Le 06/08/2024 à 09h 27

J'adore le monde d'aujourd'hui quand même. Pour sécuriser les choses, on en est à passer une couche de rouille. Le monde marche sur la tête .

Le 05/08/2024 à 23h 52

Sauf si on considère qu'on pousse en prod le code du stagiaire sans le relire. Perso j'appelle ça de l'incompétence crasse.

Ou quelqu'un qui travaille chez Crowdstrike...

Ok je sors

Le 05/08/2024 à 23h 39

Merci pour la précision. Bac+5 en info et faire du code sensible aux injections SQL, je trouve ça inadmissible... Mais je suis peut être trop psychorigide...

Le 03/08/2024 à 22h 34

Merci de ton retour. Juste pour précision, peux-tu indiquer si la formation est une formation informatique ou pas ? Car des personnes avec bac+5 qui font du dev, c'est courant (école d'ingé par ex), mais rarement des formations avec sensibilisation à ce genre de chose (je suis issu d'une école d'ingé "généraliste", la formation, même en option informatique, ne faisait pas mention des injections SQL par exemple).

Le 02/08/2024 à 15h 15

Je suis étonné de la quantité d'injection SQL et injection de commande qui réussissent encore tellement le sujet est ancien et largement étudié dans toutes les formations.

Moi, pas vraiment.

Je pense que les professionnels de l'IT (j'entends par là, ceux formés réellement au développement logiciel) ne produisent pas (ou alors très très peu) ce genre de faille.

Par contre, ceux qui écrivent du code en général (les autodidactes, les reconversions, etc... et j'inclus ceux qui ont suivi un bootcamp de 4 mois pour devenir dev fullstack + admin réseau en partant de rien) ne le sont souvent pas.

Les autodidactes, si non sensibilisés, idem. Et je parle en connaissance de cause, car j'ai commencé par être autodidacte avant de me former réellement, et c'est quand j'ai commencé à me former que je me suis rendu compte de l'ampleur de ce que je ne savais pas à l'époque (génie logiciel, sécurité, etc.).

Dans le cadre de mon boulot, je côtoie des personnes qui savent pondre une API, mais dont le développement n'est pas le métier de base. Parfois elles se débrouillent très bien, des fois, c'est la cata. Quand c'est juste pour un besoin ponctuel en interne pour une tâche rébarbative, ça passe. Quand il s'agit de mettre en place un système qui va devenir une API au contact de l'extérieur, ça peut faire mal.

Le métier de développeur est aujourd'hui devenu "critique" et nécessite de nombreuses compétences, compétences que tout le monde n'a pas. Mais on manque tellement de main d'oeuvre en informatique et les salaires semblent tellement mirobolant que le développement logiciel reste, aujourd'hui encore, une voie de reconversion.

Comme je dis toujours, ce n'est pas parce que je sais aligner 2 parpaings que je sais bâtir une maison : ce n'est pas parce qu'on sait aligner 2 lignes de code que l'on est capable de faire un logiciel.

Le métier de développeur est vu par certains (et j'ai envie de dire encore trop de monde) comme un métier technique de "pisseur de code". C'est loin d'être le cas. Aujourd'hui, pour être un bon développeur, il faut savoir écrire du code, le lire, le modifier, mais aussi être alerte sur la sécurité (chiffrement & co), un minimum de connaissance sur la gestion réseau (on ne peut pas décemment développer une API web sans savoir ce qu'est un DNS ou une requête HTTP), les réglementations en vigueur (à commencer par le RGPD), et j'en passe.

Le 05/08/2024 à 23h 34

les problèmes de perf sont plus ou moins régulier. Quelques exemples récents (et qui ressemblent plus ou moins à ce que j'expérimente de mon côté) :
- Inspector is very slow on pages with a lot of declarations
- Opening the DevTools panel is very slow when a lot of other tabs are loading
- [meta] Open developer tools slow down page load

Après, lorsque je fais du dev, comme la plupart des utilisateurs utilisent Chrome et ses dérivés, je teste en priorité sur pour ce navigateur avant de tester sous Firefox. Quand j'ai essayé de passer sous Firefox pour le dev, en me disant que les tests en preprod se feront quoi qu'il arrive sous Chrome, j'ai peté plus d'un cable à redémarrer mon FF qui avait planté, ou d'attendre des 10-45s pour avoir un outil qui réponde.

Du coup, j'ai fait le choix de l'efficacité.

Mais en perso, comme je n'ai pas besoin des outils de dev, je suis sous Firefox

Le 05/08/2024 à 13h 21

tant mieux pour toi si tu ne rencontres pas ce problème. Chez moi, certaines applis (notamment des SPA) mettent Firefox en PLS, rendant très pénible le dev (alors que sous Chromium et dérivé, aucun souci).

Le 05/08/2024 à 10h 51

Ca dépend pour quoi ;)

Pour du dev, les outils développeurs sont beaucoup plus réactif sous Chromium que Firefox (j'arrive même à faire planter Firefox sur certains "gros" site tandis que Chromium les accepte sans broncher)

Le 05/08/2024 à 08h 52

Il y a une 4e solution : que le web se responsabilise et arrête la pub à outrance (bon ok, douce utopie )

Le 05/08/2024 à 10h 15

Updated with microcode 0x125 to ensure eTVB operates within Intel specifications.

Pour moi, il s'agit du microcode (=firmware) de la carte mère, pas du CPU. C'était justement un des reproches d'Intel au début aux fabricants de CM, où les recommandations n'étaient pas suivies. Suivre les recommandations a permis chez certains utilisateurs de réduire drastiquement les instabilités, sans pour autant corriger le bogue en lui-même.

Updating this BIOS will simultaneously update the corresponding Intel ME to version 16.1.30.2307v4

Ce n'est pas la version qui corrige le bogue côté Intel. Cette version est sortie bien avant la reconnaissance du bogue par Intel (je n'ai pas la date de sortie exacte, mais un utilisateur a installé la version v15.1.30/2330 le 25 janvier 2024, dans la v16.1.30.2307v4 est sortie avant cette date)

Je pense juste que le constructeur a fait une mise à jour vers un firmware plus récent, au cas où.

Le 04/08/2024 à 17h 40

ça saute à l'oeil pourtant ;)

Le 03/08/2024 à 22h 31

c'est pas un événement intergalactique ça ?

Bon anniversaire :)

Le 03/08/2024 à 15h 23

le concours mondial de la plus grande crêpe.

Le 03/08/2024 à 15h 08

Ça aussi c'est faux.

L'éducation des néoluddites n'a pas à être mon fardeau, donc on va s'arrêter là.

J'ai tendu une perche ici exprès, en tenant des propos qui, sans être malhonnête (car les chiffres donnés sont vrais), ne sont pas pour autant honnête (car le contexte est imprécis), juste pour voir ta réaction, et savoir si ta position relevait du dogmatisme pure ou si tu avais réellement creusé le sujet.

J'ai maintenant ma réponse (avec une dose gratuite de mépris au passage en plus d'une utilisation erronée du terme néoluddite ici). Merci.

Ton discours ne tient la route que si tu ne te limites qu'à un aspect en particulier. Si tu prends le contexte dans sa globalité, tu te rends compte que rien n'est aussi simple qu'il n'y parait. Tu peux te contenter de prendre des chiffres et de dire "voyez, il y a de la réduction" en ignorant les effets rebonds, répercussions, effets indirects, etc.

Le télétravail que tu donnes en exemple est justement assez parlant. Sur le principe, on se dit effectivement, que cela évite des trajets, donc diminue les CO2 du au transport. En pratique, c'est 3 à 5% de réduction seulement, si on prend en compte les changements d'habitude et les effets rebonds. Coup de bol, pour le télétravail (et encore, il faudrait distinguer le TT total du TT partiel), le résultat reste positif. Mais positivement décevant aussi. Et bien loin de l'ordre de grandeur de différence que tu prétends.

Je ne suis pas contre la 5G. Je suis contre le gaspillage. Aujourd'hui, les promesses de la 5G d'un point de vue énergétique ne sont pas tenues. Et ce n'est pas moi qui le dit. Donc être contre le déploiement d'une technologie qui s'avère au final plus énergivore et dont nous n'avons pas besoin, et dont on ne mesure pas encore aujourd'hui les effets rebonds, si c'est ça être néoluddite, alors oui, j'en suis un et j'en suis fier.

Le neoluddite te souhaite un bon week-end. Fin de discussion pour moi.

Le 03/08/2024 à 00h 23

Mais c'est vous qui vous focalisez sur une soi-disant inefficacité énergétique pour faire le procès de la 5G, pour ensuite dire que ce n'est pas le critère quand on vous montre que ce n'est pas le cas.

Et je me tue à vous expliquer que même en valeur absolue ce n'est pas grand chose.

Pour ma part, je n'ai jamais dis que la 5G n'était pas efficace. Ce que je dis, c'est que le déploiement de la 5G, aujourd'hui, c'est des équipements en plus, pour couvrir des zones qui sont très majoritairement déjà couverte par d'autres réseaux comme la 3G/4G. Et l'installation de la 5G dans une zone ne signifie pas le retrait des équipements qui s'occupent des autres réseaux. Donc tu peux prendre le problème dans tous les sens que tu veux, c'est de la consommation en plus, quoi qu'il arrive, pas en moins.

C'est objectivement faux, et prioriser les efforts est bien la façon la plus efficace et rapide pour décarboner.

Si c'est faux, je veux bien que tu me dises par quoi il faut commencer alors.

Vous êtes dans l'idéologie pure.

Absolument pas. Alors certes, je me suis trompé, ce n'est pas 5s, c'est 10.

Maintenant, j'aimerai sincèrement que mon dise quel usage aujourd'hui nécessite la 5g qui ne peut se faire en 4g. Le débit de la 4G, c'est mieux que l'ADSL, et peut atteindre des débits plus ou moins équivalent à celui de la fibre. En quoi est-ce de l'idéologie pure que de s'interroger sur le véritable besoin de cette technologie ?

Ça aussi c'est faux.

Très bien, donnez moi un exemple d'un lieu où le déploiement de la 5G s'est fait en désactivant les réseaux présents ?



Pour finir, un dernier détail, qui est souvent oublié : une antenne 5G est plus efficace qu'une antenne 4G (d'un point de vue consommation énergétique j'entends). Mais une antenne 5G, c'est aussi une portée beaucoup moindre qu'une antenne 4G. En zone rural, la 5G, c'est un peu plus d'un km de porté. Pour la 4G, on peut monter jusqu'à 30. A superficie couverte égale, il faut donc jusqu'à 900x plus d'antennes 5G que d'antennes 4G !

Les études qui montrent l'efficacité énergétique de la 5G le font durant utilisation, par rapport à l'électricité consommée pour son fonctionnement. Si on prend compte le cycle de vie des équipements dans leur globalité, l'efficacité énergétique et écologique de la 5G est beaucoup, mais alors beaucoup moins flagrante (pour ne pas dire négative).

Toujours sur les études qui montrent l'efficacité énergétique de la 5G, elles ont également 2 énorme biais :
1) le déploiement étant en cours, ce sont les zones urbaines et non rurales qui sont privilégiés. Les antennes 5G se trouvent donc principalement dans les zones les "plus denses" où elles sont, en moyenne, plus sollicitées que que si le déploiement était terminée
2) en cas d'absence de 5G, le terminal de l'utilisateur essaiera d'utiliser la 4G. Le trafic réseau qui devait donc initialement passer par la 5G sera comptabilisé au niveau de la 4G, ce qui va fausser les calculs. Qui plus est, un utilisateur à proximité d'une antenne sur laquelle il y a à la fois la 4G et la 5G peut être hors de porté de la 5G, mais à la portée de la 4G. L'utilisateur est alors dans une zone plus éloignée de l'antenne, augmentant la consommation énergétique, notamment celle de son terminal.

Maintenant, si tu penses que c'est de l'idéologie pure de ma part, je ne vais pas te faire changer d'avis (et pour te dire, je m'en fiche). Je me suis renseigné sur la technologie, sur ce qu'elle apporte, en gain de débit et en gain de consommation par rapport aux technologies déjà existantes. Certains aspects sont effectivement améliorés. D'autres au contraire, sont aggravés.

La 5G ne sera source que d'une chose à mes yeux : pas de véritable confort d'utilisation en plus, mais un bel effet rebond qui sera bien plus important que le peu de gain énergétique qui sera réalisé, tout en incitant une partie de la population à changer de téléphone portable pour supporter la 5G, car c'est la techno du moment (même si ce n'est pas représentatif de la population, j'ouvre simplement les yeux autour de moi et je vois des personnes qui ont changé de tel non pas parce qu'il était obsolète/cassé, mais pour profiter de la 5G). Ces changements d'équipements prématurés ne sont pas pris en compte dans les études, et pourtant, participent grandement au désastre écologique.

Le 02/08/2024 à 17h 27

Pour le coup, je suis plutôt d'accord avec wanou.

Je trouve problématique de se limiter à consommation au Go pour au final dire que cela ne consomme rien.

Déjà, et il faut en prendre conscience, en se disant que "machin" c'est rien dans un contexte de réduction de l'empreinte carbone, et bien rien de changera, car il n'existe pas un poste qui représente à lui seul ne serait-ce que 10% de la consommation à lui seul. L'empreinte carbone, c'est un ensemble de goutte d'eau.

De plus, le déploiement de la 5G (ou de tout autre réseau) change les habitudes, ce qui crée de nouveaux besoins, donc on investi dans de nouvelles infrastructures pour éviter la saturation, ce qui augmente la capacité du réseau, qui crée de nouveaux besoins, etc.

Il suffit de se projeter un peu en arrière et de voir ce qu'est devenu internet aujourd'hui et la place qu'il prend, par rapport ne serait-ce qu'au début des années 2000. Avant, les pages étaient légères, car les réseaux bien moins développés et rapide qu'aujourd'hui. Une page 1Mo il y a 20 ans, c'était une page lourde. Une page de 50Mo, avec la fibre, ça passe crème et cela se rencontre malheureusement très fréquemment, au point que nombreux sont ceux qui ne cherche même plus à optimiser le chargement de leur site.

Avec la cloudisation (si si, ça existe, je viens de l'inventer :p), nos besoins en réseau sont de plus en plus énorme, et pas que pour de la VOD. Avec les abonnements que nous avons aujourd'hui, l'utilisateur a l'impression que le réseau est une denrée infinie et inépuisable. Ce qui n'est pas le cas. La crise de la COVID a permis de le rappeler, lorsque le confinement était plus ou moins généralisés, et que les services de VOD ont temporairement baissé la qualité de leur flux pour éviter la saturation des réseaux.

Car si l'impact d'un flux réseau (quel qu'il soit) est minime en tant que tel, le changement d'habitude qu'il induit peut avoir des répercussions plus ou moins important. Exemple :
- la 5G est sortie, je vais me prendre un tel compatible pour pouvoir regarder les vidéos
- je voudrais une TV connectée pour pouvoir regarder Youtube/Netflix/Disney/Amazon tout ce que vous voulez sans avoir besoin de l'ordinateur
- ma tablette qui n'est plus mise à jour n'arrive pas à lire certains site / regarder certaines vidéos => on en rachète une

Ce qui parfois relève quand même de la bêtise pure, car pouvoir télécharger un film 4k de 2h en 5s sur un téléphone portable dont l'écran fait tout au plus 7''... comment dire... J'aimerais bien qu'on m'en explique l'utilité.

Et comme la demande augmente de la part des utilisateurs (on est toujours de plus en plus nombreux à être abonné à des services de VOD par exemple), il faut continuer à investir dans des infrastructures, et donc augmenter encore le coût écologique.

Pour en revenir à la 5G, elle viendrait remplacer les 3G/4G/fibre je dirais super, bonne nouvelle, allons-y. Mais ce n'est pas ça la réalité. La réalité, c'est que c'est un réseau supplémentaire, qui vient en plus des autres, autres réseaux qui ne sont pas près de s'arrêter non plus. C'est donc encore un coût énergétique supplémentaire, même si le cout au Go reste faible, cela reste un coût en plus.

Mais tant que nous serons dans une société consumériste, je doute que ce genre de chose change. De nouvelles habitudes appellent de nouveaux besoins. Répondre à ces nouveaux besoins offrent de nouvelles possibilités. De nouvelles possibilités appellent de nouvelles habitudes....

Le problème, c'est que tout (ou presque) est lié, directement ou indirectement.

Le 01/08/2024 à 14h 34

j’étais resté sur du grand public !

Donc exit linux (désolé, on n'est pas trolldi, mais c'était trop tentant ^^ )

Le 02/08/2024 à 22h 57

Es-ce que l'on peut faire un navigateur web en UWP??

Je dirais oui sur le principe. Après, il y aurait peut être des limitations. Par exemple, les navigateurs actuels utilisent de l'accélération graphique directement via le GPU. Je ne sais pas si c'est possible en UWP, et l'impact que cela aurait sur les performances.

Le 02/08/2024 à 15h 57

Es-ce qu'une solution intermédaire, avec Windows qui surveille que seul Chrome accède aux données, ne serait pas une meilleur approche

Pour moi oui. Il faudrait effectivement un cloisonnement dans les données par application (la plupart n'ayant pas besoin de données "externes"), et quand elles ont besoin de données externes, c'est à l'utilisateur de les fournir (via une boite de dialogue pour ouvrir un fichier par exemple).

Il me semble que les applications UWP sous Windows fonctionnent ainsi. Il faudrait des droits plus fins par application.

Il y a au final que peu d'applications qui nécessitent réellement et légitimement d'accéder aux fichiers d'autres applications. A part les solutions de sécurité (antivirus) ou de sauvegarde, il doit bien y en avoir quelques unes, mais cela ne doit pas courir les rues (peut être aussi les gestionnaires de paquet, et encore !)

La démarche de Google pour Chrome pourrait gêner ce genre d'opérations en rendant les données moins accessible, non ?

Oui, tout à fait. Mais cela ne protégerait que Chrome, alors qu'il y a d'autres données qui peuvent se révéler tout aussi critiques et qu'il est donc nécessaire de protéger également (ex: les drive, les clients lourds mails).

Que Chrome fasse des efforts pour protéger les données, c'est très bien. Que cette protection supplémentaire nécessite un module avec des droits super administrateur sur la machine, ça me parait hyperdangereux, d'autant plus que si le malware est déjà sur la machine, il peut communiquer directement avec ce module. Donc si le module a une faille... c'est tout le système voire le réseau qui est en danger.

Le 02/08/2024 à 12h 58

Encore une fois, que proposes tu alors pour que l'on puisse enfin se connecter à son nas avec un certificat local et sans aucune compétence en réseau ?

On n'a rarement aucune compétence réseau quand on sait ce qu'est un NAS au point d'en acquérir un, l'installer et le configurer.

Ce qui me dérange est le discours sur le fait qu'ils ont forcément pensé à tout et obligatoirement pris la seule bonne décision possible.

Ce qui me dérange, c'est que tu attends, de moi, que je te fournisse des solutions. Réponse : je n'en ai pas. Je ne fais qu'expliquer pourquoi c'est comme ça, et pourquoi le peu que tu proposes est irréalisable.

Si toi tu as la solution, n'hésite pas à la proposer ne serait-ce que sur le bugzilla de Mozilla. J'attends ton ticket avec impatience. C'est la première chose à faire, au lieu de te plaindre ici tout en disant des contrevérités sur Firefox.

Autre chose : les critiques que tu fais sur le fonctionnement des certificats locaux, ce n'est pas une problématique propre à Firefox. Tous les navigateurs ont le même. Alors, stp, arrête de dire sans arrêt des trucs comme "l'équipe n'a pas bien bossé les problématiques de LAN à mon sens" pour cracher sur Mozilla alors que le problème se révèle être systémique si j'adopte ton point de vue.

Le 02/08/2024 à 11h 09

Effectivement, je suis allé trop vite : Firefox 115 est la dernière version à supporter Windows 7 et je n'ai considéré que sa date de sortie. Erreur grossière !

Et en plus, c'est une ESR, donc bénéficie d'un support étendu. La nouvelle ESR vient de sortir (128, ce 9 juillet). On peut donc encore espérer quelques semaines de support pour la version 115 (ce qui vient en plus renforcer mon propos ^^).

Merci pour la précision

Le 02/08/2024 à 10h 59

Effectivement, des durées de validité de plus de dix ans, ce n'est pas sérieux. Même 10 ans semble se faire de moins en moins.

Il s'agit de certificat de CA racine. Avoir des délais courts n'a pas de sens non plus. Un certificat racine n'est pas la pour protéger les sites, il est là pour signer / valider / révoquer les certificats qui vont protéger les sites et / ou les autorités de certifications intermédiaires.

Avoir des délais courts, ça signifie aussi que n'importe quel objet IoT non mis à jour arrêtera de fonctionner en quelques années (par ex. certaines "vieille TV" connecté ne peuvent plus se connecter à certains site aujourd'hui, justement à cause de problèmes de certificats, idem pour les vieux smartphones).

Dans un tel cas, je maintiens que Firefox ne devrait en aucun cas bloquer l'accès ou imposer leur page d'avertissement anxiogène car il n'y a aucun danger à accéder à son nas ou la page de configuration de sa box.

Ce qu'il ne faut pas lire... Aucun danger, es-tu réellement sûr ? C'est même là qu'il y a le plus de danger, notamment avec la multiplication des objets connectés. Mais non, voyons, c'est le réseau local, aucun souci, 100% confiance... ce n'est pas comme si les attaques de type MITM étaient infaisable sur les réseaux domestiques (spoiler alert, c'est là où c'est le plus facile).

Et Firefox n'est pas le seul, tout navigateur digne de ce nom te fera la même chose, car c'est ainsi que les choses fonctionnent, que tu le veuilles ou non (et j'ai compris que tu ne le voulais pas).

Lorsque tu ajoutes une exception pour un certificat auto-signé, la validation initiale t'incombe. Mais passée cette étape, la connexion est sécurisé et chiffrée au même titre qu'un certificat validée par une CA. Un changement de certificat, et Firefox (ou tout autre navigateur) va de nouveau t'envoyer bouler, ce qui doit t'alerter.

Le 02/08/2024 à 08h 34

Un certificat ayant une durée de validité, y compris un certificat racine, la non mise à jour de l'os ne peut pas rendre disponible ad vitam de vieux certificats

As-tu déjà regardé la durée de vie des certificats des AC ? Il n'est pas rare d'en voir avec des durées de validité de 20 ou 30 ans, voire même plus ! Donc des certificats avec des durées de vie aussi longue et sans révocation possibles, oui, il faut gérer ça.

les certificats locaux connus du système et valides doivent être utilisés.

Encore une fois non. Ce n'est pas une obligation. C'est un choix. Firefox a fait celui de ne pas dépendre de l'OS pour gérer les questions de sécurité lié aux certificats. Le fait que tu ne sois pas d'accord n'en fait pas un mauvais choix.

Si on suit la logique que tu valides sans étayer

Je n'ai rien validé du tout. Je ne dis pas qu'une approche est meilleure qu'une autre. Je dis que les deux approches existent et se justifient.

Et je ne sais pas de quoi tu as besoin pour étayer. Des exemples ? Windows 7, fin de vie en 2015, supporté par Firefox jusqu'à l'année dernière. Dit autrement : firefox a supporté un OS déprécié pendant 9 ans de plus. 9 ans pendant lesquels cet OS n'avait justement plus de mise à jour des certificats CA, et où la stratégie de Firefox s'avère payante dans ce cas, luttant contre l'obsolescence logicielle.

Tu veux que j'aille encore plus loin ? Prenons l'exemple du CA de Symantec. Il a été retiré en 2018 de Firefox (et des autres navigateurs au passage) suite à des manquements répétés dans le processus de validation. Résultat des courses : une autorité de certification qui représentait près de 30% des certificats émis en janvier 2015 a été retiré des différents magasins. Un navigateur qui repose exclusivement sur l'OS l'aurait laissé passer, Windows 7 en premier (car plus supporté).

La stratégie de Mozilla, c'est aussi une sécurité supplémentaire en cas d'infection de ta machine. Ton système est infecté par un malware qui installe son propre CA dans le magasin de la machine et configure un proxy ? Firefox t'enverra bouler et t'avertira.

Administrer un réseau où chaque logiciel n'en fait qu'à sa tête est juste un enfer et on dit justement qu'il est pavé de bonnes intentions....

Ca tombe bien, ça fait quand même des années que Firefox permet d'utiliser le magasin de certificats de l'OS (depuis la version 49, soit 2016 !). Faut juste lui dire, car ce n'est pas la configuration par défaut...

Que les choix de Firefox ne te conviennent pas, je l'entends tout à fait. Mais ce n'est pas pour autant que se sont de mauvais choix et/ou qu'ils sont irréfléchis comme tu le prétends.

Le 01/08/2024 à 20h 36

mais il bloque l'accès aux certificats auto signé que l'on trouve communément dans les réseaux locaux

Je n'ai pas ce comportement. J'ai testé et je peux ajouter facilement une exception pour un certificat autosigné. Il faut passer outre des messages d'avertissements, mais c'est tout à fait possible en quelque clic, sans avoir besoin de monter une autorité de certification locale.

De même, si j'importe mes certificats d'autorité racine et intermédiaire dans Windows, je ne tolèrerai jamais que Firefox les ignore.

C'est un choix réfléchis de la part de Firefox j'imagine. Pour ma part, Firefox est le seul navigateur installable sur certains systèmes obsolètes. Sur des systèmes non mis à jour, certaines CA persistent alors qu'elles ont été retirées de la liste des CA de confiance par les navigateurs et les systèmes d'exploitation (pour des raisons diverses et variées, le plus souvent lié à des manquements dans le processus de validation ou à un manque de communication). Sur ce genre de système non mis à jour, il est indispensable que le navigateur ignore purement et simplement la liste des CA du système.

Car oui, c'est tout con, mais il n'existe pas de révocation pour les certificats racines... car une révocation (CLR ou OCSP) doit être signée par le certificat parent, qui n'existe tout simplement pas dans ce cas là.

Chaque approche (se baser sur une liste interne ou sur la liste des CA du systèmes d'exploitation) à des avantages et des inconvénients. Il n'y a pas une méthode qui est meilleure que l'autre. Juste des contraintes différentes.

Les choix faits par Firefox ne te conviennent pas. Soit. Mais ce n'est pas pour autant que ce sont des choix irréfléchis et/ou inadmissibles.

Le 01/08/2024 à 14h 25

N'est-ce pas déjà le cas pour le système d'auto mise à jour ?

Seulement si Chrome est installé pour tout le monde. Si c'est pour toi en tant que seul utilisateur, pas besoin de service pour ça. Il peut se mettre à jour tout seul.

Et tu peux désactiver ces services (chose que font généralement les services IT qui cherchent à contrôler les versions de Chrome installées).

Ici tu évoque l'installation sans être admin (dans appdata), c'est quoi le % d'utilisation par rapport à l'installation normal dans program file ?

Aucune idée. Google doit le savoir, mais je n'ai jamais vu de chiffre là-dessus (je confesse que je n'ai pas non plus chercher à les avoir ^^)

Le 01/08/2024 à 11h 13

Exactement. Cf mon commentaire #1.3 ;)

Le 01/08/2024 à 11h 12

Grosso modo, sous Windows, la gestion des droits est la suivante :
- utilisateur simple : dispose de droits restreint et ne pas pas faire grand chose qui va nuire au système ou aux autres utilisateurs (mais qui peut nuire à son propre compte oui)
- utilisateur administrateur : dispose de droits restreint par défaut, mais peut les élever temporairement (par exemple, pour l'installation d'un programme). Il peut quasiment tout faire, mais pas tout.
- SYSTEM : accès complet à la machine (l'équivalent du root sous linux). C'est un compte système non associable à un compte utilisateur

Aujourd'hui, Chrome peut être installé par un utilisateur simple. Chrome ne sera alors disponible que par lui. Quand c'est un administrateur qui l'installe, il décide s'il veut l'installer pour lui ou pour tout le monde sur la machine.

Ceci étant dit, pourquoi tant de contestation me demanderas-tu ? A grand pouvoir, grande responsabilité (et ce n'est pas comme si le récent exemple de Crowdstrike ne venait pas nous le rappeler).

Ici, nous avons donc un Chrome qui peut être installé par un administrateur et utilisé par des utilisateurs avec droits simples (notons qu'une installation de Chrome par un utilisateur droit simple ne pourra pas installer le service qui nécessite des droits SYSTEM).

Nous avons donc un module "utilisateur" qui va communiquer avec un module "système" ayant les pleins droits sur la machine (toute similitude avec le drame d'il y a 2 semaines serait totalement fortuite). Même si je ne doute pas que les équipes de Google soient compétente en terme de sécurité, les bogues ça existent, et il y a régulièrement des mises à jour pour corriger des failles.

Ici, nous avons donc, en cas de faille, la possibilité pour un code malveillant s'exécutant "avec des droits simples" d'accéder non seulement à tous les fichiers de l'utilisateur, mais également à tous ceux des utilisateurs de la machine sur lequel il se trouve (voire plus via le réseau) si jamais une injection de code dans ce module de sécurité est découverte.

Au delà de l'accès aux données utilisateurs, une injection de code dans ce module pourrait permettre à un attaquant, et sans aucune restriction (utilisateur SYSTEM, ne l'oublions pas), de stopper toutes les solutions de protection présentes sur la machine et/ou de les rendre inefficace, offrant alors un vecteur d'attaque non seulement sur la machine, mais aussi sur le réseau auquel la machine appartient.

Nous avons affaire ici à un navigateur. Un navigateur est un miniOS en soit, et il n'est pas utile (=il ne devrait pas) installer des modules qui pourraient se révéler être de vraies bombes à retardement. De par son rôle, un navigateur est le premier moyen d'accès au Web, et se retrouve de facto comme cible privilégiée pour les attaques, qui peuvent venir aussi bien du web (par ex. une pub vérolée) que de la machine (un logiciel espion), sans parler de la "négligence" des utilisateurs.

Augmenter potentiellement les possibilités d'exploitation d'une faille me parait être une hérésie, surtout 2 semaines après le bogue CrowdStrike (avec comme similitude supplémentaire qu'il est bien difficile, même si cela reste faisable, de bloquer les mises à jour de Chrome).

Google a raison sur un point : ce sont des données sensibles qui doivent être protégées (notamment les jetons d'identifications). Mais au bout d'un moment :
- la responsabilité du navigateur doit s'arrêter et laisser faire le travail à des logiciels spécialement conçus pour (antivirus, EDR, etc.). Monitorer des accès à des fichiers par des applications, ça se fait depuis des lustres et c'est très utilisés pour détecter les comportements malveillants
- un navigateur n'est pas le seul à gérer des données sensibles. Il en va de même pour d'autres logiciels (en premier lieu, les drives et les clients lourds mails). La solution de Google ne protégera que Chrome pas le reste (et ce n'est pas à Google de protéger le reste)


Et si on zappe la partie sécurité, c'est sans compter les bogues qui ne manqueront pas d'arriver (perte des cookies, des mots de passe ou de tout autre données qui seront protégées par ce mécanisme). Ce n'est pas comme si Chrome avait justement "perdu" l'accès aux mots de passe pendant quelques heures il y a 2 jours....

Le 01/08/2024 à 09h 48

Ok. Donc pour augmenter la sécurité des cookies, Chrome veut injecter dans l'OS un service qui tourne sous l'utilisateur SYSTEM :
- Elevation service, qui fait partie des sources de Chrome : https://chromium.googlesource.com/chromium/src/+/refs/heads/main/chrome/elevation_service/


Comment dire les choses simplement....

NON

NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON NON

Le 02/08/2024 à 14h 39

En plus, l'avantage des rails, c'est qu'ils font rarement des virages à 90°. C'est plutôt utile pour de la fibre...

Le 30/07/2024 à 09h 50

comme les imprimantes qui refusent d'imprimer en noir et blanc quand la cartouche "rouge" est vide, d'après un compteur théorique, même pas d'après un capteur physique (double absurdité)

Triple absurdité : et qui refuse de scanner (si si, ça existe, coucou la feue HP de mes parents)

Le 29/07/2024 à 14h 47

Oh mais je n'en doute pas. J'avais plus en tête la "corruption" d'un répéteur, qui ne nécessite pas de sectionner la liaison.

Le 29/07/2024 à 14h 31

A première vu non, mais il faut toujours rester prudent. On ne sait jamais. C'est un "bon moyen" de détourner l'attention pour opérer ailleurs.

Le 02/08/2024 à 14h 34

de même qu'on ne parle plus de Facebook mais de Meta. Du coup, ça fait AAMAM.

Ca sonne un peu trop détente, même si ces chiffres donnent quelques suées

Le 02/08/2024 à 11h 13

Clairement, surtout que payer :
- alimente les groupes pirates en moyen financier (donc fait perdurer le système)
- ne protège aucunement contre les attaques à venir
- et comme ça ne protège pas des attaques à venir, qu'une faille a déjà été exploitée et qu'ils ont payé, on peut tenter le "même joueur joue encore" quelques mois plus tard !

Le 01/08/2024 à 14h 31

Vrai en théorie. En pratique, c'est plus compliqué. Il faut savoir identifier précisément quel est le contenu à bloquer. Là, on parle d'un fichier de configuration. Est-ce qu'il faut bloquer tout le domaine et pas juste el fichier ? Si oui, ça risque de bloquer pas mal de chose légitime, pas que la mise à jour. Si tu bloques ressources par ressources, tu risques de bloquer à moitié les mises à jour, ou d'oublier de débloquer une ressource lorsque tu es prêt pour le déploiement.

Sans compter qu'il faudrait sans doute un certificat racine pour que le proxy puisse pleinement filtrer le contenu...

Sans compter le temps a y passer (et pour une solution de sécurité comme ça, cela pourrait être plusieurs fois par jour).

En bref, si la solution ne propose pas de base de solution pour contrôler les mises à jour, on peut très certainement y arriver, mais ce sera très casse-gueule et risque de créer plus de problème que cela est sensé résoudre.

Le 31/07/2024 à 09h 26

Dernier paragraphe :

Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l'entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.

Ca va quand même être intéressant à suivre. En effet, ce genre de clause (pour ce genre de logiciel) est surtout là pour dire que le produit n'est pas infaillible et peut laisser passer des menaces. Si une menace passe et que votre infra tombe, on se limite à rembourser le logiciel, pas les conséquences.

Mais là, la panne a été causé PAR le logiciel lui-même. C'est autrement différent en guise de responsabilité.

Crowdstrike est d'autant plus responsable qu'on ne parle pas d'une entreprise qui est tombée à cause d'un bogue rarissime sur une configuration abscons (où, là encore, cela pourrait se discuter car il n'est pas possible de tester tous les cas), mais bien d'un plantage général d'un bogue qui n'est que de la responsabilité de Crowdstrie, avec des défauts dans les procédures de vérifications (cela a été annoncé par Crowdstrike même), et non testable avant par le client final car déployé automatiquement.

Bref, ce genre de clause, ici, ce n'est pas garantie qu'elle saute, mais ce n'est pas garantie qu'elle tienne non plus. Affaire à suivre.

Le 01/08/2024 à 11h 35

A priori, une première plainte a été déposée... par les actionnaires !

Le 01/08/2024 à 11h 16

Mais uniquement si le commentaire a été modifié ;) Ce commentaire l'a été, si tu veux essayer cette fonctionnalité ;)

Le 01/08/2024 à 09h 38

J'ai essayé de creuser pour voir. J'ai trouvé un chiffre dans ce document sur lequel je suis tombé via un lien donné dans l'article (celui-ci pour être précis).

Difficile de savoir dans quel contexte cette phrase a été dite. Toutefois, si on se limite à la commune de Saint-Denis, et un taux de positivité de 85% (extrait du lien que je donne), cette phrase peut prendre un sens.

Reste maintenant à définir ce que cela veut dire un taux de positivité. Personnellement, je ne sais pas.

Le 31/07/2024 à 16h 07

Depuis l’entrée en vigueur du RGPD, les fonctions de RSSI et de délégué à la protection des données personnelles (DPD) sont assurées par la même personne.

Je ne suis pas certains que les fonctions de RSSI et de DPD soient compatibles (= rôle attribué à la même personne). Le DPD doit, en théorie, ne pas être en conflit d'intérêt dans le cadre de ses fonctions. Ce qu'il sera de facto s'il est également RSSI.

les rôles sont complémentaires (et doivent même collaborer ensemble sur par mal de sujets), mais ne peuvent pas être tenu par la même personne.
[edit] rajout du texte en italique

Le 31/07/2024 à 15h 30

Pour plus de sécurité, on peut déjà t'imiter, en choisissant judicieusement son pseudo

Le 31/07/2024 à 09h 03

D'habitude, je ne relève pas mais là, on est quand même sur Next donc... on cite Next !

Le 31/07/2024 à 10h 21

Je ne vois donc pas pourquoi tu parles de "à l'encontre"...

C'est pourtant simple : j'ai des données dont je n'ai plus besoin. Je ne m'en sers pas. J'ai 0 traitement les concernant. Principe de minimisation des données => suppression. Sauf que non, je ne peux pas, car légalement, je dois les conserver.

Exemple : les informations concernant mes anciens employés (fiches de paies, contrat, etc.) je dois les conserver pendant 5 ans après son départ (aspect légal) alors qu'en pratique, je n'en ai plus besoin au bout de quelques mois car je n'ai plus de traitement à ce sujet (les cotisations sont payées, etc.).

Le principe du RGPD voudrait que je supprime ces données (cf. article 5 du RGPD). La loi m'impose de les conserver.

Alors certes, il existe des cas où ces données pourraient encore me servir. Par exemple, si un employé m'attaquait au prud'homme. Mais les délais sont plus court (2 ans). Contrôle URSSAF ? 3 ans. Contrôle fiscal ? 3 ans aussi. Je dois donc légalement conserver des informations totalement inutiles pendant 2 ans de trop.

C'est en cela que je dis que ça va à l'encontre du principe de minimisation prôné par le RGPD.

Le 31/07/2024 à 09h 31

Justement, la loi impose dans certains cas la conservation des justificatifs (je ne me prononce pas sur le bienfondé de cette demande, ce n'est pas le sujet). L'entreprise peut ne pas avoir besoin de traiter ces données (cf. RGPD et minimisation), mais la loi l'oblige à les conserver (l'entreprise se retrouve donc, "malgré elle" à devoir conserver des informations qui ne l'intéresse pas).

Je ne dis pas que c'est ce que dit user6811, je dis que c'est comme ça que je l'ai compris. En tant que chef d'entreprise par exemple, j'ai des obligations légales qui vont "à l'encontre" du principe de minimisation des données prévues par le RGPD.

Le 31/07/2024 à 09h 00

A la lecture du message de user6811, j'ai pensé que le problème n'est pas tant la vérification de l'identité de la personne au moment de l'inscription/ouverture, mais la conservation des documents, parfois de manière pas très sécurisé, par les différents organismes.

C'est d'ailleurs bien pour ça qu'avec mon côté parano, je mets toujours un filigrane sur les documents d'identité que je transmets, avec la date + l'organisme + le but recherché. Ainsi, s'il y a une fuite :
1) je sais d'où elle vient
2) le document ne peut pas être réemployé (et si il l'est, l'organisme l'ayant fait sera en tort car accepter un document sur lequel il est marqué à usage exclusif de XXX, c'est une faute de sa part)

Le 30/07/2024 à 22h 34

Franchement, j'adore l'illustration. La prochaine fois, ce sera Timon et Pumba xD

Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !

Ces p'tites infos, j'ai dû les donner,
Quand j'visite des sites pour rigoler,
Ils m'ont dit, pas de problème !
Juste un petit formulaire, et on se connaît !
Oh, qu'importe les préférences,
Cookies, traceurs, tout est dans la danse !

Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !

Et bien sûr, quand tu navigues en ligne,
Tu laisses des traces, sans même savoir la combine,
Les pubs ciblées, elles savent tout de toi,
Tes goûts, tes envies, même où t'habites toi !
T'inquiète, c'est pour améliorer,
Ton expérience sur le web, t'façon c'est payé !

Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !

Le 31/07/2024 à 09h 56

Je vais prendre un exemple : moi. J'ai une RC Pro, qui me protège dans le cas où je ferai des dégats dans une entreprise (par exemple, si j'interviens sur un serveur et que je le flingue, mettant en carafe toute l'entreprise). J'ai des clauses d'exclusions (le domaine financier n'est pas couvert par exemple). Mais j'ai aussi des plafonds de couverture. Je suppose que c'est aussi le cas ici : plafond atteint, donc indemnisation limitée.

A noter ici que c'est mon assurance qui couvre mes clients quand j'interviens chez eux et que l'erreur m'ait imputable. Rien n'empêche le client (et c'est même recommandé !) d'avoir une assurance qui le couvre également pour des choses qui peuvent arriver (un serveur qui crame de lui-même, un incendie, une inondation, un employé qui fait une bêtise volontairement ou non, etc.). Mais là aussi, il y a des plafonds.

Et il ne faut pas se leurrer : pour ce genre de chose, plus les plafonds sont élevés, plus les assurances coûtent chères (quand et si les compagnies d'assurances acceptent).

Le 31/07/2024 à 08h 31

Une petite faute de frappe je pense dans le calcul de fry. 21,85m/s = 78,6km/h, pas 75,6km/h.

En fait, le différentiel de vitesse nécessaire pour doubler un véhicule ne dépend pas de la vitesse des véhicules, uniquement du temps souhaité et de la distance "en plus" que doit parcours le véhicule qui double.

Si on pose mathématiquement :
- v1 : vitesse de la voiture qui est doublé
- v2 : vitesse de la voiture qui double
- d1 : distance parcouru par la voiture doublé
- d2 : distance parcouru par la voiture qui double
- D : distance parcouru en plus par la voiture qui double pour pouvoir doubler (ici = 50m)
- t : le temps écoulé

Alors on cherche à calculer v2 à partir de ces différents éléments.
Ce que l'on sait, c'est que :
d2 = d1 + D

comme d1 = v1 x t et d2 = v2 x t, on obtient :
v2 x t = v1 x t + D
v2 = v1 + D/t

et donc le différentiel de vitesse : v2 - v1 = D/t. Indépendant de la vitesse initiale des véhicules (je suis resté dans le cas où on peut considérer la vitesse des véhicules comme étant non relativiste, approximation hautement valable tant qu'on reste à des vitesse bien inférieure à celle de la vitesse de la lumière ^^)

Résultat des courses (désolé pour le jeu de mot), pour dépasser un véhicule en prenant une marge de 25m avant et après (D = 50m), il faut :
- pour 30s : 6 km/h de plus
- pour 27s: 6,67 km/h de plus
- pour 20s: 9km/h de plus
- pour 15s: 12 km/h de plus
- pour 10s: 18 km/h de plus

Juste un mot non pas sur la vitesse, mais sur le temps nécessaire : il faut le minimiser surtout sur route, pas tant sur autoroute. En effet, sur route, une voiture peut arriver d'en face, pas sur autoroute (en théorie), et il est donc nécessaire de limiter la durée pendant laquelle la voiture est déportée sur la voie d'en face (dans le cas d'une 1x1 voie hein !).

Le 29/07/2024 à 16h 39

Je ne sais pas ce qu'il en est aux Etats-Unis, mais en France, je pense que ce mécanisme ne tiendrait tout simplement pas.

Tout au plus, il pourrait y avoir communication aux forces de l'ordre de la position d'une voiture en flagrant délit d'excès de vitesse, mais impossible, en l'état actuel de la législation, de verbaliser automatiquement à cause d'un simple détail : les radars doivent être homologués et contrôlés périodiquement. Un défaut dans l'homologation ou si le contrôle a expiré, et les amendes du radars sont nulles (et si jamais ça arrive, cela ne résiste pas à une contestation).

Le 29/07/2024 à 20h 30

Il manque la réponse D : Obi-Wan Kenobi.