?

Le 29/10/2022 à 06h 48

J’habite dans un village de campagne (environ 4000 habitants) et on a la chance d’avoir des stores roulants (qui obscurcissent complètement), ainsi qu’une rue très calme la nuit (à part à de rares exceptions). De fait, on peut se permettre de laisser la fenêtre ouverte en été, mais c’est vrai que ce n’est pas possible partout, y compris ici (au bord de la rue principale, il y a davantage de circulation).

Le 28/10/2022 à 11h 52

(reply:2101744:skankhunt42 )

Justement, pouvoir dormir la fenêtre ouverte, c’est vachement plus agréable et reposant lorsqu’il n’y a pas le lampadaire d’en face qui éclaire comme en plein jour ! Sinon, rien n’empêche de dormir la fenêtre ouverte (chant des oiseaux, tout ça) ET d’avoir les stores fermés (ils ne retiennent que la lumière, pas le bruit). Du coup, je ne comprends pas bien en quoi mon commentaire est, sur le fond, différent du tien

Le 28/10/2022 à 11h 09

(reply:2101725:skankhunt42 )

Quels maîtres ? Mais de quoi parles-tu exactement ?

Le 28/10/2022 à 09h 54

Ne perdons pas de vue l’impact sur la santé (des animaux et des humains). Une lumière H24, ça n’a rien de naturel et ça perturbe le sommeil, ce qui peut induire à toutes sortes de maladies cardiovasculaires et autres dérèglements.

Cela étant dit… en même temps, je trouve ça étonnant que certains soient gênés par l’éclairage public, parce que en ce qui me concerne, quand je dors, j’ai les stores complètement fermés. J’imagine mal quelqu’un dormir dans une pièce dont les fenêtres ne sont pas du tout obstruées la nuit…

Le 28/10/2022 à 08h 06

Pour de vrai, ou c’est une appréciation personnelle ? Parce que n’oublions pas que la nuit, les délinquants ne voient rien non plus…

Le 28/10/2022 à 11h 06

(reply:2101717:::1)

Parce qu’en tant qu’actionnaire, tu es partial, peut-être ? Allons

Le 28/10/2022 à 07h 23

Je ne sais pas pourquoi, mais j’ai l’impression que Twitter va devenir un lieu encore plus toxique qu’avant, et pourtant c’était déjà pas glorieux jusqu’à présent…

Le 21/10/2022 à 07h 30

Après, il est ici formellement question de bibliothèques logicielles, donc Ubuntu n’est pas vraiment un bon exemple pour le coup

Le 20/10/2022 à 08h 10

La prochaine question est de savoir s’ils laisseront l’intégration de Giphy dans leurs produits (par exemple WhatsApp) par la suite

Le 19/10/2022 à 11h 04

Si c’est le plaqué or que tu recherches : https://www.goldgenie.com/24k-gold-ipad-wifi-cellular-range/

Le 19/10/2022 à 08h 44

Cet écart de 20 euros pour avoir de l’Ethernet peut sembler pingre […]

Euh et 64 Go de plus, quand même, donc la différence de prix est vraiment minime, c’est presque cadeau (et étonnant) de la part d’Apple

Le 19/10/2022 à 08h 51

En même temps, il n’est pas obligé (ni même conseillé) de payer plusieurs services en parallèle

Perso, je résilie l’abonnement d’une plateforme quand je regarde sur une autre (au mois par mois), donc j’ai beau avoir Netflix et Disney+, en réalité je n’en paie qu’un seul à la fois