votre avatar Abonné

Baldurien

est avec nous depuis le 9 mai 2005 ❤️

1033 commentaires

Le 09/07/2025 à 13h 32

Est-ce que google passe par des API Rest pour Gemini et est-ce qu'il y a moyen de bloquer ça avec des outils comme Blockada 5 du coup ?

Le 26/06/2025 à 11h 07

création...

J'avais même pas vu l'autre, je pensais à la "souveraineté" :)

Le 25/06/2025 à 17h 32

La quoi ? (et je ne parle pas de la faute de frappe voyons :))

Le 23/06/2025 à 12h 07

Rust est-il mieux que C ?

Je ne répondrais à la question que par l'intermédiaire de mon serveur qui n'a qu'un petit Core I3 (qui a 10 ans au moins et que je devrais changer mais bref) : dés que tu dois recompiler un _crate_ Rust (quoique ça puisse être) (j'imagine à cause du compilateur Rust), ça prend des plombs par rapport à d'autres packages en C.

Du coup, il n'y a que deux types de mise à jour que je n'aime pas : Python et Rust. La première laisse toujours un arrière goût, la seconde prends un temps fou à recompiler...

Donc d'un point de vue d'emerge sous Gentoo : C > Rust > Python.

Voilà.

Le 23/06/2025 à 09h 59

Je me sens obligé de répondre à ce message ressemblant à s'y méprendre à un troll...
Arch Linux forever ! 😃

Gentoo.

Au moins, tu es sûr que le binaire corresponde au code source ! (bon après ça prend parfois des plombs à compiler, Rust par exemple histoire de relancer le débat :D)

Le 11/06/2025 à 17h 52

> Les émissions directes de GES proviennent de sources détenues ou contrôlées par l'entité déclarante. Les émissions indirectes de GES résultent des activités de l'entité déclarante, mais se produisent à partir de sources détenues ou contrôlées par une autre entité
Mais justement ces sources détenues ou controlées par une autre entité, et bien cette autre entité, elle les déclares en émission directes ? A mon niveau de compéhention, ça fait doublon.
Je pense que c'est plutôt pour pouvoir discriminer la source : si c'est une émission directe, tu as logiquement plus de capacité pour la réduire. Indirect, ça veut dire changer par exemple de fournisseur : ce n'est pas forcément simple, en tout cas, si tu dépend d'une électricité carboné, à part installer des panneaux solaires, éoliennes ou une mini central nucléaire, tu vas pas pouvoir y faire grand chose :)

Le 10/06/2025 à 17h 10

Ah.. bonne question.
Si tu as une connexion 5G+ chez Orange, tu gagnes 3ms. Et avec le nouveau DNS européen au moins 1s sans les pubs.

J'avoue que je ne vois pas le rapport...

Après vu que MS envoie un tas de conneries sur le réseau, ça m'étonnerait pas que le menu contextuel soit dépendant de la connexion réseau... pour des trucs locaux (sic).

Le 10/06/2025 à 13h 10

Est-ce que quand on fera un clic droit sur une icône épinglée, le menu contextuel s'affichera instantanément (comme sur Windows 10) contre dans 3 ou 5 secondes, ce afin de pouvoir utiliser les tâches introduites dans Windows 7 ?

Le 06/06/2025 à 15h 50

Au delà de ça, je comprends pas pourquoi ils ont changé sa numérotation : France Info prends le numéro 16 et CNEWS 14 ... mais si c'était pour réunir les chaînes infos, y avait pas besoin de changer ce numéro

Le 05/06/2025 à 10h 43

Les jeunes branleurs vont devoir redécouvrir le P2P, eux qui n'ont connu que le streaming?!! :phiphi:

Ou les newsgroups .... :D

Le 04/06/2025 à 09h 27

J'imagine bien le truc : un lorem ipsum variant de 0.5Mo à 10M, avec des phrases à la pipotron.

Le contenu semble legit, bon courage pour découvrir que c'est de la merde ^^

Mais encore mieux : en utilisant une IA pour générer un site à "peu près" crédible, pour rendre la détection de la zipbomb encore plus vicieuse :)

Le 06/05/2025 à 23h 56

Je comprends rien à la logique à part celle de vouloir faire tourner des éoliennes en brassant du vent.
Y a pas besoin de chercher plus loin :) dommage que ce soit problématique pour le réseau électrique à cause d'une sombre histoire d'inertie / fréquence / intermittence ::troll:
Et très sincèrement, les chercheurs US vont vite déchanter de la vie à la Française dans les milieux de recherches. La branlette administrative en tête, la recherche de budget à x instances et les salaires assez faibles au regard de ce qu’ils touchent au US...
Mais on a un argument imparable par rapport aux US : la sécurité sociale !
.
.
.
.
.
.
.
Enfin, s'ils trouvent un médecin :D

Le 30/04/2025 à 12h 38

On peut lancer plusieurs profils de Thunderbird simultanément. Cela fonctionne sans erreur, mais j'ignore si c'est recommandé de le faire. (Sauvegardez vos données avant, si vous avez un doute !)

Sous Linux :
thunderbird -P nom_du_profil

La création et la gestion des profils se fait avec la même ligne de commande en ne spécifiant aucun nom de profil.

+1 sur le -P

Par contre, @SébastienGavois parle de about:profiles et ça permet effectivement d'ouvrir le dit profil dans un nouveau navigateur (je viens de tester).

Après, c'est quand bien même planqué : ça serait bien que dans le menu Fichier il y ait directement ça.

Le 29/04/2025 à 18h 10

Et d'ici quelques années on aura le même constat sur l'Europe de la défense, ... :)

Le 10/04/2025 à 10h 33

Bah, tu avais juste écrit le mot "cookie" avant de le faire disparaitre ensuite
:D: :D:

Si je ne me trompe, un cookie est un fichier à part, séparé , individuel.

Ici je parlais du nombre magique, qui est un code inscrit au début d'un fichier, dans le fichier lui-même (header) et qui permet à un programme de savoir à quoi il a à faire...

Du genre : "This file is not a valid JPEG" (quand par exemple on a changé l'extension du fichier pour le forcer à s'ouvrir avec tel ou tel programme).

Enfin, bref, mes connaissances s'arrêtent là sur ce sujet.

Et en effet, il doit sûrement y avoir manière de truander ce système de nombres magiques ou d'autres méthodes pour lancer un exécutable qui n'aurait pas eu lieu d'être exécuté ( pas dans le sens de fusillé ici :D:)

J'ai de vagues souvenirs qu'à l'époque de mes cours de système, on parlait de cookie. C'était peut être juste mon prof mais bref.

Le 09/04/2025 à 20h 07

Ce n'est pas un cookie...

List of files signatures

Magic numbers

Je vois pas de quoi tu parles :D
Et surtout, ça ne change rien à la réflexion de fond : c'est juste un moyen de déterminer le format d'un fichier binaire et ça n'empêche en rien des attaques visant des composants vulnérables lisant ces formats.

Le 09/04/2025 à 16h 00

Alors qu'il existe les nombres magiques ou octets magiques pour identifier la nature d'un fichier (FF D8 & FF D9 pour du JPEG par exemple).

Après, est-ce que ça peut se trafiquer aussi d'une certaine manière...?

:keskidit:

Ce n'est pas la présence de ce nombre magique qui te protège vu que le fichier peut très bien être écrit pour cibler une bibliothèque vulnérable et en charge de lire ce fichier binaire.

Le 08/04/2025 à 10h 24

La Shenzhen 8K UHD Video Industry Cooperation Alliance (SUCA), consortium qui porte le GPMI, réunit en effet un aréopage varié d'industriels avec des grands noms des télécoms
Et merci @AlexandreLaurent pour ce nouveau mot :) Je ne sais pas comment je le recaserai, mais nul doute que je lui trouverai un emploi :)

Le 01/04/2025 à 21h 05

... Damn, un poisson d'avril.

Mais du coup, est-ce qu'on verra le top 10 des meilleurs prompts dessinés par Flock pour samedi 13:37 ?

Le 25/03/2025 à 10h 22

« Ces paramètres prennent la forme d'une liste de paires avec des clefs/valeurs associées, chacune séparée par une esperluette (&) [oui, c’est le vrai nom, pas et commercial ou américain, ndlr]. Le serveur web peut utiliser ces paramètres pour effectuer des traitements supplémentaires avant de renvoyer la ressource. Chaque serveur web applique ses propres règles pour la gestion des paramètres », explique Mozilla.
Je me souviens d'une époque où justement, le W3C recommandait de remplacer l'esperluette par un autre caractère (le point virgule par ex), car & pose problème en XML vu qu'il faut l'écrire &

Il y a donc quelques arnaques sur certaines URL :)

cf. https://www.w3.org/TR/1999/REC-html401-19991224/appendix/notes.html#h-B.2.2

Le 18/02/2025 à 18h 06

(mode sarcasme) Et grâce à Vladimir, l’Ukraine récupère même de nouveaux métaux .... :ooo:

Le 18/02/2025 à 10h 27

Non pour 3 raisons :

1) c'est bien la touche Alt et pas Alt Gr
2) je l'avais bien laissée enfoncée, sinon ça n'aurait pas fait ce que j'ai décrit.
3) C'est un moyen de saisie qui ne fonctionne pas sur mon système où il faut taper : Ctrl+Maj+U puis B1 puis la touche Entrée.

Remarque : B1 est le code Unicode du caractère ±. C'est quand même mieux que d'utiliser une table de caractères dépassée datant de l'IBM PC.

Sinon sous Windows, Windows + ; permet de rechercher les caractères ... ± est présent dans les symboles Ω (dans la barre en haut ) puis < (dans la barre en bas) puis tout en bas de la liste des symboles.

Le 11/12/2024 à 17h 47

Peut-être que c'est pour entraîner une IA pour déchiffrer l'écriture des médecins... :)

Par contre, autant les ordonnances sur gmail/ce n'est pas top, mais il y avait pas un autre souci plus grave sur l'un des principaux logiciels utilisés par les pharmaciens (genre 50%) et qui vient des états unis et qui stockaient tout ça aux US ?

Le 08/11/2024 à 22h 21

Le groupe affiche des ambitions fortes avec « la généralisation du passeport digital à tous les produits électroménagers de seconde vie Fnac Darty » au premier trimestre 2025, « pour s’élargir ensuite progressivement aux produits neufs ou réparés ».
L’enseigne explique en effet qu’elle se prépare à « l’arrivée en Europe du passeport numérique des produits (DPP) dont l’entrée en vigueur est prévue de façon progressive à compter de 2027 ».
On sent que c'est pas le même interlocuteur qui a répondu :)

Le 28/10/2024 à 09h 38

@Ferd a expliqué que c'était pour mettre en avant le travail de Flock.

Comme ici, ce n'est pas une image signée par lui, je propose que l'on mette en œuvre une IA (@Ness_01 ?) pour voir si l'image est de Flock (il les signe toujours et c'est amusant, il faut la chercher dans le dessin) et dans ce cas uniquement la mettre sur toute la largeur de la fenêtre.
:fumer:

Heu Joker, sinon une disposition en colonne pour du 2K avec l'image à gauche, texte au milieu, sommaire à droite :)

Le 24/10/2024 à 15h 16

Y a que chez moi que l'image de la CNIL prends toute la place (1210×588 pixels...), me forçant à scroller pour lire le texte ?
(et c'est encore pire en zoomant).

Le 24/10/2024 à 15h 12

Pas d'inquiétude mon bon dyox, je suis en veille.

Pour le coup, c'est un peu mieux sur le bandeau "Ness_01" (couleur de fond #282a35 texte #4554cc ou #b86b2b)

Le 24/10/2024 à 09h 49

Plutôt sympa le nouveau bandeau mais par contre, le bleu de "Equipe" sur l'entête du commentaire, et le "Orange" du Abonné sur la même entête ne sont pas très visibles et rate le test du WCAG :)

Le 10/10/2024 à 11h 48

Chez Amazon, on souhaite bon courage à la Commission. « Nous sommes convaincus que ces affirmations ne tiendront pas la route lorsque la FTC devra les prouver », a ainsi déclaré Tim Doyle, porte-parole d’Amazon. « La vérité est que les pratiques d'Amazon sont bonnes pour la concurrence, les consommateurs et les petites et moyennes entreprises qui vendent dans notre magasin, tandis que l'approche de la FTC rendrait les achats plus difficiles et plus coûteux ».
Tellement bonne qu'en France, Amazon est devenu tellement prédominant que la concurrence a globalement disparue :yaisse:

Le 25/09/2024 à 13h 27

Il ne faut pas beaucoup d'imagination pour comprendre comment un adversaire étranger ayant accès à ces informations pourrait poser un risque sérieux à la fois pour notre sécurité nationale et pour la vie privée des citoyens américains
Voilà, j'ai corrigé l'article :)

Le 23/09/2024 à 16h 40

Bien vu, après, il faut avoir un récepteur Zigbee pas loin.
Donc le risque n'est pas si grand.

Imaginons autrement : tu as un émetteur qui fonctionne sur la prise TIC avec une puce 3/4/5G qui n'a pas de soucis et le problème reste entier.

Reste à savoir que peut apporter l'information pour celui qui voudrais s'en servir : autant je vois l'intérêt personnel de ce genre de dispositifs, par exemple être capable de détecter des consommations anormales, autant j'imagine bien que pour espionner des habitudes (lumières allumées, etc) ça doit être bien pratique...

C'est juste con que par chez nous ce boitier (Linky) et son pote pour le gaz (Gazpar?) soient trop facilement accessibles... Et je ne regarde pas non plus s'il y a un TIC dessus (je ne savais même pas que c'était possible de faire ça !)

Enfin bon, j'imagine que ça faisait déjà parti des craintes à l'époque des lois imposant Linky (je me souviens encore de flyer à propos de la prétendue dangerosité électromagnétique de Linky et m'être déjà dis que c'était pas ça le réel problème mais bien la donnée personnelle :))

Le 23/09/2024 à 10h 49

Le module LiXee se branche directement sur la prise TIC du compteur connecté. Pour y accéder, il faut enlever le capot vert, ce que n’importe qui peut faire, car il n’est pas plombé. Le « plomb » se trouve en dessous du capot (on le voit sur la gauche de la photo ci-dessous).
ça m'inquiète légèrement ça : si ton boitier est dans la rue, même protégé (le notre l'ait via une porte dont le verrou saute à chaque coup de vent), ça veut dire que n'importe qui a accès au boitier et peut mettre ce genre d'appareil ?

Le 18/09/2024 à 09h 47

Windows 11 traine encore avec lui un héritage d’anciennes versions du système d’exploitation, notamment dans son interface. Elle comporte toujours de vieux panneaux, comme le panneau des propriétés ou les boites apparaissant lors de la copie ou du déplacement de données. Avec le flux des mises à jour, on note une progression, notamment dans l’Explorateur, les Paramètres et le gestionnaire des tâches. Mais ce rythme est lent, brisant encore trop souvent l’unité graphique du système, neuf ans après l’arrivée de Windows 10.
Et les lenteurs d'affichage, c'est un héritage de Windows Vista c'est ça ? :D

Le 16/09/2024 à 14h 34

Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre aux frais d'Avis. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager
Faudrait pas non plus que les clients victimes paient...
Surtout que bon, pourquoi ont-ils stockés ces données ? Et comment ? En clair ? Chiffrées avec une clef également volée ?
Y a pas des options de paiement en ligne où on stocke juste la transaction ?

Le 03/09/2024 à 12h 31

65 millions de photos pédocriminelles dans la version originale de LAION-5B

Si je comprends bien, il s'agit d'images accessibles librement sur Internet : j'ose espérer qu'ils ont prévenu les autorités sur ces 65 millions d'image en libre accès ? :o

Le 06/06/2024 à 14h 32

« Les agents chargés des tests ont également fait savoir que la qualité de leurs rapports s'était considérablement améliorée, Draft One incluant des déclarations et des actions qui auraient pu être facilement négligées ou manquées si elles avaient été effectuées manuellement. »
Pourtant, ça aurait été bien : l'IA n'aurait pas arrêté de dire que ce n'est pas "éthique" ni constructif ou positif ! :)

Le 05/06/2024 à 10h 24

Contre couper le son, je ne sais pas s'ils peuvent détecter, mais pour le reste, ils pourront faire ça.

Ils peuvent surtout détecter le ... changement d'onglet. Je l'ai déjà vu sur certains sites, donc pas impossible.

Le 13/04/2024 à 11h 50

La question est de savoir si les paramètres du ligne de commande sont nécessaires au système d'exploitation ou pas. La réponse est non. L'OS à juste besoin de savoir le programme à lancer, et les paramètres à passer, mais n'a pas à connaitre la structure des paramètres (tableau ou ligne).
Sous Linux, le choix a été fait d'organiser les paramètres sous forme de tableau. Sous Windows, c'est une chaine de caractère. Les deux sont tout à fait viable et ont de subtiles différences.
Analyser une ligne de commande pour la traduire en paramètres, n'est pas le souci en soit : le souci c'est que cette analyse ne sert à rien dans le cas d'une API surtout quand tous les programmes C/C++ passent par une méthode main qui prends le nombre de paramètres (argc) et ces paramètres (argv).

C'est le cas autant sous Windows que sous Linux.

D'ailleurs, j'ai aussi trouvé la doc qui explique ce que fait Windows pour transformer une chaîne en paramètres :
learn.microsoft.com Microsoft
Je ne parlais de la complexité en terme de temps de calcul, mais de la complexité d'avoir un algorithme correcte. Et j'avoue ne pas trop voir en quoi le temps de lancement vient jouer un rôle ici. On parle des paramètres des programmes. Cela n'a strictement rien à voir.
Justement : l'algorithme est simple.
Calculer la somme des tailles de chaîne d'un tableau c'est très facile.
Rien ne justifie la méthode de Windows, certainement pas la complexité algorithme ou le temps d’exécution de l'algorithme.
Jusqu'au jour où on va se rendre compte que linux a en fait potentiellement le même problème, car quand un script est exécuté, l'interpréteur est déterminé via le shell bang. Chaque interpréteur peut avoir des règles d'échappements différents. Du coup, là aussi, on accusera Windows ?
Sauf que les règles du shebang sont (probablement) entièrement liées au système : j'imagine que sous Linux, il commence déjà par voir à quoi il a affaire, programme ELF ou simple fichier avec shebang, puis il fait son travail : ce n'est pas l'application qui doit faire ce travail.

Si par exemple le caractères 0x36 doit être interdit, c'est le système que tu patches : pas chaque programme souhaitant lancer un programme.

Or, c'est justement ça le cœur du problème ici : Rust doit gérer ça, Java doit gérer ça, ...
Pas pour rien non. Quand les systèmes sont différents, il faut bien palier les différences. C'est le rôle du pattern adapteur ou d'un wrapper en programmation. Mais parfois c'est compliqué oui. Comme ici.
Certes, mais tout le débat ici c'est justement que cette différence n'a aucun sens dans le cas présent et ne fait qu'introduire des failles de sécurité pour rien...

Si on veut parler d'un adapter/wrapper, probablement que tous les langages utilisant CreateProcess devraient passer par une API commune, cela réduirait les surfaces d'attaque.

Et pour le shebang, c'est au final assez bien décrit : https://www.man7.org/linux/man-pages/man2/execve.2.html

Et ça me donne l'impression qu'au final, il refait un exeve en ayant juste changer le programme pour celui du shebang et ajouter le paramètre optionnel en début du tableau = pas de ligne de commandes.

Le 13/04/2024 à 11h 42

Parce que tu fournis une ligne de commande à analyser (parser) plutôt que de fournir le résultat de cette analyse ? Résultat que tu connais car au final, d'un point de vue programme tu connais les paramètres du programme que tu appelles.
Cela passe pour un shell, où l'utilisateur entre des commandes, mais pas pour des APIs bas niveau.

La question est de savoir si les paramètres du ligne de commande sont nécessaires au système d'exploitation ou pas. La réponse est non. L'OS à juste besoin de savoir le programme à lancer, et les paramètres à passer, mais n'a pas à connaitre la structure des paramètres (tableau ou ligne).

Sous Linux, le choix a été fait d'organiser les paramètres sous forme de tableau. Sous Windows, c'est une chaine de caractère. Les deux sont tout à fait viable et ont de subtiles différences.
Et je ne vois pas le souci d'espaces dans la façon Linux : tu passes juste un tableau de chaîne de caractères (terminées par le caractère NUL). Le fait de vérifier la taille max de l'ensemble n'est pas plus coûteux : vu la différence de temps de lancement entre Linux et Windows (plus lent), ce n'est certainement pas ça le plus coûteux !
Je ne parlais de la complexité en terme de temps de calcul, mais de la complexité d'avoir un algorithme correcte. Et j'avoue ne pas trop voir en quoi le temps de lancement vient jouer un rôle ici. On parle des paramètres des programmes. Cela n'a strictement rien à voir.
D'une part, la façon de faire de WIndows introduit des problèmes d'analyses vu que les règles sont difficiles à utiliser (je dis ça d'expérience de batch),
Jusqu'au jour où on va se rendre compte que linux a en fait potentiellement le même problème, car quand un script est exécuté, l'interpréteur est déterminé via le shell bang. Chaque interpréteur peut avoir des règles d'échappements différents. Du coup, là aussi, on accusera Windows ?
Or, il s'agit bien de ça : Rust a une faille critique à cause de cette façon de faire qui nécessite un travail compliqué, mal compris et pour rien
Pas pour rien non. Quand les systèmes sont différents, il faut bien palier les différences. C'est le rôle du pattern adapteur ou d'un wrapper en programmation. Mais parfois c'est compliqué oui. Comme ici.

La question est de savoir si les paramètres du ligne de commande sont nécessaires au système d'exploitation ou pas. La réponse est non. L'OS à juste besoin de savoir le programme à lancer, et les paramètres à passer, mais n'a pas à connaitre la structure des paramètres (tableau ou ligne).
Sous Linux, le choix a été fait d'organiser les paramètres sous forme de tableau. Sous Windows, c'est une chaine de caractère. Les deux sont tout à fait viable et ont de subtiles différences.
Analyser une ligne de commande pour la traduire en paramètres, n'est pas le souci en soit : le souci c'est que cette analyse ne sert à rien dans le cas d'une API surtout quand tous les programmes C/C++ passent par une méthode main qui prends le nombre de paramètres (argc) et ces paramètres (argv).

C'est le cas autant sous Windows que sous Linux.

D'ailleurs, j'ai aussi trouvé la doc qui explique ce que fait Windows pour transformer une chaîne en paramètres :
learn.microsoft.com Microsoft
Je ne parlais de la complexité en terme de temps de calcul, mais de la complexité d'avoir un algorithme correcte. Et j'avoue ne pas trop voir en quoi le temps de lancement vient jouer un rôle ici. On parle des paramètres des programmes. Cela n'a strictement rien à voir.
Justement : l'algorithme est simple.
Calculer la somme des tailles de chaîne d'un tableau c'est très facile.
Rien ne justifie la méthode de Windows, certainement pas la complexité algorithme ou le temps d’exécution de l'algorithme.
Jusqu'au jour où on va se rendre compte que linux a en fait potentiellement le même problème, car quand un script est exécuté, l'interpréteur est déterminé via le shell bang. Chaque interpréteur peut avoir des règles d'échappements différents. Du coup, là aussi, on accusera Windows ?
Sauf que les règles du shebang sont (probablement) entièrement liées au système : j'imagine que sous Linux, il commence déjà par voir à quoi il a affaire, programme ELF ou simple fichier avec shebang, puis il fait son travail : ce n'est pas l'application qui doit faire ce travail.

Si par exemple le caractères 0x36 doit être interdit, c'est le système que tu patches : pas chaque programme souhaitant lancer un programme.

Or, c'est justement ça le cœur du problème ici : Rust doit gérer ça, Java doit gérer ça, ...
Pas pour rien non. Quand les systèmes sont différents, il faut bien palier les différences. C'est le rôle du pattern adapteur ou d'un wrapper en programmation. Mais parfois c'est compliqué oui. Comme ici.
Certes, mais tout le débat ici c'est justement que cette différence n'a aucun sens dans le cas présent et ne fait qu'introduire des failles de sécurité pour rien...

Si on veut parler d'un adapter/wrapper, probablement que tous les langages utilisant CreateProcess devraient passer par une API commune, cela réduirait les surfaces d'attaque.

Le 12/04/2024 à 23h 30

Et pour le coup, si Windows ne fournit pas l'API pour éviter (car il s'agit de ça au final) de prendre les paramètres et de recréer une ligne de commande, alors oui Windows est responsable de la situation.
Ben non, pas d'accord. En quoi c'est une situation à éviter ? Ce sont des choix, différents (ce que je souligne depuis le début), et c'est de cette différence que vient le problème.

Et les deux ont aussi des différences en dehors du caractère d'échappement. Il est beaucoup plus simple avec l'approche de Windows de vérifier la taille max des arguments de la ligne de commande (alors que sous linux, il faut la reconstituer, sans oublier de compter les espaces !). Car oui, il y a une taille max !

De même, l'approche utilisée par Windows préserve les espaces. S'il y a besoin de 3 espaces entre deux arguments, c'est possible de le faire sous Windows, pas sous Linux.

Encore une fois, il n'y a pas une approche qui soit meilleure qu'une autre. Ce sont juste 2 approches différentes.

Ben non, pas d'accord. En quoi c'est une situation à éviter ? Ce sont des choix, différents (ce que je souligne depuis le début), et c'est de cette différence que vient le problème.
Parce que tu fournis une ligne de commande à analyser (parser) plutôt que de fournir le résultat de cette analyse ? Résultat que tu connais car au final, d'un point de vue programme tu connais les paramètres du programme que tu appelles.
Cela passe pour un shell, où l'utilisateur entre des commandes, mais pas pour des APIs bas niveau.

Et je ne vois pas le souci d'espaces dans la façon Linux : tu passes juste un tableau de chaîne de caractères (terminées par le caractère NUL). Le fait de vérifier la taille max de l'ensemble n'est pas plus coûteux : vu la différence de temps de lancement entre Linux et Windows (plus lent), ce n'est certainement pas ça le plus coûteux !
Encore une fois, il n'y a pas une approche qui soit meilleure qu'une autre. Ce sont juste 2 approches différentes.
Si justement : dans le cas présent, il s'agit d’exécuter un programme depuis un autre programme avec les paramètres connus.

D'une part, la façon de faire de WIndows introduit des problèmes d'analyses vu que les règles sont difficiles à utiliser (je dis ça d'expérience de batch), pas documentée sur la doc de CreateProcess (pas trouvé sur la page de lien ou d’explication), d'autre part ça introduit des failles de sécurité du fait de cette complexité et de cas limites (notamment sur les caractères ").

Or, il s'agit bien de ça : Rust a une faille critique à cause de cette façon de faire qui nécessite un travail compliqué, mal compris et pour rien

Le 12/04/2024 à 20h 25

J'ai regardé l'article de blog cité pour plus de détails techniques.

Alors non, le problème ne vient pas de Windows. Le problème vient de la différence de comportement entre le monde Unix et le monde Windows (plus particulièrement, les caractères d'échappement à utiliser lors de la création d'un processus, où, sous Linux les spawn, popen, etc. utilise le backslash tandis que CreateProcess (l'API WIndows donc) utilise le caret (^).

Le fait que la même erreur ait été faite par plusieurs équipes distinctes dans plusieurs langages n'en fait pas un problème de Windows. Quand on appelle mal une API, il ne faut pas rejeter la faute sur l'API.

Des comportements Unix ont été calqués sur Windows, et après on vient dire que c'est de la faute de Windows. Le problème aurait tout aussi bien pu être dans l'autre sens, et là, personne n'aurait remis en cause Linux.

Comme expliqué dans l'article, on peut regretter que la communication soit axée sur Rust alors que la faille touche de nombreux langages. C'est juste que la faille a été découverte via Rust en premier.

Pour avoir eu un souci similaire en Java (plus exactement une issue reportée par un outil de sécurité), c'est surtout qu'il y a une différence fondamentale entre Windows et Linux : en C, tu as des commandes comme execvp dont la signature passe par un tableau de paramètres.

Mais CreateProcess fonctionne différemment : learn.microsoft.com Microsoft
[in, out, optional] lpCommandLine
The command line to be executed.
The maximum length of this string is 32,767 characters, including the Unicode terminating null character. If lpApplicationName is NULL, the module name portion of lpCommandLine is limited to MAX_PATH characters.
On passe une ligne de commande - pas un exécutable et ses paramètres - , ce qui introduit tout un tas de problèmes :

- celui des espaces
- celui des caractères spéciaux, qui t'en qu'à faire sont différents de Windows à Linux
- ... une limite de 32767 caractères

Pour reprendre Java, et je suppose que Rust fait pareil, on utilise bien des tableaux dans le code du langage : github.com GitHub

Côté Windows, on voit que Java recalcule une ligne de commande : github.com GitHub

Côté Linux c'est (bien) différent : on passe des tableaux, que des tableaux, rien que des tableaux avec la seule contrainte du caractère NUL en fin de chaîne.

- github.com GitHub
- github.com GitHub

Et pour le coup, si Windows ne fournit pas l'API pour éviter (car il s'agit de ça au final) de prendre les paramètres et de recréer une ligne de commande, alors oui Windows est responsable de la situation.

(si les liens ci-dessus référencent Java 21, ça existe depuis au moins Java 8, donc ce problème Windows qui concerne Rust, Java, etc.... est là depuis au moins 2013 :))

Le 04/04/2024 à 18h 33

Et le mieux, c'est quand tu utilises le dit téléphone pour te connecter à l'application nécessitant la MFA. :D

Le 06/03/2024 à 12h 53

Merci beaucoup. Ça doit être ça, y compris l'analogie avec la musique.

Bon après... autant vscode permet de faire des "chords", autant je n'ai pas trouvé avec PowerToys..
Par contre, on peut envoyer des SMS via une touche....

Je n'ose imaginer qui a pu penser que ça serait une bonne idée, à part pour spammer :D

Le 06/03/2024 à 09h 54

Je pense qu'il s'agit de combinaison de raccourcis : https://code.visualstudio.com/docs/getstarted/keybindings
Chords (two separate keypress actions) are described by separating the two keypresses with a space. For example, Ctrl+K Ctrl+C.
Et ça doit réutiliser le terme musical car j'imagine que l'idée c'est une note = un raccourci, un accord = un groupe de raccourci.

Après, suis pas musicien alors pas tapé !!!! :)

Le 05/03/2024 à 09h 48

Et ce, alors que dans le même temps, Orange a pu économiser des frais de recherches et développement. La société Entr'Ouvert précisant, sans être démentie, que ce logiciel a nécessité treize années de travail.
Non, il y a bien eu recherche, sinon comment bénéficier gratis du crédit impôt recherche, voyons ? :)

Le 05/03/2024 à 09h 45

Vous n'avez rien compris : les assurés ont une forte appétence pour l'informatique, il l'a demande !

cf https://www.francetvinfo.fr/economie/emploi/carriere/vie-professionnelle/retraite/video-assurance-retraite-comment-traiter-les-dossiers-de-40-de-pensionnes-en-plus-avec-14-deffectifs-en-moins_4256079.html (à 2m38).

Le 28/02/2024 à 17h 26

Il y a un équivalent du syndrome de Kessler dans le domaine de l'information ? :embarassed:

Le 12/02/2024 à 19h 34

je pense que tu fait référence à ceci : fr.wikipedia.org Wikipedia
il est question des satellite mais de géocroiseur et autre astéroïde.
Ces dernier doivent allez trop vite. cependant il se désagrége en partie en rentrant dans l’atmosphère

@Ossito on dirait que c'est ça mais j'étais plus dans l'idée que sa masse avait forcément une influence et risquait du coup de désorbiter des satellites.

Le 12/02/2024 à 13h 37

Et d'ailleurs, dehors de la collision classique, il n'aurait pas un pouvoir d'attraction sur ses derniers qui pourraient les détruire par gravité ?

Le 08/02/2024 à 12h 31

Je dirais que c'est sous entendu qu'il y a fix de sécurité 3.5.18, 4.0.14, 4.1.14 et 4.2.6.
1 2 20 21