Ce n’est pas possible pour un algorithme de redonner du fond à un amas de paragraphes. En s’aidant de la mise en forme, un humain peut y arriver.
Merci, tu viens donc de confirmer que, étant donné que le but étant de permettre de représenter en HTML potentiellement TOUS les documents Word ayant jamais été écrits depuis la nuit des temps (y compris ceux importés depuis WordPerfect…), il n’était pas possible de générer du HTML structuré avec des tags sémantiques comme H1 ou EM.
La solution de Microsoft était donc la bonne, non pas qu’elle soit satisfaisante d’un point de vue théorique, mais bien parce que c’est la seule possible.
D’ailleurs LibreOffice ne fait pas autrement.
Le couple html + css est juste parfait à mon sens: le fond est dans le html et le css s’occupe de la forme. Séparer les deux est primordial.
Heu, non, le couple html+css est très loin d’être parfait, bien au contraire. Une balise telle que H1 n’a absolument rien de “sémantique” ou de “fondamental”, elle se contente de dire qu’elle représente l’en-tête de plus haut niveau dans le document HTML actuel. Ce n’est pas sémantique car en fonction du découpage de l’oeuvre complète, cette balise H1 peut représenter soit le titre de l’ouvrage, d’une de ses parties, de l’un de ses volumes, de l’un de ses chapitres, etc…
En pratique, cela empêche d’utiliser un document HTML dans une structure plus large. Prenons un exemple : j’ai trois documents HTML, qui ont pour titre “IP”, “TCP” et “UDP”. Il semble logique que l’auteur ait utilise H1 pour ces trois titres.
C’est embêtant parce que maintenant ça m’interdit de concaténer ces trois documents dans un document maître titré “Les bases de TCP/IP”, vu qu’il faudrait que j’aie une balise H0 pour ce titre-là qui chapeautre les trois autres…
Dans le même ordre d’idées, “La genèse” est un titre de niveau 2 ou 3 si tu édites une Torah, mais peut-être de niveau 4 ou 5 si tu édites une bible chrétienne, dont la Torah n’est qu’une partie…
LaTeX fait un peu mieux (sections, sous-sections etc interprétées comme de niveau 1 et 2 quand on est dans le contexte “article” mais de niveau 2 et 3 quand on est dans un contexte “book”) mais c’est encore très loin d’être satisfaisant.
La solution “idéale” serait que les textes soient structurés sous forme d’un arbre avec des sections imbriquées dans d’autres sections arbitrairement, dont le niveau ne deviendrait fixé que dans le contexte du document global. Ce que font d’ailleurs les logiciels de documentation technique.
Le
06/08/2022 à
09h
49
Que proposes-tu, alors ? Le format Excel est structuré simplement parce qu’un tableau, par principe, est structuré : ce sont des cases, organisées en lignes et colonnes dans des feuilles, dans des fichiers. Un document Word n’est pas structuré, et il est donc logique que la représentation interne ne soit pas structurée non plus.
Si tu veux donner une structure au doument, soit tu trouves un moyen de convertir automagiquement un document non structuré en document structuré (ce qui n’est vraisemblablement pas possible) soit tu trouves un moyen de forcer les utilisateurs à créer exclusivement des documents structurés (ce qui est totalement impossible).
Il ne faut pas oublier que Word se coltine aussi la compatibilité avec les anciens formats, le problème ne date pas du passage au format XML, il était présent depuis toujours.
Quant au reste de tes doléances, oui je compatis, oui il y a des bugs, mais ce n’est pas de la faute au format interne ; s’il y a un problème à gérer les marques de changement en VB, ce problème n’est pas dû au fait que “tout y compris le titre est un paragraphe”, c’est juste … un bug.
Le
04/08/2022 à
09h
08
(quote:2087099:127.0.0.1) […] y a pas grand chose qui me manquerait dans […] documents pro si on mettait du markdown partout.
J’ai cru ça aussi, mais finalement j’ai dû me résoudre à utiliser LaTeX parce que franchement y’a pas que les soulignés qui manquent.
Bon d’accord, LaTex n’a pas Mermaid pour les graphiques
Le
04/08/2022 à
09h
01
Word, en tant que traitement de texte, est à la merci de ce qu’en font les utilisateurs : ils tapent du texte n’importe comment, mettent en page n’importe comment en changeant les polices n’importe comment, les tailles, etc. la plupart du temps n’importe comment sans se préoccuper des styles. Quand bien sûr ils ne font pas autant de paragraphes vides que nécessaire pour passer (n’importe comment) à la page suivante.
Tu vois le point précis sur lequel j’insiste ? C’est encore plus vrai dans un e-mail.
Espérer convertir le foutoir introduit par l’utilisateur vers du HTML proprement structuré est voué à l’échec. Honnêtement, je préfère largement qu’ils reproduisent fidèlement le bordel introduit par l’utilisateur plutôt qu’essayer d’y coller arbitrairement un semblant de structure sucée du pouce…
Accessoirement, le forum de NxI utilise markdown…
Le
03/08/2022 à
09h
49
fred42 a dit:
telnet pour extraire la pièce jointe, ça risque d’être compliqué.
Si à 50 ans tu ne sais pas utiliser uudecode, tu as raté ta vie.
Fabuleux. On a beau savoir que ça va arriver, c’est un choc à chaque fois…
Le
06/08/2022 à
14h
20
Guinnness a dit:
Chose amusante les clés plus/mal reconnues par Windows le sont pourtant parfaitement sous Linux
Y m’est déjà arrivé de croiser des SSD dont la table de partition était tellement bizarre que même l’installateur de Linux y perdait son latin. En bref, le SSD avait été membre d’un groupe raid 0 hardware (pas taper, c’est pas moi qui l’ai configuré comme ça) et s’est tretrouvé avec une partition qui dépassait la taille du disque (partition de 256G sur un disque de 128…) L’installateur Linux Mint se plante, le partitionneur standard de Mint se plante. Seul gparted a bien réussi à se dépétrer, non sans m’avoir assaisonné de messages d’erreur cryptiques au passage.
Set Mode Chipotage = 100% … Set Paranoia Level = 101%
Il manque un quatrième endroit : le papier. Les trucs vraiment importants comme les clés de déchiffrement pour un portefeuille bitcoin (ou la clé bitlocker, ou les codes de récupération de comptes online) doivent aussi être imprimés sur une feuille de papier (idéalement un qrcode chiffré par un mot de passe dont on se souvient) et mis dans un coffre à la banque…
(quote:2085921:127.0.0.1) Et les commentaires de la news se transformèrent en réécriture de l’ISO 12100…
Comme le gouvernement vient de sonner le glas du passe vaccinal, on ne peut plus étaler notre connaissance approfondie de certains sujets de pointe, il faut bien qu’on se rabatte sur autre chose…
Le
27/07/2022 à
12h
10
tazvld a dit:
(la première sécurité, c’est suivre les consignes).
Euuh bof, plutôt non, non, non. La première loi de la robotique industrielle non-asimovienne est que tout système dont la sécurité repose sur le fait que des humains font tout ce qu’ils doivent et exclusivement ce qu’ils peuvent doit être considéré comme non sécurisé.
Sauf en Chine, ou il suffit de consullter un rekt du board /gif/ de 4chan, pour bien se rendre compte de leur façon de voir les choses.
Le
27/07/2022 à
09h
31
(reply:2085855aniel K)
Tout robot industriel ou non doit posséder des sécurités qui l’arrêtent instantanément quand il détecte une anomalie. La main du gamin dans le champ est une telle anomalie. Dans tous les cas c’est la faute du concepteur du robot.
Si par ailleurs le gamin a joué alors que ce n’était pas son tour, il doit être sanctionné (il le serait aussi s’il jouait contre un humain) selon les règles en vigueur aux échecs quand on gène un adversaire, pas en ayant la main estropiée par ledit adversaire…
Cadeau… D’un article scientifique parlant d’une séparation efficace d’hydrocarbures, la presse pipole en fait une méthode efficace de stockage de l’hydrogène… Oh miracle, je pouvais certifier que c’était une connerie avant même d’avoir lu.
TL;DR: attention, tartine. Tu peux ne lire que le dernier paragraphe.
Je suis vraiment désolé, mais je ne vois pas en quoi ce que je dis dans le message 71 est différent de ce que je dis dans le message 26 : en fonction de critères a priori (dont la notoriété de l’éditeur ou de la revue) je peux me faire une idée de la pertinence du message qui sera véhiculée par un texte, même sans le lire. En ca cas, je peux me permettre d’écarter l’article avec une bonne chance de ne pas trop me tromper. Mais je peux me tromper, je prends le risque. Et les critères me sont propres et arbitraires, ils s’appliquent à moi et moi seul.
Bien sûr pouvoir n’est pas devoir, et le simple fait que je présume que le texte sera une daube ne dit pas que je ne le lirai pas. Ca dit simplement que je ne le lirai que si je n’ai rien de mieux à faire. Pour faire court, si je n’ai le temps de lire qu’un seul article, je lirai celui qui a le plus de chances a priori d’avoir un fondement solide.
Maintenant, c’est vrai que si un article que je considère a priori comme une perte de temps est réellement intéressant, j’aurai perdu une occasion d’apprendre quelque chose, mais s’il est réellement novateur, il finira bien par être repris par des sources que je considère (toujours a priori) comme plus éclairées.
Ce que je n’ai jamais dit par contre c’est que la fiabilité a priori d’une source ne changeait jamais. Il est évident, pour reprendre S&V que en 1987 je lui faisais confiance, ce qui m’a porté initialement à lui faire confiance en 2017. Mais voyant que les articles que j’y lisais perdaient en qualité, j’ai changé d’avis (pour les articles récents, mon avis n’a pas nécessairement changé pour les “vieux” dossiers).
En y réfléchissant, je pense que la confusion vient du fait que je parle bien de la probabilité qu’un article soit correct, non de son degré de correctitude. Il se peut très bien qu’un jour, Voici soit le premier magazine au monde à publier un article scientifique aussi retentissant que “électrodynamique des corps en mouvement”. Mais tu avoueras que la probabilité que ça arrive est faible. Et que s’ils le font contre toute attente, je ne le lirai effectivement probablement pas
Le
22/07/2022 à
15h
57
Tout ce que tu dis est très juste, et c’est pour cela que j’insiste bien sur le “a priori” : a priori un article de Nature titré “L’expérience qui dément Einstein” sera plus pertinent qu’un article titré exactement pareil (et parlant de la même expérience…) paru dans Voici. C’est un a priori qui te fera gagner une énergie considérable la plupart du temps, même si parfois Nature retire un article (je ne pense pas que Voici ait jamais rétracté un article sur la relativité générale) quand ils se sont viandés.
Mais sinon oui, Science et Vie est autre un exemple de magazine dont la ligne éditoriale a bien changé. Mais pour autant la qualité a priori d’un article publié en 1987 n’a pas changé parce que le repreneur en a fait une revue putaclic en 2016…
Le
21/07/2022 à
16h
39
Jeanprofite a dit:
Pour Facebook je ne sais pas car je n’y vais pas, mon a priori étant négatif mais dans le fond je pense que des choses alternatives ET censé peuvent existés là aussi.
Coïncidence ou pas, je viens de recevoir ceci dans mon fil :
What Orwell feared were those who would ban books. What Huxley feared was that there would be no reason to ban a book, for there would be no one who wanted to read one. Orwell feared those who would deprive us of information. Huxley feared those who would give us so much that we would be reduced to passivity and egoism. Orwell feared that the truth would be concealed from us. Huxley feared the truth would be drowned in a sea of irrelevance. Orwell feared we would become a captive culture. Huxley feared we would become a trivial culture. In 1984, Huxley added, “people are controlled by inflicting pain. In Brave New World, they are controlled by inflicting pleasure. In short, Orwell feared that what we hate will ruin us. Huxley feared that what we love will ruin us”. ~Neil Postman
Il faut faire précéder les caractères à échapper (ici, « * ») par des antislashs.
Vu le temps limité que j’ai pour éditer un post, j’ai préféré les remplacer vite fait par des E plutôt que me remémorer la syntaxe MD.
Le
21/07/2022 à
16h
19
Jeanprofite a dit:
Généralement quand je suis ignare je me renseigne, je ne dis pas que les érudits ne savent pas plus que moi mais que personne n’a la science infuse et que malheureusement bien des gens que tu juges érudits abusent de cette confiance ou et on triché pour l’avoir, nuance…
Mais quand tu te renseignes, comment sais-tu que les sources que tu consultes disent la vérité ?
ce sont les faites qui m’intéressent
Si l’on s’en tient aux seuls faits, tant Ponzi que Madoff ont tenu leurs engagements auprès des investisseurs. Enfin, pendant quelques temps, avant qu’on se rende compte qu’ils mentaient. Les faits publics seuls ne sont pas des preuves.
Toujours cette caricature et bien entendu que moi aussi, mais justement si je vois que cet article est financé par le labo qui produit le produit miracle je passe mon chemin aussi.
Marrant, tu te contredis : tu juges a priori un article non pertinent parce qu’il est financé par la mauvaise personne… Je ne vois pas en quoi c’est différent de juger a priori un article comme non pertinent parce qu’il est publié dans le mauvais journal.
Le
21/07/2022 à
13h
59
Jeanprofite a dit:
On ne peut pas vraiment savoir par les autres, une grossières erreur commune est de faire confiance à une autorité. Les gens oublis que la liberté c’est de ne pas avoir d’ _Index librorum prohibitorum_.
Non, ce n’est pas un erreur. Quand je suis malade, je vais chez le médecin et je lui fais confiance, je ne vais pas consulter Facebook pour avoir une opinion différente et choisir ensuite celle qui me convient (il se peut que je consulte plusieurs médecins, mais en aucun cas je ne me permets d’affirmer que je sais mieux qu’eux).
Tu parles de sortir de sa zone de confort. Hé bien justement admettre qu’on est un ignare dans un domaine et que les autres qui ont étudié le problème en savent plus que moi c’est la quintessence de la sortie de la zone de confort. Admettre que “les érudits” sont exactement ce qu’ilis disent être : des “sachants”, sans pouvoir le vérifier, explicitement, mais en me fiant à un faisceau d’indices concordants.
J’ai commencé à voir le phénomène avec Dieudonné. Par curiosité j’ai regardé un spectacle et vu qu’il se moquait de tout le monde (toutes les religions monothéistes). Un pote lisant les journaux m’en a dit beaucoup de mal sans connaitre parce qu’il avait la même réflexion que toi.
Le fait de se moquer publiquement de toutes les religions ne prouve pas que c’est sincère…
Un individus adulte devrait avoir le droit et la maturité de lire n’importe quoi. Comment se faire un opinion sans sortir de sa sphère de confort ?
Comme paragraphe précédent : vouloir à tout prix se faire une opinion plutôt qu’admettre qu’on n’est pas en mesure d’identifier les bons arguments des mauvais, c’est justement rester dans sa zone de confort, celle où on est persuadé qu’on est capable de faire soi-même le tri.
Perso j’en suis incapable, donc je regarde ce que les autres ont à en dire, et je juge l’opinion des autres sur un sujet que je ne connais pas en corrélant avec leurs affirmations sur les sujets que je connais : si un article d’immunologie est publié sur un site qui affirme par ailleurs que la Terre est plate, je passe mon chemin.
J’ai pas pigé ton Edit.
Pas important. J’ai remplacé les voyelles dans les titres par des étoiles mais malheureusement ç dnn l rsltt svnt à cause du Markdown.
Le
21/07/2022 à
12h
20
Jeanprofite a dit:
Est-ce que poser des questions de façon permanente fait de soi une personne éveillée ?
Cela dépend malheureusement de la pertinence des questions.
Le
21/07/2022 à
12h
16
Jeanprofite a dit:
La question que je me pose en lisant un article est d’abord si c’est cohérent, puis vrai. Ce n’est pas être ouvert d’esprit que de dire : non c’est un vilain qui parle, je bouche mes oreilles parce que moi je suis un gentil du camps du bien.
Sauf que, en fonction que qui parle ou qui publie, on n’a pas nécessairement besoin de lire l’article pour savoir si c’est cohérent ou non, vrai on non. Je n’ai pas besoin de lire en détail la Beble, Meen Kempf ou le Petet Levre Reege pour savoir que c’est de la bouillie indigeste. C’est juste une perte de temps de considérer équiméritantes toutes les opinions sous prétexte de pluralité. Désolé, mais si seuls France Soir et Fox News acceptent de publier un article refusé partout ailleurs, ben il y a de fortes chances que les raisons du refus soient parfaitement valables (l’article est une daube et l’auteur est une brèle), faut arrếter de brandir chaque fois l’épouvantail de la censure, de la “doxa”…
[…] le créateur du JavaScript qui faisait le succès de Firefox s’est fait jeter de la fondation Mozilla et que Firefox n’a plus d’avenir…
HS mais le simple fait d’avoir inventé JavaScript devrait lui valoir un bannissement à vie de l’humanité, voire de l’univers, sans possibilité d’appel.
Edit : retiré les étoiles des titres de bouquin qui sont considérées comme du MD
Le
20/07/2022 à
11h
20
Hmmm pas faux, c’est vrai que je ne considérais pas les articles du genre “dessein intelligent” comme scientifiques, du moins pas au même niveau que celui qui explique comment fonctionne un transistor, une aile d’avion (*) ou un zizogène à cardan.
(*) Oui, je sais, personne ne sait vraiment pourquoi ça marche, mais l’enjeu politique est somme toute limité.
Le
20/07/2022 à
10h
49
Le problème de Wikipedia, c’est que c’est en fait plusieurs encyclopédies sous une même bannière. Il y a une encyclopédie “scientifique” en laquelle on peut avoir toute confiance (personne ne va payer un homme de main pour falsifier la page sur le théorème de Pythagore) une historique qu’il faut utiliser comme première source avant de recouper, et un fourre-tout people qui est tout aussi pollué que Voici et qui ne sert à rien. La troisième donne mauvaise réputation aux deux autres.
Sauf erreur de ma part, et dans ce cas, merci de me corriger, il me semble que, par exemple, le gouvernement français a accès au code source de Microsoft et par conséquence celui de Windows. Comment dissimuler une porte dérobée dans ce cas ?
Ce n’est pas un erreur, c’est juste de l’optimisme débridé. Il est illusoire de penser que si Windows contient une porte dérobée, il “suffit” d’en donner le code à lire à quelques experts pour qu’ils la trouvent. Bien sûr ils la trouveront, mais au bout d’un temps important. Il y a des millions de lignes de code à vérifier. Une porte dérobée sera probablement implémentée par trois “bugs” chacun sans importance capitale individuellement, dans trois modules sans rapport, mais qui exploités dans la bonne séquence permettront de débloquer un accès… Un exemple hypothétique au hasard:
Lorsqu’un header http a une erreur de 1 sur la longueur du message, le message est rejeté, mais il est quand-même mis en cache par le service d’accès réseau.
Edge fait un accès à un service qui renvoie un tel message. Un paquet vérolé est maintenant dans la cache sans avoir été processé.
ms update fait un appel similaire, via une toute autre URL mais qui par un heureux hasard a le même CRC que le paquet vérolé reçu précédemment. Au lieu de contacter le serveur de mises à jour (même si c’est un serveur WSUS local) il exmploie le paquet vérolé.
Individuellement, ce sont des bugs. Ensembe, c’est un point d’entrée.
Le
14/07/2022 à
13h
23
Ah zut ! Je travaille au développement pour une firme US qui vend des logiciels de traitement de données. Je pense qu’ils ne sont pas au courant qu’ils doivent ajouter une porte dérobée (et je ne sais même pas à qui parmi nos voisins on va bien pouvoir dérober une porte, toutes les leurs sont solidement vissées aux murs).
A lire le pitch sur le site, c’est un laptop pour faire du développement pour des contrôleurs embarquant eux aussi du RISC-V, donc ça se justifie… Mais oui, sinon, je ne pense pas qu’il a une chance comme “mainstream” (analyse personnelle au doigt mouillé, pour remplacer X86, c’est ARM qui va gagner…) , ca va rester une niche.
la duplicité de la dissimulation est pire que le crime lui-même
Ce n’est pas la raison profonde. Comme juridiquement on ne pouvait pas prouver que Richard N. a personnellement commis un crime (en son acception américaine), on ne peut le poursuivre que parce qu’il était au courant de la commission dudit crime et a utilisé son pouvoir pour le dissimuler (et que ça, on peut le prouver).
Attention, contre-exemple, Bill C. n’a jamais été inquiété pour avoir eu des relations inappropriées avec Monica L. (ce qui n’est pas interdit…) mais pour avoir menti sous serment à ce sujet (et ça, par contre, là bas, mentir en ayant une main sur la bible et l’autre sur le coeur, ça passe mal).
Le
12/07/2022 à
06h
23
Oui, je suis d’accord, sachant qu’ils n’ont supprimé aucune donnée.
Pour paraphraser la brève d’hier : “rien de tout cela n’est illégal, mais mis bout à bout […]”. Oui, ils ont une raison valable de verrouiller les ordinateurs, ils sont d’ailleurs loin d’être les seuls, ma société aussi fait ça. Mais ça a un nom (en anglais, désolé je n’ai pas de traduction française exacte) : “plausible deniability”.
Oui, c’est exactement ce que je tente de dire, mais je n’ai peut-être pas été parfaitement clair : on parle d’authentification biométrique, mais l’authentificaton est purement cryptographique (donc en soi une clé au hasard qui sert de mot de passe…), l’empreinte digitale n’étant qu’un raccourci pour obtenir la clé cryptographique en question.
Le
07/07/2022 à
06h
58
haelty a dit:
La biométrie n’est pas un facteur d’authentification mais d’identification
Pas évident à reset si tes empreintes circulent sur le net…
Il y a une forte confusion (savammnt entretenue) un peu partout sur ce qu’est une authentification biométrique. De fait les empreintes peuvent être clonées, donc … ce ne sont pas les empreintes elles-mêmes qui servent d’authentification.
Quand on utilise une clé yubikey par exemple, la clé d’authentification n’est pas l’empreinte elle-même, mais une clé cryptographique standard (secret partagé ou paire publique/privée, peu importe - enfin si ça importe mais pas au niveau biométrique). Le fait est que la yubikey n’accepte de fournir la clé cryptographique QUE si elle détecte la bonne empreinte. Mais l’empreinte elle-même ne quitte pas le dongle, même pas sous forme de hash.
Donc un voleur qui duplique physiquement tes empreintes n’est encore nulle part, car il n’a aucun moyen de retrouver la clé privée qui est stockée dans la yubikey - à moins de voler le dongle aussi, évidemment - mais ça empèche déjà un hacker sino-nigérian opérant depuis le Détroit de Magellan de subrepticement te délester de ton compte en banque.
De même, si tu perds ta yubikey, il ne “suffit” pas d’en racheter une autre et de mettre ton doigt sur le lecteur, il faut regénérer une nouvelle clé cryptographique, la protéger par ton empreinte, et l’associer à ton compte.
En gros : la sécurité de la yubikey réside dans le fait que tu lui fais confiance pour ne fournir la clé qu’elle stocke que si elle reconnaît tes empreintes.
Magnifique. Tout simplement magnifique. Si tu avais pris le soin de lire attentivement ce que j’ai dit, tu te serais évité cette tartine. Et comme prévu en ces cas-là, un petit HS sur les vaccins pour cerner l’ego du personnage.
Le
01/07/2022 à
08h
47
(quote:2080414:::1) je vois pas ce qu’il y a d’hypocrite là dedans, vu que je détaille dans mon précédent commentaire une des nombreuses raisons qui m’ont forcées à quitter les gafamnt, chose que j’encourage fortement..
J’ai rien compris… Je ne parle pas d’hypocrisie, mais de prendre son cas particulier pour une généralité. Tu n’aimes pas les GAFAMNTEQSJE- ? (*) C’est parfaitement ton droit. Personne n’en prend ombrage ni ne te houspille sur ce fait. Tu encourages les autres à quitter les GAFAM ? Encore une fois, c’est parfaitement ton droit (du moment que ça ne devient pas fatigant pour les autres, bien sûr).
Mais que tu viennes dire “je ne comprends pas comment on peut faire XXX” (sous-entendu “ils sont cons les gens qui font XXX”) c’est délibérément négliger que d’autres personnes ont d’autres priorités que les tiennes (à commencer par celle de la facilité ou la paresse certes ; mais parfois aussi des tas de contraintes que tu ne peux pas connaître).
(*) “Et Que Sais-Je Encore”
Le
30/06/2022 à
10h
36
(quote:2080268:::1)
Je n’arrive même pas à comprendre comment certains continuent encore à prendre leur cas particulier pour une généralité.
J’entends bien tous tes arguments. Mais le diable est dans les détails…
Les clefs sont généralement générées par l’enclave sécurisée elle-même, et ça peut être fait à tout moment.
Oui, mais comment Apple sait-il que la clé a bien été générée par l’enclave sécurisée et pas par un rPi dans un coin ? Ne me dis pas que la clé est authentifiée un certificat numérique, parce qu’alors je te demanderai où est la clé qui a authentifié la clé À un moment, il a bien fallu qu’une clé soit stockée dans l’enclave et communiquée à Apple de manière sécurisée (ie … en usine).
Une clé générée par madame Michu, ça sert à protéger le terminal de madame Michu, et éventuellement des équipements qui sont sous la responsabilité exclusive de madame Michu (par exemple quand elle uploade sa clé publique sur GitHub pour sécuriser ses git push). Si tu veux protéger le serveur, c’est le serveur qui doit générer la clé. On peut le tourner dans tous les sens, on ne peut pas changer les lois de la physique, Jim ; tu ne peux pas avoir une porte et adapter ta serrure pour accepter une nouvelle clé chaque fois qu’un inconnu t’en envoie une.
Et pour la lecture d’empreinte, rien n’est envoyé à Apple. Lors de la première capture, un certain nombre de points sont conservés dans l’enclave sécurisée, et lors des vérifications, on vérifie seulement s’ils sont présents.
Oui, je sais comment fonctionne un lecteur d’empreinte. Mais donc on fait confiance au terminal pour avoir effectivement vérifié les points de concordance…
Ensuite, sur du Linux, il y a toujours une amélioration car la preuve peut être donnée par captcha habituel, mais avec mémorisation par CF et Apple (même si ça ne sera pas Apple en l’occurrence) : tu auras donc moins de captcha à remplir.
En pratique une attestation ne pourra pas être réutilisée pendant des heures sans être renouvelée, sinon je mets une ferme de bots et un gus qui passe une fois par jour pour cliquer sur les photos de chats sur chaque machine. Comme un utilisateur lambda se retrouve avec au pire du pire 1 ou 2 CAPTCHA à remplir chaque jour, rarement plus, le gain risque d’être marginal…
Et encore une fois, le protocole ne marche que parce qu’il y a aussi la vérification que l’application en avant-plan est bien celle qu’on veut autoriser… Et ça, ben sur un Linux tu oublies.
Bien sûr, Apple se préoccupe d’abord de son écosystème. Charge aux autres de s’occuper des leurs.
Je répète, je suis bien heureux pour les possesseurs de matériel Apple (après tout, j’ai un iPhone…), mais ça ne me semble pas généralisable. Ca marche exclusivement parce que CF a confiance en Apple, et Apple a confiance en l’inviolabilité de ses terminaux. Aucun autre constructeur (à part peut-être Blackberry et autres constructeurs de téléphones pro ultra-sécurisés) ne peut en dire autant.
Le
23/06/2022 à
04h
10
Merci. J’avais effectivement fini par comprendre cela.
Mais on est bien d’accord : ceci n’est pas transposable de manière simple à autre chose qu’un écosystème fermé. Les choses qui me viennent :
La clé est stockée dans l’enclave sécurisée. Soit. Mais comment y arrive-t-elle ? À un moment ou un autre il faudra bien l’y mettre si elle n’y est pas déjà. Si elle passe par Internet, il est possible de l’intercepter (sauf si elle est chiffrée, mais alors le problème se repose pour la clé de chiffrement de la clé, récursivement). Donc il faut qu’une clé de base soit dans l’enclave dès la fabrication.
Comment le “attester” peut-il être sûr qu’il y a bien un utilisateur humain devant le terminal ? Pour cela, il doit faire confiance au terminal. Ceci n’est possible que sur un système fermé. Un système ouvert peut spoofer les activités de l’humain. C’est le principe fondateur : si un attaquant a un accès physique à la machine, tu ne peux plus lui faire confiance.
Pour être plus clair : “Apple vérifie si […] au besoin en te demandant de poser ton doigt” : comment Apple peut-il vérifier que tu as bien posé ton doigt ? Sur un système ouvert je peux remplacer le lecteur d’empreinte par un truc qui va répondre juste ce qu’il faut (rappel : un lecteur d’empreinte n’envoie pas la photo de l’empreinte à Apple, juste un nombre suffisant de signes distinctifs pour pouvoir l’authentifier sans pouvoir la reproduire)
Par ailleurs, demander aux utilisateurs de lire leure empreinte pour valider un truc aussi trivial que poster un commentaire sur NxI me semble bizarre.
Bref, je salue l’initiative, mais ce n’est pas - jusqu’à ce qu’on me montre le contraire - généralisable à un Linux qui fait tourner Firefox sur une machine custom-built.
Le
22/06/2022 à
14h
33
De ce que j’ai compris, Cloudflare ne fait pas confiance au terminal (dit “client”, mac ou iBidule). Il fait confiance à un site Apple (le “attester”). Si Cloudflare suspecte (p. ex. à cause d’un nombre anormal de requêtes) que l’attester Apple n’est pas capable de correctement détecter les fraudes, Cloudflare retire sa confiance à Apple et les passe-droits cessent…
Je suspecte que cette confiance ne pourra marcher que sur des configurations propriétaires. Je vois mal comment un Linux que tout le monde peut hacker pourrait contenir du code qui “prouve” que l’utilisateur a déplacé la souris…
Le
22/06/2022 à
10h
29
Ok merci c’est un peu plus clair, mais le lien entre le “client” et le “attester” me semble quand-même le maillon faible (moins faible que dans mon idée initiale où c’était “origin” qui validait, mais quand-même)…
Le
22/06/2022 à
09h
58
Quelqu’un peut m’expliquer le principe ?
Le principe du captcha est que le serveur ne fait pas confiance au client pour procéder à la vérification. Si le client dit “oui je suis un mac et je jure sur l’honneur qu’il y a bien un utilisateur”, qu’est-ce qui empêche un robot d’envoyer le même type de message ?
Au mieux, il y aura une clé privée dans chaque Mac. Mais alors cette clé privée est dans l’image d’iOS 16 et peut être extraite. Pas nécessairement par madame Michu, mais une société dont le business est de créer des faux comptes a des ressources à y consacrer.
Donc, imaginons que tu sois indépendant et peu porté sur les techniques modernes… Tu as un conflit de voisinage pour une raison quelconque. Imaginons même que c’est toi qui es en tort. Cela autorise-t-il ton voisin à aller sur Google Maps et faire un “claim this business” pour créer un site à ton nom qui insulte tes clients potentiels (*) ?
Non ? Ben voilà, tu as ta réponse. Macron n’est pas au-dessus des lois certes, mais il n’est pas en dessous non plus.
(*) Attention : j’ai bien dit créer un site qui fait croire à tes clients qu’ils te parlent à toi, je n’ai pas dit qu’il se contentait de laisser un commentaire négatif en s’identifiant comme un voisin mécontent.
Le
22/06/2022 à
14h
41
Non.
De un il ne fait pas n’importe quoi (je t’accorde qu’il fait les choses de manière déplaisante mais ça reste dans la limite de ses attributions), de deux il ne le fait pas en ton nom et de trois dans un état de droit les citoyens ne se font pas justice eux-mêmes.
Quel opérateur ? Quel abonnement ? (Vraie question, pas un troll, je trouve pas…)
Ca reste malgré tout significativement plus cher qu’en France…
Le
21/06/2022 à
04h
44
ForceRouge a dit:
Y a plus qu’à attendre une bonne installation avec un modem fixe 5G et un forfait illimité.
On risque d’attendre longtemps… La téléphonie mobile en Belgique est encore bien plus mal lotie que la fibre ; pas tellement en couverture mais surtout en rapport prix/volume, notamment par rapport aux standards français.
(mode = hyperbole)
Chez nous, les opérateurs qui te proposent 2GB de data mettent ça en tout grand dans la pub tellement ça leur semble énorme, alors l’illimité, hein, heu…
Le
20/06/2022 à
12h
31
Cedrix a dit:
Je crois que tous les pays du monde sont des bordels administratifs sans nom. :)
La Belgique est un bordel administratif avec 21 noms différents, un par gouvernement et par langue.
1718 commentaires
Le Royaume-Uni veut généraliser la reconnaissance faciale des migrants condamnés
08/08/2022
Le 08/08/2022 à 09h 57
Si tu es une basketteuse américaine, c’est pourtant bien sortir de Russie qui semble difficile…
Microsoft Outlook crashe lors de la lecture des e-mails avec des tableaux
03/08/2022
Le 07/08/2022 à 14h 22
Merci, tu viens donc de confirmer que, étant donné que le but étant de permettre de représenter en HTML potentiellement TOUS les documents Word ayant jamais été écrits depuis la nuit des temps (y compris ceux importés depuis WordPerfect…), il n’était pas possible de générer du HTML structuré avec des tags sémantiques comme H1 ou EM.
La solution de Microsoft était donc la bonne, non pas qu’elle soit satisfaisante d’un point de vue théorique, mais bien parce que c’est la seule possible.
D’ailleurs LibreOffice ne fait pas autrement.
Heu, non, le couple html+css est très loin d’être parfait, bien au contraire. Une balise telle que H1 n’a absolument rien de “sémantique” ou de “fondamental”, elle se contente de dire qu’elle représente l’en-tête de plus haut niveau dans le document HTML actuel. Ce n’est pas sémantique car en fonction du découpage de l’oeuvre complète, cette balise H1 peut représenter soit le titre de l’ouvrage, d’une de ses parties, de l’un de ses volumes, de l’un de ses chapitres, etc…
En pratique, cela empêche d’utiliser un document HTML dans une structure plus large. Prenons un exemple : j’ai trois documents HTML, qui ont pour titre “IP”, “TCP” et “UDP”. Il semble logique que l’auteur ait utilise H1 pour ces trois titres.
C’est embêtant parce que maintenant ça m’interdit de concaténer ces trois documents dans un document maître titré “Les bases de TCP/IP”, vu qu’il faudrait que j’aie une balise H0 pour ce titre-là qui chapeautre les trois autres…
Dans le même ordre d’idées, “La genèse” est un titre de niveau 2 ou 3 si tu édites une Torah, mais peut-être de niveau 4 ou 5 si tu édites une bible chrétienne, dont la Torah n’est qu’une partie…
LaTeX fait un peu mieux (sections, sous-sections etc interprétées comme de niveau 1 et 2 quand on est dans le contexte “article” mais de niveau 2 et 3 quand on est dans un contexte “book”) mais c’est encore très loin d’être satisfaisant.
La solution “idéale” serait que les textes soient structurés sous forme d’un arbre avec des sections imbriquées dans d’autres sections arbitrairement, dont le niveau ne deviendrait fixé que dans le contexte du document global. Ce que font d’ailleurs les logiciels de documentation technique.
Le 06/08/2022 à 09h 49
Que proposes-tu, alors ? Le format Excel est structuré simplement parce qu’un tableau, par principe, est structuré : ce sont des cases, organisées en lignes et colonnes dans des feuilles, dans des fichiers. Un document Word n’est pas structuré, et il est donc logique que la représentation interne ne soit pas structurée non plus.
Si tu veux donner une structure au doument, soit tu trouves un moyen de convertir automagiquement un document non structuré en document structuré (ce qui n’est vraisemblablement pas possible) soit tu trouves un moyen de forcer les utilisateurs à créer exclusivement des documents structurés (ce qui est totalement impossible).
Il ne faut pas oublier que Word se coltine aussi la compatibilité avec les anciens formats, le problème ne date pas du passage au format XML, il était présent depuis toujours.
Quant au reste de tes doléances, oui je compatis, oui il y a des bugs, mais ce n’est pas de la faute au format interne ; s’il y a un problème à gérer les marques de changement en VB, ce problème n’est pas dû au fait que “tout y compris le titre est un paragraphe”, c’est juste … un bug.
Le 04/08/2022 à 09h 08
J’ai cru ça aussi, mais finalement j’ai dû me résoudre à utiliser LaTeX parce que franchement y’a pas que les soulignés qui manquent.
Bon d’accord, LaTex n’a pas Mermaid pour les graphiques
Le 04/08/2022 à 09h 01
Word, en tant que traitement de texte, est à la merci de ce qu’en font les utilisateurs : ils tapent du texte n’importe comment, mettent en page n’importe comment en changeant les polices n’importe comment, les tailles, etc. la plupart du temps n’importe comment sans se préoccuper des styles. Quand bien sûr ils ne font pas autant de paragraphes vides que nécessaire pour passer (n’importe comment) à la page suivante.
Tu vois le point précis sur lequel j’insiste ? C’est encore plus vrai dans un e-mail.
Espérer convertir le foutoir introduit par l’utilisateur vers du HTML proprement structuré est voué à l’échec. Honnêtement, je préfère largement qu’ils reproduisent fidèlement le bordel introduit par l’utilisateur plutôt qu’essayer d’y coller arbitrairement un semblant de structure sucée du pouce…
Accessoirement, le forum de NxI utilise markdown…
Le 03/08/2022 à 09h 49
Si à 50 ans tu ne sais pas utiliser uudecode, tu as raté ta vie.
Rufus 3.20 automatise la création d’un compte local dans Windows 11
05/08/2022
Le 07/08/2022 à 12h 41
Fabuleux. On a beau savoir que ça va arriver, c’est un choc à chaque fois…
Le 06/08/2022 à 14h 20
Y m’est déjà arrivé de croiser des SSD dont la table de partition était tellement bizarre que même l’installateur de Linux y perdait son latin. En bref, le SSD avait été membre d’un groupe raid 0 hardware (pas taper, c’est pas moi qui l’ai configuré comme ça) et s’est tretrouvé avec une partition qui dépassait la taille du disque (partition de 256G sur un disque de 128…) L’installateur Linux Mint se plante, le partitionneur standard de Mint se plante. Seul gparted a bien réussi à se dépétrer, non sans m’avoir assaisonné de messages d’erreur cryptiques au passage.
Amazon Drive fermera ses portes le 31 décembre 2023
01/08/2022
Le 01/08/2022 à 11h 43
Set Mode Chipotage = 100% … Set Paranoia Level = 101%
Il manque un quatrième endroit : le papier. Les trucs vraiment importants comme les clés de déchiffrement pour un portefeuille bitcoin (ou la clé bitlocker, ou les codes de récupération de comptes online) doivent aussi être imprimés sur une feuille de papier (idéalement un qrcode chiffré par un mot de passe dont on se souvient) et mis dans un coffre à la banque…
Un robot casse le doigt d’un enfant pendant une partie d’échecs
27/07/2022
Le 27/07/2022 à 12h 47
Comme le gouvernement vient de sonner le glas du passe vaccinal, on ne peut plus étaler notre connaissance approfondie de certains sujets de pointe, il faut bien qu’on se rabatte sur autre chose…
Le 27/07/2022 à 12h 10
Euuh bof, plutôt non, non, non. La première loi de la robotique industrielle non-asimovienne est que tout système dont la sécurité repose sur le fait que des humains font tout ce qu’ils doivent et exclusivement ce qu’ils peuvent doit être considéré comme non sécurisé.
Sauf en Chine, ou il suffit de consullter un rekt du board /gif/ de 4chan, pour bien se rendre compte de leur façon de voir les choses.
Le 27/07/2022 à 09h 31
Tout robot industriel ou non doit posséder des sécurités qui l’arrêtent instantanément quand il détecte une anomalie. La main du gamin dans le champ est une telle anomalie. Dans tous les cas c’est la faute du concepteur du robot.
Si par ailleurs le gamin a joué alors que ce n’était pas son tour, il doit être sanctionné (il le serait aussi s’il jouait contre un humain) selon les règles en vigueur aux échecs quand on gène un adversaire, pas en ayant la main estropiée par ledit adversaire…
Le 27/07/2022 à 07h 30
Un compte affilié à un sénateur bloqué par Wikipedia « pour une durée indéfinie »
20/07/2022
Le 25/07/2022 à 05h 48
Cadeau… D’un article scientifique parlant d’une séparation efficace d’hydrocarbures, la presse pipole en fait une méthode efficace de stockage de l’hydrogène… Oh miracle, je pouvais certifier que c’était une connerie avant même d’avoir lu.
https://www.rtbf.be/article/et-si-l-hydrogene-en-poudre-etait-l-energie-de-demain-11035894?fbclid=IwAR1QUb42_Ou4O8SretWxw0NM8nimgVhHJy0Sz9cv3bDYnTDP97hnKArXc60
Le 23/07/2022 à 13h 14
TL;DR: attention, tartine. Tu peux ne lire que le dernier paragraphe.
Je suis vraiment désolé, mais je ne vois pas en quoi ce que je dis dans le message 71 est différent de ce que je dis dans le message 26 : en fonction de critères a priori (dont la notoriété de l’éditeur ou de la revue) je peux me faire une idée de la pertinence du message qui sera véhiculée par un texte, même sans le lire. En ca cas, je peux me permettre d’écarter l’article avec une bonne chance de ne pas trop me tromper. Mais je peux me tromper, je prends le risque. Et les critères me sont propres et arbitraires, ils s’appliquent à moi et moi seul.
Bien sûr pouvoir n’est pas devoir, et le simple fait que je présume que le texte sera une daube ne dit pas que je ne le lirai pas. Ca dit simplement que je ne le lirai que si je n’ai rien de mieux à faire. Pour faire court, si je n’ai le temps de lire qu’un seul article, je lirai celui qui a le plus de chances a priori d’avoir un fondement solide.
Maintenant, c’est vrai que si un article que je considère a priori comme une perte de temps est réellement intéressant, j’aurai perdu une occasion d’apprendre quelque chose, mais s’il est réellement novateur, il finira bien par être repris par des sources que je considère (toujours a priori) comme plus éclairées.
Ce que je n’ai jamais dit par contre c’est que la fiabilité a priori d’une source ne changeait jamais. Il est évident, pour reprendre S&V que en 1987 je lui faisais confiance, ce qui m’a porté initialement à lui faire confiance en 2017. Mais voyant que les articles que j’y lisais perdaient en qualité, j’ai changé d’avis (pour les articles récents, mon avis n’a pas nécessairement changé pour les “vieux” dossiers).
En y réfléchissant, je pense que la confusion vient du fait que je parle bien de la probabilité qu’un article soit correct, non de son degré de correctitude. Il se peut très bien qu’un jour, Voici soit le premier magazine au monde à publier un article scientifique aussi retentissant que “électrodynamique des corps en mouvement”. Mais tu avoueras que la probabilité que ça arrive est faible. Et que s’ils le font contre toute attente, je ne le lirai effectivement probablement pas
Le 22/07/2022 à 15h 57
Tout ce que tu dis est très juste, et c’est pour cela que j’insiste bien sur le “a priori” : a priori un article de Nature titré “L’expérience qui dément Einstein” sera plus pertinent qu’un article titré exactement pareil (et parlant de la même expérience…) paru dans Voici. C’est un a priori qui te fera gagner une énergie considérable la plupart du temps, même si parfois Nature retire un article (je ne pense pas que Voici ait jamais rétracté un article sur la relativité générale) quand ils se sont viandés.
Mais sinon oui, Science et Vie est autre un exemple de magazine dont la ligne éditoriale a bien changé. Mais pour autant la qualité a priori d’un article publié en 1987 n’a pas changé parce que le repreneur en a fait une revue putaclic en 2016…
Le 21/07/2022 à 16h 39
Coïncidence ou pas, je viens de recevoir ceci dans mon fil :
(Book: Amusing Ourselves to Death https://amzn.to/3OcdK6U)
Le 21/07/2022 à 16h 22
Vu le temps limité que j’ai pour éditer un post, j’ai préféré les remplacer vite fait par des E plutôt que me remémorer la syntaxe MD.
Le 21/07/2022 à 16h 19
Mais quand tu te renseignes, comment sais-tu que les sources que tu consultes disent la vérité ?
Si l’on s’en tient aux seuls faits, tant Ponzi que Madoff ont tenu leurs engagements auprès des investisseurs. Enfin, pendant quelques temps, avant qu’on se rende compte qu’ils mentaient. Les faits publics seuls ne sont pas des preuves.
Marrant, tu te contredis : tu juges a priori un article non pertinent parce qu’il est financé par la mauvaise personne… Je ne vois pas en quoi c’est différent de juger a priori un article comme non pertinent parce qu’il est publié dans le mauvais journal.
Le 21/07/2022 à 13h 59
Non, ce n’est pas un erreur. Quand je suis malade, je vais chez le médecin et je lui fais confiance, je ne vais pas consulter Facebook pour avoir une opinion différente et choisir ensuite celle qui me convient (il se peut que je consulte plusieurs médecins, mais en aucun cas je ne me permets d’affirmer que je sais mieux qu’eux).
Tu parles de sortir de sa zone de confort. Hé bien justement admettre qu’on est un ignare dans un domaine et que les autres qui ont étudié le problème en savent plus que moi c’est la quintessence de la sortie de la zone de confort. Admettre que “les érudits” sont exactement ce qu’ilis disent être : des “sachants”, sans pouvoir le vérifier, explicitement, mais en me fiant à un faisceau d’indices concordants.
Le fait de se moquer publiquement de toutes les religions ne prouve pas que c’est sincère…
Comme paragraphe précédent : vouloir à tout prix se faire une opinion plutôt qu’admettre qu’on n’est pas en mesure d’identifier les bons arguments des mauvais, c’est justement rester dans sa zone de confort, celle où on est persuadé qu’on est capable de faire soi-même le tri.
Perso j’en suis incapable, donc je regarde ce que les autres ont à en dire, et je juge l’opinion des autres sur un sujet que je ne connais pas en corrélant avec leurs affirmations sur les sujets que je connais : si un article d’immunologie est publié sur un site qui affirme par ailleurs que la Terre est plate, je passe mon chemin.
Pas important. J’ai remplacé les voyelles dans les titres par des étoiles mais malheureusement ç dnn l rsltt svnt à cause du Markdown.
Le 21/07/2022 à 12h 20
Cela dépend malheureusement de la pertinence des questions.
Le 21/07/2022 à 12h 16
Sauf que, en fonction que qui parle ou qui publie, on n’a pas nécessairement besoin de lire l’article pour savoir si c’est cohérent ou non, vrai on non. Je n’ai pas besoin de lire en détail la Beble, Meen Kempf ou le Petet Levre Reege pour savoir que c’est de la bouillie indigeste. C’est juste une perte de temps de considérer équiméritantes toutes les opinions sous prétexte de pluralité. Désolé, mais si seuls France Soir et Fox News acceptent de publier un article refusé partout ailleurs, ben il y a de fortes chances que les raisons du refus soient parfaitement valables (l’article est une daube et l’auteur est une brèle), faut arrếter de brandir chaque fois l’épouvantail de la censure, de la “doxa”…
HS mais le simple fait d’avoir inventé JavaScript devrait lui valoir un bannissement à vie de l’humanité, voire de l’univers, sans possibilité d’appel.
Edit : retiré les étoiles des titres de bouquin qui sont considérées comme du MD
Le 20/07/2022 à 11h 20
Hmmm pas faux, c’est vrai que je ne considérais pas les articles du genre “dessein intelligent” comme scientifiques, du moins pas au même niveau que celui qui explique comment fonctionne un transistor, une aile d’avion (*) ou un zizogène à cardan.
(*) Oui, je sais, personne ne sait vraiment pourquoi ça marche, mais l’enjeu politique est somme toute limité.
Le 20/07/2022 à 10h 49
Le problème de Wikipedia, c’est que c’est en fait plusieurs encyclopédies sous une même bannière. Il y a une encyclopédie “scientifique” en laquelle on peut avoir toute confiance (personne ne va payer un homme de main pour falsifier la page sur le théorème de Pythagore) une historique qu’il faut utiliser comme première source avant de recouper, et un fourre-tout people qui est tout aussi pollué que Voici et qui ne sert à rien. La troisième donne mauvaise réputation aux deux autres.
Netflix : la formule avec publicités et la chasse aux comptes partagés prévus pour 2023
20/07/2022
Le 21/07/2022 à 12h 32
Y’a des chances que ce soit exactement cela que les marketteux de Netflix attendent…
La DGSE disposait d’une porte dérobée pour surveiller les clients libyens d’Amesys/Nexa
13/07/2022
Le 15/07/2022 à 05h 44
Ce n’est pas un erreur, c’est juste de l’optimisme débridé. Il est illusoire de penser que si Windows contient une porte dérobée, il “suffit” d’en donner le code à lire à quelques experts pour qu’ils la trouvent. Bien sûr ils la trouveront, mais au bout d’un temps important. Il y a des millions de lignes de code à vérifier. Une porte dérobée sera probablement implémentée par trois “bugs” chacun sans importance capitale individuellement, dans trois modules sans rapport, mais qui exploités dans la bonne séquence permettront de débloquer un accès… Un exemple hypothétique au hasard:
Individuellement, ce sont des bugs. Ensembe, c’est un point d’entrée.
Le 14/07/2022 à 13h 23
Ah zut ! Je travaille au développement pour une firme US qui vend des logiciels de traitement de données. Je pense qu’ils ne sont pas au courant qu’ils doivent ajouter une porte dérobée (et je ne sais même pas à qui parmi nos voisins on va bien pouvoir dérober une porte, toutes les leurs sont solidement vissées aux murs).
6 nouveaux portables Linux bientôt sur le marché
12/07/2022
Le 12/07/2022 à 07h 30
A lire le pitch sur le site, c’est un laptop pour faire du développement pour des contrôleurs embarquant eux aussi du RISC-V, donc ça se justifie… Mais oui, sinon, je ne pense pas qu’il a une chance comme “mainstream” (analyse personnelle au doigt mouillé, pour remplacer X86, c’est ARM qui va gagner…) , ca va rester une niche.
Uber avait aussi enrayé les enquêtes judiciaires au moyen d’un « kill switch »
12/07/2022
Le 12/07/2022 à 07h 12
Ce n’est pas la raison profonde. Comme juridiquement on ne pouvait pas prouver que Richard N. a personnellement commis un crime (en son acception américaine), on ne peut le poursuivre que parce qu’il était au courant de la commission dudit crime et a utilisé son pouvoir pour le dissimuler (et que ça, on peut le prouver).
Attention, contre-exemple, Bill C. n’a jamais été inquiété pour avoir eu des relations inappropriées avec Monica L. (ce qui n’est pas interdit…) mais pour avoir menti sous serment à ce sujet (et ça, par contre, là bas, mentir en ayant une main sur la bible et l’autre sur le coeur, ça passe mal).
Le 12/07/2022 à 06h 23
Pour paraphraser la brève d’hier : “rien de tout cela n’est illégal, mais mis bout à bout […]”. Oui, ils ont une raison valable de verrouiller les ordinateurs, ils sont d’ailleurs loin d’être les seuls, ma société aussi fait ça. Mais ça a un nom (en anglais, désolé je n’ai pas de traduction française exacte) : “plausible deniability”.
Apple pourrait changer de stratégie sur les équipements en puce de ses iPhone
07/07/2022
Le 07/07/2022 à 15h 09
Oui, on ne s’inquiète pas trop hein, la puce embarque la RAM et il faut un transistor pour chaque bit, donc la majorité c’est juste de la mémoire.
BitWarden se prépare à un avenir sans mots de passe
06/07/2022
Le 07/07/2022 à 08h 17
Oui, c’est exactement ce que je tente de dire, mais je n’ai peut-être pas été parfaitement clair : on parle d’authentification biométrique, mais l’authentificaton est purement cryptographique (donc en soi une clé au hasard qui sert de mot de passe…), l’empreinte digitale n’étant qu’un raccourci pour obtenir la clé cryptographique en question.
Le 07/07/2022 à 06h 58
Il y a une forte confusion (savammnt entretenue) un peu partout sur ce qu’est une authentification biométrique. De fait les empreintes peuvent être clonées, donc … ce ne sont pas les empreintes elles-mêmes qui servent d’authentification.
Quand on utilise une clé yubikey par exemple, la clé d’authentification n’est pas l’empreinte elle-même, mais une clé cryptographique standard (secret partagé ou paire publique/privée, peu importe - enfin si ça importe mais pas au niveau biométrique). Le fait est que la yubikey n’accepte de fournir la clé cryptographique QUE si elle détecte la bonne empreinte. Mais l’empreinte elle-même ne quitte pas le dongle, même pas sous forme de hash.
Donc un voleur qui duplique physiquement tes empreintes n’est encore nulle part, car il n’a aucun moyen de retrouver la clé privée qui est stockée dans la yubikey - à moins de voler le dongle aussi, évidemment - mais ça empèche déjà un hacker sino-nigérian opérant depuis le Détroit de Magellan de subrepticement te délester de ton compte en banque.
De même, si tu perds ta yubikey, il ne “suffit” pas d’en racheter une autre et de mettre ton doigt sur le lecteur, il faut regénérer une nouvelle clé cryptographique, la protéger par ton empreinte, et l’associer à ton compte.
En gros : la sécurité de la yubikey réside dans le fait que tu lui fais confiance pour ne fournir la clé qu’elle stocke que si elle reconnaît tes empreintes.
OneDrive va avoir ses Stories
01/07/2022
Le 04/07/2022 à 10h 16
Oui, il n’y a évidemment pas d’accent acute en latin.
Oops… my bad
La nouvelle interface de Gmail commence son déploiement
30/06/2022
Le 04/07/2022 à 06h 22
Magnifique. Tout simplement magnifique. Si tu avais pris le soin de lire attentivement ce que j’ai dit, tu te serais évité cette tartine. Et comme prévu en ces cas-là, un petit HS sur les vaccins pour cerner l’ego du personnage.
Le 01/07/2022 à 08h 47
J’ai rien compris… Je ne parle pas d’hypocrisie, mais de prendre son cas particulier pour une généralité. Tu n’aimes pas les GAFAMNTEQSJE- ? (*) C’est parfaitement ton droit. Personne n’en prend ombrage ni ne te houspille sur ce fait. Tu encourages les autres à quitter les GAFAM ? Encore une fois, c’est parfaitement ton droit (du moment que ça ne devient pas fatigant pour les autres, bien sûr).
Mais que tu viennes dire “je ne comprends pas comment on peut faire XXX” (sous-entendu “ils sont cons les gens qui font XXX”) c’est délibérément négliger que d’autres personnes ont d’autres priorités que les tiennes (à commencer par celle de la facilité ou la paresse certes ; mais parfois aussi des tas de contraintes que tu ne peux pas connaître).
(*) “Et Que Sais-Je Encore”
Le 30/06/2022 à 10h 36
Je n’arrive même pas à comprendre comment certains continuent encore à prendre leur cas particulier pour une généralité.
L’hydrogène comme réponse ultime aux problèmes de pollution ? Pas si vite, répond l’AFP
27/06/2022
Le 29/06/2022 à 07h 00
Et on appellerait ça le service militaire
iOS 16 et macOS Ventura permettront de passer automatiquement certains CAPTCHA
22/06/2022
Le 23/06/2022 à 08h 58
J’entends bien tous tes arguments. Mais le diable est dans les détails…
Oui, mais comment Apple sait-il que la clé a bien été générée par l’enclave sécurisée et pas par un rPi dans un coin ? Ne me dis pas que la clé est authentifiée un certificat numérique, parce qu’alors je te demanderai où est la clé qui a authentifié la clé
À un moment, il a bien fallu qu’une clé soit stockée dans l’enclave et communiquée à Apple de manière sécurisée (ie … en usine).
Une clé générée par madame Michu, ça sert à protéger le terminal de madame Michu, et éventuellement des équipements qui sont sous la responsabilité exclusive de madame Michu (par exemple quand elle uploade sa clé publique sur GitHub pour sécuriser ses git push). Si tu veux protéger le serveur, c’est le serveur qui doit générer la clé. On peut le tourner dans tous les sens, on ne peut pas changer les lois de la physique, Jim ; tu ne peux pas avoir une porte et adapter ta serrure pour accepter une nouvelle clé chaque fois qu’un inconnu t’en envoie une.
Oui, je sais comment fonctionne un lecteur d’empreinte. Mais donc on fait confiance au terminal pour avoir effectivement vérifié les points de concordance…
En pratique une attestation ne pourra pas être réutilisée pendant des heures sans être renouvelée, sinon je mets une ferme de bots et un gus qui passe une fois par jour pour cliquer sur les photos de chats sur chaque machine. Comme un utilisateur lambda se retrouve avec au pire du pire 1 ou 2 CAPTCHA à remplir chaque jour, rarement plus, le gain risque d’être marginal…
Et encore une fois, le protocole ne marche que parce qu’il y a aussi la vérification que l’application en avant-plan est bien celle qu’on veut autoriser… Et ça, ben sur un Linux tu oublies.
Je répète, je suis bien heureux pour les possesseurs de matériel Apple (après tout, j’ai un iPhone…), mais ça ne me semble pas généralisable. Ca marche exclusivement parce que CF a confiance en Apple, et Apple a confiance en l’inviolabilité de ses terminaux. Aucun autre constructeur (à part peut-être Blackberry et autres constructeurs de téléphones pro ultra-sécurisés) ne peut en dire autant.
Le 23/06/2022 à 04h 10
Merci. J’avais effectivement fini par comprendre cela.
Mais on est bien d’accord : ceci n’est pas transposable de manière simple à autre chose qu’un écosystème fermé. Les choses qui me viennent :
La clé est stockée dans l’enclave sécurisée. Soit. Mais comment y arrive-t-elle ? À un moment ou un autre il faudra bien l’y mettre si elle n’y est pas déjà. Si elle passe par Internet, il est possible de l’intercepter (sauf si elle est chiffrée, mais alors le problème se repose pour la clé de chiffrement de la clé, récursivement). Donc il faut qu’une clé de base soit dans l’enclave dès la fabrication.
Comment le “attester” peut-il être sûr qu’il y a bien un utilisateur humain devant le terminal ? Pour cela, il doit faire confiance au terminal. Ceci n’est possible que sur un système fermé. Un système ouvert peut spoofer les activités de l’humain. C’est le principe fondateur : si un attaquant a un accès physique à la machine, tu ne peux plus lui faire confiance.
Pour être plus clair : “Apple vérifie si […] au besoin en te demandant de poser ton doigt” : comment Apple peut-il vérifier que tu as bien posé ton doigt ? Sur un système ouvert je peux remplacer le lecteur d’empreinte par un truc qui va répondre juste ce qu’il faut (rappel : un lecteur d’empreinte n’envoie pas la photo de l’empreinte à Apple, juste un nombre suffisant de signes distinctifs pour pouvoir l’authentifier sans pouvoir la reproduire)
Par ailleurs, demander aux utilisateurs de lire leure empreinte pour valider un truc aussi trivial que poster un commentaire sur NxI me semble bizarre.
Bref, je salue l’initiative, mais ce n’est pas - jusqu’à ce qu’on me montre le contraire - généralisable à un Linux qui fait tourner Firefox sur une machine custom-built.
Le 22/06/2022 à 14h 33
De ce que j’ai compris, Cloudflare ne fait pas confiance au terminal (dit “client”, mac ou iBidule). Il fait confiance à un site Apple (le “attester”). Si Cloudflare suspecte (p. ex. à cause d’un nombre anormal de requêtes) que l’attester Apple n’est pas capable de correctement détecter les fraudes, Cloudflare retire sa confiance à Apple et les passe-droits cessent…
Je suspecte que cette confiance ne pourra marcher que sur des configurations propriétaires. Je vois mal comment un Linux que tout le monde peut hacker pourrait contenir du code qui “prouve” que l’utilisateur a déplacé la souris…
Le 22/06/2022 à 10h 29
Ok merci c’est un peu plus clair, mais le lien entre le “client” et le “attester” me semble quand-même le maillon faible (moins faible que dans mon idée initiale où c’était “origin” qui validait, mais quand-même)…
Le 22/06/2022 à 09h 58
Quelqu’un peut m’expliquer le principe ?
Le principe du captcha est que le serveur ne fait pas confiance au client pour procéder à la vérification. Si le client dit “oui je suis un mac et je jure sur l’honneur qu’il y a bien un utilisateur”, qu’est-ce qui empêche un robot d’envoyer le même type de message ?
Au mieux, il y aura une clé privée dans chaque Mac. Mais alors cette clé privée est dans l’image d’iOS 16 et peut être extraite. Pas nécessairement par madame Michu, mais une société dont le business est de créer des faux comptes a des ressources à y consacrer.
Emmanuel Macron veut récupérer emmanuel-macron.com
22/06/2022
Le 23/06/2022 à 04h 20
Donc, imaginons que tu sois indépendant et peu porté sur les techniques modernes… Tu as un conflit de voisinage pour une raison quelconque. Imaginons même que c’est toi qui es en tort. Cela autorise-t-il ton voisin à aller sur Google Maps et faire un “claim this business” pour créer un site à ton nom qui insulte tes clients potentiels (*) ?
Non ? Ben voilà, tu as ta réponse. Macron n’est pas au-dessus des lois certes, mais il n’est pas en dessous non plus.
(*) Attention : j’ai bien dit créer un site qui fait croire à tes clients qu’ils te parlent à toi, je n’ai pas dit qu’il se contentait de laisser un commentaire négatif en s’identifiant comme un voisin mécontent.
Le 22/06/2022 à 14h 41
Non.
De un il ne fait pas n’importe quoi (je t’accorde qu’il fait les choses de manière déplaisante mais ça reste dans la limite de ses attributions), de deux il ne le fait pas en ton nom et de trois dans un état de droit les citoyens ne se font pas justice eux-mêmes.
Face à Twitter, Lalanne se prend une tatane
22/06/2022
Le 22/06/2022 à 10h 01
Noël en cabane, Pâques aux Rabannes.
Je suis déjà loin.
Vu ce qu’est capable de gober Francis Lalanne, ça t’étonne qu’il se soit fait entuber par un avocat marron ?
Législatives 2022 : une baffe, une gifle, une claque
20/06/2022
Le 21/06/2022 à 08h 37
Ca c’est plutôt la définition du centre, non ?
Déploiement de la fibre : la Belgique enquête sur des « pratiques susceptibles de fausser la concurrence »
20/06/2022
Le 21/06/2022 à 08h 32
Quel opérateur ? Quel abonnement ? (Vraie question, pas un troll, je trouve pas…)
Ca reste malgré tout significativement plus cher qu’en France…
Le 21/06/2022 à 04h 44
On risque d’attendre longtemps… La téléphonie mobile en Belgique est encore bien plus mal lotie que la fibre ; pas tellement en couverture mais surtout en rapport prix/volume, notamment par rapport aux standards français.
(mode = hyperbole)
Chez nous, les opérateurs qui te proposent 2GB de data mettent ça en tout grand dans la pub tellement ça leur semble énorme, alors l’illimité, hein, heu…
Le 20/06/2022 à 12h 31
La Belgique est un bordel administratif avec 21 noms différents, un par gouvernement et par langue.