Baldurien
est avec nous depuis le 9 mai 2005 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
996 commentaires
Une faille critique dans le langage Rust, Windows trinque
Le 12/04/2024Le 13/04/2024 à 11h 50
Et pour le shebang, c'est au final assez bien décrit : https://www.man7.org/linux/man-pages/man2/execve.2.html
Et ça me donne l'impression qu'au final, il refait un exeve en ayant juste changer le programme pour celui du shebang et ajouter le paramètre optionnel en début du tableau = pas de ligne de commandes.
Le 13/04/2024 à 11h 42
Analyser une ligne de commande pour la traduire en paramètres, n'est pas le souci en soit : le souci c'est que cette analyse ne sert à rien dans le cas d'une API surtout quand tous les programmes C/C++ passent par une méthode main qui prends le nombre de paramètres (argc) et ces paramètres (argv).
C'est le cas autant sous Windows que sous Linux.
D'ailleurs, j'ai aussi trouvé la doc qui explique ce que fait Windows pour transformer une chaîne en paramètres :
https://learn.microsoft.com/en-us/cpp/cpp/main-function-command-line-args?view=msvc-170#the-main-function-signature
Justement : l'algorithme est simple.
Calculer la somme des tailles de chaîne d'un tableau c'est très facile.
Rien ne justifie la méthode de Windows, certainement pas la complexité algorithme ou le temps d’exécution de l'algorithme.
Sauf que les règles du shebang sont (probablement) entièrement liées au système : j'imagine que sous Linux, il commence déjà par voir à quoi il a affaire, programme ELF ou simple fichier avec shebang, puis il fait son travail : ce n'est pas l'application qui doit faire ce travail.
Si par exemple le caractères 0x36 doit être interdit, c'est le système que tu patches : pas chaque programme souhaitant lancer un programme.
Or, c'est justement ça le cœur du problème ici : Rust doit gérer ça, Java doit gérer ça, ...
Certes, mais tout le débat ici c'est justement que cette différence n'a aucun sens dans le cas présent et ne fait qu'introduire des failles de sécurité pour rien...
Si on veut parler d'un adapter/wrapper, probablement que tous les langages utilisant CreateProcess devraient passer par une API commune, cela réduirait les surfaces d'attaque.
Le 12/04/2024 à 23h 30
Parce que tu fournis une ligne de commande à analyser (parser) plutôt que de fournir le résultat de cette analyse ? Résultat que tu connais car au final, d'un point de vue programme tu connais les paramètres du programme que tu appelles.
Cela passe pour un shell, où l'utilisateur entre des commandes, mais pas pour des APIs bas niveau.
Et je ne vois pas le souci d'espaces dans la façon Linux : tu passes juste un tableau de chaîne de caractères (terminées par le caractère NUL). Le fait de vérifier la taille max de l'ensemble n'est pas plus coûteux : vu la différence de temps de lancement entre Linux et Windows (plus lent), ce n'est certainement pas ça le plus coûteux !
Si justement : dans le cas présent, il s'agit d’exécuter un programme depuis un autre programme avec les paramètres connus.
D'une part, la façon de faire de WIndows introduit des problèmes d'analyses vu que les règles sont difficiles à utiliser (je dis ça d'expérience de batch), pas documentée sur la doc de CreateProcess (pas trouvé sur la page de lien ou d’explication), d'autre part ça introduit des failles de sécurité du fait de cette complexité et de cas limites (notamment sur les caractères ").
Or, il s'agit bien de ça : Rust a une faille critique à cause de cette façon de faire qui nécessite un travail compliqué, mal compris et pour rien
Le 12/04/2024 à 20h 25
Pour avoir eu un souci similaire en Java (plus exactement une issue reportée par un outil de sécurité), c'est surtout qu'il y a une différence fondamentale entre Windows et Linux : en C, tu as des commandes comme execvp dont la signature passe par un tableau de paramètres.
Mais CreateProcess fonctionne différemment : https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createprocessw
On passe une ligne de commande - pas un exécutable et ses paramètres - , ce qui introduit tout un tas de problèmes :
- celui des espaces
- celui des caractères spéciaux, qui t'en qu'à faire sont différents de Windows à Linux
- ... une limite de 32767 caractères
Pour reprendre Java, et je suppose que Rust fait pareil, on utilise bien des tableaux dans le code du langage : https://github.com/openjdk/jdk/blob/master/src/java.base/share/classes/java/lang/ProcessBuilder.java#L1126
Côté Windows, on voit que Java recalcule une ligne de commande : https://github.com/openjdk/jdk/blob/master/src/java.base/windows/classes/java/lang/ProcessImpl.java#L453
Côté Linux c'est (bien) différent : on passe des tableaux, que des tableaux, rien que des tableaux avec la seule contrainte du caractère NUL en fin de chaîne.
- https://github.com/openjdk/jdk/blob/master/src/java.base/unix/classes/java/lang/ProcessImpl.java#L158
- https://github.com/openjdk/jdk/blob/master/src/java.base/unix/native/libjava/ProcessImpl_md.c#L655
Et pour le coup, si Windows ne fournit pas l'API pour éviter (car il s'agit de ça au final) de prendre les paramètres et de recréer une ligne de commande, alors oui Windows est responsable de la situation.
(si les liens ci-dessus référencent Java 21, ça existe depuis au moins Java 8, donc ce problème Windows qui concerne Rust, Java, etc.... est là depuis au moins 2013 :))
Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation
Le 04/04/2024Le 04/04/2024 à 18h 33
Et le mieux, c'est quand tu utilises le dit téléphone pour te connecter à l'application nécessitant la MFA.
PowerToys 0.79 permet de lancer des applications par des raccourcis clavier
Le 06/03/2024Le 06/03/2024 à 12h 53
Bon après... autant vscode permet de faire des "chords", autant je n'ai pas trouvé avec PowerToys..
Par contre, on peut envoyer des SMS via une touche....
Je n'ose imaginer qui a pu penser que ça serait une bonne idée, à part pour spammer
Le 06/03/2024 à 09h 54
Je pense qu'il s'agit de combinaison de raccourcis : https://code.visualstudio.com/docs/getstarted/keybindings
Et ça doit réutiliser le terme musical car j'imagine que l'idée c'est une note = un raccourci, un accord = un groupe de raccourci.
Après, suis pas musicien alors pas tapé !!!! :)
Orange condamnée à 860 000 euros pour contrefaçon et violation de la licence libre GNU GPL
Le 05/03/2024Le 05/03/2024 à 09h 48
Non, il y a bien eu recherche, sinon comment bénéficier gratis du crédit impôt recherche, voyons ? :)
Dématérialisation des services publics : la Sécurité sociale filtre les appels
Le 05/03/2024Le 05/03/2024 à 09h 45
Vous n'avez rien compris : les assurés ont une forte appétence pour l'informatique, il l'a demande !
cf https://www.francetvinfo.fr/economie/emploi/carriere/vie-professionnelle/retraite/video-assurance-retraite-comment-traiter-les-dossiers-de-40-de-pensionnes-en-plus-avec-14-deffectifs-en-moins_4256079.html (à 2m38).
Google paye des éditeurs d’information pour entraîner une nouvelle plateforme d’IA générative
Le 28/02/2024Le 28/02/2024 à 17h 26
Il y a un équivalent du syndrome de Kessler dans le domaine de l'information ?
« Armageddon » : comment l’ONU se prépare face aux risques des astéroïdes
Le 12/02/2024Le 12/02/2024 à 19h 34
@Ossito on dirait que c'est ça mais j'étais plus dans l'idée que sa masse avait forcément une influence et risquait du coup de désorbiter des satellites.
Le 12/02/2024 à 13h 37
Et d'ailleurs, dehors de la collision classique, il n'aurait pas un pouvoir d'attraction sur ses derniers qui pourraient les détruire par gravité ?
Des incidents de sécurité chez AnyDesk et Mastodon
Le 08/02/2024Le 08/02/2024 à 12h 31
Je dirais que c'est sous entendu qu'il y a fix de sécurité 3.5.18, 4.0.14, 4.1.14 et 4.2.6.
Apple préparerait un App Store dédié à l’Europe
Le 16/01/2024Le 16/01/2024 à 11h 25
[quote]
Et ce n’est pas tout. Apple va devoir autoriser la désinstallation des applications préinstallées. C’est actuellement possible pour une partie d’entre elles, mais de manière limitée. On peut par exemple supprimer Mail, mais l’application n’est pas complètement supprimée. En cas de besoin, on peut toujours la récupérer depuis l’App Store. La question se pose en outre pour Safari : son moteur (WebKit) étant obligatoire pour les navigateurs tiers, pourra-t-il être supprimé ? À moins qu’il ne s’agisse que d’un effacement de surface.
[/quote]
C'est lié au DMA cette autorisation de désinstaller les applications préinstallées ?
Si oui, est-ce que le DMA considère que la simple désactivation (comme Android) est suffisant et si non, c'est censé arriver sur Android aussi ?
PS: c'est pourquoi le retour du quote markdown ? :)
Mesurer son exposition aux ondes : à la découverte du dispositif gratuit de l’ANFR
Le 03/01/2024Le 03/01/2024 à 15h 39
Merci Sébastien pour l'article.
Est-ce que via le même formulaire on peut demander l'analyse des perturbations locales, notamment sur la bande FM classique ou la Radio Numérique Terrestre ? (pas mal de parasites)
L’Union Européenne investit 65 millions d’euros dans 17 projets de « clean tech »
Le 20/12/2023Le 20/12/2023 à 15h 05
Lire ça m’écœure toujours autant... alors qu'il y a plein de friches industrielles, etc...
[Édito] Crypter, chiffrer : le défi de la vulgarisation
Le 15/12/2023Le 17/12/2023 à 12h 26
Sans compter le fameux frigogidaire :)
Le poing Dev – Round 7
Le 04/12/2023Le 06/12/2023 à 17h 56
Oui ! Cela passe !
Et le flux avec la clef passe mais si j'ajoute &feed=rss2.
ça devrait simplifier ma vie :)
Le 05/12/2023 à 21h 28
[quote]Étrange, le problème c'est que https://next.ink/feed/{rsskey}/condensedbrief n'est pas possible avec WordPress, la manière de gérer des flux customs ne permet pas de faire ça :/[/quote]
D'mon temps, on était capable de faire des redirections avec Apache ou Nginx...
[quote]T'as pas d'endroit où tu peux mettre des arguments en dehors du champ URL ? Je n'ai pas d'accès à Netvibes et ils ont fermés les inscriptions[/quote]
... ah
Non, je confirme qu'il y a juste un champ URL et si les inscriptions sont fermées, ... faut peut-être que je trouve une alternative à Netvibes alors.
J'avais testé sans convictions feedly mais bref...
(mais l'absence de date sur le flux sans rsskey est toujours là, vous ne m'endormirez pas comme ça ! )
(et j'aimerais bien savoir comment on fait des citations dans les commentaires ? Markdown ? BBCODE ? HTML ? On ne cite pas à cause du droit d'auteur ?)
Le 05/12/2023 à 19h 17
J'ai testé plein de fois avec l'URL fournie par Next.ink et toujours le même résultat : si j'ajoute
https://next.ink/feed/condensedbrief?rsskey=RSSKEY
(avec la bonne clef RSS :)) dans Netvibes, il supprime le paramètre rsskey et "corrige" l'URL pourhttps://next.ink/feed/condensedbrief/?feed=rss
Ce qui m'amène à deux points :
1) le second lien est quelque part valide, sinon ça renverrait une erreur 403. Or s'il est valide, il manque bel et bien ces méta données.
2) Netvibes ne doit pas apprécier les variables dans l'URL et dans ce cas, une solution
https://next.ink/feed/{rsskey}/condensedbrief
(ou autre) éviterait cela.Je peux toujours demander à leur support mais j'ai des doutes sur une réponse (d'autant que c'est un compte gratuit).
... en tout cas, ça me force à retenir ce que j'ai lu ...
Le 05/12/2023 à 11h 21
Est-ce que vous pourriez compléter les méta données des flux RSS ? :)
Je suis actuellement sur le condensé et Netvibes me mets à chaque fois les news d'il y a une semaine sur "aujourd'hui" : https://next.ink/feed/condensedbrief/?feed=rss
Si je prends une différence par rapport à un autre flux RSS (au hasard, ceux générés par le forum : https://forum.nextinpact.com/forum/1-machines-fixes-et-composants.xml/ ), j'ai ça qui manque : le pubDate.
Sans cela, ça arrive dans un ordre quelconque et Netvibes ne sait pas trop si c'est si nouveau ou pas (il manque probablement d'autres méta données, genre un permalink).
C'est d'ailleurs bizarre que ce ne soit pas inclut vu que ça semble généré par wordpress.
Plainte contre l’alternative paiement ou publicité comportementale de Meta
Le 28/11/2023Le 28/11/2023 à 18h 41
Y a toujours le souci du non consentement sur les données des non abonnés au service ? Genre les cookies et autres déposés sans consentement via des bannières facebook ou instagram ?
Et si oui, est-ce qu'on devrait réclamer à Facebook les 251,88€ (même pas le tarif psychologique ) que valent la non utilisation de nos données ?
Le poing Dev – Round 5
Le 21/11/2023Le 22/11/2023 à 10h 00
Juste pour repréciser, en espérant que vous relirez ma réponse :
1) mon compte Baldurien pointe sur ma boite Gandi qui prends fin le 27/11/2023
2) j'avais un second compte crée en 2008
J'emploie "j'avais" car j'ai supprimé ce dernier avant la semaine dernière pour pouvoir changer l'email.
Sauf que ça a du se perdre au passage à Next.ink ...
Vu que je n'ai pas trouver comment supprimer son compte (ça manque), j'ai tenté de modifier l'email du compte doublon : ça n'a pas non plus fonctionner donc y a toujours le même bug.
Le 21/11/2023 à 13h 41
C'est normal qu'on ne puisse pas changer d'email ? Le lien d'activation du nouvel email ne semble rien faire.
Sachant que j'ai 1) supprimer un compte doublon avec ce même email (j'ai pu le faire sur NextInpact) 2) renouveler mon abonnement à 8€ vendredi et que ça n'apparaît pas
Projet Odyssée : le projet de musée du jeu vidéo en France dépasse 2 millions d’euros sur KissKissBankBank
Le 07/11/2023Le 07/11/2023 à 09h 01
Also Emmanuel Macron:
(je sais bien qu’il s’est excusé, mais bref :))
Le premier adjoint au maire de Nice s’attaque (encore) à la CNIL
Le 04/10/2023Le 04/10/2023 à 08h 08
Bonne idée !
Vu tous les programmes TV, je pense qu’il nous manque vraiment un Loft Story “politique”
InWin lance son ModFree, « le premier boîtier entièrement modulaire »
Le 03/10/2023Le 03/10/2023 à 15h 46
Oui, mais au bout de 100k points, tu as une belle fusée qui décolle.
Le 03/10/2023 à 11h 53
+1
On va aussi pouvoir jouer à Tetris au physique en plus du virtuel
La FTC et 17 États attaquent Amazon, accusée de bloquer la concurrence
Le 27/09/2023Le 27/09/2023 à 07h 58
Si vrai : tu achètes un truc sur Amazon, et y a quelque part un lien avec un (joli) dark pattern et tu actives Prime sans même le vouloir ou tu t’en rends compte après : après, c’est clair et simple pour se désinscrire… De là à dire que ça sert le consommateur par contre….
#Flock est de retour en pleine forme \o/
Le 02/09/2023Le 02/09/2023 à 11h 46
Excellente celle sur Pole Emploi et la fuite de données
Worldcoin sous pression pour sa gestion de la vie privée
Le 14/08/2023Le 15/08/2023 à 08h 37
Si la légalité était questionnable, pourquoi ça a pu se faire ?
Surtout qu’on demande l’iris, donc une donnée biométrique assez sensible, et que la société (OpenAI) a déjà quelques petits soucis liés au consentement et à la collecte de données ?
Comment les sondes Voyager communiquent avec la Terre à 20 milliards de km
Le 07/08/2023Le 07/08/2023 à 15h 02
Du coup, est-ce qu’elle ne devrait pas postuler à la NASA ? En plus, elle prend moins de place et coûte probablement moins cher
Amazon Prime attaqué par la FTC pour inscriptions sans consentement
Le 22/06/2023Le 22/06/2023 à 08h 01
+1
Remarque, pour se désinscrire, c’était simple… :o
Mais dans tous les cas, s’il n’y avait pas cette vente quasi forcée … idem pour la FNAC et Deezer ou le truc de cashback…
Les PowerToys 0.70.0 ajoutent deux outils bien pratiques
Le 30/05/2023Le 31/05/2023 à 07h 45
Oui, mais encore faut-il le savoir :)
Le 30/05/2023 à 09h 50
Alors autant la feature, je ne sais pas, autant le raccourci clavier est foireux comme par permis : il va littéralement s’activer sur tout le PC, pas que l’explorateur. Et ainsi donc, si vous utilisez des IDE avec Ctrl + Espace pour la complétion, vous n’allez pas aimer car PowerToys va bloquer le raccourci clavier et l’IDE ne verra rien.
Néobanques, banques en ligne : quelle place à l’heure des tensions économiques ?
Le 29/05/2023Le 30/05/2023 à 07h 55
J’imagine qu’il parle du fait que si tu veux du cashback, alors la banque va transmettre une partie de tes transactions à des tiers. Ce qu’en principe elle ne fait pas (en théorie …)
Conflit entre agriculteurs néerlandais et Microsoft sur le droit à produire de l’azote
Le 11/04/2023Le 11/04/2023 à 08h 10
Plutôt sa construction, non ?
Comment le Digital Markets Act va-t-il se mettre en place ?
Le 21/03/2023Le 22/03/2023 à 11h 08
On est d’accord que ça s’applique aux facebooks et autres logiciels pré-installés sur Android par des fabricants (Samsung…) ?
Même si l’appareil n’est plus “maintenu” ?
TypeScript 5.0 se restructure autour d’ECMAScript
Le 21/03/2023Le 21/03/2023 à 08h 52
Un petit lien vers une liste des nouveautés : https://devblogs.microsoft.com/typescript/announcing-typescript-5-0/
(pour ceux que ça intéresse)
Je plussoie : surtout quand tu pars de Java, langage fortement typé à JS - langage (trop) faiblement typé, TypeScript est un subtil mélange.
Garuda Linux : la version Raptor 230305 abandonne Latte-dock et fiabilise certains composants clés
Le 10/03/2023Le 13/03/2023 à 10h 00
François Fillon XIV ????
Empreinte du numérique : les prévisions (inquiétantes) de l’ADEME et l’Arcep aux horizons 2030 et 2050
Le 07/03/2023Le 07/03/2023 à 17h 11
Les vidéoprojecteurs ? On parle bien des appareils avec une ampoule et qui projette sur un écran ?
Je veux bien que ce soit mieux qu’une télévision à la production, mais à l’utilisation ?
L’euro numérique sera gratuit
Le 26/01/2023Le 26/01/2023 à 08h 47
Je ne sais plus si la news est passé sur NI, mais grosso modo le Yuan numérique a une date d’expiration : https://envahis.com/la-nouvelle-monnaie-numerique-chinoise-est-livree-avec-une-date-dexpiration-pour-le-meilleur-et-pour-le-pire/
Alors dans la pratique, je ne sais pas ce que ça implique, à part que la monnaie circule plus (pour éviter son expiration).
Claviers mécaniques : comment choisir et tester ses switchs ?
Le 17/01/2023Le 18/01/2023 à 16h 51
Je mange pas sur le clavier, donc il s’agit principalement de cheveux, de poussières…
mais après, à chacun ses petits plaisirs culinaires
Le 17/01/2023 à 15h 23
Je nettoie sous le clavier, pas régulièrement, mais au moins une fois par an…
Après, j’avoue brutaliser certaines touches
Je joue pas forcément : je tape au clavier (télétravail, etc…).
Le 17/01/2023 à 12h 41
AZERTY et transparent pour le RGB light.
En tout cas, merci pour le site que je vais garder sous la main, dés fois que je trouve ce que je veux.
Le 17/01/2023 à 10h 23
C’est moins le switch que la qualité ou le “touché” de la touche qui est dessus qui m’inquiéterait : j’avais un Tesoro AZERTY + Cherry Brown, et qui avait pour seul défaut un bug sur le backspace (en gros, le clavier faisait comme si j’appuyais sur la touche, effaçant tout ce que j’ai écris = arg).
J’ai changé ça par un clavier Corsair, un K quelque chose RGB, ben… je ne compte plus le nombre de touches cassées (c’est à dire, qui ne tiennent plus en place sur le switch brown).
Heureusement que j’ai gardé le Tesoro pour faire réserve de touches…
(et oui, je sais qu’on peut racheter des keycaps, mais je n’ai pas eu le temps de bien chercher, et si c’est pour se retrouver un truc qui ne tiens pas la route…)
Le radiotélescope géant ALMA paralysé pendant 48 jours après une cyberattaque
Le 02/01/2023Le 02/01/2023 à 15h 35
Si attaque il y a eu lieue, est-ce que ça veut dire que des pirates auraient pu créer des deep fakes d’observations astronomiques ? (voir même de vidéos prises sur la Lune, chut, pas taper )
Cookies publicitaires : la CNIL sanctionne Microsoft à hauteur de 60 millions d’euros
Le 22/12/2022Le 22/12/2022 à 12h 29
Par contre, vu que Microsoft nous arrose de Bing dés le démarrage de Windows (le fond d’écran d’invite de connexion vient de Bing après tout), est-ce que ça s’applique aussi à ça ?
Elon Musk menace d’anciens conseillers et responsables de la modération de Twitter
Le 14/12/2022Le 14/12/2022 à 08h 40
En espérant que les preuves qu’ils pourraient trouver soient plus probantes que les preuves d’arme de destruction massive d’un certain Powel… :)
USB Type-C : la directive européenne au journal officiel, l’application en décembre 2024
Le 09/12/2022Le 12/12/2022 à 09h 42
A la rigueur… mais dans ce cas là, si c’est vraiment si bien, tu ouvres l’élément d’innovation technique à la concurrence. Sachant que ce n’est pas ça qui va ruiner Apple…