Le 28/12/2012 à 11h 13

Scorpion01 a écrit :

Hum, si je regarde mon hammer :
Wizzy sox yoyo res foudre : 105
coa : 27
spirit 35 sur ST 45@ : 80
torche : 18
anni : 15
anneau rare 10% fc + res foudre : 24
57 de res foudre en charme (sans compter torche et anni)
Bottes rares : 25

Ca me fait 351, je ne suis pas encore full res 75@, mais j’ai des res positives et ca devrait suffire au vu des faibles dégats de foh. Et je peux encore mettre wisp ou tg, voire les deux, tout en gardant mes palliers fc/fhr " />



Effectivement, mais contre une cs-zon, même avec 75 res light, tu prends dans les 1000 hp chaque coup.

Et surtout ton hammer en duel va se faire déchirer par n’importe quel player qui duel correctement :)

Le 28/12/2012 à 10h 31

Scorpion01 a écrit :

life tap était interdit uniquement en ladder. En no ladder c’est parfaitement normal de l’avoir. Et si, un smiter avec life tap peut mourir ;)


Avec la cs-zon oui, certainement d’autres builds :)


Il suffit de stack assez de résistance foudre et ton foh ne sert à plus rien. En plus c’était un build inintéressant au possible (charge - foh - charge - foh, etc …)


C’est assez difficile de stacker suffisamment de resists quand tu as en face un conviction level 25 (-150), jeweler’s gothic plate of the whale (-20), jstod (-20), griffon (-25), et difficulté hell (-100).

Tu arrives à -315 de base (ok, on va dire -285 avec la quête Anya).

Ça devient difficile à contrer…

Le 28/12/2012 à 10h 19

Ou une amazone avec charged strike, jmod -²⁰⁄₂₀, infinity sur le mercenaire.

Très cher mais dégâts très élevés.

Le 28/12/2012 à 10h 15

Orshak a écrit :

kikilancelot : on doit pas avoir connu le même pvp à D2 alors. C’était un système pourri, qui servait à rien, et tellement moisi que régulièrement la communauté essayait d’interdire des builds (au hasard le Necro poison de cet enfoiré de Lolis " />) parce que “c’est pas juste, c’est de la triche, on a des res poison négatives” et autres conneries du genre.

Je ne parle pas des ²⁄₃ classes maxi “viables” en PvP et avec en gros un seul build possible à chaque fois. Si pour toi c’était “bien” faut réviser tes définitions.

Ah et si tu étais pas complètement idiot, tu perdais pas ton matos non plus….“juste” des charmes, et vu que tout le monde dupait à tour de bras c’était pas un problème.



Hein ? J’ai pas mal duelé à D2 et je n’ai jamais perdu de matos ni de charmes.

Et les builds interdites c’était aussi toutes celles qui utilisent life tap (un smiter avec life tap ne meurt jamais en gros " /> )

Et ce qui était jouissif c’était de tuer des PK aussi " />

Le 27/12/2012 à 11h 24

Je ne vais pas m’étendre sur l’obligation de la connexion internet permanente, mais en ce qui concerne les serveurs, je vais citer le cas de Blizzard :

-Serveurs de Diablo 1 toujours actifs (1996)
-Serveurs de Starcraft (1998), Diablo 2 (2000), Warcraft 3 (2002) toujours actifs, et même upgradés (nouveau hardware) en octobre de cette année ! On parle de 64 serveurs rien que pour Diablo 2.

Donc, on peut détester le fait d’avoir à utiliser une connexion obligatoire, mais on ne peut nier le fait que Blizzard assure un support plus que correct de ses serveurs.

Après, pour EA, il faut voir, je ne crois pas qu’on ait d’antécédent pour se donner une idée.

Le 26/12/2012 à 17h 54

moi1000 a écrit :

Je vois pas l’intérêt des VOST. Soit on est un parfait anglophone et on regarde en VO-tout-court (*), soit on n’est pas assez bon en anglais et donc ça ne sert à rien de les écouter parler. Et si c’est pour lire les sous-titres, autant lire le livre vu qu’on rate ce qui se passe à l’écran.

En gros, à part pour se la péter en essayant de se la jouer intello, je vois pas l’intérêt. Je comprends que les doublages sont pas toujours top, mais dans tous les cas de figure, il faut soit la VO, soit la VF. Mais la VOST ne sert à rien.

(*) Pour des séries comme Big Bang Theory, ils parlent de trucs que même en français, on ne comprend pas, alors il doit pas y avoir beaucoup de français qui comprennent à 100% un des épisodes de cette série.



Ah ouais quand même…
Les doublages, c’est presque toujours de la merde.
La VO, ce n’est pas seulement pour avoir les paroles en anglais.

C’est surtout, en ce qui me concerne, pour avoir les voix originales des acteurs.

Je reproche principalement aux doublages de perdre complètement le jeu des voix des acteurs.

Alors même si je comprends sans problème à 100% un épisode de The Big Bang Theory, ça ne m’empêche pas de regarder systématiquement les VO de tous les films/séries que je regarde (y compris des trucs iraniens, turcs, russes, alors que je ne parle pas un mot de persan, turc, ou russe).

Sans parler de l’effet sur l’éducation : les Français en général ont un niveau d’anglais pourri. Les hollandais ou les danois, par exemple (je prends uniquement des exemples que je connais), ne regardent que des films en VO (il est presque impossible de trouver des versions doublées des films là-bas, sauf en allant voir du côté des films pour très petits), et ils ont incontestablement un niveau d’anglais très bon. Je pense que c’est lié (pour ma part, mon niveau d’anglais s’est vraiment amélioré l’année où j’ai commencé à regarder des films/séries en VO).

Edit: toasted 3 times

Le 26/12/2012 à 15h 27

deepinpact a écrit :

Je suis désolé (ceci est peut-être lié à la fatigue des fêtes de fin d’année) mais je ne comprends rien à cette phrase :



Ça veut dire que pour qu’une vue soit ajoutée au total de vues d’une vidéo, il faut soit que tu aies cliqué volontairement sur la vignette de la vidéo, soit que tu ne sois pas parti de la page au bout de 5 secondes parce que tu ne voulais pas voir la vidéo.

Concrètement, ça veut dire que les vidéos avec autoplay qui sont publiées sur le web ne comptent pour une vue que si l’utilisateur ne les arrête pas.

Le 26/12/2012 à 15h 08

yvan a écrit :

Des fonctionnalités cloud (genre owncloud c’est pas du cloud du coup?!?), et ça ne veut pas dire que c’est hébergé totalement en local sur les box juste qu’il y a un point d’entrée privé unifié.



Cloud ça n’a jamais rien voulu dire (à part nuage), c’est une invention de marketeux pour éviter de dire “sur nos serveurs”.

Appelons un chat un chat, ce que font dropbox, hubic, et le reste, c’est du stockage et de la synchro de fichiers sur leurs serveurs. Pas sur “du cloud”.

Le 20/12/2012 à 10h 32

Comme d’habitude, les adeptes du manchot sont les plus généreux, avec une moyenne de 10,16 \( par achat, contre 7,41 \) pour les ceux de la Pomme et 5,91 $ pour les utilisateurs de Windows.


Et comme d’habitude, à chaque nouveau humble bundle, on retrouve ce raisonnement idiot.

Bref, la citation usuelle :

If instead of throwing a feel good parade these threads used some critical thought, which we are all capable of doing here we’d probably find that it’s because linux doesn’t get a lot of game development, period. So when a mainstream game is linux compatible the linux users feel they have something to prove, especially after the first indibundle showed. This is a big way for linux users to go “HEY LOOK! I’D TOTALLY BUY YOUR GAMES IF YOU RELEASED THEM!” and nothing more. There isn’t anything wrong with showing that as a consumer you are willing to pay for a service if only your platform were supported, but that doesn’t mean linux users are more generous, just more greatful. Windows user doesn’t see the humble indy bundle as a way to prove he’s worth supporting, he already has all the support he needs, the bundle is a way for him to get some cheap games.

Le 18/12/2012 à 14h 51

razcrambl3r a écrit :

Et comme par hasard (je sais pas si tu as fait expres) ça forme les initiales du FBI, louche louche tout ça " />



Vu qu’il a séparé “Facebook” en deux mots, qu’il a mis en gras chaque initiale, et qu’il n’y avait rien d’autre dans son commentaire, j’avoue avoir un léger soupçon sur le fait que ce soit volontaire. Mais rien de sûr, vraiment.

Le 17/12/2012 à 16h 23

canard_jaune a écrit :

Comme le pétrole qui ne cause pas de réchauffement climatique, les CFC n’impactent pas l’environnement, la clope est bonne pour la santé, le radium est parfaitement sains pour l’homme (RIP Marie Curie)…

Et si cette fois on en faisait pas trop pour pas se retrouver dans des situations graves (ex: la clope…) avec aucun moyen de faire marche arrière ?



Ça tombe bien, un rapport leaké du GIEC qui est tombé aujourd’hui admet la large prédominance du soleil sur le changement climatique :http://www.stopgreensuicide.com/

Le 17/12/2012 à 13h 30

chambolle a écrit :

Tu devrais lire les avis des experts et non pas des journalistes qui rapportent les avis des experts/

Pour info, il est très intéressant de lire le problème de l’histoire de l’expérience avec une particule allant plus vite que la lumière.

Je résume en deux mots:
Le cern (ou je ne sais plus qui) publie un communiqué en demandant aux autres equipes dans le monde de vérifier une expérience dont un résultat est curieux. Il y a plein de bémol dans le communiqué expliquant que c’est certainement une erreur de calcul
Le lendemain les journaux publie : “Einstein avait tord”


+1

Même chose concernant le vol AF447 : un météorologue explique le jour même que dans la zone du crash, les conditions climatiques étaient mauvaises, avec des cumulonimbus et des orages.

Le soir au 20h : “vol AF447 : condamné par la foudre”.

Bref, pour bien se renseigner, on ne lit pas les journaux, surtout pas les journaux français. On va chercher l’info à la source.

Le 17/12/2012 à 13h 25

adrieng a écrit :

Bon il y en a marre de la propagande à deux balles.


Source ? Il y a un consensus net et franc, comme pour le réchauffement climatique ?



Marrant, aujourd’hui même le GIEC admet, dans un rapport qui a fuité avant sa censure pour faire plaisir aux réchauffistes relecture finale, que le soleil est responsable de la grande majorité des changements climatiques observés, et que Svensmark (le premier scientifique à avoir dit qu’il était impossible de lier les émissions de CO2 de l’humain avec un soi-disant réchauffement) a raison.

Cadeau :http://www.stopgreensuicide.com/

Et, contrairement à ce qu’essayent de nous faire croire les médias français, on est très très loin d’un consensus net et franc sur le soi-disant réchauffement climatique.

Le 17/12/2012 à 13h 05

carbier a écrit :

Tu veux dire que le soleil n’est pas nocif pour la santé ? " />



Où m’as-tu vu dire ça ?
Technique de base de celui qui n’a plus d’argument, faire dire à l’autre ce qu’il n’a pas dit.

Je dis juste que le fait de baigner dans les ondes n’est pas nouveau comme tu veux nous le faire croire. L’humanité baigne en permanence dans les ondes, depuis qu’elle existe. Des ondes bien plus puissantes que le wifi ou le GSM.

Alors pourquoi s’en prendre de manière complètement irrationnelle et stupide à ces deux types d’ondes en particulier, alors que PERSONNE ne s’est jamais plaint de quoi que ce soit relatif aux ondes jusqu’à quelques années en arrière ?

Je dis également que s’il fallait s’attaquer à des ondes parce qu’elles pourraient être dangereuses pour la santé, il faudrait s’attaquer en priorité au soleil, car c’est l’émetteur d’ondes les plus puissantes (plus puissantes que toutes les autres ondes combinées).

N’est-ce pas toi qui te fendais de rire à l’idée de prendre un bain d’ondes quotidien, à l’image du verre de vin, suggérant ainsi qu’il était idiot de pouvoir penser que des ondes pourraient être bénéfiques ?

Alors que penses-tu de l’idée de vivre sans les ondes du soleil ? Hmm ? Ah oui, on n’existerait même pas, sans le soleil.
" />

Le 17/12/2012 à 12h 43

carbier a écrit :

" /> Effectivement on peut aussi soutenir qu’une dose d’exposition quotidienne aux ondes est bon pour la santé…



On est tous exposés depuis qu’on est nés ²⁴⁄₂₄ à des ondes.
Les plus méchantes étant celles émises par le soleil. Il y a même des vilains rayons gamma dedans.

Qu’as-tu à dire à ce propos ?

Le 17/12/2012 à 12h 30

brazomyna a raison sur toute la ligne.

Le principe de précaution, ça veut tout et rien dire, c’est n’importe quoi.

Est-ce que quelqu’un peut m’affirmer ici avec certitude que la viande de poulet n’a aucun effet nocif sur la santé ?

Non, car pour pouvoir l’affirmer, il faudrait comprendre l’ensemble des interactions entre la viande de poulet et l’organisme humain, chose à ce jour impossible. Pourtant, tout le monde mange du poulet sans s’émouvoir du non-respect du principe de précaution vis-à-vis de la viande de poulet.

Quand il s’agit des ondes, on trouve des illuminés qui reçoivent des ondes depuis qu’ils sont nés, que ce soit des ondes télé, radio, ou même les rayonnements émis par le soleil, plus puissants que toutes les autres ondes combinées. Ces illuminés ont décrété que les ondes wifi et GSM sont dangereuses pour la santé. Mais le vrai problème, c’est qu’on trouve un tas de gens pour les suivre.

J’en vois qui parlent d’étude neutre réalisée à grande échelle, et blablabla.

Sachez que la plus grande étude réalisée à ce jour (et toujours en cours de réalisation), c’est la vraie vie : 4 milliards de personnes qui utilisent leur téléphone portable quotidiennement, et, à l’heure actuelle : 0 malades, 0 morts, rien du tout.

Pour le Wifi, c’est pareil.

Donc il faut arrêter ces conneries, inutile d’aller plus loin. Ou dois-je rappeler l’histoire de l’antenne GSM Orange, nouvellement installée sur un immeuble, et pas encore alimentée, qui a subitement provoqué des maux de tête et des nausées à des habitants de l’immeuble qui s’en sont plaints. Orange a dû se fendre d’un communiqué expliquant que l’antenne n’était pas encore alimentée.

Ce qui est drôle, c’est qu’une antenne de SFR se trouvait au même endroit, en service depuis plusieurs années, mais camouflée… Ce qui ne manque pas de faire rire.

Le 14/12/2012 à 13h 14

carbier a écrit :

Euh autant, ne connaissant pas le dossier, je n’ai aucun avis sur cet aéroport.
Autant il est clair que l’article me semble un tantinet orienté quand même.

Les anti-aéroports font aussi du lobbying sur les réseaux sociaux de leur côté. Il faut arrêter de croire qu’ils ne sont pas organisés. Dans ce genre d’histoire c’est lobby contre lobby.
Après il est clair que ce genre d’action de lobby est financé par de l’argent public (mais au niveau ou ils en sont c’est une goutte d’eau dans l’océan de l’argent déjà dépensé pour ce projet).



+1, mais ça fait hélas quelques années que PCI s’est transformé en tribune d’expression d’opinion pour certains de ses rédacteurs, à la limite de la propagande politique parfois.



carbier a écrit :

Et bien disons que si je ne connais pas la problématique de l’aéroport de Nantes, j’en connais d’autres par chez moi. Et disons qu’une partie de la population qui se lève ne représente pas forcément l’avis majoritaire. De plus tous les projets n’ont pas forcément que des intérêts financiers.
Quand on prend la modification d’un centre ville par exemple: souvent ce sont les commerçants et les riverains qui protestent le plus alors que le projet sera bénéfique pour un beaucoup plus grand nombre.



Et +1 également.

Le 14/12/2012 à 09h 36

Takaï a écrit :

1- possible que ça court pas les rues ces derniers temps.
2- j’ai pas été ouvrir ma TV pour vérifier. :p Mais j’imagine que ça doit être un composant électronique à débrancher.

3- de mémoire, il me semble que c’est une case à cocher sur la déclaration d’impôt. Après pas besoin d’explications techniques (en général les contrôles sont faits par des grattes papier), du moment que t’as l’attestation du professionnel et qu’ils peuvent constater que la TV ne capte plus les chaînes c’est bon.

Perso ce qui me gène d’avantage dans cette procédure c’est que la garantie doit sûrement passer aux oubliettes alors qu’on t’y “force” et que si tu tombes sur un sagouin comme professionnel, ta TV risque de ne pas s’en remettre.



Comme les contrôleurs ne peuvent pas rentrer chez toi si tu ne les y invites pas, il suffit de leur dire sur le pas de la porte que tu n’as pas de TV, et la question est réglée.

Bien sûr, il faut éviter d’avoir la TV alumée à fond quand ils arrivent.

Le 14/12/2012 à 09h 20

Gleipnir a écrit :

Euh, c’est pas aux contribuables qu’on demande des efforts de tous les côtés, pour le coup?
S’il y a bien un truc qui m’emm empapaoute dans les impôts, c’est bien cette redevance. J’ai un téléviseur pour les consoles/BR, mais je ne regarde jamais la télé : je ne paie pas l’option TV de la box, et je n’ai jamais relié la TV et la prise antenne… Je n’ai pas l’impression de payer dans le vent du tout " />


Un conseil : revends et achète un écran de pc ou un vidéoproj.

En tout cas, depuis mai, c’est à chaque jour sa nouvelle taxe !

Le 13/12/2012 à 14h 56

David_L a écrit :

Je donne des possibilités. Le problème est : est-ce qu’un profil sur Facebook peut être privé ? La réponse est : non. Cette option pouvait le laisser penser, j’ai pu le constater autour de moi et j’ai déjà eu à expliquer tout ça.



Il y a une grande différence entre un profil privé (qui sous-entend : pas d’amis, pas d’interaction), et un profil restreint aux amis et amis d’amis.

Le 13/12/2012 à 14h 55

On peut tout à fait avoir envie d’être sur facebook sans être emmerdé par des gens qu’on ne connaît pas.

Cette option avait toute son utilité.

Ce n’est pas à Facebook ou à David de me dire comment je dois utiliser Facebook.

Il y a (malheureusement) de plus en plus de gens qui ne communiquent QUE par facebook (events, messages, etc), j’utilise mon compte facebook uniquement pour pouvoir recevoir des notifications de ces messages et événements. Je n’ai que très peu d’amis, je ne veux pas que les gens puissent me trouver, et on me l’impose.

Il y a énormément de cas d’utilisations de facebook. Donc merci d’arrêter de nous dire que cette option ne sert à rien et qu’on utilise mal facebook.

Le 12/12/2012 à 22h 38

Khalev a écrit :

Tp = téléport/blink, pardon. Le sort foudre de la sorcière quoi.



Tu parles peut-être du runeword Enigma alors, qui donne +1 to teleport.
Mais ces runewords ou ces équipements qui donnent des skills d’autres classes sont rares :)

Le 12/12/2012 à 14h 11

Khalev a écrit :

My bad, il me semblait qu’il y avait un charme de tp?

Ma mémoire me jouerait-elle des tours?" />



Charme de tp, avec tp = town portal ou autre chose ? Car j’avoue ne pas comprendre" />

Le 11/12/2012 à 13h 48

Khalev a écrit :

Le PVP ça avait commencé sur le 1 grâce au friendly fire @ “Warrior, stop crossing my arrows! thx for the stuff though, cya!” et les PKs : “Oh un sort de résurrection, mais je suis pas mort? Ah si tiens..”

Sur le 2 ils l’avaient rendu activable et ça marchait plutôt bien, même si je trouvais bizarre le système des charmes qui donnent les sorts d’autres classes.

Le pvp était pas mal, c’est vachement dynamique comme style et s’ils se démerdent bien il peut y avoir plusieurs builds assez puissants et sympa à jouer (vu que c’est Blizzard si déjà un build par classe est viable ça sera bien " /> ).



Les charmes n’ont jamais donné des sorts d’autres classes dans D2.

Par contre certains runewords, oui (call to arms étant certainement le plus connu).

Le 12/12/2012 à 14h 12

lateo a écrit :

C’est surtout chiant de raquer pour faire signer son certificat (pour un simple site perso).
Soit tu raques soit tes visiteurs ont un message « bouh t’es bien sûr d’accepter ce certificat? » qui est contre productif au possible.



Faux, certificats totalement gratuits disponibles sur https://www.startssl.com/

Le 07/12/2012 à 16h 57

lildadou a écrit :

Comme je suis capable d’empathie, je vais me mettre à ton niveau:
Collision => pirate entrer dans autres comptes
hash+sel => pirate pas entrer dans autres comptes
hash+sel => pirate utiliser rainbow table
hash+sel+rainbow table => pirate entrer dans autres comptes
hash*5000+sel => pirate pas pouvoir utiliser rainbow table
hash*5000+sel => pirate pas pouvoir entrer dans autres comptes



J’avoue que c’est plus simple comme ça :)

Tu as oublié : hash+sel différent pour chaque compte => pirate pas pouvoir utiliser rainbow table
ou: hash(hash(password + sel) + sel2) => pirate pas pouvoir utiliser rainbow table

Mais j’avoue que j’avais du mal à comprendre ou tu voulais en venir, vu que depuis mon premier message j’ai expliqué que hash(pass) ou hash(pass + sel) ce n’est pas vraiment très sécurisé.


Tu peux pas fermer les yeux et crier “non non les rainbow table n’existe pas!”. Elles existent est permettent de pailler aux insuffisances du bruteforce bête et méchant. Elles ont rien de magique, elle permettent juste de calculer à l’avance.


Oui, d’où toutes les autres solutions que j’ai données depuis mon premier message.

D’où ma difficulté de comprendre où tu voulais en venir.

Le 07/12/2012 à 15h 16

lildadou a écrit :

Qu’est ce qu’on voit pas passer comme conneries sur PC INpact en se moment!



Tu en es le parfait exemple :)


On peut retrouver la préimage à partir du hash si tu retire ta blouse de scientifique frigide… c’est juste qu’on peut pas le prouver. Si tu trouves une collision qui donne “jesuistropbelle” il y a beaucoup de chances que tu ai trouvé la bonne pré-image. Et encore plus si les contraintes sur la préimage imposé par le site et supérieur aux contraintes imposée par le codage du charset. (en traduit ça donne: “si ta collision a un tiret et que le site t’envoi péter quand tu mets un tiret dans ton pass alors c’est pas la préimage”)


Sais-tu seulement la différence entre une attaque de préimage et une attaque de collision ? De toute évidence non. MD5 est encore résistant aux attaques de préimage. Pas vraiment aux collisions. Mais une attaque de collision implique que tu as un minimum de contrôle sur les deux messages d’origine, ce qui n’est pas le cas quand tu cherches à retrouver un message donnant un certain hash.


Une rainbow table c’est pas du bruteforce. Où alors je savais pas que le bruteforce pouvait avoir une complexité logarithmique


Et la rainbow table, elle a été créée comment ? Par magie ? Créer une rainbow table, c’est calculer des milliards de milliards de hashs, retirer les “intermédiaires”. L’utiliser pour trouver un mot de passe, c’est espérer que le mot de passe en questions faisait partie de ceux caculés lors de la création de la table. La base de la rainbow table reste du brute force, l’utiliser c’est un bruteforce “indirect” si je puis dire.


Bon… une collision pour un site A fonctionne très bien sur un site B s’ils utilisent la même implémentation. Si la victime utilise le même passe partout alors il existe une chance pour l’exploit soit exploitable ailleurs.
On n’a pas la préimage mais tu vois qu’on s’en fout. CQFD


Je ne vois pas le rapport avec le reste, mais bon.


C’est pour cette raison qu’on salle les pass avant hashage. Si on trouve une collision sur un hash pré-salé alors il y a autant de chance de trouver un site où l’exploit soit utilisable ailleurs que de trouver le passe en claire çad aucune.

Alors on pourrait se dire “ben suffit de hasher-saller!”. Ben non. Dans sa connerie @Freud est quand même au-dessus du niveau “pillier comptoir” dont vous êtes les stéréotype (@David_L t’en fait partie). Quand il dit “SHA1 et MD5 sont donc aussi sûrs l’un que l’autre pour stocker un mot de passe, il a tout à fait raison, puisqu’il parle de la préimage! On fait des milliers de hash SHA512 en une toute petite seconde. ça va pas ralentir de beaucoup une attaque par bruteforce. On en fait


Là j’ai vraiment du mal à te suivre, tes phrases deviennent incompréhensibles.


Un hash n’est pas suffisant : il faut chiffrer (oué toi là bas en page 2 ou 3, tu dis du caca de taureau quand tu te fous de la gueule d’un autre qui a dit crypté) Faut chiffrer… mais pas avec une opérations réversible. Le hash c’est quand on passe une fois à la moulinette. Quand vous sallé puis que vous hashez 5000x votre préimage, là vous avez chiffré.

Retournez boire votre mousse (ou rédigez des articles creux avec du placement de produits à tire larigots) et mettez vous dans la tête que la crypto c’est pas votre truc et que vous z’y pipez rien. Moi, je retourne juste boire ma mousse ; je sais déjà que la crypto j’y pipe rien.


En fait tes propos sont totalement incompréhensibles, sauf le début, qui n’est qu’un tissu de conneries.

Heureusement, tu nous expliques pourquoi : tu es bourré. " />

Le 07/12/2012 à 14h 39

Antwan a écrit :

Ça casse sec.



Ça casse et pourtant la news est pleine d’inexactitudes et de contre-vérités, cf mon commentaire #21.

Le 07/12/2012 à 14h 38

Weig a écrit :

Je viens de tester, et c’est tout sauf du XML en fait " />
C’est un format binaire…



Oui, j’ai dit une connerie :)

C’est l’export en XML qui est une feature, mais effectivement le format est binaire.

Le 07/12/2012 à 14h 27

Weig a écrit :

Et comment ça se passe au niveau portabilité ?
Ça veut dire qu’il faut que l’application (ici KeePass) tourne sur tout OS (PC, smartphone, tablettes etc) et que le logiciel de partage de fichier aussi. (ici DropBox)

Ce n’est pas une situation très pérenne je trouve…



KeePass est open source. Le fichier de mots de passe est en format XML.

Tu peux toi-même coder ton utilitaire pour ouvrir ce fichier : c’est de l’AES-256, la clé est le sha256 du mot de passe.

KeePass tourne sous tout os. Dropbox est un exemple, on peut utiliser n’importe quel service de stockage en ligne, même un truc complètement public, vu que tout est chiffré.

Le 07/12/2012 à 14h 05

P-A a écrit :

On ne donne de leçon à personne, et comme je l’ai dit moulte et moulte fois, le https arrivera avant la fin de l’année ;)


Eh ben en voilà une bonne nouvelle" />

Le 07/12/2012 à 14h 03

fochristo a écrit :

Et vos solutions à base de KeePass ou autre logiciel. Ça se passe comment le jour où votre ordinateur est perdu / volé / mort ?

Vous faites comment pour récupérer les mdp ? Ils sont stockés ailleurs que sur le PC ? Parce que sinon c’est la catastrophe quoi… Et ça en devient pas très intéressant pour le coup " />



Une pratique courante est de stocker le fichier contenant tous les mots de passe sur Dropbox.

Ce fichier est chiffré avec la clé AES-256 dérivé du master password, donc aucun problème" />

Ça permet en plus d’avoir tous les mots de passe à jour sur tous les PC/smartphone & co.

Le 07/12/2012 à 14h 01

Drako99 a écrit :

Le SHA-1 n’est pas recommandé, faut aller sur des algorithmes beaucoup plus lents.

Quelques infos très intéressantes dans cet article :http://arstechnica.com/security/2012/12/oh-great-new-attack-makes-some-password-…

Et chez PCinpact, vous utilisez SHA-1 pour nos mots de passe ? " />



cf mon commentaire #21

Chez PCinpact, il n’y a pas de HTTPS, donc les mots de passe transitent en clair pour commencer…

Sans compter les cookies de session.

Donc pour PCinpact : " /> on veut du HTTPS ! C’est bien beau de donner des leçons aux autres, commencez par balayer devant votre porte !

Le 07/12/2012 à 13h 53

Spidard a écrit :

ça c’est un fléau. la dernière fois que j’ai commandé la carte sncf 12-25 sur le site associé (qui n’est pas un site de la sncf, a préciser), la page de paiement n’était pas en https… " />



Souvent, les sites utilisent un prestataire de paiement externe, qu’ils collent dans une iframe.

Le site est donc en HTTP, mais l’iframe est bien en HTTPS.
Si ce n’est pas le cas, c’est effectivement très grave" />

Le 07/12/2012 à 13h 52

Nathan1138 a écrit :

Sans doute.

Mais si tu écoutes les experts en sécurité, il faudrait avoir 50 mots de passe différents composés de 20 minuscules, majuscules, nombres et caractères spéciaux.

Prêts ? C’est parti : on commence par {Y3;qv3xV5 puis )iUL;e9g59 et ensuite K8(/qY2ck6 et après *UpXhf64#4…

Désolé, je suis pas R2D2.



Ce qu’on voit beaucoup dans des entreprises, et qui est pourtant une très mauvaise pratique, c’est l’obligation de changer de mot de passe régulièrement.

C’est très mauvais, car un bon mot de passe (disons au moins 12 caractères, avec minuscles/majuscules/chiffres/caractères spéciaux) stocké correctement (donc : pas en clair) ne pourra jamais être retrouvé par bruteforce en un temps correct (comprendre : plusieurs décennies, voire siècles). Donc il n’y a aucune raison de changer un tel mot de passe.

En revanche, obliger les gens à changer de mot de passe fait qu’ils choisissent des mots de passe faciles à retenir, et donc faciles à cracker.

La bonne solution : forcer un mot de passe complexe, mais laisser les gens le garder indéfiniment (ou du moins, tant que l’algo de stockage est sûr).

Le 07/12/2012 à 13h 47

Droooom a écrit :

Ah je vois que jeuxvideo.com renvoie le mot de passe tel quel avec l’option “mot de passé oublié”.. donc il doit être stocké en clair " />

Et un site hightech belge compumsa aussi… argh



Un mot de passe renvoyé en clair peut être stocké chiffré avec un algorithme tel qu’AES par exemple.

Mais ça reste une mauvaise pratique, car le transit par mail est forcément en clair, sans parler du problème si la clé secrète est récupérée en même temps que la base de données par un attaquant.

Le 07/12/2012 à 13h 44

Spidard a écrit :

mh, je sais pas s’il faut forcément voir le mal partout.

Dans ma boite, lorsqu’un individu créé son compte, le mot de passe saisi est stocké en variable pour être envoyé dans l’email de bienvenue, mais la version stockée en BDD est bien le sha1 de cette variable.

L’envoyer en clair lors de l’inscription n’est dangereux qui si on se fait hacker sa boite mail sans avoir supprimé le mail.



Yangzebul l’a pourtant expliqué quelques commentaires plus haut : le transfert de mail n’est jamais sécurisé, il passe en clair sur le réseau, donc tous les intermédiaires pourraient sniffer le réseau et récupérer le mot de passe.

C’est donc une très mauvaise pratique. D’autant plus qu’à l’inscription, on demande toujours de saisir 2 fois le mot de passe : quelle est l’utilité de l’envoyer par mail à la personne qui l’a saisi 2 fois ?

Le 07/12/2012 à 13h 41

John Shaft a écrit :

Me souviens a avoir à bouger mon mulot comme un neuneu dans tous les sens sur une image composée de point noir&blanc pour créer un truc pseudo-aléatoire.

A moins que ça ne soit pour le Master ?? " />



Le fait de bouger la souris sert à créer de l’enthropie, qui est la base pour le générateur de nombre aléatoires de l’OS.

En général, un OS fournit 2 manières d’obtenir un nombre aléatoire : la première permet d’obtenir un nombre pseudo-aléatoire, dont le caractère aléatoire n’est donc pas garanti. La deuxième permet d’obtenir un nombre vraiment aléatoire, mais peut bloquer jusqu’à ce que suffisamment d’enthropie soit récoltée, d’où le besoin de bouger la souris (les mouvements de souris sont considérés comme étant suffisamment imprévisibles pour être considérés comme aléatoires).

Généralement, des nombres aléatoires sont nécessaires pour créer une paire de clés publique/privée.

KeePass propose un fichier de verrouillage en plus du mot de passe, peut-être que c’est à ce moment qu’il a besoin d’enthropie, je n’ai pas étudié ce point.

Le 07/12/2012 à 13h 38

FrenchPig a écrit :

Outre les mots de passe en clair dans un mail (merci LDLC), ce qui me choque c’est les sites des FAI où l’identifiant est un numéro de mobile et le mot de passe qui ne doit pas dépasser 4 ou 6 caractères…



En général, quand les mots de passe sont de taille limitée, c’est que le nombre d’essais est limité avant blocage du compte.

Mais ça reste débile effectivement, car il suffit de connaître l’identifiant d’un compte pour en verrouiller l’accès.

Le 07/12/2012 à 13h 36

John Shaft a écrit :

KeePass, c’est pas du coffre de lopette : c’est de l’AES-256 avec une clé créée de manière pseudo aléatoire, donc c’est sûr tant qu’on a pas d’ordinateur quantique (ou que les matheux trouve un angle d’attaque qui ne nécessite pas 2^100 opérations) " />



La clé n’est pas créée de manière pseudo-aléatoire (qu’est-ce que ça veut dire d’ailleurs ?) dans keepass, c’est simplement le hachage sha256 du master password qui est utilisée en tant que clé. C’est bien de l’AES-256 par contre.

Le 07/12/2012 à 13h 31

Mouais…

Un article pour pas grand chose, quoi, un peu comme à chaque fois que David se met à un truc (on a eu les extensions chrome, les petits programmes en C#, et maintenant la sécurité des mots de passe…).

Et du coup on y voit plein d’inexactitudes, qui contribuent malheureusement à répandre des idées reçues :
-Il n’y a pas d’attaque de préimage sur le MD5. Plus clairement, ça signifie que pour retrouver une préimage (donc un mot de passe dans notre cas) à partir d’un hash MD5, la seule méthode reste encore le brute force (et je vous vois venir, les rainbow tables c’est du bruteforce).
-Le MD5 est vulnérable seulement à des attaques de collision, ce qui n’a rien à voir avec les attaques de préimage, et ne peut absolument pas être utilisé pour retrouver un mot de passe à partir d’un hash.
-SHA1 et MD5 sont donc aussi sûrs l’un que l’autre pour stocker un mot de passe, à la vitesse du bruteforce près. Attention, “aussi sûrs” ne veut pas dire qu’ils sont très sûrs :)

J’en viens donc au point le plus important :
Si l’on stocke directement le hash du mot de passe, MD5 et SHA1 sont aussi mauvais l’un que l’autre. Ils sont facilement bruteforçables (plusieurs centaines de millions, voire plusieurs milliards de hachages par seconde sur une machine moderne), sans parler des rainbow tables.

Donc, le minimum aujourd’hui, c’est sha1/md5 de mot de passe avec salt.

Le mieux, bon rapport perf/sécurité, c’est sha256 de mot de passe avec salt ou double salt.

Le top du top, c’est bcrypt, mais c’est très lent (mais c’est le but en même temps).

Le 07/12/2012 à 09h 50

Dunaedine a écrit :

Tu peux installer l’appli sans compte G+. C’est communiquer dessus qui demande un compte, et ça c’est normal. Puisque G+ est leur service unifié de compte, il est logique d’avoir un compte dessus. PCI te permet lire les articles, mais il faut un compte pour communiquer. FB est accès purement sociale, G+ non, c’est un service identité (mais je suis d’accord par contre qu’ils auraient mieux du déconnectée la partie sociale).



G+ n’est pas leur service unifié de compte.

Leur service unifié c’est Google. Tu crées un compte Google, point.

En tout cas, c’est drôle de voir tous les gens qui défendent Google, alors que ce dernier utilise clairement tous les rouleaux compresseurs qu’il a à sa disposition pour imposer G+ à tout le monde:

• Création automatique de compte G+ avec un compte gmail
  


• Compte G+ obligatoire pour faire des choses de base (commenter une appli par ex)
  


• Publicité de G+ partout où c’est possible
  
  
  
  C’est clairement de l’abus. J’adorerais voir les mêmes personnes qui défendent Google ici défendre Microsoft s’il faisait la même chose." />

Le 05/12/2012 à 19h 18

Eh les gars, renseignez-vous un peu avant de sortir des affirmations inexactes.

1. Youtube a des serveurs de contenus en Europe. Ce n’est pas parce que youtube.fr pointe sur une ip américaine que tous les serveurs de Youtube s’y trouvent aussi.
   


2. Google propose gratuitement des serveurs de cache =>http://ggcadmin.google.com/ggc . N’importe quel FAI peut faire la demande. Google s’occupe de tout : ils fournissent les serveurs, et les administrent à distance. Ils demandent juste un espace dans les datacenters du FAI en question.
   
   Donc clairement, c’est à Free de faire ce qu’il faut maintenant. S’ils ne veulent pas payer de la bande passante à Level3 & co, il y a d’autres options. Donc pas d’excuse.

Le 01/12/2012 à 16h 07

C’est quand même dingue le nombre de gens incapables de comprendre un raisonnement.

Tous les jours j’en croise, qui confondent cause, conséquence, corrélation.

C’est malheureusement le cas de cette journaliste.

Sa tentative de raisonnement est ridicule : beaucoup de tueurs (A) jouent à des jeux vidéo (B), donc le fait de jouer à des jeux vidéo transforme en tueur.

Faux !

Exprimons ceci sous forme mathématique : A est un sous-ensemble de B, donc tout B est un A. C’est faux Madame Gallois !


Je vais reprendre le même raisonnement, en changement simplement les termes, mais en gardant la même (non) logique :

Beaucoup de journalistes écrivent des articles, donc le fait d’écrire des articles transforme en journaliste.

Beaucoup d’hommes portent des slips, donc le fait de porter des slips transforme en homme.

Beaucoup de journalistes écrivent des idioties, donc le fait d’écrire des idioties transforme en journaliste.

Bref.

C’est désolant de voir que la majorité de la population n’est pas capable d’établir un raisonnement logique correct." />

Le 29/11/2012 à 15h 48

NiCr a écrit :

bureaucratie != bot

Your argument is invalid " />



N’importe quoi.

Les bots sont là parce qu’il y a tellement de bureaucratie et de milliers de raisons pour lesquelles toute modification est instatanément annulée, que des humains ne pourraient pas faire ce boulot.

Que ce soient des humains ou des bots qui fassent les revert n’a rien à voir avec le fait que la bureaucratie est telle qu’il est quasi impossible de ne pas se faire instantanément revert.

Your logic is inexistant => learn to think." />

Le 29/11/2012 à 15h 41

Pour moi wikipedia c’est niet, ils ont réussi à faire pire que l’administration française niveau bureaucratie.

Impossible de modifier quoi que ce soit sans se faire revert dans la minute par un bot pour une raison parmi mille.

Le 28/11/2012 à 09h 39

Il faut noter que Sosh vend des téléphones simlockés, même pour des forfaits sans engagement, et refuse de donner le code de désimlockage gratuitement, ce qui est illégal !

Mais personne ne fait rien contre cet état de fait…

Le 23/11/2012 à 16h 34

paradise a écrit :

Il reste en effet environ 3,4 Go dispos sous Nux.

Avec le kernel PAE, on double cette valeur.



Faux, PAE augmente la mémoire physique totale adressable au-delà de 4 Go, mais une application user mode est et sera toujours bloquée à 3 Go.

Le 23/11/2012 à 15h 50

Eh les gars, un peu de vérification svp.

La version 32 bits peut adresser 2 Go de mémoire sous windows par défaut (jusqu’à 3 Go avec le switch /3GB de NT, mais reste à voir si Firefox le supporte), et 3 Go sous Linux.

Arrêtez de parler de 4 Go. Il y a toujours une partie de la mémoire réservée au noyau, que les applis user mode ne peuvent pas adresser. Réglable sous windows, elle est de 1 ou 2 Go. Sous linux, elle est de 1 Go.

Maintenant, le débat pour savoir si 2 ou 3 Go c’est suffisant pour un browser, c’est autre chose. Mais en tous les cas, une appli 32 bits ne peut pas adresser plus de 3 Go de mémoire.

Le 22/11/2012 à 16h 12

Entièrement d’accord avec 127.0.0.1.

Il est hors de question que je fasse un don à LQDN car :

• Je n’ai besoin de personne pour défendre mes droits.
  


• Si j’ai besoin de quelqu’un pour défendre mes droits, j’irai moi-même le trouver.
  


• Aucune association ne peut se déclarer défendeuse de mes droits sans me consulter.
  


• Je n’aime pas les associations dogmatiques.
  


• Je déteste les gens qui me disent que si je n’aide pas telle ou telle association, c’est que je suis un ennemi des libertés. Hier, j’ai créé un mouvement citoyen pour la neutralité du net. Je n’ai reçu aucun don à ce jour, dois-je en déduire que tous les internautes sont contre la neutralité du net ? Non ? Alors pourquoi utiliser ce raisonnement idiot pour défendre la quadrature ?
  
  
  
  Bref. Je suis une grande personne, je fais des dons à qui je veux, et jamais je n’en ferai à qui que ce soit qui me dit qu’il a défendu mes droits alors que je ne lui ai jamais rien demandé.
  
  Et merci à tous de respecter l’avis de chacun, inutile de m’insulter parce que je ne suis pas prêt à donner à votre association préférée. Si vous n’êtes pas capables de comprendre que chacun a le droit d’avoir son propre avis, ce n’est même pas la peine de discuter.