votre avatar

YonX

est avec nous depuis le 4 décembre 2009 ❤️

19 commentaires

Le 30/01/2023 à 11h 00

Il faut avoir accès au PC et attendre que la personne entre son MDP pour que la BDD soit exportée dans un fichier en clair. Puis récupérer ce fichier export.



Personnellement que comprend les deux points de vue. Les trigger dans le config c’est un peu trop facile. Mais en même temps, avec un accès en écriture on peut aussi lancer un keylogger, potentiellement modifier directement l’executable keypass (Et donc un attaquant peut rebuild keypass et le modifier même si une correction est faite), etc etc.



Donc oui c’est une faille pourrie mais la corriger protège pas grand chose. Si la session est vérolée, c’est game over comme déjà dit.

Le 13/12/2022 à 14h 14

Je doit être parmi les chanceux! A part Bouygues qui continue à m’envoyer des SMS et qui continuais à m’appeler jusque récemment j’ai rien comme démarchage.



Perso ma technique est simple. Je répond pas si je connais pas le numéro, si il laissent pas de message c’est que c’était pas important. Si le numéro me refait le même coup trop souvent -> bloquage. Comme ça j’évite de bloquer les numéros légitimes.



Dans les rares cas ou j’attends un appel d’un numéro inconnu (livreur, medical etc) je décroche sans parler et j’attends quelques secondes. Si j’entends le bruit d’un centre d’appel je raccroche, si personne ne parle je raccroche. Les gens disent au moins “Allo” au bout de quelques secondes mais pas les centre d’appel :D.

Le 29/11/2022 à 15h 42

A la prochaine authent tu aura son MDP en clair. Tu le vérifie avec le hash en base et si ça colle tu re-hash avec un sel cette fois et tu met à jour la BDD :).

Le 18/02/2022 à 09h 18

Notre gouvernement prend enfin le problème du pr0n au sérieux. Marre de voir toutes ces prises et ampoules connectées accéder à ce genre de sites, heureusement qu’il y aura un contrôle parental installé dessus d’office! (/s si besoin de préciser).



C’est quoi la définition d’un OS d’après eux? Parce-que si FreeRTOS et consort sont concernés, ça vas être marrant de voir les contrôles de chaque bidules connectés :mad2: .



Je vais de ce pas vérifier ce que regarde mon aspirateur robot, je trouve qu’il se comporte de manière étrange en ce moment :roll:

Le 23/12/2021 à 09h 48

Je pense pas me tromper en disant que vous parlez de deux monde différents.



En gros tu dit que pour des application lourde client Java c’est pas terrible. Et je suis plutôt d’accord. Mais quand on voit les applications lourde en electron on nuance.



Et d’un autre côté on te parle surtout de Java en tant que langage server (les plus concernés par la faille ici). Ou ajouter de la RAM est moins cher que de faire du C/C++.
En gros faire du « bien » en Java coute moins cher que de faire du « genial » en C/C++ sur server.



Je schématise énormément, j’ai déjà fait du trés bon en Java, avec SLA de 200ms pour le front, batch qui englouti 4M lignes (50 champs CSV) avec dedup/validation croisée/enregistrement en BDD en moins de 10min le tout sur 2 server pas fou (1Go de ram dans mes souvenirs). Et c’était pas un projet pour un petit backoffice de magasin mais un projet gouvernemental ouvert au public.
Quand on à l’argent pour investir dans les Dev, ça marche fort.



Les soucis de Java que tu remonte viennent souvent de la politique du « vite et qui marche ». Et effectivement on peut developper rapidement un code bancal en Java qui vas marcher sans soucis avec une consommation abusive. Ça coute moins cher, donc c’est « trop » souvent fait. Mais c’est pas le langage le soucis, mais les ressources encore une fois.



Faut bien imaginer que si le langage était a jeter, on aurais pas autant de grand nom cité dans la faille. Ils ont le budget de bien faire avec les langage de bas niveau, c’est bien que Java leur apporte un plus.



Je sais c’est moche et on pourrais presque croire que j’invente :mdr:



Mais bon un projet donné à un CDS sans SLA (il faut juste que la recette passe) ça donne souvent ce genre de résultat :craint:



En un coup d’œil on pouvais voir que c’était 3dev différents qui l’avais fait, donc chacun a refait son appel BDD pour respecter son ticket…



Je pense que c’est même pas le pire que j’ai vu. Être contacté par la prod pour nous demander si c’est normal qu’un appel au SI provoque ~600 appels BDD ça met le reste en perspective :reflechis:

Le 22/12/2021 à 15h 16

Je suis d’accord avec toi en grande partie. J’aime toujours autant ce langage et je suis toujours admiratif concernant la capacité de la JVM à encaisser les code bien moisis.



J’ai bossé dans du bancaire avec des SLA de 200ms sur des petits server sans soucis. Puis pour de l’assurance sur de gros server (512mo pour un petit service, c’est pas mal) sans SLA, avec un timeout fixé à 60s par le reverse-proxy et que les Dev arrivaient encore à vouloir repousser.



Avec la disponibilité de la memoire et son prix, c’est généralement pas un soucis.



Pour tester Rust je m’étais fait un mini comparatif avec un CRUD Rest.
Java compilé avec GraalVM -> 90mo et 15-20ms de boot.
Rust -> 6mo et 3ms de boot, chargement de sqlite embarqué compris.
Il y a une différence, autant en temps de Dev (1h pour le faire en Java dur de faire mieux) qu’en consommation mémoire et perf au boot. Tout est une question de balance perf/prix, et Java reste bien plus compétitif à ce niveau la.

Le 22/12/2021 à 14h 54

+1.



Et en ce qui concerne la lenteur et la consommation de Java. C’est un choix d’archi a faire au lancement du projet.



Payer un bon Dev C/C++ et valider que le code est clean est bien plus cher (le temps c’est de l’argent) que d’acheter un nouveau server à 10k€ à ajouter une bonne fois pour toute dans un DC.



Pour de l’embarqué Java c’est pas fait pour, oui je connais Javacard et non merci.
Pour du service, dans des boites qui ont leur propre DC. C’est moins cher, ça fonctionne bien, ça se monitor facilement.
Le conteneur docker minimal dans mon ancienne mission avais 1vCPU et 512mo de RAM. Pour un petit service c’est énorme, dans un SI avec 400+ applications en 2sites 2colonnes avec 20% des server un backup c’est une goutte d’eau.

Le 22/12/2021 à 14h 43

Il y a une grosse méprise donc je le répète. Je suis dans l’équipe qui fait, entre autre, le support des Dev. Je les aide quand ils arrivent pas à débug, quand ils comprennent pas les perf et pour tout ce qui tourne autour du dev (git, CI/CD, docker, IDE etc).



Le cas que je t’ai montré viens d’un ticket que je résumerais à « C’est trop lent, le client tombe en timeout, ça à commencé à la migration Docker, c’est de votre faute. ».



Et l’exemple que je donne est bien stupide, crade, tout ce que tu veut. Mais c’est un code que des Dev avaient pondu et livré en Prod.
Donc imaginer ces même dev faire du C/C++ -> fuite mémoire immédiate et « On a cas reboot toutes les X heures » (du vécu encore malheureusement).



Je le redit. Le soucis c’est pas le langage, c’est les Dev la plupart du temps.



Et le cas log4j le montre encore. Si les requêtes extérieures sont filtrés en mode whitelist, la faille est beaucoup moins flippante. Mais dans certains SI on ne filtre que ce qui rentre, « on vas pas ralentir les Dev en imposant une demande d’ouverture à chaque fois ».

Le 22/12/2021 à 09h 25

Je suis de bonne humeur ce matin alors je participe au troll Java et consort :D.



Pour info, 8ans de java et dans les équipe de support au dev. Je peut dire avec une grande certitude que le soucis se trouve entre la chaise et le clavier! Changer de langage ne changera pas les dev mais ajouterais beaucoup plus de failles dans les applications. J’en ai vu des belles et j’imagine pas ce que ça aurais été en C/C++/Rust, Java à l’avantage d’avoir la JVM qui optimise énormément le code de merde et qui nettoie les saleté.



Un exemple: on doit appeler la BDD, mais renvoyer le résultat uniquement si il y a moins de 100 entrées et en parallèle on met le resultat dans un fichier.



Resultat? On charge la table une fois et on met de côté pour potentiellement renvoyer, on charge une deuxième fois et on compte, on charge une troisième fois pour mettre en fichier.


Avec Java au moins on a pas eu de fuite mémoire.



Comme tous les langages, Java a les problèmes que sa force amène: son universalité. Tu veut chercher des objets stockées dans un LDAP distant? On a la solution. Oui c’est débile, oui c’est dangereux mais certains en avaient besoin donc Java le permet.



J’ai lu a de multiples endroits que les dev logs4j avaient dit que le lookup était débile, mais ça à été demandé et voté donc ils l’ont fait (a prendre avec des pincettes, je suis pas remonté à la source, les mailing list c’est pas ma tasse de thé).



En ce qui concerne Rust, j’en fait en perso depuis 6mois pour des petits projets. J’adore le langage, et il ne remplacera pas Java. C’est pas sa cible tout simplement.



Et comme dit avant, les principales failles Java concernaient les applets, qui était une mauvaise idée, vendue comme une sandbox invulnérable et qui à été bien trop utilisé. Du coup même genre de faille que Docker, flatpak et autres sandbox.



tl;dr: On peut faire du caca avec tous les langages et certains Dev/Client s’en donnent à cœur joie. Le « soucis » et l’avantage de Java est qu’il permet de « tout » faire et certains en profitent pour « mal » faire.

Le 21/12/2021 à 11h 36

CSA: Il faut vérifier que les personnes sont majeurs. Sinon!
CNIL: Vous ne devez pas savoir que sont les personnes, c’est une donnée personnelle non indispensable. Sinon!



A part demander au users de copier/coller un token JWT signé et avec uniquement une validation locale. J’ai du mal à voir comment on peut respecter:
« le tiers de confiance d’identifier le site ou l’application à l’origine d’une demande de vérification » vu que tout est basé sur des redirections…

Le 07/12/2021 à 08h 34

Il y à l’ESP32-C3 si tu cherche un microcontroller RISC-V. Un équivalent ESP8266 et compatible broche à broche. Le tout pour le même genre de tarif que les autres ESP32 (3-5€).

Le 17/11/2021 à 09h 46

Ah mais du coup en fait, les écouteurs moisis que tout le monde met dans la boite à « câbles dont j’aurais peut être besoin un jour donc je les jettes pas »… C’était une obligation… :mad2:

Le 15/09/2021 à 12h 09

L’espoir fait vivre :D

Le 06/09/2021 à 14h 14

Shut up and take my comment! :windu:

Le 14/04/2021 à 13h 45


(reply:1867537:Ami-Kuns)


Du coup on enlève le bois parceque c’est pas durable pour les remplacement fibre parceque ça dure pas mais par contre ils continuent d’en poser pour le raccordement particulier. C’est sur qu’il y a moins de charge dessus (un fil, voir deux quand la fibre arrivera) mais c’est moyen.



Et je suis clairement pas le seul à avoir eu un poteau bois neuf, il y en avais une bonne dizaine de chargé dans le camion et prêt a poser!

Le 14/04/2021 à 12h 55

Quelqu’un sais pourquoi les poteaux en bois ne doivent plus être utilisés?



Parceque bon, Orange m’a fait mon raccordement avec un beau poteau en bois en Decembre donc c’est bizarre cette histoire :fou:

Le 24/02/2021 à 09h 18

J’utilise plus ou moins la même config. Niveau info pas grand chose à donner. Un Nextcloud, le fichier Keepass synchro dedans -> plus qu’a l’ouvrir partout où tu en as besoin ! Après faut avoir l’intérêt du NextCloud mais comme je me suis débarrassé de tout mes stockages en ligne (Dropbox, Drive etc) je l’avais déjà installé.
Au niveau simplicité d’utilisation, madame l’utilise c’est que c’est bien assez user friendly :D.



Sur android j’utilise KeepassDX, je peut déverrouiller mon keepass avec mon empreinte digitale (ça évite de taper le mot de passe de plus de 40 caractères…).



C’est surement un peu plus rigide que Bitwarden (le fichier est à synchro manuellement sur android) mais je met pas non plus à jour ma base tous les jours.



En ce qui concerne la discussion sur l’intérêt des client desktop, l’avantage à mon gout c’est surtout de pouvoir remplir les mot de passe aussi sur les applications (Steam, Discord etc).
Les mot de passe sont utilisés de manière universelles, j’ai du mal a me faire à l’idée de m’enfermer dans mon navigateur pour leur gestion.

Le 07/02/2020 à 11h 08

Du coup Groink tu es d’accord pour dire que cette loi ne sert a rien. C’est le rôle des parents de signaler les messages problématique ! L’État n’a pas a s’en méler.

 

Et pour le porno c’est aux parents d’éduquer leur enfant et de contrôler, pas besoin de vérification d’age.

 

Et pas besoin du planning familial, les parents le font déjà.

 

Et les parents sont tous des saints que ne veulent que du bien a leurs enfant, jamais on ne voit de procès concernant des atrocités faites par des parents.



Ou alors on part du principe que l’État est la pour protéger tous les citoyens. Et que les parents peuvent être la cause de certains soucis. Donc on met de côté l’égo des parents et on protège en priorité les enfants? Non?

Dans une loi qui vise a la protection c’est le minimum. Les associations arrivent a bosser parce qu’elles sont des interlocuteurs neutres, autant leur laisser un minimum de droit au secret.

Un adolescent achète des capotes -> les parents le savent pas.

Une adolescente vas chez le gynéco pour un contraceptif -> pareil.

Un adolescent signale un harcèlement à un psy -> idem.

Un adolescent signale un harcèlement a une association -> les parents le savent. Ou est la logique?

Le 16/01/2020 à 16h 34

Donc en résumé le (tout sans exception) porno c’est une cause «évidente» des violences conjugales et le gouvernement avec ses bras musclé est capable de contrôler internet?



Du coup le téléchargement illégal et les sites de streaming n’existent plus grâce aux lois précédentes <img data-src=" />!



On vas encore avoir l’effet inverse, au lieu d’aller sur des sites un minimum réglementés les ado vont aller sur des site sans contrôle et avec des vidéo encore plus hardcore <img data-src=" />!



Sachant que trouver des sites sans aucune «vérification» de l’âge n’a rien de compliqué…