votre avatar Abonné

Oliverpool

est avec nous depuis le 30 décembre 2009 ❤️

87 commentaires

Le 21/10/2024 à 11h 56

J'ai du mal à voir comment Apple pourrait forcer
Si ils arrivent à faire adopter leur proposition par le "CA/Browser Forum", alors tous les émetteurs de certificats seront obligé de s'y contraindre, sous peine d'être éjectés des listes d'autorités de certification validées des différents systèmes (navigateurs, OS).

Le 21/10/2024 à 11h 53

Le problème de fond, c'est comment éviter qu'un certificat compromis soit utilisé trop longtemps, une fois la compromission constatée.

Je connais 3 stratégies:
- réduction de la durée de validité du certificat
- listes de révocations: Certificate Revocation Lists (CRLs)
- Online Certificate Status Protocol (OCSP)

L'avantage de la réduction de la durée de validité du certificat, c'est qu'elle ne nécessite pas de mise à jour chez les clients. Seul le serveur doit renouveler plus souvent son certificat.

Les deux autres stratégies (OCSP & CRL) nécessitent des ajustements côté client (et serveur), gros soucis pour tous les IOTs et vieux appareils EOL.

J'avais eu quelques échanges à ce sujet à propos de https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/ sur lobste.rs: https://lobste.rs/s/k4uuth/intent_end_ocsp_service#c_cv0s36

Le 21/10/2024 à 11h 46

En quoi HSTS te gêne pour l'automatisation ? Pour le challenge "well-know" en http ?
Tu ne peux pas utiliser le challenge DNS ?

Ou le challenge TLS-ALPN-01 qui est similaire à http, sans nécessiter d'ouvrir le port 80

Le 09/10/2024 à 20h 20

il y a d'autres services avec un abo bitwarden à 40$ ?
(je demande je connais pas)

Relativement équivalent à Proton Pass (qui est différent de Proton Mail Family à 288€ par an - incluant Mail, Pass etc)

Le 09/10/2024 à 15h 47

Ils s'alignent presque sur Bitwarden ($40 par an, 6 personnes).

Le 24/09/2024 à 11h 22

Tes œillères t'ont visiblement empêché de voir le smiley à la fin.

Même si, en réalité, en stochastique, on va plutôt utiliser un TRNG qu'un PRNG pour éviter les comportements aberrants.

(Je trouve la première phrase de ta réponse est inutilement blessante. Tandis que la deuxième ajoute un aspect intéressant à la discussion.)

Le 24/09/2024 à 08h 16

Si on considère que le générateur aléatoire fait partie des entrées et est reproductible, c'est jouable, non?

Ça peut paraître absurde d'un point de vue mathématique, mais en informatique les PRNG peuvent être rendus déterministes avec une graine déterminée (notamment utilisé pour reproduire localement des tests "aléatoires", dédié à trouver des comportement inattendus: e.g. https://docs.tigerbeetle.com/about/vopr/).

Le 17/09/2024 à 08h 31

Alternative (sur lequel ce lien est aussi passé): https://lobste.rs/ (malgré le TLD, ne concerne pas seulement Rust - loin de là)

Le 13/09/2024 à 17h 43

Mon iPad (3eme gen, je crois) avec iOS 9 faisait tourner Netflix il y a encore 3 semaines (certe une vieille version de l'appli) sans trop de soucis.
Mais désormais ça ne marche plus du tout 😢
(bon l'iPad 'n'est pas de dernière jeunesse et c était plutôt une bonne surprise que ça fonctionne jusqu'à present !)

Le 04/09/2024 à 08h 20

Pareil... Moi qui pensais naïvement que tous les CPU sortant aujourd'hui prenaient jusqu'à 32 Go ?

Attends, mon i7 950 que j'utilise tous les jours, et qui date de 2009, prend déjà plus que 16Go. Ils prennent les gens pour des cons ? :censored:

La RAM semble intégrée au processeur. Cela expliquerait la faible capacité (mais en effet semble un peu limitant).

Le 13/05/2024 à 08h 48

À propos des Cowboys Fringants, https://linuxfr.org/users/cheumole/journaux/la-veritable-fin-du-show

Le 29/04/2024 à 21h 07

Tout à fait d'accord, surtout que dans l'article original, Mastodond indique avoir déposé un recours concernant la perte de ce statut.

Le 15/04/2024 à 16h 32

La citation complète est :

The GBA4iOS codebase is distributed under the GNU GPLv2 license. That being said, I explicitly give permission for anyone to use, modify, and distribute my original code for this project without fear of legal consequences — unless you plan to submit your app to Apple’s App Store, in which case written permission from me is explicitly required.
Et c'est là que les problèmes commencent ! Le texte en plus de celui que tu as cité est mal foutu.

1) il commence par autoriser ce que la GPL V2 autorise déjà : utilisation, modification et distribution.

2) il met une limite à la distribution sur l'Apple App Store qui est d'avoir son autorisation écrite.

Mais la GPL V2 est plus permissive que cette restriction et il a dit que son code était distribué sous GPL V2. Donc sa restriction est en contradiction avec la première phrase. Cette restriction me semble inefficace. Elle l'aurait été s'il avait faite dans la même phrase et encore, je n'en suis pas sûr. Voilà ce que c'est quand un développeur, lycéen qui plus est, joue avec les licences logicielles, il se plante.

La distribution via l'App Store est déjà incompatible avec la GPL pour ces même raisons: les conditions de distribution obligent le développeur à des restrictions supplémentaires sur le code. https://opensource.stackexchange.com/a/9525

https://www.fsf.org/blogs/licensing/more-about-the-app-store-gpl-enforcement

Le 19/03/2024 à 10h 50

Suggestion pour les LIDDs: https://blinry.org/50-things-with-sdr/

Le point 41 indique que les capteurs de pressions des pneus sont plus ou moins en clair:
I also saw some messages from tire pressure monitoring systems in cars! They also include an ID, and usually, the brand of the car! The owners probably aren’t aware how easy it would be to track them… (Thanks, @scy!)

Le 04/03/2024 à 09h 33

Le rapport PDF ne parle pas que des langages de programmation: https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf

Il parle aussi de "Memory Safe Hardware" (CHERI est cité en exemple: est-ce que Next a déjà fait un article sur le sujet?)
et de "Formal Methods".

Le 13/02/2024 à 16h 03

On se rappellera d'ailleurs le cas de Guglielmo Marconi, qui prétendait que son système de télégraphe sans fil offrait une sécurité sur les communications... le 4 juin 1903, alors qu'il faisait une démonstration à la Royal Institution de Londre, son récepteur s'est fait spammer et commença à imprimer injures et attaques personnelles envoyées par le prestidigitateur et rival de Marconi, Nevil Maskelyne.

C'était une démonstration d'une tendance toujours en place qui consiste à déclarer sans preuve qu'un produit est correctement sécurisé.

https://www.newscientist.com/article/mg21228440-700-dot-dash-diss-the-gentleman-hackers-1903-lulz/

Le 02/02/2024 à 14h 54

Merci pour le lien de l'article qui est très détaillé et instructif !

Je trouve aussi l'article très intéressant et je suis assez convaincu par le jxl.

Il faut savoir que cloudinary est impliqué dans le jxl (donc peut-être pas totalement objectifs - tout comme Google est partial vis-à-vis du webp ;)

https://cloudinary.com/blog/samsung-now-supports-dng-1-7-including-jpeg-xl
Jon, he’s the senior image researcher at Cloudinary (...) and is one the co-creators of the JPEG XL image format.

Le 29/01/2024 à 15h 28

Le monde sans fin, miracle énergétique et dérive climatique - Christophe Blain, Jean-Marc Jancovici

https://www.dargaud.com/bd/le-monde-sans-fin-miracle-energetique-et-derive-climatique-bda5378080

Je suppose que ça peut être qualifié de vulgarisation scientifique.

Le 23/01/2024 à 09h 58

Peut-être un Patator? fr.wikipedia.org Wikipedia

Le 22/01/2024 à 09h 57

Je ne connais aucun batiment avec une "date de péremption" fixée à la date de construction.
C'est plutôt dans l'autre sens : ce batiment devrait fonctionner "au moins" X années.

Par ailleurs je ne pense pas que la solidité d'un batiment doive être jugée par une concertation publique...

En revanche une telle concertation me semble pertinente pour la direction énergétiques globale (je considère qu'être "antinucléaire" est insuffisant comme position : quelle est l'alternative pilotable proposée ?)

Le 18/01/2024 à 19h 19

De ce que je comprends :

- Le bouton de partage permet à l'éditeur de proposer de partager la page sur FB, et FB en profite pour collecter des données (c'est donnant-donnant).

- Le pixel de suivi permet à l'éditeur de savoir que tu es passé chez lui, pour ensuite demander à FB de te cibler quand tu consultes ton mur FB (dans ce cas c'est l'éditeur qui paye FB) pour revenir chez lui.

Tout à fait.

Partager les données de tous les visiteurs avec Facebook, permet à Facebook de trouver des similitudes entre les visiteurs (notamment ceux ayant payé l'éditeur). Ensuite l’éditeur peut activer de la publicité sur Facebook, automatiquement ciblée sur les bons profils (pas seulement ceux ayant visité le site, mais ceux avec des centres d’intérêts/comportements similaires).

Suite à un clic sur un pub, le tracking permet de vérifier si le clic sur la publicité a donné lui à un achat/une conversion.

Le premier point « justifie » l’intérêt pour les sites d’envoyer le max d’info à Facebook, de tous les visiteurs…

Le 18/01/2024 à 09h 56

Pour gérer les soucis des caisses automatiques, il faut aussi du personnel.

Par ailleurs le personnel des caisses peut quitter sa caisse et ranger les rayons lors des périodes creuses.

Du coup je pense que 1 pour 1 est trop optimiste :)

Le 08/12/2023 à 09h 08

en effet la légende de l'image est trop grande et dépasse sur la vue next.ink Next

Le 08/12/2023 à 09h 07

Une autre histoire (en anglais) d'erreur sur un rover martien, à 500M$ :

https://www.chrislewicki.com/articles/failurestory

(trouvée via https://lobste.rs/s/yqj3ae/my_500m_mars_rover_mistake_failure_story)

Le 30/11/2023 à 21h 40

Un peu de lecture en anglais, par un des auteurs de curl, concernant quelques erreurs d'évaluation CVSS par le NVD:

https://daniel.haxx.se/blog/2023/03/06/nvd-makes-up-vulnerability-severity-levels/

Le 24/11/2023 à 20h 36

le certificat TLS ne sert en réalité qu’à chiffrer de façon asymétrique une clé de chiffrement symétrique
Il me semble que ce n'est pas tout à fait correct (au moins dans les versions récentes de TLS).

Il y a bien une clef symétrique secrète, mais celle-ci ne transite pas sur le réseau. Elle est partiellement générée de chaque côté et "unifiée" avec Diffie-Hellman.
Le certificat TLS est juste utilisé pour signer la partie serveur (pour éviter une attaque MITM).

L'absence de transit réseau permet le "forward secrecy": même si la clé privée du certificat TLS est divulguée plus tard, l'échange qui a eu lieu ne pourra être déchiffré.


Cf mon commentaire sur next.ink Next

Le 22/11/2023 à 08h 35

Et le styling n'est pas cohérent avec les autres briefs (car le CSS s'applique aux balises , absentes ici)

Le 30/10/2023 à 06h 57

Je n’ai pas d’avis particulier sur le Brief, mais je suis très reconnaissant pour ces articles réguliers sur “Quoi de neuf à la redac”!



Merci de communiquer autant et d’être à l’écoute !

Le 24/10/2023 à 14h 12

Sauf que Diffie-Hellman est sensible aux attaques de l’homme du milieu. Ce n’est pas pour rien que le chiffrement asymétrique est utilisée afin de vérifier l’identité du serveur.



Résultat des courses : si (quand ?) ordinateur quantique il y a, la vérification de l’identité tombe, et donc Diffie-Hellman redevient non sécurisé.

Tout à fait, une attaque active (MITM) serait possible.
Mais si l’attaquant est passif (enregistre “seulement” les messages qui passent), je ne pense pas que le chiffrement (symétrique) soit facilement cassé.

Le 24/10/2023 à 09h 03

Sachant que pour le web (https), la clé de session ne circule même pas sur le réseau.



Par exemple avec Diffie-Hellman, chacune des partie génère un secret et en partage la partie publique. En “multipliant” la partie publique de l’autre avec son propre secret, on arrive à un secret commun.



(le chiffrement asymétrique est utilisé pour que le serveur prouve son identité - pas pour chiffrer les communications)

Le 04/10/2023 à 18h 09

Si je comprends bien, ce n’est utile que si plusieurs site sont hébergés derrière la même adresse IP.
Ça permet d’éviter de savoir avec lequel on communique.



Si le site a une IP unique, alors je crois que ça n’a pas vraiment d’intérêt, si?



Edit: l’article de cloudflare indique que toutes les connexions apparaissent comme étant faites vers cloudflare-ech.com

Le 04/10/2023 à 13h 33

Ça m’a fait pensé au livre de Kevin Mitnick, “Ghost in the Wires”, dont je recommande la lecture :)

Le 03/10/2023 à 16h 23

Cette analogie “modèle de langage ~ compression” avait déjà été évoquée il y a quelques mois. Je me rappelle notamment avoir un article assez intéressant :



https://www.newyorker.com/tech/annals-of-technology/chatgpt-is-a-blurry-jpeg-of-the-web

Le 22/05/2023 à 20h 10

Le plus hallucinant je trouve, c’est que l’amende va être versée à la DPC (CNIL Irlandaise), alors que celle-ci a tout fait pour éviter que Meta soit condamné…

Le 03/04/2023 à 13h 34

Pas tout à fait. Car installer une autre version (vscodium par exemple) ne donne pas accès à la marketplace de microsoft, qui contient les extensions (Python, Devcontainer par exemple).



C’est une violation de licence d’accéder quand même à cette markteplace.





Du coup c’est assez fourbe, car l’extension Python (MIT) fait appel à Pylance “Pylance codebase is not open-source” github.com GitHubDu coup avoir un bon support de Python n’est pas possible autrement qu’avec la build non-libre de microsoft…

Le 31/03/2023 à 07h 28

L’image d’installation me gêne un peu: “Développez avec le meilleur de l’open source”



cdnx.nextinpact.com Next INpact



Et les logiciels cités comme “Disponible” sont:




  • Visual Studio Code

  • IDEA Ultimate

  • PyCharm

  • GitKraken



Aucun de ces logiciels n’est open source.
Voir github.com GitHubpour Visual Studio Code:




We build on top of the vscode code base we just open sourced and we release it under a standard, pre-release Microsoft license.


Le 14/02/2023 à 07h 48


S’ils ne renvoient pas du trafic vers ces sites, ils perdent des revenus publicitaires. S’ils perdent des revenus publicitaires, ces sites dépérissent et meurent. Et s’ils meurent, il n’y a plus de nouvelles informations pour alimenter l’IA. Est-ce la fin du web ?


Résumer le web aux sites qui vivent des revenus publicitaire est quand même très réducteur.



Je verrai même ça comme une bonne nouvelle la disparition des sites web qui vivent exclusivement de la publicité :pastaper:

Le 09/02/2023 à 18h 38

Oui, mais on voit tout de même toujours apparaître l’application classique au lancement de certains liens. J’avais abandonné pour cette raison. Est-ce que Fastmail se lance si tu cliques une adresse mail pour lui écrire depuis l’application Contact par exemple ?

Oui, je n’ai jamais eu de soucis (j’ai même “desintallé” l’appli mail ajd – ça ne fait probablement que supprimer l’icône, mais c’est un autre sujet ;)

Le 09/02/2023 à 09h 34

Pour le client mail, il est possible de changer l’application par défaut depuis quelques temps. Dans Paramètres > Mail > App d’email par défaut.



Je l’ai fait et ça fonctionne bien (j’utilise fastmail).

Le 22/12/2022 à 17h 09

Un aspect dommage de ces passkeys est la nécessité d’utilisation de JavaScript. Des propositions avaient été faites pour s’en passer, mais n’ont jamais abouti jusqu’à un standard.



github.com GitHub

Le 05/10/2022 à 06h 46

Au temps pour moi, il est “facile” d’y accéder via la page suivante :



https://csa-iot.org/developer-resource/specifications-download-request/



Qui mentionne que le document ne doit pas être partagé:




Connectivity Standards Alliance is providing this Document to you at no charge. However, this Document is not to be considered within the “Public Domain”, as Connectivity Standards Alliance is, and at all times shall remain the copyright holder in the Document. Requests for permission to reprint this Document, in whole or in part, or requests for a license to reproduce and/or distribute this Document, in any form, must be submitted via email or in writing to


Remplir ce formulaire envoie des liens par email pointant vers les pdfs des spécifications (https://csa-iot.org/wp-content/uploads/…)

Le 05/10/2022 à 06h 38

Je crois que le protocole n’est en revanche pas ouvert à tous et qu’il faut obligatoirement faire partie de la “Connectivity Standards Alliance” pour avoir accès aux documents.



Certes il y a du code C++ disponible (brief précédent), mais c’est pas vraiment facile d’accès pour les développeurs indies.

Le 10/02/2022 à 12h 37


(reply:1929306:David-GDE)


Selon les allemands, c’est aussi illégal : twitter.com Twitter

Le 20/10/2021 à 08h 07

J’ai signalé l’erreur via le bouton approprié.



Mais du coup le montant est beaucoup moins impressionnant et ne justifie peut-être plus une brève ;)

Le 17/03/2021 à 10h 14

ça va attendre un peu:




In the next day or so, I will be committing a removal of all WireGuard
related bits from our ‘main’ branch, including the work that I recently
committed. It will be followed up by a removal of the implementation
from stable/13, and we will seek appropriate approval to remove it
from releng/13.0 as well. Please, do not be concerned by any of this;
this is being done with mutual support from all parties.


https://lists.freebsd.org/pipermail/freebsd-hackers/2021-March/057082.html

Le 15/03/2021 à 11h 08

Si, Google aussi

Le 02/11/2020 à 09h 31

Le projet Gemini devrait t’intéresser alors :-)



https://drewdevault.com/2020/11/01/What-is-Gemini-anyway.html

Le 29/06/2020 à 08h 51

Ça fait plaisir de voir que vos articles peuvent faire bouger les choses ! (OVHCloud, Scaleway, l’ANSSI…)

&nbsp;<img data-src=" />

Le 16/06/2020 à 11h 04

Et pour tester une config en live, un petit tour par https://www.mail-tester.com/ peut être une bonne idée !

Le 05/06/2020 à 08h 42

&gt;&nbsp; Il reste « accessible via d’autres formes d’accès



Si je comprends bien, c’était une possibilité parmi d’autres.

1 2