Ce qui rendrait le copyright de la chanson plutôt faible, je pense.
Les chansons citées sont extrêmement connues ("Wie schön, dass du geboren bist" est presque aussi connu que "joyeux anniversaire"...). Donc les textes en questions sont disponibles de partout.
Je pense qu'il faut aussi mentionner Wayback qui devrait permettre de faire tourner un environnement de bureau X11, directement sur wayland (à la difference de XWayland qui permet "juste" de faire tourner une application X11, pas un DE complet)
Plutôt que de les interdire, est-ce qu'on ne pourrait pas rendre les éditeurs responsables ? (notamment en cas de problème) Cela implique qu'un disclaimer ne soit pas considéré comme suffisant.
J'ai lu hier un article d'avril 2024 à propos de la dégradation de la pertinence des résultats de Google: https://www.wheresyoured.at/the-men-who-killed-google/ Ça renforce l'idée qu'il est dans l'intérêt de Google Ads, que les résultats des recherches ne soient pas trop bons (forçant les utilisateurs à faire plus de recherches, dont à voir plus de publicités)...
Pinaillage pour celle de free: @Flock tous les IBAN français commencent par "FR76" (la clef RIB étant calculée de la même manière que la clef IBAN, certe dernière est toujours 76 – sauf si l'IBAN comporte des lettres, ce qui est assez rare).
Si ils arrivent à faire adopter leur proposition par le "CA/Browser Forum", alors tous les émetteurs de certificats seront obligé de s'y contraindre, sous peine d'être éjectés des listes d'autorités de certification validées des différents systèmes (navigateurs, OS).
Le problème de fond, c'est comment éviter qu'un certificat compromis soit utilisé trop longtemps, une fois la compromission constatée.
Je connais 3 stratégies: - réduction de la durée de validité du certificat - listes de révocations: Certificate Revocation Lists (CRLs) - Online Certificate Status Protocol (OCSP)
L'avantage de la réduction de la durée de validité du certificat, c'est qu'elle ne nécessite pas de mise à jour chez les clients. Seul le serveur doit renouveler plus souvent son certificat.
Les deux autres stratégies (OCSP & CRL) nécessitent des ajustements côté client (et serveur), gros soucis pour tous les IOTs et vieux appareils EOL.
J'avais eu quelques échanges à ce sujet à propos de https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/ sur lobste.rs: https://lobste.rs/s/k4uuth/intent_end_ocsp_service#c_cv0s36
Si on considère que le générateur aléatoire fait partie des entrées et est reproductible, c'est jouable, non?
Ça peut paraître absurde d'un point de vue mathématique, mais en informatique les PRNG peuvent être rendus déterministes avec une graine déterminée (notamment utilisé pour reproduire localement des tests "aléatoires", dédié à trouver des comportement inattendus: e.g. https://docs.tigerbeetle.com/about/vopr/).
Mon iPad (3eme gen, je crois) avec iOS 9 faisait tourner Netflix il y a encore 3 semaines (certe une vieille version de l'appli) sans trop de soucis. Mais désormais ça ne marche plus du tout 😢 (bon l'iPad 'n'est pas de dernière jeunesse et c était plutôt une bonne surprise que ça fonctionne jusqu'à present !)
The GBA4iOS codebase is distributed under the GNU GPLv2 license. That being said, I explicitly give permission for anyone to use, modify, and distribute my original code for this project without fear of legal consequences — unless you plan to submit your app to Apple’s App Store, in which case written permission from me is explicitly required.
Et c'est là que les problèmes commencent ! Le texte en plus de celui que tu as cité est mal foutu.
1) il commence par autoriser ce que la GPL V2 autorise déjà : utilisation, modification et distribution.
2) il met une limite à la distribution sur l'Apple App Store qui est d'avoir son autorisation écrite.
Mais la GPL V2 est plus permissive que cette restriction et il a dit que son code était distribué sous GPL V2. Donc sa restriction est en contradiction avec la première phrase. Cette restriction me semble inefficace. Elle l'aurait été s'il avait faite dans la même phrase et encore, je n'en suis pas sûr. Voilà ce que c'est quand un développeur, lycéen qui plus est, joue avec les licences logicielles, il se plante.
La distribution via l'App Store est déjà incompatible avec la GPL pour ces même raisons: les conditions de distribution obligent le développeur à des restrictions supplémentaires sur le code. https://opensource.stackexchange.com/a/9525
Le point 41 indique que les capteurs de pressions des pneus sont plus ou moins en clair:
I also saw some messages from tire pressure monitoring systems in cars! They also include an ID, and usually, the brand of the car! The owners probably aren’t aware how easy it would be to track them… (Thanks, @scy!)
On se rappellera d'ailleurs le cas de Guglielmo Marconi, qui prétendait que son système de télégraphe sans fil offrait une sécurité sur les communications... le 4 juin 1903, alors qu'il faisait une démonstration à la Royal Institution de Londre, son récepteur s'est fait spammer et commença à imprimer injures et attaques personnelles envoyées par le prestidigitateur et rival de Marconi, Nevil Maskelyne.
C'était une démonstration d'une tendance toujours en place qui consiste à déclarer sans preuve qu'un produit est correctement sécurisé.
Je ne connais aucun batiment avec une "date de péremption" fixée à la date de construction. C'est plutôt dans l'autre sens : ce batiment devrait fonctionner "au moins" X années.
Par ailleurs je ne pense pas que la solidité d'un batiment doive être jugée par une concertation publique...
En revanche une telle concertation me semble pertinente pour la direction énergétiques globale (je considère qu'être "antinucléaire" est insuffisant comme position : quelle est l'alternative pilotable proposée ?)
- Le bouton de partage permet à l'éditeur de proposer de partager la page sur FB, et FB en profite pour collecter des données (c'est donnant-donnant).
- Le pixel de suivi permet à l'éditeur de savoir que tu es passé chez lui, pour ensuite demander à FB de te cibler quand tu consultes ton mur FB (dans ce cas c'est l'éditeur qui paye FB) pour revenir chez lui.
Tout à fait.
Partager les données de tous les visiteurs avec Facebook, permet à Facebook de trouver des similitudes entre les visiteurs (notamment ceux ayant payé l'éditeur). Ensuite l’éditeur peut activer de la publicité sur Facebook, automatiquement ciblée sur les bons profils (pas seulement ceux ayant visité le site, mais ceux avec des centres d’intérêts/comportements similaires).
Suite à un clic sur un pub, le tracking permet de vérifier si le clic sur la publicité a donné lui à un achat/une conversion.
Le premier point « justifie » l’intérêt pour les sites d’envoyer le max d’info à Facebook, de tous les visiteurs…
le certificat TLS ne sert en réalité qu’à chiffrer de façon asymétrique une clé de chiffrement symétrique
Il me semble que ce n'est pas tout à fait correct (au moins dans les versions récentes de TLS).
Il y a bien une clef symétrique secrète, mais celle-ci ne transite pas sur le réseau. Elle est partiellement générée de chaque côté et "unifiée" avec Diffie-Hellman. Le certificat TLS est juste utilisé pour signer la partie serveur (pour éviter une attaque MITM).
L'absence de transit réseau permet le "forward secrecy": même si la clé privée du certificat TLS est divulguée plus tard, l'échange qui a eu lieu ne pourra être déchiffré.
Sauf que Diffie-Hellman est sensible aux attaques de l’homme du milieu. Ce n’est pas pour rien que le chiffrement asymétrique est utilisée afin de vérifier l’identité du serveur.
Résultat des courses : si (quand ?) ordinateur quantique il y a, la vérification de l’identité tombe, et donc Diffie-Hellman redevient non sécurisé.
Tout à fait, une attaque active (MITM) serait possible. Mais si l’attaquant est passif (enregistre “seulement” les messages qui passent), je ne pense pas que le chiffrement (symétrique) soit facilement cassé.
Sachant que pour le web (https), la clé de session ne circule même pas sur le réseau.
Par exemple avec Diffie-Hellman, chacune des partie génère un secret et en partage la partie publique. En “multipliant” la partie publique de l’autre avec son propre secret, on arrive à un secret commun.
(le chiffrement asymétrique est utilisé pour que le serveur prouve son identité - pas pour chiffrer les communications)
Si je comprends bien, ce n’est utile que si plusieurs site sont hébergés derrière la même adresse IP. Ça permet d’éviter de savoir avec lequel on communique.
Si le site a une IP unique, alors je crois que ça n’a pas vraiment d’intérêt, si?
Edit: l’article de cloudflare indique que toutes les connexions apparaissent comme étant faites vers cloudflare-ech.com
Cette analogie “modèle de langage ~ compression” avait déjà été évoquée il y a quelques mois. Je me rappelle notamment avoir un article assez intéressant :
Le plus hallucinant je trouve, c’est que l’amende va être versée à la DPC (CNIL Irlandaise), alors que celle-ci a tout fait pour éviter que Meta soit condamné…
Pas tout à fait. Car installer une autre version (vscodium par exemple) ne donne pas accès à la marketplace de microsoft, qui contient les extensions (Python, Devcontainer par exemple).
C’est une violation de licence d’accéder quand même à cette markteplace.
Du coup c’est assez fourbe, car l’extension Python (MIT) fait appel à Pylance “Pylance codebase is not open-source” GitHub Du coup avoir un bon support de Python n’est pas possible autrement qu’avec la build non-libre de microsoft…
S’ils ne renvoient pas du trafic vers ces sites, ils perdent des revenus publicitaires. S’ils perdent des revenus publicitaires, ces sites dépérissent et meurent. Et s’ils meurent, il n’y a plus de nouvelles informations pour alimenter l’IA. Est-ce la fin du web ?
Résumer le web aux sites qui vivent des revenus publicitaire est quand même très réducteur.
Je verrai même ça comme une bonne nouvelle la disparition des sites web qui vivent exclusivement de la publicité
Oui, mais on voit tout de même toujours apparaître l’application classique au lancement de certains liens. J’avais abandonné pour cette raison. Est-ce que Fastmail se lance si tu cliques une adresse mail pour lui écrire depuis l’application Contact par exemple ?
Oui, je n’ai jamais eu de soucis (j’ai même “desintallé” l’appli mail ajd – ça ne fait probablement que supprimer l’icône, mais c’est un autre sujet ;)
Un aspect dommage de ces passkeys est la nécessité d’utilisation de JavaScript. Des propositions avaient été faites pour s’en passer, mais n’ont jamais abouti jusqu’à un standard.
Qui mentionne que le document ne doit pas être partagé:
Connectivity Standards Alliance is providing this Document to you at no charge. However, this Document is not to be considered within the “Public Domain”, as Connectivity Standards Alliance is, and at all times shall remain the copyright holder in the Document. Requests for permission to reprint this Document, in whole or in part, or requests for a license to reproduce and/or distribute this Document, in any form, must be submitted via email or in writing to
Je crois que le protocole n’est en revanche pas ouvert à tous et qu’il faut obligatoirement faire partie de la “Connectivity Standards Alliance” pour avoir accès aux documents.
Certes il y a du code C++ disponible (brief précédent), mais c’est pas vraiment facile d’accès pour les développeurs indies.
93 commentaires
Le 13/11/2025 à 08h38
Donc les textes en questions sont disponibles de partout.
Modifié le 12/09/2025 à 13h58
Le 20/08/2025 à 09h55
Cela implique qu'un disclaimer ne soit pas considéré comme suffisant.
Le 24/03/2025 à 19h10
Est-ce que vous l'avez déjà utilisé dans ce mode "relecture" ? (Sur des éditos par exemple)
Modifié le 07/02/2025 à 09h17
Ça renforce l'idée qu'il est dans l'intérêt de Google Ads, que les résultats des recherches ne soient pas trop bons (forçant les utilisateurs à faire plus de recherches, dont à voir plus de publicités)...
Modifié le 08/12/2024 à 08h07
[Edit: pinaillaige dans l'ordre :]
Le 21/10/2024 à 11h56
Modifié le 21/10/2024 à 16h59
Je connais 3 stratégies:
- réduction de la durée de validité du certificat
- listes de révocations: Certificate Revocation Lists (CRLs)
- Online Certificate Status Protocol (OCSP)
L'avantage de la réduction de la durée de validité du certificat, c'est qu'elle ne nécessite pas de mise à jour chez les clients. Seul le serveur doit renouveler plus souvent son certificat.
Les deux autres stratégies (OCSP & CRL) nécessitent des ajustements côté client (et serveur), gros soucis pour tous les IOTs et vieux appareils EOL.
J'avais eu quelques échanges à ce sujet à propos de https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/ sur lobste.rs: https://lobste.rs/s/k4uuth/intent_end_ocsp_service#c_cv0s36
Le 21/10/2024 à 11h46
Le 09/10/2024 à 20h20
Le 09/10/2024 à 15h47
Le 24/09/2024 à 11h22
Modifié le 24/09/2024 à 08h16
Ça peut paraître absurde d'un point de vue mathématique, mais en informatique les PRNG peuvent être rendus déterministes avec une graine déterminée (notamment utilisé pour reproduire localement des tests "aléatoires", dédié à trouver des comportement inattendus: e.g. https://docs.tigerbeetle.com/about/vopr/).
Modifié le 17/09/2024 à 08h31
Le 13/09/2024 à 17h43
Mais désormais ça ne marche plus du tout 😢
(bon l'iPad 'n'est pas de dernière jeunesse et c était plutôt une bonne surprise que ça fonctionne jusqu'à present !)
Le 04/09/2024 à 08h20
Modifié le 13/05/2024 à 08h48
Modifié le 29/04/2024 à 21h08
Modifié le 15/04/2024 à 16h34
https://www.fsf.org/blogs/licensing/more-about-the-app-store-gpl-enforcement
Le 19/03/2024 à 10h50
Le point 41 indique que les capteurs de pressions des pneus sont plus ou moins en clair:
Le 04/03/2024 à 09h33
Il parle aussi de "Memory Safe Hardware" (CHERI est cité en exemple: est-ce que Next a déjà fait un article sur le sujet?)
et de "Formal Methods".
Le 13/02/2024 à 16h03
Le 02/02/2024 à 14h54
Il faut savoir que cloudinary est impliqué dans le jxl (donc peut-être pas totalement objectifs - tout comme Google est partial vis-à-vis du webp ;)
https://cloudinary.com/blog/samsung-now-supports-dng-1-7-including-jpeg-xl
Le 29/01/2024 à 15h28
https://www.dargaud.com/bd/le-monde-sans-fin-miracle-energetique-et-derive-climatique-bda5378080
Je suppose que ça peut être qualifié de vulgarisation scientifique.
Le 23/01/2024 à 09h58
Le 22/01/2024 à 09h57
C'est plutôt dans l'autre sens : ce batiment devrait fonctionner "au moins" X années.
Par ailleurs je ne pense pas que la solidité d'un batiment doive être jugée par une concertation publique...
En revanche une telle concertation me semble pertinente pour la direction énergétiques globale (je considère qu'être "antinucléaire" est insuffisant comme position : quelle est l'alternative pilotable proposée ?)
Modifié le 18/01/2024 à 19h20
Partager les données de tous les visiteurs avec Facebook, permet à Facebook de trouver des similitudes entre les visiteurs (notamment ceux ayant payé l'éditeur). Ensuite l’éditeur peut activer de la publicité sur Facebook, automatiquement ciblée sur les bons profils (pas seulement ceux ayant visité le site, mais ceux avec des centres d’intérêts/comportements similaires).
Suite à un clic sur un pub, le tracking permet de vérifier si le clic sur la publicité a donné lui à un achat/une conversion.
Le premier point « justifie » l’intérêt pour les sites d’envoyer le max d’info à Facebook, de tous les visiteurs…
Modifié le 18/01/2024 à 09h57
Par ailleurs le personnel des caisses peut quitter sa caisse et ranger les rayons lors des périodes creuses.
Du coup je pense que 1 pour 1 est trop optimiste :)
Le 08/12/2023 à 09h08
Le 08/12/2023 à 09h07
https://www.chrislewicki.com/articles/failurestory
(trouvée via https://lobste.rs/s/yqj3ae/my_500m_mars_rover_mistake_failure_story)
Le 30/11/2023 à 21h40
https://daniel.haxx.se/blog/2023/03/06/nvd-makes-up-vulnerability-severity-levels/
Le 24/11/2023 à 20h36
Il y a bien une clef symétrique secrète, mais celle-ci ne transite pas sur le réseau. Elle est partiellement générée de chaque côté et "unifiée" avec Diffie-Hellman.
Le certificat TLS est juste utilisé pour signer la partie serveur (pour éviter une attaque MITM).
L'absence de transit réseau permet le "forward secrecy": même si la clé privée du certificat TLS est divulguée plus tard, l'échange qui a eu lieu ne pourra être déchiffré.
Cf mon commentaire sur
Le 22/11/2023 à 08h35
, absentes ici)Le 30/10/2023 à 06h57
Je n’ai pas d’avis particulier sur le Brief, mais je suis très reconnaissant pour ces articles réguliers sur “Quoi de neuf à la redac”!
Merci de communiquer autant et d’être à l’écoute !
Le 24/10/2023 à 14h12
Tout à fait, une attaque active (MITM) serait possible.
Mais si l’attaquant est passif (enregistre “seulement” les messages qui passent), je ne pense pas que le chiffrement (symétrique) soit facilement cassé.
Le 24/10/2023 à 09h03
Sachant que pour le web (https), la clé de session ne circule même pas sur le réseau.
Par exemple avec Diffie-Hellman, chacune des partie génère un secret et en partage la partie publique. En “multipliant” la partie publique de l’autre avec son propre secret, on arrive à un secret commun.
(le chiffrement asymétrique est utilisé pour que le serveur prouve son identité - pas pour chiffrer les communications)
Le 04/10/2023 à 18h09
Si je comprends bien, ce n’est utile que si plusieurs site sont hébergés derrière la même adresse IP.
Ça permet d’éviter de savoir avec lequel on communique.
Si le site a une IP unique, alors je crois que ça n’a pas vraiment d’intérêt, si?
Edit: l’article de cloudflare indique que toutes les connexions apparaissent comme étant faites vers cloudflare-ech.com
Le 04/10/2023 à 13h33
Ça m’a fait pensé au livre de Kevin Mitnick, “Ghost in the Wires”, dont je recommande la lecture :)
Le 03/10/2023 à 16h23
Cette analogie “modèle de langage ~ compression” avait déjà été évoquée il y a quelques mois. Je me rappelle notamment avoir un article assez intéressant :
https://www.newyorker.com/tech/annals-of-technology/chatgpt-is-a-blurry-jpeg-of-the-web
Le 22/05/2023 à 20h10
Le plus hallucinant je trouve, c’est que l’amende va être versée à la DPC (CNIL Irlandaise), alors que celle-ci a tout fait pour éviter que Meta soit condamné…
Le 03/04/2023 à 13h34
Pas tout à fait. Car installer une autre version (vscodium par exemple) ne donne pas accès à la marketplace de microsoft, qui contient les extensions (Python, Devcontainer par exemple).
C’est une violation de licence d’accéder quand même à cette markteplace.
Du coup c’est assez fourbe, car l’extension Python (MIT) fait appel à Pylance “Pylance codebase is not open-source”
GitHub
Du coup avoir un bon support de Python n’est pas possible autrement qu’avec la build non-libre de microsoft…
Le 31/03/2023 à 07h28
L’image d’installation me gêne un peu: “Développez avec le meilleur de l’open source”
Et les logiciels cités comme “Disponible” sont:
Aucun de ces logiciels n’est open source.
GitHub pour Visual Studio Code:
Voir
Le 14/02/2023 à 07h48
Résumer le web aux sites qui vivent des revenus publicitaire est quand même très réducteur.
Je verrai même ça comme une bonne nouvelle la disparition des sites web qui vivent exclusivement de la publicité
Le 09/02/2023 à 18h38
Oui, je n’ai jamais eu de soucis (j’ai même “desintallé” l’appli mail ajd – ça ne fait probablement que supprimer l’icône, mais c’est un autre sujet ;)
Le 09/02/2023 à 09h34
Pour le client mail, il est possible de changer l’application par défaut depuis quelques temps. Dans Paramètres > Mail > App d’email par défaut.
Je l’ai fait et ça fonctionne bien (j’utilise fastmail).
Le 22/12/2022 à 17h09
Un aspect dommage de ces passkeys est la nécessité d’utilisation de JavaScript. Des propositions avaient été faites pour s’en passer, mais n’ont jamais abouti jusqu’à un standard.
Le 05/10/2022 à 06h46
Au temps pour moi, il est “facile” d’y accéder via la page suivante :
https://csa-iot.org/developer-resource/specifications-download-request/
Qui mentionne que le document ne doit pas être partagé:
Remplir ce formulaire envoie des liens par email pointant vers les pdfs des spécifications (https://csa-iot.org/wp-content/uploads/…)
Le 05/10/2022 à 06h38
Je crois que le protocole n’est en revanche pas ouvert à tous et qu’il faut obligatoirement faire partie de la “Connectivity Standards Alliance” pour avoir accès aux documents.
Certes il y a du code C++ disponible (brief précédent), mais c’est pas vraiment facile d’accès pour les développeurs indies.
Le 10/02/2022 à 12h37
Selon les allemands, c’est aussi illégal :
Twitter
Le 20/10/2021 à 08h07
J’ai signalé l’erreur via le bouton approprié.
Mais du coup le montant est beaucoup moins impressionnant et ne justifie peut-être plus une brève ;)