Le 12/01/2022 à 03h 02

(quote:1922704:ra-mon)
Les éditeurs de navigateurs basés sur Chromium sont aussi libres (et, pour certains, c’est même une priorité) de virer toutes googueuleries (extensions, API, composants…) inutiles et/ou potentiellement mauvaises pour la vie privée.

La télémétrie, que tu trouves sûrement génante , semble être très utile à Mozilla pour faire évoluer Firefox. L’analyse de milliards de clics aurait même permis de faire évoluer, dernièrement, l’interface du navigateur , voir https://blog.mozilla.org/en/mozilla/news/modern-clean-new-firefox-clears-the-way-to-all-you-need-online/

Ah oui une télémétrie super invasive pour mieux ignoré ce que la communauté veut ce qui leur a fait perdre énormément de part de marché ? #DRM #Pocket #Télémétrie (je doit vraiment refaire toute les décision de merde ou tous le monde a compris ?)

FrancoisA a dit:

Non. Les libristes mettent Chromium (qui est libre), plutôt que Chrome (auquel Google ajoute ses raccourcis applicatifs entre autre).

Perso je voit plus de libriste recommandé brave que tous les autres, car hormis tor, c’est le numéro 1 au niveau protection de la vie privée (je ne compte pas Vivaldi dans le tas car il ne proxy pas toute les communications avec google comme fait brave et les libriste ne l’installe pas (vivaldi) a cause de l’interface propriétaire).

(quote:1922634:::1)
peut être et sans doute parce que les internautes bouffent gafamnt sans limites? c’est ainsi, ils veulent du toufacil sans sprandlatèt, et ont raison de ne pas vouloir se compliquer la vie.

le numérique, c’est celui qui facilite le plus qui a gagné, c’est la grande loi du commerce monopolistique, tu ne pourras rien y changer. le monde est fait pour être imparfait.

Voila pourquoi je recommande brave (ou vivaldi selon les gout en matière d’interface du type face a moi), car leur permet le confort de chrome, avec plus de vie privée (un bon vieux compromis a la belge)

fred42 a dit:

Comment ça “rien ne justifie” ? Et la liberté d’entreprendre (de Google), la liberté de choix (des utilisateurs) ?

Tu voudrais n’avoir que Firefox et Safari sur le marché ?

Sans oublier qu’un bon (au doigt mouiller mais je doit pas entre être loins) 80% des sites sont optimisé (entendre par la testé) uniquement sur du chrome/chromium. du coup tous les autres parte perdant d’avance niveau perfs / bug.

(comme un autre avant je signale par transparence que j’utilise Brave sous Fedora et Windows 11)

Le 12/01/2022 à 02h 50

(quote:1922594:skankhunt42 )
“ La forte méfiance face aux politiciens “

C’est clair que quand un politiciens me dit qu’il faut interdire X alors que la science dis que le niveau de dangerosité n’est que de 2 sur 20 mais qu’en même temps il fait ouvertement la publicité de Y alors que la science dis que le niveau de dangerosité est de 14 sur 20 mon niveau de confiance baisse fortement.

Nous en sommes arrivées à un point ou il faudrait qu’une instance supérieure puisse valider ou non leur propos avant de les relayer. Car beaucoup de gens prennent pour argent content leur avis qui ce transforme peu à peu en opinion.

Et le jours ou l’ont s’en rend compte, la confiance tombe à zéro.

Faudrait surtout surtout oublier le concept de démocratie et plutôt pensé technocratie (pouvoir au plus méritant), (pour le choix des ministre de tel ou tel département), car bon quand on tape un ministre de la santé qui n’est ni chercheur en biologie du vivant ou médecin faut pas s’étonné que les hôpitaux vont mal.

Et enfin il faudrait sanctionné de manière systématique toute déformation ou mensonge quand on au découverte scientifique, (exemple un médecin qu’on va appeler monsieur Rat Oult, qui sort n’importe quoi sur un virus qu’on va appeler dans l’exemple Bierre-Virus, qu’il soit radié et/ou poursuivi légalement et non pas mis a la retraite ou dans un placard doré).

Ca ou quand une personne qu’on appellera mr mat cron durant les élection qui l’ont élu a son post actuel qui parle des centrale a charbon en Allemagne ce qui est purement faux (voit la vidéo du défakator qui en parle).

Le 12/01/2022 à 02h 42

Et encore et toujours on sort l’argument du terrorisme, le on a pas le temps ou des argument fallafel pour justifié ce stockage illégal…

On vise les donnée non étiquetée a des criminels (ou les autre catégorie cité dans l’article) et ils répondent que les enquête dure plus de 6 mois … hors s’il sont une une enquête c’est que les données ont été traitée (il me semble) et ne doivent donc pas être supprimé après 6 mois, nice try mais on est pas débile donc ca passe pas.

Le 06/01/2022 à 23h 15

A défaut de payé les taxes xD.

Grork a dit:

Tiens, je viens d’aller sur impots.gouv.fr. Et c’est pareil, “J’accepte” et “Gérer les cookies”

Du coup si on refuse de payé les impôts via le site pour cette raison (a condition qu’il n’y ai aucun autre moyen de les payés (je ne suis pas français) la loi est de notre coté) ?

Le 30/12/2021 à 23h 32

(quote:1920270:Idiogène)
Oh oui c’est l’origine du monde… empilons donc les feuilles de vigne pour lutter contre la conduite en état de civilité.

Et puis réinventons Consternator, ça finira en tukif le jugement dernier.

Je pensait au permis de conduire, ajouté un logo dessus a rien de compliqué et ca éviterais pas mal de gaspillage a chaque renouvellement (vu qu’il ont commencé le passage de nos permis papier a carte plastique) donc réduction du plastique, et cela permet d’évité qu’une qui conduit sorte le “oh j’ai pas ma carte d’identité”.

Le 30/12/2021 à 21h 33

tpeg5stan a dit:

Vous allez devenir comme en Belgique, carte d’identité obligatoire, même à l’étranger, et depuis peu on a même l’empreinte digitale dessus. Lilou, multipass !

Bien que légalement obligatoire un flic (ca m’est déjà arrivé) se contente d’une autre preuve d’identité si pour une raison ou une autre tu ne l’a pas (le flic le plus zélé demandera de te présenté sous 24h avec le moins zélé te laisse partir quand il a pu contrôlé ton identité) car soyons honnête les flic meme belge qui contrôle un belge on pas que ca a foutre non plus.

Winderly a dit:

Si tu le dis, ça ne m’est pas encore arrivé.

C’est arrivé sauf que tu ne le sait pas, c’est le boulot de la médecine du travail, un cousin qui vis en France a été convoqué pour “mettre a jours son dossier médical”, a la fin de l’entretiens il a du prendre rendez vous avec son médecin traitant pour se mettre a jour (pas pour le covid a l’époque) sous peine de renvoi.

(quote:1920233:Ami-Kuns)
Beaucoup de personnes n’ont pas installer l’application.

Et d’autre on meme pas de smartphone, les applis d’identité c’est pas pour demain ca je le dit.

tpeg5stan a dit:

Vous allez devenir comme en Belgique, carte d’identité obligatoire, même à l’étranger, et depuis peu on a même l’empreinte digitale dessus. Lilou, multipass !

Si seulement il en profitait pour mettre le permis dessus, ca économiserait de la place dans le portefeuille (puisque de toute façon on demand “carte d’identité, permis et papier du véhicule”).

Le 30/12/2021 à 21h 21

(quote:1920192:Z-os)
“Pour la vérification entre l’identité apparente et le passe vaccinal, soit un contrôle d’une personne privée par une personne privée, l’amendement LREM exige la présentation d’un document d’identité comportant obligatoirement « un document officiel avec photographie ». Un acte de naissance, un livret de famille, ou un témoignage par exemple ne seront donc pas admis.” J’espère qu’on aura droit à l’avis du conseil constitutionnel sur ce point. Il me parait être plus que fortement censurable.

Disons que le but est de lié ton identité a ta photo (pour vérifié que c’est toi), hors le refus des autres documents est du a l’absence de photo.

Sinon un contrôle d’identité par des tiers n’est pas inconstitutionnel tant que la personne est en droit de le refusé sans punition (autre que l’interdiction d’accès (Autrement dit sans amende ou prison pour le refus)).

Le 29/12/2021 à 12h 10

Salut a tous les amis aujoud’hui … Avez vous entendu parlé de nord vpn ?

Le 28/12/2021 à 18h 48

(quote:1919971:Mihoko Okayami)
La France ne devrait-elle pas décerner une médaille à l’employer de chez “Tukif” qui a du faire le répertoriage des presque 2000 autres sites pour la liste au CSA ?

Ca démontre juste que ceux qui on saisit le CSA on juste fait une recherche Google.

(quote:1919961:Boris Vassilieff)
Comment les sites avertis ont-ils été selectionnés ? Plus gros trafic ? Sites étrangers ?

Piffomettre ?

Le 28/12/2021 à 18h 37

flan_ a dit:

Je traduis : hormis servir à ce pourquoi elle est mise en place, elle ne servira à rien. C’est plutôt pas mal, non ?

Et heureusement que les informations des enquêtes judiciaires ne sont pas publiques ! Celles qui ont vocation à l’être seront certainement transmises à l’ANSSI.

Par ce que tu lis souvent les données brute de l’IDS/IPS toi ?
Enfin qui a parlé des données d’enquete en cours, ils peuvent détecté des menaces hors europe, (impossible a débranché) donc publier les data ids/ips est le seul moyen de protégé les européen.

Enfin les transmettre a l’anssi ne permet pas de bloqué les menaces…..
un IDS/IPS est conçu pour.

Le 27/12/2021 à 20h 24

Panda33 a dit:

Puis surtout le truc débile : on efface les données au bout de 6 ans… Faudrait que tout reste en BDD pour toujours. Le nombre de données qu’on perds et leur historique c’est nul !

oui c’est surtout le problème, ils ne publie rien pour les ids/ips donc personne n’aura la protection préventive qu’il aurais pu amener, et il le supprime après un certain temps, donc hormis une liste pour aider au dépistage des attaques par la police, elle ne servira a rien.

Donc encore de l’argent jeter par les fenêtres et un coup d’épée dans l’eau.

Le 27/12/2021 à 16h 43

“Générer des règles pour le système de détection d’intrusion réseau (NIDS) qui peuvent être importées sur les systèmes IDS (par exemple, adresses IP, noms de domaine, hachages de fichiers malveillants, modèle en mémoire) ;”

Qui peuvent être importée, c’est dommage qu’il ne publie pas ces règles une fois générée automatiquement sur les deux IDS les plus utilisé sous linux (Snort, Suricata).

Le 23/12/2021 à 01h 40

jotak a dit:

“Lenteur” et “conso ram/cpu” ne sont pas la même chose, voire ça peut être opposé. Exemple, tu veux mesurer ce que tes serveurs sont capables d’encaisser en throughput, tu peux avoir dans certains langages une conso mémoire/cpu relativement faible mais un throughput pas terrible, et dans d’autres une plus grande conso et un meilleur throughput (donc meilleures perfs) et c’est d’ailleurs là où java s’en tire parfois bien. Ce qui compte c’est d’utiliser efficacement les ressources à disposition. Les optimisations de la JVM aident beaucoup à ça.

Exemple ici des benchs ou des frameworks java sont massivement représentés dans le top 20 sur des centaines de frameworks testés, même s’ils n’ont pas les toutes premières places : https://www.techempower.com/benchmarks/#section=data-r20&hw=ph&test=query

oui enfin dans mon cas, une consommation moindre des apps est un des argument de vente, dans les réponses que je voit ici beaucoup trop de dev “se foutent” de la consommation pour leur petit confort, et grace a des mentalité pareille on trouve des lecteur d’image qui mette des dizaine de seconde pour s’initialisé, se lancé et affiché l’image (sans compté la consommation de ram et le poids de l’app), la ou switch sur un language conçu et optimisé pour la lecture de fichier et le fonctionnement rapide double voir triple la vitesse de démarrage et d’affichage de la meme image.

Donc pour moi oui construire un logiciel avec un unique language est une hérésie complete, créer des modules dans le language le plus performant pour la fonction que le module doit remplir, permet de distingué un logiciel banal d’un excellent logiciel.

Et surtout faut que les dev arrête de réservé de l’espace ram pour tout et n’importe quoi.
A cause de ces dev on se retrouve avec beaucoup de programme qui consomme plus de ram que les anciens programme (si on exclu l’augmentation due au passage 32 -> 64bits, et la consommation de la partie graphique elle même) et qui ne font pas la moitié de ce que faisait les vieux logiciel avec 100 fois moins de ram.

Le 22/12/2021 à 18h 12

OlivierJ a dit:

Ah bon… As-tu des chiffres à l’appui concernant Java qui aurait particulièrement de problèmes de sécurité ?

Oui, et même d’avantage, si on prend des langages comme le C ou le C++ (moins de vérifications de bornes).

Plus lent, non. On n’est plus en 2000. Et pour avoir développé dans pas mal de langages (et commencé avec assembleur et C), j’ai trouvé que le développement en Java, quand on avait de l’expérience, était agréable et efficace, en particulier avec des outils comme Eclipse.

Et visiblement tu regarde jamais la consommation hardware du java, c’est simple, en utilisant d’autre langage j’ai systématiquement moins de consommation ram/CPU avec d’autre language que java.

Le 22/12/2021 à 05h 17

cjackpasbete a dit:

Le Java a eu beaucoup de vulnérabilités dues à la réflexion et à la serialization.

Il existe beaucoup de solutions qui scannent les dépendances et les comparent avec une liste de dépendances marquées comme vulnérables. Après, auditer les dépendances une à une… Si le projet utilise springboot, tu es parti pour auditer la moitié du repo maven.

Certains langages comme rust sont intéressants mais vas-y pour former une équipe de 5 bons développeurs. Si tu travailles sur un projet un peu costaud, il sera plus facile et moins cher de former une équipe de dev java. Aussi, l’écosystème autour de Java est bien avancé (CI/CD). Il n’y a pas que le langage dans un projet, mais toute la chaîne.

Finalement, les langage de programmation n’est qu’un outil qui dépend beaucoup de celui qui l’utilise. Par exemple, même avec les meilleurs outils de dentiste, vous n’allez pas vouloir que je vous soigne une carie

d’ou ma phrase, remplacé progressivement, si on commence jamais a remplacé des composant, ou a engager des gens sur des languages plus moderne ca changera jamais.

J’ai jamais demandé qu’on remplace tous ni meme donné de vitesse de remplacement (c’est impossible de tous remplacé de toute facon) mais commencé par les composant les plus critiques, genre une librairie en C++ qui gère des trucs de sécurité qui pourrais être vulnérable a un dépassement de mémoire la réécrire en rust, mais si le code qui gère l’affichage du titre lui n’est jamais remplacé on s’en fous.

Enfin si une équipe de java (par exemple) avait un expert en rust, qui peut compilé du code critique en rust et faire tourné le reste du logiciel en java), ca amène la sécurité qu’implémente rust sans trop réduire l’efficacité de l’équipe.

Et au fur et a mesure des départs et engagement tu peut inversé la tendance et augmenté la proportion de language moderne.

Parfois j’ai l’impression que les dev oublie que rien n’empêche un language d’appeler des composant compilé par un autre langage, et qu’un logiciel compilé avec de multiple langage peut être plus rapide et sécurisé (si bien fait) qu’un language unique pour tout.

Le 21/12/2021 à 22h 44

Baldurien a dit:

Je suis curieux de savoir de quel(s) langage(s) (sans ‘u’, language c’est en anglais) tu parles ?

L’autre souci que j’ai c’est cette notion de conçu avec la sécurité à l’esprit : est-tu capable de définir des critères objectifs permettant de dire que “oui ce langage est pensé comme tel” ?

Par exemple, est-ce que forcer à l’initialisation d’une variable est un critère de sécurité ?

Java

void foobar() {

  int i;

  System.out.println(i); // erreur: i not initialized -> compilation échoue

}

C et C++

void foobar() {

  int i; 

  /*

   * en fonction du compilateur, un warning. gcc ne levait pas d'erreur à l'époque,

   * donc la compilation passe et le programme tourne même s'il affichera n'importe

   * quoi.

   */

  printf("i=%d", i); 

}

PHP

function foobar() {

  echo $i; // PHP - un warning, pas une erreur -> le programme tourne

}

Javascript

function foobar() {

  var i; // Javascript (remplacé par let et const, mais je ne suis pas expert)

  console.log(i); // undefined -> le programme tourne

}

Si oui, des 4 langages, seul Java remplit ce critère.

Sachant que là, il s’agit du langage. C’est-à-dire de ce qu’il considère comme erreur potentielle (une variable non initialisée en C peut facilement mener à une segfault, alors pourquoi ce n’est pas obligatoire ?)

Idem pour l’évaluation des branches : si ton langage ne t’impose pas de terminer toutes tes branches avec un return ou son équivalent dans le langage, ça revient plus ou moins même problème que la variable non initialisé.

Ce qui n’empéche pas de faire des erreurs de développement : bien sûr qu’il y a des failles dans Java, mais c’est le cas de tous les langages, même celui pensé avec la meilleure sécurité du monde.

Par exemple, tu peux faire du SQL dans pas mal de langages, … et tu retrouves malgré tout encore et toujours des injections SQL car non utilisation de PreparedStatement (quand c’est disponible, ex: php 4 n’avait pas ça) ou tout simplement non vérification des paramètres d’entrée.

Or pourtant, la validation des paramètres c’est plus ou moins la base de la sécurité dans les programmes : tu as un truc qui ressemble à un identifiant ? Assures toi que ça ait le bon format (nombre, etc).

Et assures toi que la personne connectée ait bien le droit d’y accéder (surtout avec le RGPD : encore pas mal de sites permettent juste de changer un identifiant pour accéder aux données personnelles du voisin).

Quelque soit la bibliothèque, quelque soit le langage, pour moi le plus important de respecter une bonne hygiène informatique :

• suivre des bonnes pratiques de sécurité pour limiter les failles (je ne suis pas théoricien, mais je pense qu’on peut facilement affirmer qu’il est impossible de démonter l’absence de failles dans une application).


• faire attention aux versions obsolètes car plus de support, plus de correctifs. Donc faire de la veille, automatiser les processus de détections, etc…

Sachant que le premier point est plus dur à obtenir quand la bibliothèque est open source, faite sur du temps libre, et que les contributeurs sont différents : il est difficile de dire que tout contributeur ait le même niveau de compréhension du code existant/des problèmes de sécurité.

TL;DR: ce n’est pas Java le problème. Ou alors si: Java Util Logging (embarqué dans le JDK depuis assez longtemps), c’est quand même pas terrible donc les développeurs Java ne s’en servent pas

Quant à l’aspect performance, c’est comme les critères objectifs sur la sécurité inhérente à un langage : ça se mesure et ça dépend du cas d’utilisation.

Donc si je comprend ton point de vue flash n’aurais jamais du être abandonné ?

qui a pourtant été abandonné pour sa sécurité plus qu’exécrable.

Certain language sont plus vulnérable que d’autre c’est un FAIT.

Ma position de vouloir réduire leur utilisation au maximum est donc une position justifiée et justifiable, même si tu ne la partage pas.

Pour ton exemple du C/C++, fait intéressant elle est lourdement vulnérable au dépassement de mémoire, et c’est d’ailleur JUSTEMENT pour ca que plusieurs projet réécrive les lib en RUST.

Le 21/12/2021 à 22h 41

Raknor a dit:

C’est le B-A-BA de la gestion de conf et de suivi de l’obsolescence. Sauf que suivre, mettre à jour et tester, ça coute.

Quand t’as une lib qui sert à 6-7 projets simultanément, la mettre à jour implique une cascade de conséquences.

Si ça se faisait facilement, on le ferait déjà…

Pourquoi crois tu que je milite pour qu’une réponse logicielle soit développée en interne pour suivre les dépendances de manière automatisée ?

Le 21/12/2021 à 20h 51

Une libraire est bien une bibliothèque, et les logs sont des journaux.

librairie et log, les français on beau avoir traduit les termes “Anglais” ne nous impose pas d’utilisé les version française.

Du cous nos librairy et nos logs, sont fix désormais.

Le 21/12/2021 à 20h 26

Envol a dit:

Chez mon client, on m’as clairement expliqué que c’est le 1er point : la bibliothèque a été intégré dans la conf de projet java interne utilisé par défaut, donc présent dans plein de logiciel même s’il en avait pas besoin ^^’

Bon il y a probablement d’autre endroit où c’est mieux gérer mais c’est pas parce-que c’est (très) sensible que c’est forcément mieux gérer. On va plus te faire chier juste pour pas que la merdé qui est faite ressorte trop vite.

Pas rassurant tout ça pour la suite, mais un vraie Eldorado pour les hackeurs.

Dans mon cas je milite dans la boite pour qu’on ai un suivi (via logiciel) des librairies externe utilisée, histoire en deux point : 1 relancé les clients en cas de mise a jours critique d’une librairie, 2 nous aider nous dev a suivre les updates des librairie externe, car c’est humainement impossible de suivre manuellement autant de librairie, entre les mise ajours de fonctionnalité / sécurité.

Suffi de se tourné coté linux (son coté code ouvert permet de le voir plus vite), (Ubuntu ou fedora) ou on voit qu’il y a 6 ou 7 version différentes de la même librairie car tel ou tel soft la requiert cela démontre un problème généralisé dans la gestion des lib tiers de tous le secteur (le mien y compris).

Il n’y a pas de réponse simple, mais simplement ignorer le problème ne le règlera pas.

Le 21/12/2021 à 20h 15

Envol a dit:

Pour bosser dans une grosse ESN chez un client classifié Secret UE, c’est la même méthode qu’ailleurs, ils l’ont pas venu venir et vont devoir arrêter plein de logiciel stratégique qui pourrait même retarder des dossiers client a des millions d’euros… Quand la team qui va devoir réparer ce joyeux bordel est venu me dire cela, pour nous prévenir que côté support utilisateur, va falloir être très pédagogue pour calmer la grogne a la rentrée ^^’

Et ce qui me terrifie le plus c’est

1. Les devs qui implémentes des librairies sans savoir ce qu’elle sont, ni vérifié leur dernière update ou quoi puis oublie et, donc le nombre de logiciels vulnérable que le développeur lui même a oublier et qui répondra via blog que ces logiciels sont non vulnérable.





2. Les boites ouvertement touchée qui diront ne pas l’être pour ne pas devoir mettre a jours les logiciel client (qui eux ne verront rien et les croiront).

C’est ces deux points qui me terrifie le plus.

Le 21/12/2021 à 20h 02

Baldurien a dit:

C’est pareil que pour Windows et ses “failles” : plus qu’il y a d’utilisateurs, et plus on découvre des vulnérabilités (critiques ou pas). Cela ne veut pas dire qu’il n’y en a pas, et à mon avis, c’est plutôt la réactivité à corriger le problème. ça et la communication.

Quant aux lenteurs de Java, il serait temps de se mettre à jour hein. Java n’est pas plus lent qu’un autre langage, et y a que les langages types C/C++/Rust qui font mieux pour des raisons simples : pas besoin de charger une VM…

Tu trouveras différents benchmark ici : https://benchmarksgame-team.pages.debian.net/benchmarksgame/index.html Have fun à troller ton langage détecté favori.

Bon après j’imagine que ça ne t’empêchera pas de continuer à le penser… Les biais cognitifs, le ressenti, tout ça… :)

Beaucoup de dev ont utilisé java il y a 20 ans par effet de mode, et une bonne grosse partie des software écrit en java sont bien plus lent qu’il n’aurais du l’être car il utilise un language qui n’est pas optimal pour leurs opération.

Enfin java a toujours été un nit a problème de sécurité car quand il a été développé il n’avais pas la sécurité a l’esprit, beaucoup de language souffre de cette tare et ce n’est pas un soucis qui est fixable via une update.

Java (et tout autre anciens language non conçu avec la sécurité a l’esprit ou reposant sur un système impossible a corriger simplement) pour moi doit être évité/remplacer dans “tous projet qui ne le requiers pas en vue de critère objectif” et doit être replacé par des languages “moderne conçu avec la sécurité a l’esprit” de manière progressive.

Le 21/12/2021 à 17h 51

bilbonsacquet a dit:

Idem, et ce très rapidement après la sortie de la faille.

Par contre, au taf, on a pas mal d’appli qui étaient vulnérables… certaines ont purement et simplement été arrêtées.

Je me souviens d’un CRM Sage bâti sur du .net ET du Tomcat… (allez comprendre…), il y a de grandes chances qu’il soit vulnérable…

Pareille chez nous les deux logiciel vulnérable (non facilement fixable) ont été arrêtée.
Car l’entreprise fait passé la mise a jours des clients (revenu) une fois les clients qui nous on contacté mis a jour (logique vous me direr) on verra ce qu’on fait de ces deux outils.

Le 21/12/2021 à 17h 38

Baldurien a dit:

Tu veux dire que des failles de sécurité qu’on retrouve partout (pas qu’en dans des bibliothèques écrites en Java) c’est une bonne raison ? Dans ce cas là, autant arrêter l’informatique :o

Disons que Java comme notre feu flash, a un nombre impressionnant de vulnérabilité critique et une plus que mauvaise image quand on parle de la sécurité.
En effet les autres language aussi ont ce problème j’en convient.
Mais java est plus lent que les language concurrent et n’apport rien (si on exclus le multiplateforme qui a l’époque était quasi impossible sans java).

Le 21/12/2021 à 17h 27

Raknor a dit:

C’est même pire que ça. Ca concerne également des systèmes embarqués, qui utiliserait du Java Embedded avec du Windows CE. Log4j peut avoir été embarqué et la GUI pourrait exposer des vecteurs d’exploitation.

Des bornes, des automates, des appliances pourraient présenter la vuln, juste par obsolescence (produit non supportés, non maintenus, constructeurs disparus…). Le problème va au-delà de la question du propriétaire.

D’ailleurs, si je reprends la citation: “Un cas très simple pour comprendre : vous avez acheté une fortune un progiciel écrit en Java. Il est tellement cher que vous n’avez pas souscrit aux mises-à-jour et donc vous avez une vieille version qui marche très bien, qui fait ce qu’elle a à faire, mais en Java 7. Ce vieil applicatif ne peut donc loguer qu’avec la version 2.12.x de log4j avec votre vieux Java : si vous faites la mise-à-jour vers la 2.17.0 de log4j, votre applicatif va se planter au démarrage.”

90% des cas, l’acheteur n’a aucune idée de ce qu’il y a dans le progiciel. Ca m’est déjà arrivé en plein audit, que l’admin sys découvre avec nous qu’un progiciel, c’était un tomcat et postgresql derrière (ça s’affiche pourtant dans les processus). Alors parler de MAJ log4j, oubliez.

Par ailleurs, le progiciel pourrait être tellement vieux, que l’éditeur pourrait simplement ne plus le supporter. Même dans le libre, si log4j 1.x n’est même pas mis à jour, il en serait de même pour des logiciels Open en version non supportés (qui fera les tests?). Là est bien entendu la faute de l’utilisateur (logiciel obsolète).

Je ne sais pas pourquoi, ce que ce soit cet article, ou le précédent traitant du sujet, on retombe sur une saillie sur le propriétaire.

J’ai meme vu aussi le cas ou j’avais un logiciel qui était édité par une boite qui n’avais plus le code source (après une vente) et que les deux dev qui l’avais fait son mort ou a la retraite et qu’aucune doc n’existe, donc il est purement impossible de modifié le logiciel, et ce logiciel est le point le plus important de la boite ou je l’ai vu, il leur est donc simplement impossible de le retirer et sont obligé de le gardé (au vu du prix investi).

La pour le coup je sais même pas si leur logiciel est vulnérable et ils ont refusé qu’on en recrée un (on propose toujours un pack avec les sources) pour qu’il puisse modifié le logiciel par un concurrent ou autre dev.

Je suis a peu près certaine que beaucoup de boite/logiciel sont dans le même cas.

Le 21/12/2021 à 17h 11

Sheeris a dit:

Rajoute le port 1389 (port utilisé dans des PoC) car la majorité des tentatives n’utilise pas le port LDAP (389) ou LDAPS (636).

Ajouté merci du conseil. je me doute que certain essayeront de changer le port mais la majorité des “hackeur” de 13 ans qui utiliseront tel quel (qui comprennent meme pas la notion de port) seront bloqué.
Je me doute que c’est un pensement sur une fracture ouverte mais c’est mieux que rien.

Le 21/12/2021 à 16h 58

iFrancois a dit:

J’ai toujours détesté le Java pour de bonnes raisons, ça en fait une de plus

La meme et je l’ai toujours détesté pour ses problème de sécurité xD, et j’ai toujours détesté apache (open office, httpd, etc).

Perso pour réduire le problème j’ai fermé en sortie les ports relatif a ldap sur mon router/server (ils était déjà fermé en entrée), histoire de réduire la surface d’attaque (et que les attaque utilisent ldap).

Le 17/12/2021 à 22h 03

fred42 a dit:

Tu confonds diplomates et fonctionnaires maintenant ! Je comprends le français bien mieux que toi et il n’y a pas de contexte qui compte ici. Tu réponds à Menth à côté puisque c’est lui qui a parlé de langue diplomatique en utilisant ça comme un argument et que tu lui as répondu sans comprendre, sûrement par manque de connaissance historique sur le sujet.

Et je pense que tu n’as pas lu l’ensemble de l’article que j’ai mis en lien qui expliquait les avantages du français pour la diplomatie, entre autre de part sa clarté et sa précision.

oui c’est ca déforme les propos des autre ta raison… fous moi la paix et parle juste francais dans un monde ou l’anglais est numéro un.

Le 17/12/2021 à 16h 30

fred42 a dit:

Il te parle de langue diplomatique, pas de langue parlée par tout le monde. Si tu ne comprends pas la différence, inutile de continuer à discuter.

Relis les deux premier commentaire qui traite les diplomate européen d’incapable car il parlait anglais, donc si tu comprend pas le terme contexte ne commente plus.
La langue diplomatique tous le monde s’en torche le derch et parle anglais …

Le 17/12/2021 à 12h 14

Menth a dit:

De la part d’un ignare, c’est beau à lire.

Insulte basique lorsque il y a 0 argument

fred42 a dit:

Et pourtant, si.

Cool 18e siècle, y’a pas plus vieux, faut se mettre a jour, dans un monde moderne a l’internationale tous le monde parle anglais, Aviation, militaire, station spacial (parfois le russe ajouté), etc

Donc inventé que tous le monde parle français est faux.

Le 16/12/2021 à 22h 54

Menth a dit:

Le français est la langue de la diplomatie et on a tous des lvl 2 français, allemand ou espagnol… donc stop de dire n’importe quoi.

t’a fumé quoi ? le français n’est pas et n’a JAMAIS été la langue de la diplomatie c’est quoi cette affirmation débile.

https://en.wikipedia.org/wiki/International_language
Devine quoi le français n’y est pas mais l’anglais oui …

Donc quand on ne sait pas de quoi on parle on ne dit pas n’importe quoi monsieur je sais tous

Le 16/12/2021 à 20h 03

laurader a dit:

Il y a pas plus pathétique que les fonctionnaires européens parlant anglais, alors qu’il n’y a aucun anglais à leur table. Ils ont même commencé à intituler leur règles à la manière des fonctionnaires américains

Menth a dit:

Vu le nombre de pays qui sucent les amerlocs, on devrait renommer ça l’union des soumis aux états-unis d’amérique.

Sauf que la langue international est l’anglais, car a la table il y a des allemand, Français, néerlandais espagnol et la seul langue commune est anglais, donc stoppé de dire n’importe quoi.

Le 17/12/2021 à 12h 11

Thorgalix_21 a dit:

Les Syriens, les Maliens, les Irakiens, les Serbes, les Croates et autres habitants de pays ayant connu des guerres ces 40-50 dernières années ne valideraient peut-être pas cette affirmation …

Bah cela les prenais en compte, eux pense qu’on est en paix mais notre paix n’est qu’une illusion basé sur la dissuasion nucléaire.
A cause de l’arme atomique les pays n’ose plus se faire de guerre ouverte, donc désormais il y a les cyber guerre.

Le 16/12/2021 à 20h 00

(quote:1918453:prog-amateur)
Hello, ce que j’en tire comme conclusion dans cette affaire, c’est qu’en politique contemporaine, la notion d’ami n’existe pas. On peut se serrer la main et s’espionner derrière, trahir dans les deux sens, pas vu pas pris. Seuls les intérêts comptent, et ce serait bien de méditer cela en faisant le parallèle en cette période d’élections (peu importe le parti, là n’est pas la question) où chacun essaye de toucher le cœur de leur électeurs, leurs “amis”.

Bonjour vous venez du monde des bisounours, bienvenue parmi nous dans le monde ou la paix n’a jamais existé et ou l’illusion de paix que vous connaissez n’est du QUE a la dissuasion nucléaire.

Le 16/12/2021 à 19h 54

Bah oui faudrait pas que quelqu’un disent quel ministre fait quoi voyons…

Sérieux et ca se dit 5e puissance mondiale ?
5e Dictature mondiale oui….

Le 16/12/2021 à 19h 49

hellmut a dit:

quand on voit qu’amazon fait du HQ à 10 balles, sérieux…

Sauf que Amazon est une société détestable sur sa manière de fonctionné je préfère proposé Apple music (pour les pro vie privée car c’est le plus privé), Tidal et autre pour les autres histoire d’évité un monopole de Spotify.

v1nce a dit:

Ou que ce soit considéré comme une rupture unilatérale de contrat nécessitant que les gens se réabonnent (ou pas)

Ou simplement rendre illégal tout changement forcé d’option dans un contract (qui réduirais les fonctionnalité ou augmenterais le prix) sans un accord libre (ne bloquant pas le service) et explicite de l’utilisateur.

L4igleNo1r a dit:

Rajoute le Bluetooth dans l’équation.

Vrai le Bluetooth ne peut en effet pas rendre le lossless du coup 70 a 80% des utilisateurs vont payé pour …. rien avoir, pour moi c’est du vol qualifié au vu de ces utilisateurs.

ForceRouge a dit:

J’ai une autre idée. Ne touchez pas à l’appli et n’augmenter pas les tarifs, c’est très bien comme ça.

Non les application doivent évolué mais faire payé l’utilisateur en plus pour qu’il évolue montre qu’il sont détestable car ils prenait tous les bénéfices sans évolué et maintenant il veulent faire payé la R&D au utilisateurs.

elticail a dit:

Sur d’autres genres musicaux on entends déjà une différence entre la sortie du smartphone et un DAC usb avec casque Hifi

Logique car les smartphone sont absolument pas conçu de base pour la HIFI mais ca représente moins de 1% des utilisateurs du coup ca vaut pas une option forcée sur tous leurs utilisateurs.

RafCorDel a dit:

Donc les abonnés à Deezer Famille HiFi qui payent 19.99 euros/mois verront leur abonnement baisser en prix en passant à 17.99 ? 🤔 Le prix monte pour certains et descent pour d’autres… tout ce qu’il manque, c’est la possibilité de choisir.

Apple a su donner le son HiFi sans augmenter ses prix… une HiFi Loss Less bien plus pointue que le déjà simple 16bits à 44.1Khz de la qualité CD, en proposant des morceaux jusqu’à du 24 bits à 192 Khz comme Qobuz. Qobuz Hi-Res baissera-t-il ses prix du coup?

Ca n’a pas fini de bouger dans le streaming digital…

Ca va juste leur faire perdre énormément d’utilisateur et renforcé le monopole de Spotify ce qui est clairement détestable.

Schmultruc a dit:

Oui, merci, je sais tout ça. Là où ça devient intéressant, c’est qu’on entend la différence même en mobile. Tidal est en AAC à 320 kbit. Dans ma voiture avec audio Focal, ça donne autre chose, la différence est flagrante.

La voiture c’est logique vu que c’est une connexion directe avec un amplificateur a l’ancienne, perso je supporte tous ce qui n’est pas Amazon, Apple et Spotify pour brisé les monopoles (musique inclus) et surtout Amazon détestable qui essaye de TOUS dominé.

Schmultruc a dit:

Les 3 autres personnes de mon abo famille ont entendu la différence. On est en train de décider après seulement 2 semaines d’essais !

Attention a l’effet placébos sur apple music j’ai “entendu” une différence, jusqu’à ce que je lise les spec de mon casque qui était totalement incapable de sortir le HIFI.

Le 16/12/2021 à 19h 28

letter a dit:

Si ça le “financement de l’application” fait ajouter le “cast on Alexa” dans l’appli d’ici 3 mois, ok. Sinon, je migre toute la famille ailleurs.

Sinon y’a apple music ou Tidal (histoire de brisé le monopole de spotify)

Nozalys a dit:

Franchement payer 3 euros de plus par mois pour l’abo famille, vu ma faible utilisation ça me fait suer. Les rares fois où je l’utilise, certes, je suis bien content, mais du coup ramené au temps d’écoute ça commence à faire cher l’heure de musique. A 15 € la barrière mentale du tarif n’était pas franchie, là, sérieusement je songe à repasser en premium. Mais dans ce cas, que vont devenir les profils secondaires de mon compte…

Moralité : encore un service qui nous fidélise, qui est difficile à quitter (transfert des données complexes, pas d’interopérabilité), et qui, une fois bien ancré peut faire ce qu’il veut de ses tarifs.

Sinon y’a apple music ou Tidal (histoire de brisé le monopole de spotify)

L4igleNo1r a dit:

Juste Spotify qui est toujours a 9,99 €/mois

Et apple music ou Tidal (histoire de brisé le monopole de spotify)

Schmultruc a dit:

Oui, mais pas Hifi. Spotify va nous faire la même dans peu de temps.

Je sui abonné à Spotify depuis plusieurs années mais j’ai anticipé, je suis en train d’essayer Tidal (1€ pour 3 mois) qui offre une bien meilleure qualité de son pour le prix de Spotify. Je suis de plus en plus convaincu par cette plate-forme et pense sérieusement à y rester .

Sinon y’a apple music ou Tidal (histoire de brisé le monopole de spotify)

Jossy a dit:

+1 je n’aurais pas mieux dit. L’avenir nous dira si ils se sont saboté avec cette mesure, pour l’instant je vais rester chez eux (passer de 10 à 11€ ça m’énerve mais je peux me le permettre). Mais si je devais m’inscrire sur une plateforme… bah je me tournerai naturellement vers Spotify.

Encore une fois ne pas oublier apple music ou Tidal (histoire de brisé le monopole de spotify)

Le 14/12/2021 à 19h 08

Bah voila ce qui arrive quand les ministres français veulent pré implémenté des droits européen a l’avance.

Le 09/12/2021 à 23h 47

Dj a dit:

La pub est surtout là pour donner une image positive d’une marque et donc quand le personne aura un choix a faire. Selon l’estime qu’elle aurai d’une marque, elle en choisira une ou l’autre.

Que ça soit comme marque d’eau ou comme marque de voiture. Et c’est a un niveau inconscient, le cerveau essayant de se fatiguer le moins possible il classe les marques en “nul/bof/ok/génial” ça facilite ses choix plus tard.

C’est aussi pour ça que Coca-cola fait des pubs avec des gens qui font la fête et qui sont heureux, ils essayent d’associer fête et coca-cola.

Comme ça les gens qui préparent ou participent a un fête pensent inconsciemment a coca-cola.

Quand Areva fait une pub, c’est pas par qu’on achète une centrale nucléaire pour la mettre dans le jardin

vrai, mais bon dans mon cas mon esprit de contradiction fait l’inverse (plus la boite fait de pub plus je la trouve louche), car les meilleurs produit on rarement besoin de pub.

Genre Kinder (hormis période de fête pour booster leurs revenus) ils font quasi jamais de pub, pourtant il vendent toujours autant.

Mais visiblement les nouveaux marcketteux qui ont appris en livre et qui se croient supérieur a tous sont trop aveuglé par l’argent que pour s’en rendre compte.

Le 09/12/2021 à 22h 51

fred42 a dit:

Si, ils arrivent en clair sur simple login, c’est ce qu’il dit. Il a juste écrit simple mail au lieu de simple login. Et il a raison aussi sur la fiabilité de Simple mail tant au niveau de la confiance que l’on peut lui apporter que de sa pérennité. Le seul moyen de t’en affranchir, c’est de gérer toi-même une instance de Simple mail ce qui est possible puisque c’est Open source, mais je ne pense pas que ce soir ce que tu fais.

étant donné qu’il est opensource et l’avantage niveau privacy que donne leur domaine je reste chez eux, (mais mon propos de base répondais a quelqu’un qui parlais de la suisse et qu’il flippais pour proton) d’ou j’ai répondu qui a des moyen (meme si proton est on ne peut plus safe, de l’en empêcher), sinon pour en revenir a simplelogin j’ai une instance hébergée que je n’utilise pas (je l’utiliserais s’il viennent a fermé) (car sur du self host tu perd le coté vie privée vu que tous tes compte peuvent être lié ensemble a cause du nom de domaine identique.)

Le 09/12/2021 à 15h 39

fofo9012 a dit:

Je suis dsl mais proton mail ne peut pas chiffrer par magie les mails qui arrivent en clair. Donc Si j’ai bien compris tu crées des alias externes avec Simple login qui doit chiffrer les mails entrants avant de les envoyer sur Proton, donc proton n’est qu’un simple hébergeur.

Le risque de sécurité est simplement décalé de proton vers simple mail, mais il est toujours là >99.99% des mails entrants arrivent (et transitent sur le réseau) en clair. C’est je pense encore pire niveau sécurité car le jour ou simple login est vendu ou disparait tu ne perds pas 1 mais tous tes alias et le temps que tu t’en rendes comptes tous tes mails passeront je ne sais où avant d’arriver dans ta mailbox de tous les jours. D’ailleurs le site simple mail à l’air bien louche : aucun statut, aucune référence à l’hébergement des serveurs (en europe ? chez les gafams, en Corée du Nord ?), aucune référence au RGPD. societe.com me dit que c’est un SAS avec 2000€ de capital, et le CEO annonce sur linkedin être CEO d’un nouveau truc tous les ans. Tu fais ce que tu veux mais moi je ne m’aventurerais jamais sur ce “service” qui ressemble plus à un site de dropshipping qu’autre chose…

les message arrive pas en clair monsieur je sais tous comme je disait mais pour ca faut avoi lu j’ai mis la clef PGP dans simple login service de redirection d’email donc SIMPLELOGIN chiffre tous les mails vers PROTON il y a donc 0 mail en clair, la prochaine fois avant de dire n’importe quoi renseigne toi comme d’autre l’on fait …

Le 08/12/2021 à 20h 04

fred42 a dit:

1. il n’a pas compris un commentaire qui était peu clair.

J’ai compris seulement maintenant ton commentaire en regardant ce qu’était Simple login. Tu utilises ce service pour (entre autre) t’envoyer tes messages de façon chiffrée vers Protonmail.

Alors, oui, ça sécurise le stockage et c’est une bonne idée, mais ils peuvent être interceptés et lus avant, jusqu’aux (et y compris) serveurs mails de Simple login.

Ca peut mais l’avantage complet qu’apport niveau sécurité / privacy le un email pour un service, couplé par la détection et suppression simple des services qui vendent les mail (réduction du spam) c’est vite vu.

Puis s’il connais pas le services, sont commentaire passif agressif, est inutiles, rien ne lui empêchait de simplement dire qu’il connaissait pas simple login au lieu de répondre … ce qu’il a répondu.

Le 08/12/2021 à 17h 22

fofo9012 a dit:

Ça m’étonnerait que tu reçoives 100% de mail chiffré (voire que t’en reçoives tout court en fait :) )

Deux possibilité 1 t’a pas lu, 2 t’es un troll dans les deux cas ton commentaire vaut rien.

Le 07/12/2021 à 16h 26

dylem29 a dit:

Je suis client ProtonMail, je commence à flipper.

Oui enfin Protonmail E2E (j’ai activé le mode deux mot de passe + 2FA) et vu que j’utilise Simple login je leur ai collé ma clef PGP donc 0 email arrive en clair chez proton.

Le 07/12/2021 à 16h 18

Jarodd a dit:

Je n’ai pas compris le paragraphe sur Cloudflare.

Est-ce à dire que L’ARCOM va faire un honey pot en se faisant passer pour Cloudflare ? Qui devrait donc se laisser abuser sans rien dire ? Ou bien on va “seulement” leur demander la liste des serveurs qu’ils traitent ? Ça touche un peu le secret des affaires non ? (et je suppose qu’il y a des clauses contractuelles qui protègent le client)

MarcRees a dit:

Je vois plutôt ça en mode : “Toctoc, c’est Hadopi/arcom, tiers de confiance. Bonjour Mme Cloudflare, pourriez vous nous aider ? Voilà la liste noire des adresses à bloquer”

Perso je voit clairement pas Cloudflare dire “oui” a un truc pareille ca flinguerais leur réputation vie privée / non filtré ainsi que leur crédibilité aupès des client (mis bon les ministre FR aime vivre dans le rèves.

Pareille pour les hébergeurs et créateur de domaine, hormis flingué le chiffre d’affaire des gestionnaire FR, ca changera rien.

Le 01/12/2021 à 20h 31

limit65 a dit:

Je te rejoins dans ton analyse fort constructive. Je remarque au passage qu’il y a toujours les mêmes abrutis qui crient haut fort leur conviction (opinion) à qui veut les écouter (à coup de réplique qu’eux seul sont suffisamment “instruits” pour comprendre ce qu’ils sous entendent envers ceux qui pensent autrement) . Je cite personne, ils se reconnaîtront. Marc Rees doit se lécher les doigts. A moins qu’il soit du même niveau. Mais je penses qu’à force, il connait bien son public et s’amuse comme on dit à “jeter de l’huile sur le feu” avec des articles qui n’ont plus malheureusement de rapport avec l’informatique.

Pourrais tu/vous m’expliqué en quoi une vidéo youtube (et le droit qui y est associé) n’a rien a voir avec l’informatique (et la technologie en générale) ?.

Je suis ouvertement curieuse de voir comment youtube pourrais même existé sans “l’informatique” que tu/vous pensez absent ….

Le 26/11/2021 à 17h 09

(quote:1914864:127.0.0.1)
Peut-être bien. D’où ma question, quel est le rôle d’Apple ici ? Celui d’une ONG ?

Protéger ses clients de menace potentielle, car un client mort ca n’achete pas …

Le 26/11/2021 à 16h 37

(quote:1914858:127.0.0.1)
Dans le cas de la news, il ne s’agit pas d’une notification d’un antivirus installé sur leur appareil.

Il s’agit d’une notification envoyée par Apple a certains possesseurs d’iPhone (en se basant sur leur identifiant Apple). Rien ne dit qu’Apple se soit basé sur des traces, des logs ou quoi que ce soit. Rien ne dit non plus qu’Apple a prévenu tout le monde.

Rien ne dit qu’il ai meme analysé leur téléphone du coup, ils ont peut être simplement notifié toute personne dont leur numéro ou tout autre infomation publiquement disponible pour les prévenir.

Le 26/11/2021 à 14h 06

(quote:1914838:127.0.0.1)
En quoi c’est différent de poser un mouchard dans ton téléphone à cadran et poser un mouchard dans ton smartphone dernier cri ?

bah il n’y a aucune analyse des donnees ils ont juste mis une detections des “trace” que pegasus laisse dans les log je parie s’il detecte les trace il previens l’utilisateur je vois pas le mal, sur windows ou android le systeme play guard ou windows defender le fait aussi.

que mon appareille me previennent en cas de menace de securiter c’est le minimum surtout comme le cas pegasus peut literalement mener a leur mort

Le 24/11/2021 à 19h 13

bad10 a dit:

Et les trucs qui viennent de Chine mais qui sont conforment? On les bloque aussi?

non je me suis mal exprimé je voulais entendre par la un controle systématique de la validité des produit, cela tuerais les mauvais éleve tel que wish tout en laissant passé (avec un peu de retard) les site qui eux n’importe que des produit valide conformément au droit européen.

Le 24/11/2021 à 18h 38

Jarodd a dit:

Voilà un acte fort ! Bravo M. le ministre, merci de protéger les consommateurs avec autant d’énergie !

Ah, ok…

Bah déjà si on bloquais tous ce qui viens directement de chine durant des gros évenement comme le black friday noel etc, ca serait plus efficace.

Psk les chinois sont connu pour les copie de merde a bas prix. (genre un souris qu’on achette et qui ne marche plus correctement après 2 jours.