Saxx a pas la meilleure réputation du monde dans la commu sécu (et pas que pour ses communications récentes, cf https://blog.cryptohack.org/twitter-secrets par exemple) ^^' Je comprends la facilité pour Next de le prendre comme source, mais c'est à mon sens un raccourci qui peut être contre productif, et qui pour moi décrédibilise le site
Whoaaaaah, je suis cité sur Next ! Je crois avoir vu la petite fenêtre "Achievement unlocked" en haut à gauche ! Merci d'avoir mis mon humble contribution dans les LIDD :)
Seb, si un jour tu veux d'autres liens/infos/échanges/whatever sur tout ce qui est game hacking, il ne faut pas hésiter une seconde, c'est un sujet qui m'intéresse fortement et pour lequel je peux à peu près passer 10 ans à en discuter ^^ De là à dire que ça pourrait être bien d'en faire une série d'articles...
On a du croiser les flux commentaires. Tu trouveras mes bugs/opti/remarques un peu plus bas :)
Le
18/09/2024 à
19h
36
Alors alors :)
Déjà, petit problème (sur brave au moins) avec le player : - lancement du webplayer - ctrl click sur un lien vers une autre page de next - ouverture du nouvel onglet
Résultat, ça lit le podcast 2x, avec un léger décalage. J'ai tendance à ouvrir à peu près 15 000 onglets (oui, je fais partie de ce genre de personnes), donc là je suis en PLS
Ensuite, le player est blanc, même avec le dark theme, pas que ça me change grand chose personnellement, mais si je me retourne, je crois voir à peu près tout Next qui est en train de sortir les armes là
Ensuite encore ensuite, qu'on aime ou pas les podcast, l'initiative est plus que louable Etant donné que c'est une nouvelle "aventure" pour Next (et peut être pour toi Mathilde, je ne sais pas), ça pourrait être intéressant de faire un édito/série de posts/whatever sur le thème "comment on créé un podcast", non ? eg. choix du micro, isolation, comment gérer sa voix, etc ? Ou alors, ça a juste été le micro du laptop sur le bureau et il n'y a rien à dire de plus ?
Sur le podcast en tant que tel : - Entre 00:50 et 01:01, on a juste la musique de fond. Ca fait un peu long je trouve ^^' - Sur le format podcast, dur de se faire un avis complet sur 2mn30 - Si c'est sur les plateformes de streaming, ça signifie que tous les podcasts seront en libre accès ? Ou certains seront uniquement pour les abonnés ? Ce qui induit que ceux ci ne seront pas sur lesdites plateformes ? - ce n'est pas du tout un exercice facile pour m'y être déjà essayé, donc bravo ! Quelques petites remarques cela dit (il faut y voir ici des axes d'amélioration, je veux pas juste basher) --- Je trouve que ça fait un peu trop lu des fois, par exemple :"on va parler biais des algorithmes [...] ca va être passionnant" --- Dans le même ordre d'idée, le ton est un peu trop forcé des fois (eg. "Et depuis, c'est la folie", "un domaine qui qualifie aussi bien [...] applications") --- Quel va être le format d'un épisode complet ? Des échanges avec d'autres personnes, donc quelque chose de dynamique ? (je sais que ce premier épisode dit que Next va interroger des gens, mais est ce que ça sera un résumé de ce qu'ils ont dit, ou alors ces personnes vont être interviewées dans le podcast ?) --- FWIW, on m'a dit une fois qu'il faut faire un podcast comme si on parlait à un pote en face. Fais ce que tu veux de ça --- Encore une fois bravo pour cet épisode d'intro en tout cas, le ton n'est pas monocorde et c'est pas facile ^^
Enfin... c'est l'équipe de Next qu'on entend à la fin ?
Edit : pas fou l'affichage des bullet points sur next en fait ^^'
Les vidéos du MVG sont bien aussi, il me semble qu'il en a une qui décrit les modes de fonctionnement du PPU et tout ce que le gameboy original avait déjà de plus puissant que la NES.
Je connaissais pas, je vais aller jeter un oeil à cette chaine, thx :)
Le
18/09/2024 à
09h
29
La ressource peut être étendue à de nombreuses consoles : https://www.copetti.org/writings/consoles/. Ce site est une vraie mine d'or pour faire une intro au HW de consoles.
Il y a également ici https://lsdsecdaemon.com/game-hacking-links-repo/ une liste de plusieurs liens vers des ressources similaires, qui pourraient vous aider à faire pas mal de LIDD du coup, à coup de un LIDD par lien
Très intéressant (et étoffé) commentaire. Sur le QVS, je n'ai pas creusé car je ne vais pas "faire le produit" pour Qualys, mais c'est aussi un peu normal qu'ils défendent leur score. J'en comprends cependant qu'il s'agit d'un "mix" entre dangerosité (tel qu'on peut le voir dans CVSS) et probabilité d'exploitation (EPSS), et donc forcément c'est meilleur (selon eux). Ce qui est intéressant (plus que leur QVS) est que Qualys reste une société de premier plan en sécurité informatique, et que leurs observations sont toujours utiles. Je crois que tu as fait une remarque sur le titre du §, ça aurait en effet pu être "CVSS vs QVS vs EPSS", mais je voulais surtout insister sur le fait que le CVSS (beaucoup plus connu) manque de la dimension "probabilité" (qu'on retrouve dans QVS et EPSS, mais le matériau de base de l'article était l'étude de Qualys)...
Ouais la notion de synthèse est pour moi un vague concept dont j'ai entendu parler une fois ou deux, mais flemme de m'y mettre ^^'
Merci pour ton retour, toujours agréable de se dire que le lien journaliste/lecteur est fort sur Next !
Là où on diffère sur l'analyse, c'est que je vois le QVS comme un "remplaçant" (selon Qualys en tout cas) à EPSS, plus qu'un mix entre CVSS et EPSS, puisque le QVS semble prendre le même type de metrics Btw, en soi, je n'ai rien contre QVS, il est déjà arrivé que des initiatives privées soient meilleures que des efforts communs, et in fine c'est le meilleur système qui prendra le lead que ça soit EPSS ou QVS. J'ai par contre quelque chose contre le "on est mieux" sans analyse complète, sans explication du fonctionnement et sans statistiques. Ca fait un peu vendeur de tapis pour moi Ce qu'il faut c'est soit un beau paper, soit du temps pour que la commu se rende compte du meilleur système.
Je te rejoins par contre sur le fait que Qualys est une société effectivement de premier plan, aucun débat là dessus. D'ailleurs on le voit très bien au niveau technique, ils nous sortent des vulns bien vénères assez souvent (coucou regresshion),
Je te rejoins aussi sur le fait qu'EPSS est pour l'instant moins connu que CVSS. (un peu) plus compliqué à appréhender, beaucoup plus récent, les 2 premières versions étaient pas folles, c'est closed source, et c'est aussi moins vendeur de dire "Ya une nouvelle vuln critique mais l'EPSS est de 0.001" dans les sites putaklic ^^ Néanmoins, il commence à se démocratiser de plus en plus dans la commu.
(et oui c'est moi qui ai fait la remarque via le signalement )
PS : et voilà, encore un message étoffé alors que je voulais juste te répondre rapidement PS2 : Au passage, pour tous ceux que ça intéresse, le paper arxiv de l'EPSS : https://arxiv.org/pdf/2302.14172. Même si on n'a pas tout le détail, on apprend quand même une partie des metrics utilisées. Contrairement au QVS
Le
16/08/2024 à
18h
17
https://github.com/CVEProject/cvelistV5/ et https://www.cve.org/Downloads
De là, tu devrais pouvoir récupérer la liste des CVEs avec kernel.org comme CNA et faire tes petites stats kivonbien :)
Sur les failles publiquement exposées, il est possible de jeter un coup d'oeil via shodan/zoomeye/censys, mais tu n'auras par définition que des informations partielles et qui ne représentent pas la totalité des machines vulns mais que celles sur internet. De plus, cette solution, c'est à vérifier vuln par vuln, vu qu'elles ont potentiellement des spécificités différentes (versions spécifique, composant activé ou non, etc).
Tu peux aussi le faire proactivement et faire un gros nessus samer sur 0.0.0.0/0, mais je pense que tu vas avoir quelques soucis (autant légaux que techniques, et non pas lego technics)
Le
16/08/2024 à
13h
33
C'est totalement vrai. L'humain (COUCOU LE PHISHING ! COUCOU L'INSTALL DE SOFTS VEROLES SANS REFLECHIR) est un facteur important et doit être pris en compte. Il y a d'autres "types" de vulnérabilités (shadow IT, non conformités liées à de l'AD (mais pas que), sites customs mis sur internet avec des flaws, etc)
Cela dit, l'article se focus sur les CVE ^^
Le
16/08/2024 à
13h
26
J'avais promis à Ferd que je me réabonnerai un jour. C'est maintenant fait, grâce à cet article, donc bien joué Jean !
Pour en revenir à l'article : j'ai l'impression que le QVS est un indicateur de risque (donc plus proche de l'EPSS), plus qu'un indicateur de criticité (= CVSS).
Il est dommage que le QVS soit autant cryptique. Qualys ne semble pas donner beaucoup de détail sur ce scoring, à peine un "active exploitation, exploit maturity, and visibility on both the dark web and social media". En googlant un peu, on voit aussi d'autres params comme le CVSS ou le CISA KEV, mais ca va pas beaucoup plus loin malheureusement.
Ceux qui bossent dans la sécu vont me répondre "t'es bien gentil ElCroco, mais l'EPSS c'est pareil". Oui et c'est d'ailleurs un reproche que je fais à EPSS et c'est très chiant car on doit croire l'EPSS les yeux fermés. Cependant : - il est beaucoup plus large car non limité à Qualys : tout le monde peut l'utiliser - le FIRST (à l'origine de l'EPSS) n'est pas une entreprise et n'a pas d'intérêt à gagner de la grosse thunasse. Donc j'y vois moins d'arguments commerciaux, - l'EPSS prend en compte des métriques de nombreux acteurs de la sécu qui voient la réalité du terrain (eg. éditeurs EDR, MS, etc qui peuvent donner de manière précise le nombre de vulns réellement exploitées, alors que Qualys peut être pas...
De plus, le gars de chez Qualys est bien mignon, sauf qu'un EPSS de 0.9, c'est ENORME ! On sait que l'EPSS a une courbe plutôt logarithmique ( https://www.first.org/epss/articles/epss_percentiles.png ) donc il est normal qu'avec un EPSS en 0.9 il n'y ait que très peu de vuln. Par contre, vu qu'on n'a aucune idée de comment fonctionne QVS, il est compliqué de faire une comparaison (95/100 vs 0.9) vu de l'extérieur. Du coup, il peut bien sortir les chiffres qu'il veut, ça nous avance en rien x)
Le problème d'ailleurs, avec son analyse de 63% de vulns critiques par le QVS vs ~19% via EPSS, c'est qu'on ne sait pas où est la réalité ^^' Est ce que ces 63% sont vraiment dangereuses et on va se faire péter soon, ou alors, est ce que seules celles de l'EPSS sont réellement dangereuses ? Je peux très bien pondre un indicateur custom qui dit que "moi j'ai raison, et pas l'EPSS".
Concernant les chiffres et leur évolution : il est impossible de revenir en arrière, on ne pourra pas avoir de baisse du nombre de CVE par an (en tout cas pas tant qu'on ne modifiera pas le système dans sa globalité), ou alors de manière conjoncturelle : - il y a toujours plus de softwares - la sécurité est toujours plus à la mode - la FAME. Les "chercheurs en sécurité", faut pas oublier qu'une partie d'entre eux ils veulent juste être en mode kikitoodur à pouvoir dire "Regardez, j'ai trouvé plein de vulns, je suis donc forcément quelqu'un d'important"
Par contre, l'EPSS (ou même le QVS hein) est un outil intéressant car il permet de mettre en lumière la priorisation. "OK il y a 22k vulns, mais j'ai pas le temps de toutes les traiter, donc quelles sont celles que je dois faire en prio ?" Ca se résume à "Si j'ai une fuite d'eau et un clou à planter chez moi, lequel je vais choisir en premier ?"
Déjà, il faut clairment faire attention avec ce que disent les utilisateurs (cf le problème de 2012, ça me paraitrait tout de même étonnant que la cause soit identique)
Et puis Google n'a pas forcément menti. La vulnérabilité peut avoir été effectivement utilisée dès début juin. Peut être même avant. Peut être même en 2012 d'ailleurs. Mais ce n'est pas un mensonge de dire qu'elle a été identifiée par Google fin juin. C'est juste qu'avant, Google ne l'avait juste pas... bah identifiée quoi ^^'
Le ticket créé par l'utilisateur début juin a peut être aidé à l'identification, mais la date de création du ticket ne correspond pas forcément à la date d'identification de la vulnérabilité.
0/ Je fais partie des radins ! (promis, un jour je reprendrai un abo, c'est relou de n'avoir que les débuts d'articles ^^). Je me permets ici un petit message concernant la nouvelle UI, histoire de donner des retours à un site que j'apprécie.
Alors, oui je sais, résistance au changement, tout ça, mais, je trouve que la version mobile -celle que j'utilise principalement- a perdu en "âme". Je trouve pas réellement d'autre mot, mais globalement quand je me connecte sur le site, hormis le petit logo next, je n'ai plus l'impression d'être sur next, mais sur un bête site de news random : un fond blanc, une suite de titres parfois sans image (les briefs, j'ai bien compris que c'est la raison de l'absence d'image) et... et bah c'est tout en fait. Rien qui me fasse dire "ouais, là je suis sur next, il fait chaud et beau, je me sens bien". Je trouve dommage d'avoir résumé la homepage au strict minimum.
Evidemment, ça n'enlève pas la qualité des articles (enfin, ceux que je peux lire x) ), mais juste, j'ai plus l'impression d'être à la maison quoi.
Enfin, je vais faire comme tout le monde : merci à toi ferd d'avoir repris le site ET de donner des news de manière transparente, merci à tous les journalistes de faire un travail de qualité depuis toujours, merci d'être aussi proche des lecteurs, et merci d'être un OVNI incroyable dans cette myriade de sites de news IT froids et sans âme (oui, j'y reviens )
Tchoubz
Edit : homepage ou pas homepage, ça m'empêchera pas venir daily
Je prie tous les jours pour qu'il y ait toujours des bugs sur next, afin de pouvoir toujours avoir des poings dev hebdomadaires. Ils sont hilarants
Mention spéciale au "Franchement, à me relire là, je me demande bien comment on a pu livrer un site aussi pété, mais faut dire qu’on avait pris du citron aussi." ^^
Ah oui ça fonctionne ! Après, il manque les notifications après réponse à un commentaire. 😥
Ah bah ça a plus l'air de marcher chez moi ^^' Même avec des articles à 0 ou 1 commentaire, ça recharge la page. Peut être que l'équipe de dev a vu ça et c'est dit que ça ne servait pas réellement
Je te rejoins sur les notifs, ça me semble pas déconnant. Je sais qu'il y a le GH pour les issues, mais ça serait top d'avoir la liste des features validées et mises dans le pipe par l'équipe de dev
Edit : pouvoir discuter facilement (via les comments ou les issues GH) est un vrai plus pour la communauté, c'est top :)
Le
23/11/2023 à
08h
51
Oh. Ctrl Maj R est un raccourci pour répondre à un commentaire tiens. Comme c'est la mode des tests suite à la MeP, j'en profite
Je ne voulais pas te répondre spécialement cela dit, juste recharger ma page sans cache ^^'
Edit : Ctrl Entrée pour valider le commentaire ne semble pas fonctionner cela dit
Plainte CNIL je dirais. Cette dernière usant de dark patterns pour planquer ses formulaires histoire de dissuader les gens sans doute pour être moins débordée, plusieurs personnes ont créé des proxies (oui on en est là…). Ils finissent par mener ici : https://services.cnil.fr/ (il faut s’inscrire, pas cliquer sur “saisir la CNIL” sinon tu vas te faire balader)
A noter deux choses :
la CNIL a l’air de ne pas bouger contre une entreprise tant qu’il n’y a pas de nombreuses plaintes à son encontre
la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, ce qui est honteux, l’individu moyen n’étant pas juriste ni enquêteur… Pour “commencer le boulot” un classique peut être de faire une demande d’accès à l’entreprise (cf par ex ce modèle) puis une plainte quand l’entreprise n’aura pas manqué de ne pas répondre dans les délais ou de répondre à côté de la plaque/en niant les violations que tu lui reproches.
J’ai souvenir d’un formulaire de contact plus général si tu ne veux pas déposer de plainte mais seulement leur signaler une violation qui ne te concerne pas personnellement (me semble que la plainte c’est seulement si ça te touche), mais impossible de le retrouver, évidemment… J’ai eu l’occasion de l’utiliser une fois il y a plusieurs années pour signaler un service qui laissait en libre accès les données de plein de gens et ils m’ont même répondu et dit faire le nécessaire !
Merci pour ta réponse :) Je suis déjà tombé sur services.cnil.fr, mais ça reste toujours un peu cryptique, ça semble souvent renvoyer vers des sites externes mais je trouve ça dommage. Par exemple, pour mon histoire de newsletters que je reçois après avoir reçu validation par le DPO que mes données étaient supprimées ( https://www.lacitedesnuages.be/ pour ne pas les citer), je ne sais pas où aller. Depuis https://services.cnil.fr
je peux ensuite me faire rediriger vers signal-spam.fr sauf que c’est un manquement RGPD et pas un spam pour moi
ou alors signaler les pratiques frauduleuses d’un site, dans ce cas, c’est redirection vers la DGCCRF (qui ne semble pas être l’organisme le plus logique) ou pharos (pareil, c’est pas le même endroit)
Donc au final, pas de signalement à la CNIL, je trouve ça dommage pour un service qui doit être là pour nous.
Pour tes autres points, je suis partiellement d’accord avec toi : dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées. Dans la même veine, si la CNIL recoit juste des plaintes “XXX ils sont méchants avec moi” sans réelle preuve à l’appui, pareil niveau taf, ca doit représenter des montagnes de boulot. Sans compter les plaintes sur laquelle qu’on doit leur remonter et sur laquelle elle n’est aucunement compétente.
Même réponse qu’au dessus pour services.cnil.fr Pour le point DPO, j’ai déjà fait de multiples demandes à des DPO, j’ai un peu tout et rien : des absences de réponses, des fois ça se passe très bien, des demandes (à mon avis déraisonnées) de vérification d’identité *
Je n’étais jamais tombé sur le formulaire de contact, je pense que je vais m’en service un peu plus souvent :)
* Demandes de CNI principalement, ce qui ne leur apporterait rien parce que je peux très bien falsifier n’importe quel scan de CNI d’une part, et ils n’ont jamais eu ma CNI à l’inscription d’autre part (coucou la fnac)
Le
21/01/2023 à
11h
14
9 pages de commentaires passionnés et passionnants, je n’ai malheureusement pas pris le temps de tout lire pour trouver la réponse à ma question
Je vais déborder un peu sur un sujet same same but different, il m’arrive, comme tout le monde, de recevoir des newsletters que je n’ai pas autorisé*, des mails alors que j’ai expressément demandé à être supprimé de la DB via une demande DPO, ou carrément des DPO injoignables ,etc. etc., qui sont des joyeusetés pas trop conforme RGPD.
Dans le même ordre d’idée que cet article (et celui de wekiwi), serait il possible d’envisager une série de posts sur les autres non conformité RGPD (comme celle que je viens de citer plus haut) ? Pas juste “regardez, c’est pas bien ce qu’ils font”, mais d’aller plus loin en donnant les clés pour remonter ces infos à la CNIL par l’intermédiaire de NXI (ou pas forcément d’ailleurs, en passant en direct, mais ça donnerait peut être moins de poids en direct).
Au passage, sans même attendre cette série d’articles (qui ne sera peut être jamais faite, je ne sais pas si l’équipe NXI lira mon message et se dira “OMG, mais ce ElCroco, c’est un génie, faisons ce qu’il dit et embauchons le par la même occasion”), pour les problématiques que j’ai cité plus haut, quelqu’un sait comment remonter ces infos à la CNIL ? Des fois on me dit “faut passer par signal-spam.fr”, des fois pas, des fois c’est par un form sur le site de la CNIL mais qui n’est pas totalement pour ma demande, etc. Je ne m’y retrouve jamais totalement, donc si quelqu’un sait comment signaler plus précisément, je suis preneur
* assez classiquement quand on me demande mon mail à un guichet pour recevoir les factures, alors que “promis, on ne vous enverra aucun mail”
My bad, j’ai pas été assez clair, c’est moi qui étais hors sujet à répondre uniquement pour tiddlywiki et pas pour la news sur manifestV3 ^^ Effectivement, c’est pour TW5 donc pas possible pour toi, dommage :/
J’adore les pseudos raisonnements de geeks sans enfant pour qui la dose quotidienne de porno gratuite est un droit.
L’asso en question est intégriste soit. Mais elle est loin d’être la seule à demander cela. Donc un avis sur la protection des enfants contre le porno ? ou alors tu considères que c’est normal ?
Dernière question: est eu un homme ou une femme ? Car bizarrement le rapport au porno diffère suivant son genre.
Et bien ma foi, je pense que nombre d’autres personnes ont déjà répondu à ma place, mais étant donné que tu t’es adressé à moi, je vais te répondre :)
carbier a dit:
J’adore les pseudos raisonnements de geeks sans enfant pour qui la dose quotidienne de porno gratuite est un droit.
Moi, on commence par une attaque ad hominem, ça commence fortement, tout en présupposant 3 choses : je suis un geek, je n’ai pas de gamin, et je me paluche tous les jours sur du porno
Oui, je suis un geek. Ma foi, pas trop compliqué de le deviner, tant NXI est un nid à geeks. Mais en quoi être un geek est il une tare ? Il me semble que c’est le sens implicite de ta phrase (sauf si je me trompe, auquel cas, je souhaiterais plus d’éclaircicement)
Non, je n’ai pas d’enfant. Et ? Je n’ai absolument pas jugé une éducation parentale dans mes propos. Pas une seule fois j’ai dit qu’il fallait éduquer son enfant de telle ou telle manière. Mon propos est (en substance) : les personnes de ce genre d’asso sont tellement horripilées par le porno qu’elles ont font un cheval de bataille jusqu’à l’absurde
Non, je ne matte pas du porno tous les jours : ça m’arrive, comme tout le monde. And so what?
carbier a dit:
J’adore les pseudos raisonnements de geeks sans enfant pour qui la dose quotidienne de porno gratuite est un droit.
Revenons sur la dernière partie : en quoi regarder du porno gratuit ne serait pas un droit ? Regarder du porno, qu’il soit payant ou gratuit, n’est pas interdit à ce que je sache. Je suis majeur et vacciné, j’ai absolument le droit d’en regarder. L’article parle du fait d’interdire son accès aux mineurs, aucunement que celui ci doit être payant.
carbier a dit:
L’asso en question est intégriste soit. Mais elle est loin d’être la seule à demander cela.
Et alors ? Quand bien même il y aurait des centaines d’associations de ce type, quel est le rapport avec mon propos ? Je ne comprend pas le lien entre ce que j’ai dit (les personnes de cette asso -et probablement d’autres- en font un combat limite absurde) et le fait qu’il y ait plusieurs associations qui demandent l’interdiction au porno. Le lien le plus simple que je vois -et excuse moi si j’ai mal compris, je te propose dans ce cas de définir plus amplement ton propos- c’est que “comme elles sont plein, c’est que cette demande est légitime”. Si c’est cela, et bien ma foi non, ce n’est pas forcément légitime et au besoin je pourrais te donner des exemples.
carbier a dit:
Donc un avis sur la protection des enfants contre le porno ? ou alors tu considères que c’est normal ?
Ma foi, je n’ai pas de gamin, donc je ne suis, comme tu le laisses penser, pas le plus légitime pour en parler, et clairement à juste titre. Je n’ai d’ailleurs jamais dit qu’il ne fallait pas protéger les enfants du porno. Bien évidemment que voir un boulard à 10 ans c’est pas fou, on est tous d’accord là dessus. Par contre, à 15⁄16 ans, ça me choque moins. Est ce qu’à cet âge c’est grave ? Probablement pas tant que ça selon moi. On est au lycée à 15 ans, et les hormones ca tire dans tous les sens à cet âge. Le porno était moins accessible que maintenant à l’époque, et pourtant ça parlait de cul (et ça ne faisait pas qu’en parler ^^‘)
D’une manière générale, J’ai envie de dire que c’est une situation plus compliquée que juste “c’est la faute des parents”, “c’est la faute des sites X”, “c’est la faute du gouvernement”, etc etc. Dire que c’est un manque d’éducation est peut être une partie du problème, dire que les sites pornos ne vérifient pas suffisamment est peut être une autre partie du problème, etc etc.
Maintenant, comment résoudre cette situation ? Je ne veux pas rentrer dans ce débat. Car je ne suis pas parent et que ce n’est donc pas mon job que d’y réfléchir.
carbier a dit:
Dernière question: est eu un homme ou une femme ? Car bizarrement le rapport au porno diffère suivant son genre.
Ecoute, pour peu que ça vaille comme question, je suis un homme, j’espère juste ne pas avoir d’attaque ad hominem sur ce point. En tout cas, les nanas mattent du porno aussi, promis. Quel est pour toi la différence suivant le genre pour toi. J’aimerais avoir une réponse si possible objective, pour comprendre ton point de vue là dessus.
Edit 28/05/2022, 01:02 : fix typo
Le
24/05/2022 à
19h
13
(quote:2074254:skankhunt42 ) Tout ça parce que les parents sont trop con pour les éduquer correctement et ne savent pas s’adapter au nouvelle technologies ?
Je suis persuadé (pas de chiffre, pas de source, juste mon ressenti) que ce n’est pas que le fait de protéger les enfants. Pour moi, les personnes qui sont dans ce genre d’asso sont tout simplement répugnées par le porno. Tellement répugnées qu’elles en font un combat pieux (ha ha ha, pieux, asso chrétienne, tu l’as ? 😀). Une chasse aux sorcières (ha ha ha, chasse aux sorcières, référence à la chrétienté de l’époque, tu l’as ? 😀) avec pour tache divine de purger le bas monde des ignominies de la chair et qui prend “presque” comme excuse les enfants
En somme, le cliché classique de la mère de famille de 60 ans tirée à 4 épingles, qui a eu une éducation religieuse forte, qui a fait 4 enfants à son mari parce que et qui voit le sexe comme le diable personnifié parce qu’on lui a dit qu’un clito c’était tabou et qu’un pénis c’était obscène.
Je ne veux pas rentrer dans le débat de “est ce que ce filtre anti arnaque est bien ou pas ?”, “est ce que le gouv veut censurer ou pas ?” ni rien.
J’aimerais simplement émettre une remarque d’ordre général (pas spécifiquement lié au DNS de cet article donc). Bon nombre de personnes ici ont connaissance de solutions techniques, ce qui n’est pas le cas de la majorité.
Globalement, si une solution permet avec 20% d’effort d’effectuer 80% du boulot, ça “suffit” (loi de pareto, tout ça). Il y aura toujours des gens qui seront aptes à bypasser telle ou telle solution, mais ces personnes ne sont pas la cible du sujet (encore une fois peu importe le sujet), l’idée étant de faire passer la solution pour 80% des utilisateurs avec 20% d’énergie.
Si je prend un autre exemple avec le téléchargement illégal : bloquer les sites miroirs permet avec une action rapide (20% d’énergie) de rendre les sites miroirs indisponibles pour la majorité (80% de “bénéfice”) des utilisateurs.
/!\ Je me répète, je ne dis pas que c’est bien ou pas (autant pour ce filtre que pour les sites miroirs). Je dis juste que pour moi, l’idée n’est pas de cibler toute la population car c’est impossible, mais la majorité avec un moyen “simple”.
Rien de mieux qu’un article comme ça pour commencer la journée x) Darmanin a quand même cet incroyable pouvoir de me faire bouillir le sang en moins de 30 secondes, chaque décision de sa part menant un peu plus vers son sacro-saint 1984.
Mais trêves de plaisanteries, j’ai quand même une paire de questions.
est ce qu’on a une idée de comment il veut les récupérer, ces urls ? parce que les 3 derniers sites au monde qui restent en HTTP plain text, on s’en fout un peu. Du coup, hormis demander les logs aux sites (lol), je ne vois pas grand chose d’autre à part casser le SSL. Et ça, il en serait possible, le bougre…
cette rustine, il arrive en mode “hey mes petits potes à la compote, je vous ai pondu ça hier devant ‘Plus belle la vie sécuritaire’, donc vous me ferez le plaisir de le rajouter dans votre bouquin rouge là, le dalloz-j’sais-pas-quoi”, ou alors ça suit un circuit classique de validation ?*
il existe quelque part des stats/données/résultats de ce qui est collecté ? Et de l’utilité réelle que ça apporte ?
quelqu’un pourrait refaire du café svp ?
Have fun ElCroco
* Le lecteur avisé se rendra compte que je n’y connais rien dans ce domaine ^^’
Edit : fix typos Edit 2 : Merci Marc pour cet article qui, même si je vais encore m’énerver contre ma cafetière, est comme toujours clair et instructif
Mais c’est comme tout, les gens oublient vite si on ne leur rappelle pas, donc ils ont oublié ce combat . Et comme les médias sont passés à autre chose très vite, poof, plus rien.
Je viens de faire des stats ultra précises et fiables : globalement NXI et numérama en ont parlé pas mal en novembre 2020, depuis quelques jours parce que ça passe au sénat, et quasi rien entre les 2. Alors les médias mainstream…
Maintenant, certaines personnes gueulent, mais chez soi.
Donc en tldr, ça passe crème*
Tchoubzisouslol
* Ce que je ne remet pas en cause. Par contre, je remet en cause le fait qu’ils n’aient parlé QUE de cet article, alors que ce n’est clairement pas le seul dangereux
Bon j’exagère, comme dit par d’autres, le covid/couvre feu/confinement/les fêtes de noël/whatever sont passés par là et a permis de restreindre les manifs.
* On notera que je suis pessimiste/réaliste (au choix), et que je considère que, de base, à partir du moment où le gouv pousse une loi, à moins que ça touche au fric des péons français, on est foupoudav.
Question bête. Quid des plateformes de discussions ? Je pense principalement à discord, IRC, mais on peut également imaginer les groupes telegram publics ou d’autres.
De plus, de ce que j’en compris, la CNIL a dit “hey ho, on va s’calmer Jean Michel Bercy, mais on a dit public, pas ‘avec un compte’”, mais pour l’instant, le fameux Jean Michel Bercy n’a rien répondu et n’est pas dans l’obligation d’accepter la demande de la CNIL ?
Bah voilà, on y est -_- On sort clairement du sujet de base, mais ça me saoule un peu toutes ces “nouveautés” qui font qu’internet devienne une usine à gaz
Le
12/11/2020 à
18h
03
j’ai vu ToastUI editor, mais à la base, c’est surtout un plugin pour un éditeur intégré dans un site web. Pour avoir son éditeur, j’ai l’impression qu’il faille juste ecrire une page html comme ceci dans le bon dossier
L’un des soucis dans un page web, c’est qu’il n’y a pas accès forcément à tous ce qui est lié à ton OS (genre ne serait-ce que pour enregistrer)
Pour la sauvegarde, à la limite, suffit de mettre ça dans le local storage du browser, et quand je veux récupérer un fichier j’exporte simplement le local storage :) Et je ne doute pas une seule seconde que Google sorte un de ces jours une API JS pour pouvoir écrire directement sur le disque… (A mon plus grand malheur mais ceci est une autre histoire)
Bon cela dit je crois qu’on s’éloigne un peu du sujet de base
Le
12/11/2020 à
16h
01
En soit, le markdown (MD), c’est une simple surcouche de l’HTML (tu peux écrire en HTML dans un fichier MD) en rajoutant des macros simple et visuellement lisible en mode texte (même dans un bloc note, le texte en MD pur devrait être “bien formaté”). Si tu fait un éditeurs qui supporte MD avec preview, tu es obliger d’avoir au moins un moteur de rendu HTML/CSS.
L’HTML appelant naturellement le Javascript, de nombreuse extension de MD courantes (les formule Latex, la coloration syntaxique de code sources, mermaid… ) ont des bibliothèque Javscript qui fonctionne très bien.
Ainsi dès que l’on veut faire du MD, si tu n’as pas envie de recoder tout, tu prends un moteur HTML/CSS+JS, donc rien que ça, on s’éloigne du truc léger. Ensuite, ce genre d’éditeur, c’est le projet d’une poignée de gars qui n’ont pas forcément les moyen de réinventer la roue. C’est pour ça que ce genre d’éditeur utilise souvent Electron qui leur permet avec leur peu de moyen de faire un éditeur MD convainquant.
Tu marques un point sur la partie recoder un moteur HTML/CSS/JS :)
Cela dit, quitte à devoir charger tout un moteur de rendu, autant que j’utilise mon browser avec une webapp locale, ça me coûtera aussi cher en ram, mais je n’aurais pas besoin d’installer un N-ème soft ^^
Le
12/11/2020 à
14h
45
J’utilise Jekyll + github pages. Coté Jekyll une fois que la configuration initiale est faite (c’est un peu chiant, mais ça se fait quand même) et que le CSS est en place, t’as plus à y toucher.
Quand tu veux écrire un article, tu mets ton .md dans l’arbo jekyll, puis jekyll ; et les commandes git classiques pour pousser sur GH Pages.
Le
12/11/2020 à
14h
14
Merci pour cet article.
J’utilise -quand je prend le temps, c’est à dire une fois dans l’année- jekyll pour écrire des blogposts. Jusqu’à présent j’ai toujours utilisé Sublime Text, en écrivant le md en brut, puis en compilant le blogpost avec les commandes jekyll pour voir le résultat via le browser. Pas pratique pratique… Comme je ne m’attelle pas à l’exercice tous les matins, cette solution était “viable”, mais un véritable éditeur markdown est une bonne idée.
Du coup, quelques questions me viennent à l’esprit :
Y aura-t-il des tests d’autres éditeurs ?
Je sais que ce n’est pas le but principal de sublime text, mais je viens de voir qu’il peut servir d’éditeur markdown via des plugins. Ca rentre dans le cadre d’un prochain article du comparatif ?
Electron aka comment prendre 5po de disque et 10to de ram pour un soft qui demande au final 1mo de disque et ram. Des tests prévus sur des apps non electron ? J’avoue que ce point me rebute totalement
Pour info, je n’ai pas -encore- lu les 2 autres articles, sur simplenote et zettlr, je n’ai pas tous les éléments du comparatif du coup ^^’
Bien bien bien… J’en viens à être content de la pandémie de covid, on a au moins le droit de se masquer -temporairement- le visage… (Ceci était moitié une blague moitié un c’est-triste-mais-c’est-quand-même-la-réalité)
Plus sérieusement, merci @marc rees pour rendre le tout compréhensible par le commun des mortels.
“Prochaine étape, le 17 novembre, en séance.”
Ca veut dire quoi ? Maintenant que le texte est passé en commission, il passe en séance, et après hop, emballé c’est pesé, ajoutez moi ça au dalloz ?
J’avais déjà posé la question dans le précédent article, mais du pas eu de réponse : quel recours a-t-on ? J’ai étonnamment l’impression que tout le monde s’en fout de cette loi : je n’ai pas réellement vu d’articles de presse, de journaux, etc en parler.
La PPL devait être examinée hier, a-t-on des nouvelles ? J’ai vu passer un thread de @marc ress sur twitter, mais c’est un peu décousu :/
Le
03/11/2020 à
18h
49
C’est la Liberté qui pleure.
Le
03/11/2020 à
09h
50
Le fait de me (ré)abonner à NXI, chose que je voulais +/- faire depuis longtemps a été totalement influencé par cet article (et son thread twitter associé), gg @Marc Rees Bon, ça, c’est dit :) Maintenant, mes questions !
Je ne comprend pas pourquoi tout ça ne fait pas plus de bruit : hormis un post de LQDN et un article sur mediapart (en plus de celui ci, of course), je n’ai pas réellement vu d’analyse ou d’article de presse qui levait le point (poing ? ) et des dangers clairs que cela pouvait apporter. Hormis le fameux “omg il y a le covid, arrêtons de parler du reste et ne parlons que de ça”, je ne vois pas pourquoi personne n’en parle… Si quelqu’un a une idée…
De ce que j’en ai compris (c’est à dire pas tant que ça… ^^‘), cette PPL doit être examinée demain (C’est à partir de mercredi que les députés réunis en Commission des lois ausculteront les 340 amendements officiellement déposés.). Je comprend bien les raisons sous-jacentes/officieuses de la faire passer aussi vite. Mais le gouvernement a t-il au moins essayé de trouver un semblant de justification valable ? Ou alors il est carrément en mode “ah mais on s’en fiche de ce que vous pensez, on la fait passer en scred pendant le confinement pour que personne n’en parle, et même pas nous” ?
Enfin, qu’est ce qu’on peut faire ? Je n’aime pas trop trop l’idée de cette PPL qui rogne encore plus nos libertés, et je suis partant pour faire quelque chose, mais quoi ? Les manifs, ça ne marche pas, les pétitions, ça ne marche pas, du coup, qu’est ce qui marche ? Quels recours peut-on avoir ?
Edit : il y a moyen de tagguer les gens via un @ ?
Un algo est un algo, il peut être développé dans plus ou moins n’importe quel language. On peut très bien hasher coté client, via javascript (google -> js sha256). Donc, c’est clairement de l’ordre du faisable.
Il est aussi possible de re-hasher une seconde fois coté serveur au besoin :]
Un hash coté client + un second coté serveur, ça permet (si je dis pas trop de bêtise ^^ ) de se protéger mieux si la BDD se fait voler : Un hacker aura le hash(hash(motdepasse). Du coup, il devra bruteforcer 2 fois pour avoir le clair. On peut même hasher 1000x d’affilée hein ^^
Sinon, pour répondre à Gemini_Power :
Gemini_Power a écrit :
Normalement, si je me trompes pas, dans les bonnes pratiques, les mots de passe ne circulent jamais par le réseau (même en SSH).
Théoriquement, il doit être hashé côté client (navigateur) avant d’être envoyé vers le serveur (et peut même être rehashé côté serveur) pour être mis en base. Et pareil lors du login.
Dans les meilleures pratiques oui. Ca permet d’éviter de voir les pass se balader tranquillement sur le réseau en vas de MITM (SSL). Dans la vraie vie, google envoyait le pass en clair il y a encore 2⁄3 ans (validé via les dev tools, évidemment, j’ai aucune trace donc faut me croire sur parole, libre à toi). Heureusement, ils ont changé leur fusil d’épaule.
Facebook par contre l’envoie bien en clair. Si si. Je viens de vérifier à l’instant.
Attention cependant, quand je dis en clair, je ne parle pas de chiffrement SSL/TLS bien évidemment. Ce sont deux choses totalement séparées (modèle OSI tout ça tout ça). Les risques sont de plus amoindris car les gros sites comme FB utilisent du HSTS, ce qui limite grandement le MITM SSL.
La but de l’article était de voir le temps d’install basique, mais le temps de configuration et d’installation de tools reste propre à achacun, et est donc hors hors contexte par rapport à cette news :)
Bisous, glaces poire/chocolat, et barbapapa sur vos coeurs
Le
18/10/2017 à
06h
23
brazomyna a écrit :
peut-être parce que si tu y réfléchis bien, d’un point de vue utilisateur (et pas geek de base chrono à la main), (ré)installer un environnement est un tout, et l’os en lui-même n’est que la face visible de l’iceberg.
" />
Tes besoins ne sont pas les miens, et les miens ne sont pas celui de la voisine du dessus. Moi j’ai besoin d’un sublime text, d’un virtual box, et d’outils sécu, toi t’as peut être besoin de softs pour ce qui est 3D, graphisme (au hasard), alors que la voisine du dessus aurait juste besoin de… rien parce que IE/wordpad (pour windows) FF/writer (pour linux du coup) lui suffit.
L’installation du reste de l’environnement est donc une variable dépendante (si je me trompe pas sur le terme), qui ne doit donc pas être prise en compte, puisque unique à chaque personne.
Et puis dans le titre, c’est clairement insique install W10 vs Ubuntu… Donc l’OS seulement :)
Amour, glace vanille/framboise, et variables dépendantes sur vos coeurs
Le
17/10/2017 à
19h
43
J’ai du mal à comprendre les 4 pages de commentaires en fait x)
Le but du jeu, c’était de voir le temps de “on à la clé prête” à “on a fini une fresh install”. Pas de dire que sur windows, il faut se taper les installs de softs en plus, la conf des tools faut récupérer la base de registre avant, ou que sur ubuntu il faut taper un apt-get upgrade pour MaJ. et bla et bla et bla
Pour que le test soit réaliste, il faut que les conditions soient les mêmes. Donc, on a un OS similaire (entendre ici pas un linux minimaliste VS un windows forcément plus complet car comprenant une GUI, etc) et relativement à jour (ici, c’est ubuntu 17.04, qui a donc 6 mois, il faut donc en gros un windows qui ait aussi +/- 6 mois max), avec un matériel fonctionnel pour les 2 systèmes (évidemment, que ça soit windows comme ubuntu, s’il y a besoin d’aller taper des drivers spécifiques, ça rallonge le temps, mais c’est une variable qui ne doit pas être prise en compte imho)
Evidemment, il y aura souvent que ça soit sur windows ou sur linux, du paramétrage ultérieur à faire, mais c’est une autre histoire.
Paix, glaces à la fraise, et fresh install sur vos coeurs
D’après les règles de Mattel, rien n’interdit à priori de mettre un +4 derrière un +4 lien.
Tout du moins, comme il n’est pas écrit qu’on ne peut pas… Je pré suppose qu’on peut ^^
Cela dit, je pense qu’il existe autant de règles de Uno que de joueurs :), et de plus, comme dit plus loin, certaines règles ont été rajoutées de manière “officielle”. Typiquement, le fait de pouvoir poser plusieurs cartes identiques, ou de couper le tour de quelqu’un n’était pas considéré comme une règle “officielle” sur mon premier jeur de Uno.
Si vous voulez pimenter un peu le jeu, j’ai une règle assez sympa, qui est qu’on peut poser un +2 derrière un +4 SI la personne a un +2 de la couleur demandée par le +4 :)
(Non, non, ne criez pas au sacrilège s’il vous plait ^^)
D’ici à ce que les FAI aient le droit d’analyser les paquets DNS (meuhhh non, c’est pas du DPI) , j’ai bien peur qu’il n’y ait qu’un pas x)
Et puis, anyway, la majorité des gens continuera d’utiliser les DNS fournis via le DHCP de leux box hein. Donc, bon, perdre quelques pourcents d’utilisateurs parce qu’ils vont sur des alt-DNS, c’est pas super grave pour eux je pense.
Je t’avoue avoir buggué en lisant “la publication de la liste des Français qui ont voté pour tel candidat”.
Parce que bon, ça laisse sous entendre, qu’à un moment donné, dans la machine, il y a un lien entre l’identité de la personne et son vote, enfin, si je lis bien.
Le but du vote (tout du moins dans ce type de vote, avec isoloir), c’est pas justement qu’il soit anonyme ?
Je serais curieux de savoir d’où sort ce chiffre de “la dizaine à la centaine d’octets” pour un message.
Si on prend ne serait ce qu’un tweet lu par un objet IoT, c’est potentiellement bien plus que 100 octets hein : au hasard, un tweets en kanjis c’est plus de 400 octets -UTF8 powa- du coup, on a un overhead de moins de 10%. Ce qui est certe conséquent, mais mon exemple ne parle que d’un tweet, pas du fait qu’il puiss y en avoir plusieurs ou des entêtes HTTP :)
IPSEC/wpa ne chiffrent pas les flux à l’intérieur du médium, mais juste le médium en lui même. Par contre, ton système de PSK, j’avoue que je n’en sais rien, je suis pas calé sur les algos de chiffrements en soi.
Anyway, à mon avis, la question ne se pose pas, c’est chiffrement par défaut, épicétou :)
Le
17/01/2017 à
12h
30
hmmm, sur du chiffrement par certificat classique, tu as effectivement un overhead lors de l’ouverture de la connexion, mais une fois que la connexion est ouverte, faut pas déconner non, on double pas le poids des messages.
Même pas un quart de tweet par paquet (et encore, twitter n’envoie pas en ASCII, donc c’est encore moins ^^)
Ceci dit, je pré-suppose içi que le chiffrement se fait via SSL/TLS, ce qui n’est pas forcément le cas, ne m’étant pas penché sur tous les protos de l’IoT (qui sont d’ailleurs vulnérables, chiffrement ou pas " />)
86 commentaires
Action, Darty et Temu démentent avoir été victimes d’une fuite de données
Le 24/09/2024 à 20h 03
Saxx a pas la meilleure réputation du monde dans la commu sécu (et pas que pour ses communications récentes, cf https://blog.cryptohack.org/twitter-secrets par exemple) ^^'Je comprends la facilité pour Next de le prendre comme source, mais c'est à mon sens un raccourci qui peut être contre productif, et qui pour moi décrédibilise le site
668e édition des #LIDD : Liens Intelligents Du Dimanche
Le 22/09/2024 à 15h 38
Whoaaaaah, je suis cité sur Next !Je crois avoir vu la petite fenêtre "Achievement unlocked" en haut à gauche !
Merci d'avoir mis mon humble contribution dans les LIDD :)
Seb, si un jour tu veux d'autres liens/infos/échanges/whatever sur tout ce qui est game hacking, il ne faut pas hésiter une seconde, c'est un sujet qui m'intéresse fortement et pour lequel je peux à peu près passer 10 ans à en discuter ^^
De là à dire que ça pourrait être bien d'en faire une série d'articles...
[Algorithmique] Next lance son premier podcast !
Le 18/09/2024 à 19h 40
On a du croiser lesfluxcommentaires. Tu trouveras mes bugs/opti/remarques un peu plus bas :)Le 18/09/2024 à 19h 36
Alors alors :)Déjà, petit problème (sur brave au moins) avec le player :
- lancement du webplayer
- ctrl click sur un lien vers une autre page de next
- ouverture du nouvel onglet
Résultat, ça lit le podcast 2x, avec un léger décalage.
J'ai tendance à ouvrir à peu près 15 000 onglets (oui, je fais partie de ce genre de personnes), donc là je suis en PLS
Ensuite, le player est blanc, même avec le dark theme, pas que ça me change grand chose personnellement, mais si je me retourne, je crois voir à peu près tout Next qui est en train de sortir les armes là
Ensuite encore ensuite, qu'on aime ou pas les podcast, l'initiative est plus que louable
Etant donné que c'est une nouvelle "aventure" pour Next (et peut être pour toi Mathilde, je ne sais pas), ça pourrait être intéressant de faire un édito/série de posts/whatever sur le thème "comment on créé un podcast", non ? eg. choix du micro, isolation, comment gérer sa voix, etc ?
Ou alors, ça a juste été le micro du laptop sur le bureau et il n'y a rien à dire de plus ?
Sur le podcast en tant que tel :
- Entre 00:50 et 01:01, on a juste la musique de fond. Ca fait un peu long je trouve ^^'
- Sur le format podcast, dur de se faire un avis complet sur 2mn30
- Si c'est sur les plateformes de streaming, ça signifie que tous les podcasts seront en libre accès ? Ou certains seront uniquement pour les abonnés ? Ce qui induit que ceux ci ne seront pas sur lesdites plateformes ?
- ce n'est pas du tout un exercice facile pour m'y être déjà essayé, donc bravo ! Quelques petites remarques cela dit (il faut y voir ici des axes d'amélioration, je veux pas juste basher)
--- Je trouve que ça fait un peu trop lu des fois, par exemple :"on va parler biais des algorithmes [...] ca va être passionnant"
--- Dans le même ordre d'idée, le ton est un peu trop forcé des fois (eg. "Et depuis, c'est la folie", "un domaine qui qualifie aussi bien [...] applications")
--- Quel va être le format d'un épisode complet ? Des échanges avec d'autres personnes, donc quelque chose de dynamique ? (je sais que ce premier épisode dit que Next va interroger des gens, mais est ce que ça sera un résumé de ce qu'ils ont dit, ou alors ces personnes vont être interviewées dans le podcast ?)
--- FWIW, on m'a dit une fois qu'il faut faire un podcast comme si on parlait à un pote en face. Fais ce que tu veux de ça
--- Encore une fois bravo pour cet épisode d'intro en tout cas, le ton n'est pas monocorde et c'est pas facile ^^
Enfin... c'est l'équipe de Next qu'on entend à la fin ?
Edit : pas fou l'affichage des bullet points sur next en fait ^^'
#LIDD : une analyse de l’architecture de la Game Boy (Color)
Le 18/09/2024 à 19h 18
Le 18/09/2024 à 09h 29
La ressource peut être étendue à de nombreuses consoles : https://www.copetti.org/writings/consoles/. Ce site est une vraie mine d'or pour faire une intro au HW de consoles.Il y a également ici https://lsdsecdaemon.com/game-hacking-links-repo/ une liste de plusieurs liens vers des ressources similaires, qui pourraient vous aider à faire pas mal de LIDD du coup, à coup de un LIDD par lien
Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?
Le 16/08/2024 à 23h 03
Merci pour ton retour, toujours agréable de se dire que le lien journaliste/lecteur est fort sur Next !
Là où on diffère sur l'analyse, c'est que je vois le QVS comme un "remplaçant" (selon Qualys en tout cas) à EPSS, plus qu'un mix entre CVSS et EPSS, puisque le QVS semble prendre le même type de metrics
Btw, en soi, je n'ai rien contre QVS, il est déjà arrivé que des initiatives privées soient meilleures que des efforts communs, et in fine c'est le meilleur système qui prendra le lead que ça soit EPSS ou QVS. J'ai par contre quelque chose contre le "on est mieux" sans analyse complète, sans explication du fonctionnement et sans statistiques. Ca fait un peu vendeur de tapis pour moi
Ce qu'il faut c'est soit un beau paper, soit du temps pour que la commu se rende compte du meilleur système.
Je te rejoins par contre sur le fait que Qualys est une société effectivement de premier plan, aucun débat là dessus. D'ailleurs on le voit très bien au niveau technique, ils nous sortent des vulns bien vénères assez souvent (coucou regresshion),
Je te rejoins aussi sur le fait qu'EPSS est pour l'instant moins connu que CVSS. (un peu) plus compliqué à appréhender, beaucoup plus récent, les 2 premières versions étaient pas folles, c'est closed source, et c'est aussi moins vendeur de dire "Ya une nouvelle vuln critique mais l'EPSS est de 0.001" dans les sites putaklic ^^
Néanmoins, il commence à se démocratiser de plus en plus dans la commu.
(et oui c'est moi qui ai fait la remarque via le signalement )
PS : et voilà, encore un message étoffé alors que je voulais juste te répondre rapidement
PS2 : Au passage, pour tous ceux que ça intéresse, le paper arxiv de l'EPSS : https://arxiv.org/pdf/2302.14172. Même si on n'a pas tout le détail, on apprend quand même une partie des metrics utilisées. Contrairement au QVS
Le 16/08/2024 à 18h 17
https://github.com/CVEProject/cvelistV5/ et https://www.cve.org/DownloadsDe là, tu devrais pouvoir récupérer la liste des CVEs avec kernel.org comme CNA et faire tes petites stats kivonbien :)
Après quelques checks rapides, il semble que le CNA soit "linux" dans les json GH.
Exemple pour la CVE-2024-42229 :
- https://www.cve.org/CVERecord?id=CVE-2024-42229 // on voit bien kernel.org comme CNA
- https://github.com/CVEProject/cvelistV5/blob/main/cves/2024/42xxx/CVE-2024-42229.json // dans les data json, le shortname est Linux
Le 16/08/2024 à 17h 57
Sur les failles publiquement exposées, il est possible de jeter un coup d'oeil via shodan/zoomeye/censys, mais tu n'auras par définition que des informations partielles et qui ne représentent pas la totalité des machines vulns mais que celles sur internet.De plus, cette solution, c'est à vérifier vuln par vuln, vu qu'elles ont potentiellement des spécificités différentes (versions spécifique, composant activé ou non, etc).
Tu peux aussi le faire proactivement et faire un gros nessus samer sur 0.0.0.0/0, mais je pense que tu vas avoir quelques soucis (autant légaux que techniques
, et non pas lego technics)Le 16/08/2024 à 13h 33
C'est totalement vrai. L'humain (COUCOU LE PHISHING ! COUCOU L'INSTALL DE SOFTS VEROLES SANS REFLECHIR) est un facteur important et doit être pris en compte. Il y a d'autres "types" de vulnérabilités (shadow IT, non conformités liées à de l'AD (mais pas que), sites customs mis sur internet avec des flaws, etc)Cela dit, l'article se focus sur les CVE ^^
Le 16/08/2024 à 13h 26
J'avais promis à Ferd que je me réabonnerai un jour. C'est maintenant fait, grâce à cet article, donc bien joué Jean !Pour en revenir à l'article : j'ai l'impression que le QVS est un indicateur de risque (donc plus proche de l'EPSS), plus qu'un indicateur de criticité (= CVSS).
Il est dommage que le QVS soit autant cryptique. Qualys ne semble pas donner beaucoup de détail sur ce scoring, à peine un "active exploitation, exploit maturity, and visibility on both the dark web and social media". En googlant un peu, on voit aussi d'autres params comme le CVSS ou le CISA KEV, mais ca va pas beaucoup plus loin malheureusement.
Ceux qui bossent dans la sécu vont me répondre "t'es bien gentil ElCroco, mais l'EPSS c'est pareil". Oui et c'est d'ailleurs un reproche que je fais à EPSS et c'est très chiant car on doit croire l'EPSS les yeux fermés.
Cependant :
- il est beaucoup plus large car non limité à Qualys : tout le monde peut l'utiliser
- le FIRST (à l'origine de l'EPSS) n'est pas une entreprise et n'a pas d'intérêt à gagner de la grosse thunasse. Donc j'y vois moins d'arguments commerciaux,
- l'EPSS prend en compte des métriques de nombreux acteurs de la sécu qui voient la réalité du terrain (eg. éditeurs EDR, MS, etc qui peuvent donner de manière précise le nombre de vulns réellement exploitées, alors que Qualys peut être pas...
De plus, le gars de chez Qualys est bien mignon, sauf qu'un EPSS de 0.9, c'est ENORME ! On sait que l'EPSS a une courbe plutôt logarithmique ( https://www.first.org/epss/articles/epss_percentiles.png ) donc il est normal qu'avec un EPSS en 0.9 il n'y ait que très peu de vuln. Par contre, vu qu'on n'a aucune idée de comment fonctionne QVS, il est compliqué de faire une comparaison (95/100 vs 0.9) vu de l'extérieur. Du coup, il peut bien sortir les chiffres qu'il veut, ça nous avance en rien x)
Le problème d'ailleurs, avec son analyse de 63% de vulns critiques par le QVS vs ~19% via EPSS, c'est qu'on ne sait pas où est la réalité ^^'
Est ce que ces 63% sont vraiment dangereuses et on va se faire péter soon, ou alors, est ce que seules celles de l'EPSS sont réellement dangereuses ? Je peux très bien pondre un indicateur custom qui dit que "moi j'ai raison, et pas l'EPSS".
Concernant les chiffres et leur évolution : il est impossible de revenir en arrière, on ne pourra pas avoir de baisse du nombre de CVE par an (en tout cas pas tant qu'on ne modifiera pas le système dans sa globalité), ou alors de manière conjoncturelle :
- il y a toujours plus de softwares
- la sécurité est toujours plus à la mode
- la FAME. Les "chercheurs en sécurité", faut pas oublier qu'une partie d'entre eux ils veulent juste être en mode kikitoodur à pouvoir dire "Regardez, j'ai trouvé plein de vulns, je suis donc forcément quelqu'un d'important"
Par contre, l'EPSS (ou même le QVS hein) est un outil intéressant car il permet de mettre en lumière la priorisation. "OK il y a 22k vulns, mais j'ai pas le temps de toutes les traiter, donc quelles sont celles que je dois faire en prio ?"
Ca se résume à "Si j'ai une fuite d'eau et un clou à planter chez moi, lequel je vais choisir en premier ?"
Une faille dans Google Workspace permettait de détourner des comptes pour s’authentifier ailleurs
Un léger désaccord
Le 30/07/2024 à 19h 37
Well, actually....Déjà, il faut clairment faire attention avec ce que disent les utilisateurs (cf le problème de 2012, ça me paraitrait tout de même étonnant que la cause soit identique)
Et puis Google n'a pas forcément menti. La vulnérabilité peut avoir été effectivement utilisée dès début juin. Peut être même avant. Peut être même en 2012 d'ailleurs.
Mais ce n'est pas un mensonge de dire qu'elle a été identifiée par Google fin juin. C'est juste qu'avant, Google ne l'avait juste pas... bah identifiée quoi ^^'
Le ticket créé par l'utilisateur début juin a peut être aidé à l'identification, mais la date de création du ticket ne correspond pas forcément à la date d'identification de la vulnérabilité.
6 mois, déjà
Petite pause informationnelle en cours d'ascension
Le 03/05/2024 à 12h 37
0/Je fais partie des radins ! (promis, un jour je reprendrai un abo, c'est relou de n'avoir que les débuts d'articles ^^).
Je me permets ici un petit message concernant la nouvelle UI, histoire de donner des retours à un site que j'apprécie.
Alors, oui je sais, résistance au changement, tout ça, mais, je trouve que la version mobile -celle que j'utilise principalement- a perdu en "âme". Je trouve pas réellement d'autre mot, mais globalement quand je me connecte sur le site, hormis le petit logo next, je n'ai plus l'impression d'être sur next, mais sur un bête site de news random : un fond blanc, une suite de titres parfois sans image (les briefs, j'ai bien compris que c'est la raison de l'absence d'image) et... et bah c'est tout en fait.
Rien qui me fasse dire "ouais, là je suis sur next, il fait chaud et beau, je me sens bien". Je trouve dommage d'avoir résumé la homepage au strict minimum.
Evidemment, ça n'enlève pas la qualité des articles (enfin, ceux que je peux lire x) ), mais juste, j'ai plus l'impression d'être à la maison quoi.
Enfin, je vais faire comme tout le monde : merci à toi ferd d'avoir repris le site ET de donner des news de manière transparente, merci à tous les journalistes de faire un travail de qualité depuis toujours, merci d'être aussi proche des lecteurs, et merci d'être un OVNI incroyable dans cette myriade de sites de news IT froids et sans âme (oui, j'y reviens )
Tchoubz
Edit : homepage ou pas homepage, ça m'empêchera pas venir daily
Le poing Dev - round 6
Le 28/11/2023 à 13h 41
Je prie tous les jours pour qu'il y ait toujours des bugs sur next, afin de pouvoir toujours avoir des poings dev hebdomadaires.Ils sont hilarants
Mention spéciale au "Franchement, à me relire là, je me demande bien comment on a pu livrer un site aussi pété, mais faut dire qu’on avait pris du citron aussi." ^^
Aux États-Unis, le danger des arrestations sur la seule foi d’un résultat algorithmique
Le 24/11/2023 à 00h 38
Même avec des articles à 0 ou 1 commentaire, ça recharge la page. Peut être que l'équipe de dev a vu ça et c'est dit que ça ne servait pas réellement
Je te rejoins sur les notifs, ça me semble pas déconnant.
Je sais qu'il y a le GH pour les issues, mais ça serait top d'avoir la liste des features validées et mises dans le pipe par l'équipe de dev
Edit : pouvoir discuter facilement (via les comments ou les issues GH) est un vrai plus pour la communauté, c'est top :)
Le 23/11/2023 à 08h 51
Oh. Ctrl Maj R est un raccourci pour répondre à un commentaire tiens. Comme c'est la mode des tests suite à la MeP, j'en profiteJe ne voulais pas te répondre spécialement cela dit, juste recharger ma page sans cache ^^'
Edit : Ctrl Entrée pour valider le commentaire ne semble pas fonctionner cela dit
Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences !
Le 21/01/2023 à 11h 50
Merci pour ta réponse :)
Je suis déjà tombé sur services.cnil.fr, mais ça reste toujours un peu cryptique, ça semble souvent renvoyer vers des sites externes mais je trouve ça dommage.
Par exemple, pour mon histoire de newsletters que je reçois après avoir reçu validation par le DPO que mes données étaient supprimées ( https://www.lacitedesnuages.be/ pour ne pas les citer), je ne sais pas où aller. Depuis https://services.cnil.fr
Donc au final, pas de signalement à la CNIL, je trouve ça dommage pour un service qui doit être là pour nous.
Pour tes autres points, je suis partiellement d’accord avec toi : dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées.
Dans la même veine, si la CNIL recoit juste des plaintes “XXX ils sont méchants avec moi” sans réelle preuve à l’appui, pareil niveau taf, ca doit représenter des montagnes de boulot. Sans compter les plaintes sur laquelle qu’on doit leur remonter et sur laquelle elle n’est aucunement compétente.
Même réponse qu’au dessus pour services.cnil.fr
Pour le point DPO, j’ai déjà fait de multiples demandes à des DPO, j’ai un peu tout et rien : des absences de réponses, des fois ça se passe très bien, des demandes (à mon avis déraisonnées) de vérification d’identité *
Je n’étais jamais tombé sur le formulaire de contact, je pense que je vais m’en service un peu plus souvent :)
* Demandes de CNI principalement, ce qui ne leur apporterait rien parce que je peux très bien falsifier n’importe quel scan de CNI d’une part, et ils n’ont jamais eu ma CNI à l’inscription d’autre part (coucou la fnac)
Le 21/01/2023 à 11h 14
9 pages de commentaires passionnés et passionnants, je n’ai malheureusement pas pris le temps de tout lire pour trouver la réponse à ma question
Je vais déborder un peu sur un sujet same same but different, il m’arrive, comme tout le monde, de recevoir des newsletters que je n’ai pas autorisé*, des mails alors que j’ai expressément demandé à être supprimé de la DB via une demande DPO, ou carrément des DPO injoignables ,etc. etc., qui sont des joyeusetés pas trop conforme RGPD.
Dans le même ordre d’idée que cet article (et celui de wekiwi), serait il possible d’envisager une série de posts sur les autres non conformité RGPD (comme celle que je viens de citer plus haut) ? Pas juste “regardez, c’est pas bien ce qu’ils font”, mais d’aller plus loin en donnant les clés pour remonter ces infos à la CNIL par l’intermédiaire de NXI (ou pas forcément d’ailleurs, en passant en direct, mais ça donnerait peut être moins de poids en direct).
Au passage, sans même attendre cette série d’articles (qui ne sera peut être jamais faite, je ne sais pas si l’équipe NXI lira mon message et se dira “OMG, mais ce ElCroco, c’est un génie, faisons ce qu’il dit et embauchons le par la même occasion”), pour les problématiques que j’ai cité plus haut, quelqu’un sait comment remonter ces infos à la CNIL ? Des fois on me dit “faut passer par signal-spam.fr”, des fois pas, des fois c’est par un form sur le site de la CNIL mais qui n’est pas totalement pour ma demande, etc. Je ne m’y retrouve jamais totalement, donc si quelqu’un sait comment signaler plus précisément, je suis preneur
* assez classiquement quand on me demande mon mail à un guichet pour recevoir les factures, alors que “promis, on ne vous enverra aucun mail”
Blocage publicitaire et Manifest V3 : les visions contraires de Chrome et Firefox
Des chapelles aux cathédrales
Le 14/06/2022 à 11h 24
My bad, j’ai pas été assez clair, c’est moi qui étais hors sujet à répondre uniquement pour tiddlywiki et pas pour la news sur manifestV3 ^^
Effectivement, c’est pour TW5 donc pas possible pour toi, dommage :/
Le 13/06/2022 à 21h 31
Clairement hors sujet, mais j’utilise https://slaymaker1907.github.io/tiddlywiki/plugin-library.html pour sauvegarder mon tiddlywiki. Ca ne pourrait pas correspondre à ton besoin ?
Couplé à un onedrive/netxtcloud/whatever pour synchro et restauration, ça marche pas mal
Civitas aussi réclame l'action de l'ARCOM contre le porno en ligne
Guerre de chapelets
Le 27/05/2022 à 23h 01
Et bien ma foi, je pense que nombre d’autres personnes ont déjà répondu à ma place, mais étant donné que tu t’es adressé à moi, je vais te répondre :)
Moi, on commence par une attaque ad hominem, ça commence fortement, tout en présupposant 3 choses : je suis un geek, je n’ai pas de gamin, et je me paluche tous les jours sur du porno
Revenons sur la dernière partie : en quoi regarder du porno gratuit ne serait pas un droit ? Regarder du porno, qu’il soit payant ou gratuit, n’est pas interdit à ce que je sache. Je suis majeur et vacciné, j’ai absolument le droit d’en regarder. L’article parle du fait d’interdire son accès aux mineurs, aucunement que celui ci doit être payant.
Et alors ? Quand bien même il y aurait des centaines d’associations de ce type, quel est le rapport avec mon propos ?
Je ne comprend pas le lien entre ce que j’ai dit (les personnes de cette asso -et probablement d’autres- en font un combat limite absurde) et le fait qu’il y ait plusieurs associations qui demandent l’interdiction au porno.
Le lien le plus simple que je vois -et excuse moi si j’ai mal compris, je te propose dans ce cas de définir plus amplement ton propos- c’est que “comme elles sont plein, c’est que cette demande est légitime”. Si c’est cela, et bien ma foi non, ce n’est pas forcément légitime et au besoin je pourrais te donner des exemples.
Ma foi, je n’ai pas de gamin, donc je ne suis, comme tu le laisses penser, pas le plus légitime pour en parler, et clairement à juste titre.
Je n’ai d’ailleurs jamais dit qu’il ne fallait pas protéger les enfants du porno. Bien évidemment que voir un boulard à 10 ans c’est pas fou, on est tous d’accord là dessus.
Par contre, à 15⁄16 ans, ça me choque moins. Est ce qu’à cet âge c’est grave ? Probablement pas tant que ça selon moi. On est au lycée à 15 ans, et les hormones ca tire dans tous les sens à cet âge. Le porno était moins accessible que maintenant à l’époque, et pourtant ça parlait de cul (et ça ne faisait pas qu’en parler ^^‘)
D’une manière générale, J’ai envie de dire que c’est une situation plus compliquée que juste “c’est la faute des parents”, “c’est la faute des sites X”, “c’est la faute du gouvernement”, etc etc.
Dire que c’est un manque d’éducation est peut être une partie du problème, dire que les sites pornos ne vérifient pas suffisamment est peut être une autre partie du problème, etc etc.
Maintenant, comment résoudre cette situation ? Je ne veux pas rentrer dans ce débat. Car je ne suis pas parent et que ce n’est donc pas mon job que d’y réfléchir.
Ecoute, pour peu que ça vaille comme question, je suis un homme, j’espère juste ne pas avoir d’attaque ad hominem sur ce point.
En tout cas, les nanas mattent du porno aussi, promis.
Quel est pour toi la différence suivant le genre pour toi. J’aimerais avoir une réponse si possible objective, pour comprendre ton point de vue là dessus.
Edit 28/05/2022, 01:02 : fix typo
Le 24/05/2022 à 19h 13
Je suis persuadé (pas de chiffre, pas de source, juste mon ressenti) que ce n’est pas que le fait de protéger les enfants.
Pour moi, les personnes qui sont dans ce genre d’asso sont tout simplement répugnées par le porno. Tellement répugnées qu’elles en font un combat pieux (ha ha ha, pieux, asso chrétienne, tu l’as ? 😀). Une chasse aux sorcières (ha ha ha, chasse aux sorcières, référence à la chrétienté de l’époque, tu l’as ? 😀) avec pour tache divine de purger le bas monde des ignominies de la chair et qui prend “presque” comme excuse les enfants
En somme, le cliché classique de la mère de famille de 60 ans tirée à 4 épingles, qui a eu une éducation religieuse forte, qui a fait 4 enfants à son mari parce que et qui voit le sexe comme le diable personnifié parce qu’on lui a dit qu’un clito c’était tabou et qu’un pénis c’était obscène.
Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI
Pour le plus grand bien
Le 24/03/2022 à 12h 56
Je ne veux pas rentrer dans le débat de “est ce que ce filtre anti arnaque est bien ou pas ?”, “est ce que le gouv veut censurer ou pas ?” ni rien.
J’aimerais simplement émettre une remarque d’ordre général (pas spécifiquement lié au DNS de cet article donc). Bon nombre de personnes ici ont connaissance de solutions techniques, ce qui n’est pas le cas de la majorité.
Globalement, si une solution permet avec 20% d’effort d’effectuer 80% du boulot, ça “suffit” (loi de pareto, tout ça). Il y aura toujours des gens qui seront aptes à bypasser telle ou telle solution, mais ces personnes ne sont pas la cible du sujet (encore une fois peu importe le sujet), l’idée étant de faire passer la solution pour 80% des utilisateurs avec 20% d’énergie.
Si je prend un autre exemple avec le téléchargement illégal : bloquer les sites miroirs permet avec une action rapide (20% d’énergie) de rendre les sites miroirs indisponibles pour la majorité (80% de “bénéfice”) des utilisateurs.
/!\ Je me répète, je ne dis pas que c’est bien ou pas (autant pour ce filtre que pour les sites miroirs). Je dis juste que pour moi, l’idée n’est pas de cibler toute la population car c’est impossible, mais la majorité avec un moyen “simple”.
Voilà, des bisous
Edit : fix pour lisibilité
[Document] Renseignement : la « lettre rectificative » préparée par le gouvernement
Version avant avis du C.E.
Le 08/05/2021 à 08h 26
Rien de mieux qu’un article comme ça pour commencer la journée x)
Darmanin a quand même cet incroyable pouvoir de me faire bouillir le sang en moins de 30 secondes, chaque décision de sa part menant un peu plus vers son sacro-saint 1984.
Mais trêves de plaisanteries, j’ai quand même une paire de questions.
est ce qu’on a une idée de comment il veut les récupérer, ces urls ? parce que les 3 derniers sites au monde qui restent en HTTP plain text, on s’en fout un peu. Du coup, hormis demander les logs aux sites (lol), je ne vois pas grand chose d’autre à part casser le SSL. Et ça, il en serait possible, le bougre…
cette rustine, il arrive en mode “hey mes petits potes à la compote, je vous ai pondu ça hier devant ‘Plus belle la vie sécuritaire’, donc vous me ferez le plaisir de le rajouter dans votre bouquin rouge là, le dalloz-j’sais-pas-quoi”, ou alors ça suit un circuit classique de validation ?*
il existe quelque part des stats/données/résultats de ce qui est collecté ? Et de l’utilité réelle que ça apporte ?
quelqu’un pourrait refaire du café svp ?
Have fun
ElCroco
* Le lecteur avisé se rendra compte que je n’y connais rien dans ce domaine ^^’
Edit : fix typos
Edit 2 : Merci Marc pour cet article qui, même si je vais encore m’énerver contre ma cafetière, est comme toujours clair et instructif
Ce que prévoit la proposition de loi Sécurité globale, version Sénat
Beaucoup
Le 24/03/2021 à 11h 49
Globalement, c’est un soufflé qui est retombé. Les médias en ont parlé 2⁄3 jours en mode “ouin ouin l’article va nous brider la liberté de la presse”*
Du coup, des gens sont allés dans la rue, un peu. Il y a eu quelques manifestations sur paris (et d’autres grandes villes).
Il y a même eu des circonstances qui sont arrivées plus ou moins au même moment, et qui auraient pu mettre un sacré bazar : https://www.francetvinfo.fr/politique/proposition-de-loi-sur-la-securite-globale/video-manifestation-a-paris-un-policier-pousse-au-sol-et-lynche-par-des-casseurs_4200085.html
https://www.lexpress.fr/actualite/societe/producteur-de-musique-tabasse-par-la-police-a-paris-ce-que-l-on-sait_2139503.html
Mais c’est comme tout, les gens oublient vite si on ne leur rappelle pas, donc ils ont oublié ce combat . Et comme les médias sont passés à autre chose très vite, poof, plus rien.
Je viens de faire des stats ultra précises et fiables : globalement NXI et numérama en ont parlé pas mal en novembre 2020, depuis quelques jours parce que ça passe au sénat, et quasi rien entre les 2. Alors les médias mainstream…
Maintenant, certaines personnes gueulent, mais chez soi.
Donc en tldr, ça passe crème*
Tchoubzisouslol
* Ce que je ne remet pas en cause. Par contre, je remet en cause le fait qu’ils n’aient parlé QUE de cet article, alors que ce n’est clairement pas le seul dangereux
Bon j’exagère, comme dit par d’autres, le covid/couvre feu/confinement/les fêtes de noël/whatever sont passés par là et a permis de restreindre les manifs.
* On notera que je suis pessimiste/réaliste (au choix), et que je considère que, de base, à partir du moment où le gouv pousse une loi, à moins que ça touche au fric des
péonsfrançais, on est foupoudav.Edit : fix mise en page et typos
La CNIL refroidit l’appétit de Big Brother Bercy
Cyber Bercy
Le 15/02/2021 à 16h 52
Question bête. Quid des plateformes de discussions ? Je pense principalement à discord, IRC, mais on peut également imaginer les groupes telegram publics ou d’autres.
De plus, de ce que j’en compris, la CNIL a dit “hey ho, on va s’calmer Jean Michel Bercy, mais on a dit public, pas ‘avec un compte’”, mais pour l’instant, le fameux Jean Michel Bercy n’a rien répondu et n’est pas dans l’obligation d’accepter la demande de la CNIL ?
Le futur délit de « mise en danger de la vie d’autrui » par diffusion de données personnelles
Cas-Lex
Le 18/11/2020 à 13h 25
“le gouvernement étudiera toutes les propositions d’où qu’elles viennent dans cet hémicycle.”
Je sais pas si le fait qu’il le précise est une bonne chose ou non tiens…
Typora : un très bon éditeur de texte, multiplateforme, mais encore en bêta
L'ergonomie de Simplenote, (presque) la richesse de Zettlr
Le 14/11/2020 à 20h 38
Bah voilà, on y est -_-
On sort clairement du sujet de base, mais ça me saoule un peu toutes ces “nouveautés” qui font qu’internet devienne une usine à gaz
Le 12/11/2020 à 18h 03
Pour la sauvegarde, à la limite, suffit de mettre ça dans le local storage du browser, et quand je veux récupérer un fichier j’exporte simplement le local storage :)
Et je ne doute pas une seule seconde que Google sorte un de ces jours une API JS pour pouvoir écrire directement sur le disque… (A mon plus grand malheur mais ceci est une autre histoire)
Bon cela dit je crois qu’on s’éloigne un peu du sujet de base
Le 12/11/2020 à 16h 01
Tu marques un point sur la partie recoder un moteur HTML/CSS/JS :)
Cela dit, quitte à devoir charger tout un moteur de rendu, autant que j’utilise mon browser avec une webapp locale, ça me coûtera aussi cher en ram, mais je n’aurais pas besoin d’installer un N-ème soft ^^
Le 12/11/2020 à 14h 45
J’utilise Jekyll + github pages. Coté Jekyll une fois que la configuration initiale est faite (c’est un peu chiant, mais ça se fait quand même) et que le CSS est en place, t’as plus à y toucher.
Quand tu veux écrire un article, tu mets ton .md dans l’arbo jekyll, puis jekyll ; et les commandes git classiques pour pousser sur GH Pages.
Le 12/11/2020 à 14h 14
Merci pour cet article.
J’utilise -quand je prend le temps, c’est à dire une fois dans l’année- jekyll pour écrire des blogposts. Jusqu’à présent j’ai toujours utilisé Sublime Text, en écrivant le md en brut, puis en compilant le blogpost avec les commandes jekyll pour voir le résultat via le browser. Pas pratique pratique…
Comme je ne m’attelle pas à l’exercice tous les matins, cette solution était “viable”, mais un véritable éditeur markdown est une bonne idée.
Du coup, quelques questions me viennent à l’esprit :
Pour info, je n’ai pas -encore- lu les 2 autres articles, sur simplenote et zettlr, je n’ai pas tous les éléments du comparatif du coup ^^’
Ce que prévoit la proposition de loi sur la Sécurité globale après la commission des lois
Oh, well !
Le 07/11/2020 à 09h 51
Bien bien bien…
J’en viens à être content de la pandémie de covid, on a au moins le droit de se masquer -temporairement- le visage…
(Ceci était moitié une blague moitié un c’est-triste-mais-c’est-quand-même-la-réalité)
Plus sérieusement, merci @marc rees pour rendre le tout compréhensible par le commun des mortels.
Ca veut dire quoi ? Maintenant que le texte est passé en commission, il passe en séance, et après hop, emballé c’est pesé, ajoutez moi ça au dalloz ?
J’avais déjà posé la question dans le précédent article, mais du pas eu de réponse : quel recours a-t-on ?
J’ai étonnamment l’impression que tout le monde s’en fout de cette loi : je n’ai pas réellement vu d’articles de presse, de journaux, etc en parler.
Censure de photos, drones, reconnaissance faciale... déluge sécuritaire à l'Assemblée
Souriez, vous êtes sécurisés
Le 05/11/2020 à 11h 58
La PPL devait être examinée hier, a-t-on des nouvelles ?
J’ai vu passer un thread de @marc ress sur twitter, mais c’est un peu décousu :/
Le 03/11/2020 à 18h 49
C’est la Liberté qui pleure.
Le 03/11/2020 à 09h 50
Le fait de me (ré)abonner à NXI, chose que je voulais +/- faire depuis longtemps a été totalement influencé par cet article (et son thread twitter associé), gg @Marc Rees
Bon, ça, c’est dit :) Maintenant, mes questions !
Je ne comprend pas pourquoi tout ça ne fait pas plus de bruit : hormis un post de LQDN et un article sur mediapart (en plus de celui ci, of course), je n’ai pas réellement vu d’analyse ou d’article de presse qui levait le point (poing ? ) et des dangers clairs que cela pouvait apporter. Hormis le fameux “omg il y a le covid, arrêtons de parler du reste et ne parlons que de ça”, je ne vois pas pourquoi personne n’en parle…
Si quelqu’un a une idée…
De ce que j’en ai compris (c’est à dire pas tant que ça… ^^‘), cette PPL doit être examinée demain (C’est à partir de mercredi que les députés réunis en Commission des lois ausculteront les 340 amendements officiellement déposés.). Je comprend bien les raisons sous-jacentes/officieuses de la faire passer aussi vite. Mais le gouvernement a t-il au moins essayé de trouver un semblant de justification valable ? Ou alors il est carrément en mode “ah mais on s’en fiche de ce que vous pensez, on la fait passer en scred pendant le confinement pour que personne n’en parle, et même pas nous” ?
Enfin, qu’est ce qu’on peut faire ? Je n’aime pas trop trop l’idée de cette PPL qui rogne encore plus nos libertés, et je suis partant pour faire quelque chose, mais quoi ? Les manifs, ça ne marche pas, les pétitions, ça ne marche pas, du coup, qu’est ce qui marche ? Quels recours peut-on avoir ?
Edit : il y a moyen de tagguer les gens via un @ ?
Suite à un « bug », GitHub a enregistré des mots de passe en clair dans ses logs
123456Password!
Le 02/05/2018 à 22h 49
ouh la ouh la calmons nous ^^’
Un algo est un algo, il peut être développé dans plus ou moins n’importe quel language. On peut très bien hasher coté client, via javascript (google -> js sha256). Donc, c’est clairement de l’ordre du faisable.
Il est aussi possible de re-hasher une seconde fois coté serveur au besoin :]
Un hash coté client + un second coté serveur, ça permet (si je dis pas trop de bêtise ^^ ) de se protéger mieux si la BDD se fait voler : Un hacker aura le hash(hash(motdepasse). Du coup, il devra bruteforcer 2 fois pour avoir le clair. On peut même hasher 1000x d’affilée hein ^^
Sinon, pour répondre à Gemini_Power :
Installation de Windows 10 : comment gagner du temps ? Le test face à Ubuntu Budgie
24 heures chrono ?
Le 18/10/2017 à 08h 04
Donc on est d’accord :)
La but de l’article était de voir le temps d’install basique, mais le temps de configuration et d’installation de tools reste propre à achacun, et est donc hors hors contexte par rapport à cette news :)
Bisous, glaces poire/chocolat, et barbapapa sur vos coeurs
Le 18/10/2017 à 06h 23
Le 17/10/2017 à 19h 43
J’ai du mal à comprendre les 4 pages de commentaires en fait x)
Le but du jeu, c’était de voir le temps de “on à la clé prête” à “on a fini une fresh install”. Pas de dire que sur windows, il faut se taper les installs de softs en plus, la conf des tools faut récupérer la base de registre avant, ou que sur ubuntu il faut taper un apt-get upgrade pour MaJ. et bla et bla et bla
Pour que le test soit réaliste, il faut que les conditions soient les mêmes. Donc, on a un OS similaire (entendre ici pas un linux minimaliste VS un windows forcément plus complet car comprenant une GUI, etc) et relativement à jour (ici, c’est ubuntu 17.04, qui a donc 6 mois, il faut donc en gros un windows qui ait aussi +/- 6 mois max), avec un matériel fonctionnel pour les 2 systèmes (évidemment, que ça soit windows comme ubuntu, s’il y a besoin d’aller taper des drivers spécifiques, ça rallonge le temps, mais c’est une variable qui ne doit pas être prise en compte imho)
Evidemment, il y aura souvent que ça soit sur windows ou sur linux, du paramétrage ultérieur à faire, mais c’est une autre histoire.
Paix, glaces à la fraise, et fresh install sur vos coeurs
L'Australie et la Corée du Sud statuent sur le sort des ICO
Le plus ouvert n'est pas celui que l'on croit
Le 29/09/2017 à 16h 04
Han, ça risque encore de retomber comme il y a 3 semaines :/
Après 15 ans, la Nuit du Hack à la croisée des chemins
Quand la Nuit se réveille
Le 05/07/2017 à 16h 02
ouh laaaaa !
Les confs seront pas balancées de suite sur le YT, HZV attend quelques mois avant de les mettre en ligne :)
Celle de 2016 sont sorties en octobre, donc on a encore le temps
#Flock se la coule douce cette semaine, et ne veut pas rendre l'argent des abonnés !
Prochaine étape : les législatives ?
Le 23/04/2017 à 20h 20
D’après les règles de Mattel, rien n’interdit à priori de mettre un +4 derrière un +4 lien.
Tout du moins, comme il n’est pas écrit qu’on ne peut pas… Je pré suppose qu’on peut ^^
Cela dit, je pense qu’il existe autant de règles de Uno que de joueurs :), et de plus, comme dit plus loin, certaines règles ont été rajoutées de manière “officielle”. Typiquement, le fait de pouvoir poser plusieurs cartes identiques, ou de couper le tour de quelqu’un n’était pas considéré comme une règle “officielle” sur mon premier jeur de Uno.
Si vous voulez pimenter un peu le jeu, j’ai une règle assez sympa, qui est qu’on peut poser un +2 derrière un +4 SI la personne a un +2 de la couleur demandée par le +4 :)
(Non, non, ne criez pas au sacrilège s’il vous plait ^^)
Trump signe la fin des règles télécoms sur la vie privée, les opérateurs montrent patte blanche
Supprimer comme art de vivre
Le 04/04/2017 à 12h 49
D’ici à ce que les FAI aient le droit d’analyser les paquets DNS (meuhhh non, c’est pas du DPI) , j’ai bien peur qu’il n’y ait qu’un pas x)
Et puis, anyway, la majorité des gens continuera d’utiliser les DNS fournis via le DHCP de leux box hein. Donc, bon, perdre quelques pourcents d’utilisateurs parce qu’ils vont sur des alt-DNS, c’est pas super grave pour eux je pense.
L'ANSSI s'explique sur l'annulation du vote électronique des Français de l’étranger
Un risque jugé trop élevé
Le 07/03/2017 à 09h 09
Ahhh mais si si si !
Je t’avoue avoir buggué en lisant “la publication de la liste des Français qui ont voté pour tel candidat”.
Parce que bon, ça laisse sous entendre, qu’à un moment donné, dans la machine, il y a un lien entre l’identité de la personne et son vote, enfin, si je lis bien.
Le but du vote (tout du moins dans ce type de vote, avec isoloir), c’est pas justement qu’il soit anonyme ?
/me fears pour la suite
Google en dit un peu plus sur la protection Verify Apps pour Android
Même hors Play Store
Le 17/02/2017 à 12h 28
“Signaler une erreur” tout en haut de la page, une fois que tu as scrollé, mais l’erreur a déjà été remontée :)
Internet des objets : deux députées dressent un premier bilan, 20 recommandations à l'appui
La 17e va vous étonner
Le 18/01/2017 à 17h 28
Je serais curieux de savoir d’où sort ce chiffre de “la dizaine à la centaine d’octets” pour un message.
Si on prend ne serait ce qu’un tweet lu par un objet IoT, c’est potentiellement bien plus que 100 octets hein : au hasard, un tweets en kanjis c’est plus de 400 octets -UTF8 powa- du coup, on a un overhead de moins de 10%. Ce qui est certe conséquent, mais mon exemple ne parle que d’un tweet, pas du fait qu’il puiss y en avoir plusieurs ou des entêtes HTTP :)
IPSEC/wpa ne chiffrent pas les flux à l’intérieur du médium, mais juste le médium en lui même. Par contre, ton système de PSK, j’avoue que je n’en sais rien, je suis pas calé sur les algos de chiffrements en soi.
Anyway, à mon avis, la question ne se pose pas, c’est chiffrement par défaut, épicétou :)
Le 17/01/2017 à 12h 30
hmmm, sur du chiffrement par certificat classique, tu as effectivement un overhead lors de l’ouverture de la connexion, mais une fois que la connexion est ouverte, faut pas déconner non, on double pas le poids des messages.
http://netsekure.org/2010/03/tls-overhead/
En gros :
- 6.5kilo-octets à la connexixon
- 330 octets pour relancer une connexion
- 40 octets par paquet TCP
Même pas un quart de tweet par paquet (et encore, twitter n’envoie pas en ASCII, donc c’est encore moins ^^)
Ceci dit, je pré-suppose içi que le chiffrement se fait via SSL/TLS, ce qui n’est pas forcément le cas, ne m’étant pas penché sur tous les protos de l’IoT (qui sont d’ailleurs vulnérables, chiffrement ou pas " />)
Téléphone au volant et non-port de la ceinture verbalisables « à la volée » par caméra dès demain
Et même par radar automatique
Le 30/12/2016 à 17h 09
demain, 8h15, je pense que la dette est réglée ^^’
Le 30/12/2016 à 17h 08
Ca voudrait dire que depuis la mise en service de l’étoile, tout le monde a suivi LE PREMIER mec qui est sorti du rond point ?
Du coup, ça voudrait dire que… une seule sortie est possible, non ?
Donc, si on y réfléchit, ce rond point… IL SERT A RIEN ?
Sont idiots ou quoi les mecs du gouvernement, ils auraient mieux faire de rien mettre du coup !
" />