Le 03/05/2018 à 04h 58

Gemini_Power a écrit :



Question (sincère) quand même:



Comment cela se fait que le site a été capable d’enregistrer un mot de passe clair, même dans un log ?



Normalement, si je me trompes pas, dans les bonnes pratiques, les mots de passe ne circulent jamais par le réseau (même en SSH).

Théoriquement, il doit être hashé côté client (navigateur) avant d’être envoyé vers le serveur (et peut même être rehashé côté serveur) pour être mis en base. Et pareil lors du login.



Le bug aurait été de le transmettre en réseau avant hash vers le serveur (ou passer une copie par le réseau lors de la remise à jour) ?





Hasher le mot de passe n’a aucun intérêt au contraire. Enfin, c’est pire vu que ça tue l’intérêt du hashage. Avec ton idée , si tu récupères le hash, tu peux directement te connecter avec le hash en le fournissant au serveur sans faire l’étape de hash en JS (normal, il est déjà hashé).

En SSH avec mot de passe, c’est pareil mais si c’est de l’authent par clefs le fonctionnement n’a plus rien à voir et il n’y a effectivement plus de transfert de mot de passe.

Le 15/11/2017 à 18h 13

Ricard a écrit :



" />





+2 (sans compter le sexisme de cette écriture…)

Le 09/05/2017 à 07h 40

David_L a écrit :



https://www.nextinpact.com/offres-abonnement#Pro



Voir par ici et faire une demande spécifique " />





Oui, j’ai vu un peu trop tard. Je vais voir ça avec ma hiérarchie.

Le 06/05/2017 à 10h 51

En fait c’est déjà prévu, je suis un boulet " />

Le 06/05/2017 à 09h 45

Serait-il envisageable d’avoir une offre « entreprises », plus chère mais authentifiée pour quelques adresses IP ?

Le 25/04/2017 à 08h 14

L’ANSSI, le SGDSN et la DGSIC ne font pas partie des forces de l’ordre ;)

Le 13/03/2017 à 11h 01

v1nce a écrit :

Les capacités du hardware sont connues du “pilote” qui est DANS l’imprimante. Et donc celui-ci génère des pages web en conséquence (NB/couleur, marge, entrée/sortie papier, agrafage,vignettage,qualité…).



Ça enlève la possibilité d’avoir un serveur central (tu envoies tes documents sur un serveur unique avec plusieurs imprimantes, tu te déplaces ensuite à l’imprimante la plus proche, tu t’authentifies et tu récupères tes documents).

 

Et comment faire pour imprimer de façon automatique depuis un programme ? Il ne faut pas des pages web, mais une API qui expose toutes les fonctionnalités. Et au final, ça revient à avoir un driver.

Le 12/03/2017 à 16h 39

v1nce a écrit :



Si le pilote générique est géré par l’OS alors oui pour l’utilisateur c’est comme si tu n’avais plus de pilote (pas de truc à installer quand tu passes de ton PC à ton Mac…)

 

De plus si tu utilises le serveur web tu n’as plus besoin de pilote du tout.



En revanche, oui il faut toujours un microcode pour interpréter un fichier en commandes compréhensible par l’imprimante. Sauf que comme il est DANS l’imprimante OSEF.  







Et comment fais-tu quand ton imprimante offre des fonctionnalités un peu inédites ? Il faut bien que ton serveur web (vu que c’est lui qui parle à ton imprimante) sache si l’imprimante a du papier A4 ou A3, le domaine d’impression (certaines imprimantes permettent d’imprimer sans marge), si elle sait fait du recto-verso, si elle sait agrafer (et jusqu’à combien de pages ! ), si elle imprime différemment en fonction du papier fourni, si elle sait relier le document imprimé, etc…



Bien sûr, des pilotes génériques suffiront pour une bonne partie des imprimantes (et c’est comme ça que ça fonctionne aujourd’hui), mais il faudra toujours la possibilité d’ajouter des pilotes spécifiques à un modèle.

Le 10/03/2017 à 10h 16

Et comment imprimer en agrafant sur le côté ou en haut à gauche, quand on imprime via PDF ?

Le 12/03/2017 à 16h 32

OlivierJ a écrit :



Les agents de la CIA ni sont ni pire ni meilleurs que les agents français, ce sont les agents d’un pays démocratique, avec des côtés sombres et des côtés lumineux, on va dire. 





Bof.  

• qu’ajoute le côté démocratique à la chose ? Cela les autorise-t-il magiquement à faire tout ce qu’ils veulent à  l’étranger ? que fais-tu du droit international (oui, je sais, le truc complètement passé sous silence en Occident :( )
  


• ce sont les États-Unis qui jugent les autres groupes ou pays sur un aspect moral (c’est le camp du Bien, ils combattent l’Axe du Mal, toussa) ; à ce titre c’est bien normal de juger si leurs actes sont moraux ou non (bref, s’ils mentent comme des arracheurs de dents ou pas). A contrario, la Russie ne se place jamais sur le plan moral : ils admettent défendre leurs intérêts et c’est tout (et bien sûr, c’est parfois contraire aux nôtres, il ne faut pas se faire d’illusion). Les États-Unis défendent uniquement leurs intérêts, mais prétendent que c’est pour le Bien.
  


• on peut comparer la CIA aux autres services secrets, en termes de personnes torturées (coucou les prisons secrètes de la CIA), de gouvernements renversés, de guerres causées, de groupes terroristes soutenus… Par définition, les services spéciaux font des choses illégales, mais certaines sont nettement moins morales que d’autres.
  
   

Le 18/11/2016 à 14h 05

Vous n’êtes pas les seuls à avoir l’exclusivité, dirait-on :)



http://www.lopinion.fr/blog/secret-defense/exclusif-surveillance-hertzienne-l-in…

Le 25/08/2016 à 17h 28

eliumnick > bah bien sûr que si, qu’est-ce qui empêcherait de faire une analyse d’impact ?  De toute façon, si on devait faire une analyse des sources pour faire une analyse d’impact, on devrait refaire ces analyses à chaque mise à jour (donc elles seraient à recommencer avant même d’être finies)…

Le 22/06/2016 à 21h 20

De mémoire, l’idée est d’écrire un programme dans un langage particulier et très limité, qui peut notamment faire des transactions d’un compte à l’autre.  



Ce programme (ou « contrat ») sera exécuté dans la blockchain : autrement dit, plusieurs ordinateurs vont faire le même calcul, et s’ils arrivent tous au même résultat, ce résultat sera ajouté à la blockchain et scellé définitivement. Celui qui veut exécuter le programme (et voir son résultat scellé et validé par la communauté) va devoir payer pour ça ; chaque exécutant sera payé (un peu). 

Sur le fond, ça n’a strictement aucun intérêt : on sait depuis longtemps faire exécuter un calcul par plusieurs machines (coucou Seti@home), et quant à avoir une publication officielle des résultats pour avoir une garantie, on sait le faire également depuis longtemps (coucou le Journal Officiel). Bref, c’est un moyen très compliqué pour faire quelque chose de simple, mais qui a le mérite d’ajouter un intermédiaire de façon artificielle.

Le 26/04/2016 à 06h 41

“Commissariat aux communications, sous l’égide du Secrétariat général de la défense et de la sécurité nationale (SGDSN)”

Le Commissariat aux communications électroniques de défense dépend de Bercy et non du SGDSN ;)





Sinon, le gouvernement a tout à fait raison quand il dit que le monde judiciaire et le monde administratif doivent être totalement indépendants… mais ça n’empêche pas d’avoir deux plates-formes techniquement identiques pour mutualiser la conception, et ça n’empêche pas non plus de faire quelque chose d’indépendant de Thalès.

Le 19/04/2016 à 07h 21

(en français, on parle d’authentification, authentication est anglais)

Le 23/03/2016 à 07h 49

lateo a écrit :



hum… " />

àmha la vraie question citoyenne se pose pour les collectes de masse, et pas vraiment sur une écoute judiciaire. (édit: ou alors il faut remettre en cause bien plus que celà par souci de cohérence)

ou j’ai mal compris ton propos? " />





Mon propos n’était pas clair, en effet : je voulais dire que Thalès est probablement le principal responsable des dysfonctionnements de la PNIJ, non Urvoas.

Le 18/03/2016 à 19h 20

Jarodd a écrit :

 Sans parler des pannes à répétition du système d’écoute mis en place par Thalès ! Tout le ³¹⁄₁₂ en carafe, et une semaine entière début mars !

 On dit merci qui ? Merci Urvoas et Cazeneuve, les pieds nickelés du gouvernement !

(edit : démerdez-vous pour la lisibilité, j'en ai marre de toujours éditer les sauts de ligne )

(celui en carafe concerne les écoutes judiciaires, et j’aurais plutôt tendance à remercier Thalès pour ça)

Le 14/03/2016 à 09h 57

tazvld a écrit :



C’est faux, c’est dit dans la news, il fonction sur mac OSX intel, donc sur un noyau grandement dérivé de freeBSD (Darwin).





Non et Darwin n’est pas un noyau mais un OS complet sans interface graphique.

Le noyau s’appelle Mach et n’est pas dérivé de celui des BSD. En revanche, l’userland autour du noyau (une bonne partie des outils bas-niveau et des commandes du shell) provient de BSD (avec XNU = Mach + une partie de ces outils, comme la gestion des drivers).



 En (très très) gros, on a Mach, XNU = Mach + outils de BSD, Darwin = XNU + outils de BSD + shell, OS X = Darwin + interface graphique Cocoa.