Le 07/12/2018 à 09h 35

Gnppn a écrit :



[…]ils n’ont aucun droit de regard sur le contenu hébergé, à moins d’un signalement ou d’une décision de justice.



Donc impossible de contrôler de manière proactive ce qu’ils hébergent, surtout qu’ils ont des masses incalculables de données.





Justement, le règlement en question leur donnerait ce droit de regard, voire pire cette obligation de regard. Et comme tu dis, au vu de la quantité de données, même si théoriquement c’est faisable, c’est irréalisable en pratique.

Le 07/12/2018 à 07h 08

Sauf que c’est malheureusement un peu plus compliqué que ça. Tu as beau chiffrer le volume, il faut bien le déchiffrer à un moment où à un autre. Or un serveur web doit servir du contenu après un reboot, il faut donc qu’il soit capable de déchiffrer les pages à afficher juste après un reboot, au moins la page d’accueil. Si c’est un site de propagande, il doit aussi montrer du contenu “sensible” à ses visiteurs sans demander un log-in.



Et si tu as une machine qui lorsqu’elle reboote attend une action manuelle avant de pouvoir démarrer, tu n’es pas encore sorti d’affaire puisque la clé SSL privée doit bien être stockée quelque part pour que l’opérateur puisse se connecter. Et si elle est chiffrée, la clé de chiffrement doit être en clair, etc. Tu peux ajouter autant de niveaux d’indirection que tu veux, à un moment il faut un truc accessible en clair quelque part.



Donc oui les messages privés entre membres seront indéchiffrables si c’est bien torché, mais tout le reste (site web, vidéos de propagande) pourra être décrypté sans passer par la force brute.

Le 04/12/2018 à 10h 09

[…] comme le nom du navigateur (pas sûr qu’Edge soit gardé)



Molybdène ? Juste en-dessous du chrome, et c’est l’élément 42



  Wikipedia

Le 03/12/2018 à 12h 49

Et l’utilitaire fsck il devient quoi dans tout ça ?

Le 03/12/2018 à 11h 28

Ah ben oui, un signal GSM c’est étudié pour contourner les obstacles, supporter les atténuations et réflexions multiples, donc ça capte raisonnablement bien même en conditions … disons … discrètes.



Le problème c’est que si tu veux brouiller efficacement, il ne suffit pas d’inonder la zone d’un signal parasite, il faut éviter que ce signal parasite ne déborde trop de l’enceinte à contrôler… Donc tenir compte de la présence (ou l’absence inopinée) d’obstacles pour placer stratégiquement les répéteurs. Répéteurs qui ont vachement intérêt à ne pas être dans des zones accessibles aux détenus (donc, en clair, derrière des portes qui ont toutes les chances d’être blindées).



Pour l’orthographe inventive, ben je l’ai toujours écrit comme ça, y compris sur NXi. Quant à savoir si je l’ai fait exprès ou que je me suis vautré comme un (lord) Kevin de banlieue, je vais m’empresser de maintenir fermé le voile de mystère qui entoure cette question.

Le 03/12/2018 à 10h 55

Un brouilleur doit produire un signal plus fort que les antennes “normales” pour que les téléphones s’y connectent. 



Le challenge, c’est qu’il doit produire un tel signal partout dans l’établissement (accessoirement bardé de grilles métalliques qui font cage de Farfadet) et nulle part en dehors…

Le 30/11/2018 à 10h 57

Comme d’habitude….  “il faut faire quelque chose”



Et comme “s’en prendre au symptôme c’est faire quelque chose”, je suis irréprochable et je ne dois rien faire d’autre.



 

Le 29/11/2018 à 11h 26

À mon sens on ne s’en sortira pas tant que les librairies tierces ne seront pas effectivement validées par des tiers de confiance. On ne peut pas demander à chaque intégrateur de tout relire. C’est inefficace et redondant.



Une solution serait que des entités fassent des review de sécurité des librairies et les “approuvent” formellement (signatures électroniques du code… non j’ai pas dit blockchain) Ces approuveurs seraient eux-mêmes évalués (un peu comme la notoriété sur Stack Overflow). Un approuveur qui laisserait passer un troyen verrait son évaluation chuter.



Et à chacun de dire s’il accepte ou non une librairie non validée dans son environnement.



Ca fait une vache de PKI, mais c’est à-peu-près la seule solution.

Le 28/11/2018 à 11h 23

" />



Toujours lire les petits caractères…

Le 28/11/2018 à 11h 04

Heu… c’est juste moi ou un a1.medium (0.0255 \( / h) est plus cher qu'un t3.small (0.0208 \)  / h) tout en semblant moins puissant ?

Le 28/11/2018 à 10h 36

Bah comme d’habitude… Aller au plus vite et au moins cher sachant que lorsqu’il y aura un exploit dans la nature, les utilisateurs hurleront (et les journaux titreront) que c’est la faute aux imbéciles incompétents qui ont développé Windows / OS X / Linux / IOS / Android selon les cas (*)



Tant que les entreprises réellement responsables de ces conneries ne seront pas lourdement sanctionnées, ça continuera.



(*) Oui, je n’ai pas cité GNU Hurd. Je parie que l’unique utilisateur (RMS) n’a pas de casque Sennheiser (c’est un casque fermé, vous vous rendez compte ???) chez lui.

Le 28/11/2018 à 08h 21

Et personne pour citer les shadoks ? Je me fais vieux…



En essayant continuellement on finit par réussir. Donc : plus ça rate, plus on a de chance que ça marche.

Le 27/11/2018 à 15h 17

Jarodd a écrit :

• Salut tu me donnes les droits root ?
  
  
  
  
  
  • Ok, lol.
    
    
    
    " />
    
    
    
    
    
    Bah oui, s’il y a transfert intégral d’un truc que je n’utilise plus, il n’y a pas de risque de sécurité pour moi : si je donne un PC à mon voisin, je vais logiquement lui donner les droits root dessus ; faire ça ne met pas en péril les PC qui sont encore chez moi.
  
  

Le 27/11/2018 à 15h 12

Gersho a écrit :



edit: @Jarodd: d’ailleur, j’utilise pas node, mais y’a rien qui t’avertis quand le proprio d’un module change ?





A ma connaissance, il n’y a que NuGet / .NET qui utilise des modules signés cryptographiquement (et encore, uniquement les binaires compilés, pas les sources) mais si on transfère la clé privée en même temps que les sources, c’est foutu.



 

Le 27/11/2018 à 11h 55

D’un autre côté, les tests c’est bien, mais c’est loin d’être une panacée. Un test vérifie que la lib fait tout ce qu’elle doit faire, mais ne peut pas tester universellement qu’elle ne fait pas plus qu’elle n’est censée faire.



C’est tout le problème ici. Si le dév avait altéré une fonctionnalité, les tests unitaires l’auraient détecté. Il a plutôt ajouté un troyen et personne ne le remarque. Parce qu’aucun test unitaire ou d’intégration ne va vérifier qu’il n’y a pas des fonctionnalités cachées.



Bémol : c’est vrai qu’un test + code coverage pourrait détecter du code dormant.

Le 27/11/2018 à 10h 17

Voilà ! Je l’avais bien dit ! Pour tout ce qui concerne les applications financières, il n’y a que COBOL sur cartes perforées qui est sécurisé par design ! 



Sur un ton plus sérieux, c’est vrai qu’avec le foisonnement de librairies tierces qui se mettent à jour de manière plus ou moins transparente via PIP, NuGet ou NPM, on a d’une certaine façon réinventé le DLL hell… Y’a un boulot de fourmi derrière pour s’assurer que chaque projet qu’on développe ne pète pas l’environnement d’un autre. Un truc comme les Virtual Environments de Python, ça devrait être implémenté nativement par la plateforme, pas un opt-in qu’on déploie après avoir frôlé la cata en prod.

Le 24/11/2018 à 07h 23

Ah, ben maintenant on sait où avaient disparu les sources de Duke Nukem Forever.

Le 22/11/2018 à 05h 43

Elioty a écrit :



Bref, la langue française dans toute sa splendeur encore une fois.



Cependant, il y a quand même de nombreuses règles dans la langue française qui sont là pour faire sonner 





C’est au contraire parfaitement logique. Quand je dis “A après que B”, forcément B s’est produit, il s’agit donc d’une certitude, donc se conjugue à l’indicatif ; le subjonctif ayant un sens comme “il se peut que ça n’arrive pas”.



D’ailleurs quand je dis “il a commencé à pleuvoir après que le vent est tombé”, je peux remplacer “après que” par “dès que” : “il a commencé à pleuvoir dès que le vent est tombé”. Le sens est quasiment identique et pourtant personne ne mettrait un subjonctif : “il a commencé à pleuvoir dès que le vent soit tombé” sonne mal.

Le 19/11/2018 à 09h 50

Annoncer ça le jour où l’October Update de W10 fout le énième bordel… On m’f’ra pas croire que c’est le hasard.

Le 15/11/2018 à 08h 34

Tiens, c’est marrant, je connaissais l’expression “Et ta soeur ? Elle bat le beurre !” mais pas “Et ta soeur ? Elle fait du fromage !” On en apprend décidément tous les jours.

Le 13/11/2018 à 13h 28

Il aura fallu longtemps mais on y arrive tout doucement ; ils commencent enfin à se rendre compte que l’on a réellement besoin d’héritage multiple, ou à tout le moins de mixins.

Le 09/11/2018 à 16h 54

À part bien nous faire comprendre que tu n’as pas saisi toute la subtilité de l’attaque, qu’essaies-tu de nous dire par ce “LOL” dédaigneux ?



Encore une fois, le problème vient ici qu’une application sans privilège pourrait espionner un mot de passe que l’utilisateur tape dans l’écran UAC de Windows (et un probable équivalent sous Linux que je ne pourrais nommer) qui n’est pas censé être observable par une application tierce.



Et par pitié, merci de relire l’article - voire essayer de le comprendre - avant de fanfaronner “hahaha mais le mot de passe n’est pas affiché en clair”. Il n’est pas ici question de faire de l’OCR sur ce qui est affiché mais du micro-timing entre les pressions de touche en observant les pics d’activité de la carte graphique. Et des études ont démontré que ces timings précis permettent de deviner avec une grande probabilité les touches tapées, ce qui permet de restreindre de façon considérable le nombre de tentative en force brute…



J’te jure, des fois… 

Le 09/11/2018 à 14h 23

Ce que vous semblez tous vouloir ignorer, c’est que cette attaque permettra probablement de sauter par-dessus les barrières de virtualisation (comme Meltdown) une fois qu’elle aura été raffinée.



En clair, l’attaquant provisionnera une machine virtuelle sur Amazon ou Azure, y installera le soft malveillant, et pour peu que le GPU est accessible (virtualisé) il pourra l’utiliser comme side channel pour espionner les autres VMs sur la même machine physique.

Le 08/11/2018 à 16h 01

Dnas l’article, je lis “pour ne froisser personne”…



Ca inclut l’écran ? Parce que s’il faut le défroisser au fer à repasser chaque fois qu’on le sort de sa poche, la techno ne va pas ravir grand-monde.

Le 08/11/2018 à 15h 43

Savoir si je préfère un fond noir ou un fond blanc n’est pas considéré comme des données personnelles par le RGPD… Donc ce me semble, un site peut s’il le désire déposer un tel cookie sans mon consentement explicite.

Le 08/11/2018 à 07h 01

D’autant que cette option existe en partie, c’est le “do not track”…

Le 05/11/2018 à 16h 06

a priori, ça tombe sous le coup de la loi qui punit l’attentat à la pudeur…

Le 05/11/2018 à 15h 46

Y’a pas que le nombre de neurones qui compte. Il faut aussi les interconnecter par un apprentissage. Dix mille milliards de neurones non entraînés, ça doit avoir le même QI qu’une clé à molette.

Le 02/11/2018 à 07h 03

Sauf que …



Ici, on a bien un débat de plusieurs pages pour justifier les actions d’ados prépubères (si pas en âge, au moins en comportment) qui ont des palpitations dès qu’ils doivent se passer de leur téléphone pendant 15 minutes. Imaginent-ils qu’ils sont des experts en sécurité nucléeaire qui sauveront la planète simplement en envoyant un SMS au bon moment ? Ou bien ont-ils oublié que quand leurs propres parents allaient au cinéma, la baby sitter ne pouvait pas être contrôlée en direct live et en couleurs avec la caméra, mais qu’ils ont survécu malgré tout ?



Ici, on a bien un débat de plusieurs pages où on explique que “démarrer vite fait le download un jeu pendant le film est un comportement tout-à-fait normal”. Bien sûr par des gens qui exigent des opérateurs une couverture 5G optimale avec un abonnement illimité pour 5 centimes par mois “parce qu’on n’est pas des vaches à lait, tout de même !!!”



Ici, on a bien un débat de plusieurs pages où des intervenants se plaignent que dans la salle il fait trop chaud, il fait trop froid, les sorties de secours sont mal placées, etc…



D’où l’ironie de traiter de “chochottes” ceux qui ne demandent finalement qu’une seule chose : de la politesse. D’autant plus que rien ne te permet d’affirmer que ceux qui sont dérangés par comportements sont les mêmes que ceux qui hantent les forums que tu sembles toi-même bien connaître (si tu te sens entouré d’imbéciles, demande-toi ce que tu fais au milieu…)

Le 01/11/2018 à 07h 44

GTO a écrit :



+1000! " />





Mais bon laisse tomber: on parle à une population de geeks complètement déconnectée des réalités et qui est plutôt chochotte en + d’avoir des sens hyper développés, inutile d’essayer de leur faire comprendre ce qu’est la vraie vie. " />





Et donc, c’est nous qui sommes “accusatoires” et “intolérants” :-) C’qu’y’a’d’bien avec les vindicatifs dans votre genre, c’est qu’il ne faut même pas vous pousser pour que vous tombiez dans vos propres pièges.



 



 

Le 31/10/2018 à 16h 36

C’est marrant. Comme l’intégralité des gens qui sont incapables de respecter les autres, tu énumères toute une série de “bonnes” raisons pour lesquelles on devrait continuer à accepter que tu emdes impunément ton entourage. Sous prétexte que toi tu n’y vois aucun inconvénient, les autres n’ont qu’à s’adapter à ton mode de pensée, car il est bien entendu que toi tu refuseras vaillamment de te plier aux concepts judéo-chrétiens-petits-bourgeois-réac de la politesse et ne t’adapteras pas au leur.



Tes messages pourraient être copiés comme exemples dans les articles Wikipedia traitant des arguments fallacieux tant ils en sont la quintessence : “telle autre source de lumière est bien plus visible”, “mais moi je …” Typique typique typique :-)



Mais surtout ne change rien à ton comportement et continue à croire que ce sont les autres le problème. On s’ennuierait ferme sans des gens comme toi.

 

 

Le 31/10/2018 à 14h 44

C’est pourtant pas bien compliqué à comprendre. Le téléphone du gars qui joue, la luminosité change en permanence. L’oeil humain est sensible non à la luminosité en général, mais au changement de luminosité.



Alors peut-être que toi tu ne le vois pas, mais il y a plein de gens que ça dérange. [my life on] Moi j’ai eu le nez cassé en étant petit et j’ai perdu une grande partie de mon odorat, c’est pas pour autant que je trouve acceptable de péter dans la salle [my life off]

 

Le 31/10/2018 à 11h 25

Oui. Je suis intolérant aux trous-du-q. C’est comme intolérant au lactose, sauf que mettre des baffes aux vaches ça ne défoule pas autant qu’en mettre à ceux qui se croient tout permis.

Le 31/10/2018 à 13h 25

Pour la même raison que personne ne traduit “alone in the dark” en “seul dans le sombre”… 

Le 31/10/2018 à 11h 44

MMMMwoui enfin il faut voir à ne pas ockhamiser au point de tordre l’histoire non plus…



La science ne s’accrochait pas spécialement à l’éther, à-peu-près tout le monde trouvait que c’était bancal et personne n’avait encore trouvé comment le rendre compatible avec la théorie électromagnétique (Poincaré s’y est bien cassé les dents) alors on s’en accomodait faute de mieux. Pareil avec la matière noire qui pose actuellement plus de questions qu’elle n’en résoud, personne ne tient absolument à ce qu’elle soit “correcte”, il se fait juste que c’est celle qui semble la plus prometteuse.



Par ailleurs, il est tout-à-fait réaliste de penser que lorsqu’on aura trouvé “ze” théorie qui colle bien, on s’apercevra que la matière noire, l’énergie sombre et les théories gravitationnelles non locales n’en sont que des projections compatibles entre elles.

Le 30/10/2018 à 20h 34

“sécurité rentière” ??? Insinuerais-tu que les rupins provoquent plus d’accidents que les prolétaires ?



Cela dit, il faut quand même bien avouer qu’il y a une forte corrélation entre rouler n’importe comment et rouler trop vite. Même en ne sanctionnant que les infractions à la vitesse, on touche statistiquement plus souvent les abrutis que les braves gens.

Le 30/10/2018 à 11h 26

Si la route est trop dangereuse à leur goût, ils mettent leur trottinette sur l’épaule et empruntent le trottoir. EN MARCHANT.



Ce n’est pas aux piétons (parmi lesquels beaucoup de personnes plus âgées) à supporter les conséquences des choix de vie faits par les trottinettistes. 

Le 30/10/2018 à 13h 35

Si tu as un labo de radioimmunologie dans les parages, il doit lui rester de l’iode 125 pour les tests RIA/IRMA. La demi-vie de deux mois est juste … nickel pour ce qu’on veut en faire.

Le 30/10/2018 à 12h 30

Tant que t’as pas ouvert ta boîte, impossible de savoir…

Le 30/10/2018 à 12h 08

Hmmmm. Va falloir ajouter un algorithme prédictif pour commencer à klaxonner si le gars devant n’a pas démarré ¹⁄₄ de seconde avant que le feu devienne vert. Spécialité du coin…

Le 30/10/2018 à 12h 01

Petit indice : lire l’article dans son intégralité avant de croire que les autres ne l’ont pas fait



Il critique la phrase “50 % des terminaux Apple exploitent déjà la toute dernière d’iOS 12”

Le 29/10/2018 à 14h 31

Antwan a écrit :



Fier non-utilisateur de google pour aucun de leur services.





C’est quand-même marrant chez les inpacticiens ce besoin de faire des phrases de ce genre à chaque nouvelle sur les GAFAM. Perso je n’utilise pas Counter Strike, mais je ne ressens pas l’envie de venir pérorer “Ouf, quand on voit c’qu’on voit et qu’on entend c’qu’on entend, je suis bien content de ne pas être dans le troupeau” chaque fois qu’un article parle d’un gars qui a triché.



Enfin, affirmer que tu n’utilises aucun de leurs services, ben en fait t’en sais rien. Si ça se trouve, un site que tu utilises tous les jours n’existe que parce qu’il peut utiliser leur infrastructure cloud.

Le 24/10/2018 à 14h 56

Dr.Jiheu a écrit :



Et après quelques calculs savants sur ton 300 qubits on s’apercevrait que le résultat obtenu est différent de ce qu’on observe. 



Ce ne serait pas la première fois qu’un ordinateur donne une réponse inattendue, puis qu’il faille construire un autre ordinateur pour mieux formuler la question.

Le 19/10/2018 à 14h 59

Mouais, il y a des capteurs plus sécurisés, notamment aussi la détection du pouls. Pas sûr que ce soit facile à mettre en place à grande échelle sur une carte de crédit.

 

Sinon, encore plus simple, le scan des vaisseaux sanguins de la rétine :



Tu vois la facture

Comme c’est plus cher que prévu tu écarquilles les yeux

Et vlan c’est payé…

Le 19/10/2018 à 09h 44

Ca ne marche que pour les bornes sans contact, or il n’y a pas de DAB sans contact. Il faut que la carte soit totalement à l’intérieur du distributeur pour qu’il te donne de l’argent… (mais évidemment ça peut changer dans le futur)



Si tu fais un paiement au supermarché, je pense que la caissière et les autres clients se rendront compte que tu te balades avec un pouce qui n’est pas le tien dans un sachet en plastique avec des glaçons.



 

Le 19/10/2018 à 12h 09

L’algorithme de Shor peut être exécuté sur un ordinateur classique, mais il y serait horriblement inefficace, nettement plus qu’une recherche exhaustive.



 Il se base sur le fait que chaque qubit est “simultanément” vrai et faux, ce qui permet d’explorer toutes les combinaisons de valeur à la fois. En gros, pour factoriser un nombre N il essaie toutes les factorisations possibles, mais dans un ordinateur quantique elles sont testées toutes en même temps. L’algorithme n’est donc plus exponentiel (comme le nombre de valeurs possibles à tester) mais polynomial (parce qu’il faut quand-même faire des calculs sur des entiers) en fonction de la taille de l’input.

 

Le 18/10/2018 à 11h 50

J’ai voulu être bref, on me demande d’être disert, alors je me lance…



Le souci c’est que ça donne du grain à moudre aux adversaires FUD de l’open source : “d’une part il n’y a pas moins de bugs que dans le propriétaire, mais en plus n’importe qui peut les exploiter simplement en lisant le code”.



Le grand avantage annoncé de l’open source est précisément que, les sources étant librement disponibles, les bugs ne résistent pas longtemps aux scrutations des personnes intéressées. Après heartbleed, voici encore une fois la preuve que ce n’est vrai que dans un univers parallèle au nôtre.



Ensuite vient le fait qu’on fait essentiellement confiance aux tests automatisés. Le catastrophique “ça compile donc c’est bon” d’antan a fait place à “les tests automatisés passent, donc c’est bon” pas tellement meilleur. Les tests montrent que le code ne fait pas moins qu’annoncé, ils sont incapables de démontrer qu’il ne fait pas plus qu’annoncé. Or les protocoles de sécurité sont extrêmement sensibles à ces petits à-côté.

 



 

Le 18/10/2018 à 11h 04

Ca sent surtout la forfanterie “given enough eyeballs every bug is shallow” qu’on se ramasse dans la poire à chaque fois.

Le 17/10/2018 à 13h 54

Oui, c’est vrai, sur des écrans très larges il faudrait pouvoir docker des fenêtres sur des demi-écrans en largeur (même si je ne vois pas trop comment ça pourrait être intuitif)

Le 17/10/2018 à 07h 09

L’avantage est que tu n’as pas d’interruption entre les deux écrans… Si tu as deux écrans distincts, il devient difficile de mettre une fenêtre à cheval sur les deux et qu’elle reste lisible même si les deux écrans sont bien alignés et sans bords. Donc tu as le choix entre :



Soit tu mets tes deux écrans un à gauche l’autre à droite mais tu n’as jamais de fenêtre pile au milieu, soit tu mets un écran devant et un sur le côté, mais alors celui-là devient moins pratique à utiliser parce que tu dois tourner la tête.