C'est pas parce que tu utilises des sandbox que tu dois te foutre de la sécurité pour ce qui tourne dedans. Une sandbox c'est pas un truc magique, c'est aussi du code qui peut avoir des bugs/failles donc tu as tout intérêt à limiter les risques d'attaques partout.
Sympa le ton.
Je pose simplement la question.
Je suis de loin l'évolution des navigateurs, de ce que j'en sais, ils cloisonnent les onglets par processus, les visionneuses et intègrent des sandbox mais je n'ai pas de détail.
Il s'agit d'un heap overflow qui permettait l'excution de code à distance ; elle a été activement exploitée, comme c'est dit dans le bulletin ci-dessus.
Je ne crois pas avoir visité une seule plateforme qui proposait theora sans proposer un autre codec plus performant. Du coup je ne crois pas que ce serait une grande perte.
Posté par Mimoza .
Évalué à 3.
Dernière modification le 30 octobre 2023 à 10:49.
Le lien parle bien uniquement de Chrome … pas des autres navigateurs.
Je sais bien qu'il sert de base a plein d'autre fork, mais il n'est pas le seul présent.
Donc, si les vidéo seront toujours lisible dans les navigateurs, suffit d'en choisir un qui le supporte.
Il y a un ticket similaire, et ignoré pour le moment, pour firefox créé plus ou moins en même temps, donc j'imagine en réaction avec celui de chrome/chromium. https://bugzilla.mozilla.org/show_bug.cgi?id=1860492
Je ne peux pas te laisser écrire ça. Le titre n'est pas trompeur. Il inclue une ponctuation qui a un rôle dans le sens de la phrase, fugures-toi. Non mais !
Tu m'excuseras mais les fausses interrogation font partis des «dark pattern» que l'on croise couramment sur le net.
Tant mieux si ce n'était pas ton intention.
Avec le lien de Psychofox, le titre se justifie un peu plus. Il ne manque plus que Webkit suive le mouvement et là on atteint 99,9% des utilisateurs en effet.
Tiens, en fait je suis même étonné que ce soit encore là, ce format n'ayant pas fait d'étincelles, faut dire que à qualité égale (les défendeurs à tout prix trichaient en "oubliant" ce détail) ça coûtait plus cher en stockage et bande passante que de payer les royalties du proprio, donc c'est bien logique de virer la chose.
Et heureusement que le libre a fait mieux depuis dans les formats audio et vidéo.
Oui, et ce n'est pas le sujet.
x264 et x265 (des encodeurs) sont aussi libres que XviD (un encodeur) et ça ne fait pas de H264 ou H265 (les formats de sortie) des formats libres.
Le sujet est les formats libres, et XviD n'est pas un format, et le format de sortie de XviD, MPEG-4 ASP, n'est pas libre.
Jean-Baptiste Kempf serait bien placé pour nous en parler.
Si vous avez ses interviews sur les codecs et le conglomérat des licences vidéos écrites ou en vidéo je suis preneur.
Je n'ai que ceci sous la main (dsl pour la source):
Le projet qui va révolutionner la vidéo pour toujours https://invidious.fdn.fr/watch?v=Kv4FzAdxclA
Ce qui m’a motivé c’est qu’en mettant à jour le paquet des dépendances externes, j'ai remarqué que le projet Theora semble mort. Lors de la compilation, j'ai eu un avertissement de gcc indiquant que le code du décodeur indexe en dehors des limites. Bien que cela ait été corrigé en 2012, il n'y a pas eu de nouvelle version depuis 2010 et nous n'avions donc pas le correctif.
Le problème avec Theora est que la bibliothèque est morte et qu'il n'y a pas de version utilisable. La dernière version date d'il y a 10 ans et contient le très mauvais bug d'indexation hors limites. Cela m'empêche de créer une nouvelle version pour les bibliothèques de dépendances externes (qui corrigerait le bug de plantage de MacOS Catalina, entre autres).
Et pour nous le code du jeu est dans une sandbox, mais les codecs sont dans le moteur (et donc pas dans la sandbox).
ce commentaire est sous licence cc by 4 et précédentes
# 0 day sur codecs
Posté par Xanatos . Évalué à 6.
Vous avez des exemples ?
L'intégration des codecs n'est pas en sandbox dans les navigateurs ?
[^] # Re: 0 day sur codecs
Posté par Psychofox (Mastodon) . Évalué à 1.
C'est pas parce que tu utilises des sandbox que tu dois te foutre de la sécurité pour ce qui tourne dedans. Une sandbox c'est pas un truc magique, c'est aussi du code qui peut avoir des bugs/failles donc tu as tout intérêt à limiter les risques d'attaques partout.
[^] # Re: 0 day sur codecs
Posté par Xanatos . Évalué à 6.
Sympa le ton.
Je pose simplement la question.
Je suis de loin l'évolution des navigateurs, de ce que j'en sais, ils cloisonnent les onglets par processus, les visionneuses et intègrent des sandbox mais je n'ai pas de détail.
[^] # Re: 0 day sur codecs
Posté par aiolos . Évalué à 4. Dernière modification le 30 octobre 2023 à 10:44.
Il y a peu, un bug de la lib WebP de Google a fait pas mal parler de lui : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2023-ACT-042
Il s'agit d'un heap overflow qui permettait l'excution de code à distance ; elle a été activement exploitée, comme c'est dit dans le bulletin ci-dessus.
[^] # Re: 0 day sur codecs
Posté par Psychofox (Mastodon) . Évalué à 1. Dernière modification le 30 octobre 2023 à 21:29.
Le ton me semblait correct, c'est tout à fait factuel à vrai dire. Tu aurais voulu une petite tête jaune qui sourit peut-être?
# Theora as-t'il été utilisé par des plateformes l'utilisant exclusivement
Posté par Psychofox (Mastodon) . Évalué à 4.
Je ne crois pas avoir visité une seule plateforme qui proposait theora sans proposer un autre codec plus performant. Du coup je ne crois pas que ce serait une grande perte.
# Titre trompeur
Posté par Mimoza . Évalué à 3. Dernière modification le 30 octobre 2023 à 10:49.
Le lien parle bien uniquement de Chrome … pas des autres navigateurs.
Je sais bien qu'il sert de base a plein d'autre fork, mais il n'est pas le seul présent.
Donc, si les vidéo seront toujours lisible dans les navigateurs, suffit d'en choisir un qui le supporte.
[^] # Re: Titre trompeur
Posté par Psychofox (Mastodon) . Évalué à 6.
Il y a un ticket similaire, et ignoré pour le moment, pour firefox créé plus ou moins en même temps, donc j'imagine en réaction avec celui de chrome/chromium.
https://bugzilla.mozilla.org/show_bug.cgi?id=1860492
[^] # Re: Titre trompeur
Posté par antistress (site web personnel) . Évalué à 4.
Je ne peux pas te laisser écrire ça. Le titre n'est pas trompeur. Il inclue une ponctuation qui a un rôle dans le sens de la phrase, fugures-toi. Non mais !
[^] # Re: Titre trompeur
Posté par Mimoza . Évalué à 5.
Tu m'excuseras mais les fausses interrogation font partis des «dark pattern» que l'on croise couramment sur le net.
Tant mieux si ce n'était pas ton intention.
Avec le lien de Psychofox, le titre se justifie un peu plus. Il ne manque plus que Webkit suive le mouvement et là on atteint 99,9% des utilisateurs en effet.
[^] # Re: Titre trompeur
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
J'ai du mal à bien me le fugurer (qui doit signifier « tu n'as qu'à essayer sur le système au poisson éponyme, donc OpenBSD »).
# Pas une grosse perte
Posté par Zenitram (site web personnel) . Évalué à 3.
Tiens, en fait je suis même étonné que ce soit encore là, ce format n'ayant pas fait d'étincelles, faut dire que à qualité égale (les défendeurs à tout prix trichaient en "oubliant" ce détail) ça coûtait plus cher en stockage et bande passante que de payer les royalties du proprio, donc c'est bien logique de virer la chose.
Et heureusement que le libre a fait mieux depuis dans les formats audio et vidéo.
[^] # Re: Pas une grosse perte
Posté par xcomcmdr . Évalué à 0.
Ca n'a même jamais dépassé le rapport qualité/taille du XviD, LA référence pour compresser en MPEG-4 ASP. Et le XviD est libre !
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pas une grosse perte
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à -1.
Il faudra que je réencode tout chez moi ?
Ça attendra : je ne diffuse et ne lis pas par le navigateur.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Pas une grosse perte
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 30 octobre 2023 à 12:34.
Oui, et ce n'est pas le sujet.
x264 et x265 (des encodeurs) sont aussi libres que XviD (un encodeur) et ça ne fait pas de H264 ou H265 (les formats de sortie) des formats libres.
Le sujet est les formats libres, et XviD n'est pas un format, et le format de sortie de XviD, MPEG-4 ASP, n'est pas libre.
[^] # Re: Pas une grosse perte
Posté par xcomcmdr . Évalué à -1.
Ca je sais, merci.
Mais perso j'ai jamais vu l'intérêt de Theora, désolé.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Pas une grosse perte
Posté par Xanatos . Évalué à 2.
Jean-Baptiste Kempf serait bien placé pour nous en parler.
Si vous avez ses interviews sur les codecs et le conglomérat des licences vidéos écrites ou en vidéo je suis preneur.
Je n'ai que ceci sous la main (dsl pour la source):
Le projet qui va révolutionner la vidéo pour toujours
https://invidious.fdn.fr/watch?v=Kv4FzAdxclA
# Déjà le moteur Dæmon en 2020…
Posté par Thomas Debesse (site web personnel) . Évalué à 7. Dernière modification le 30 octobre 2023 à 19:42.
En 2020 on a viré Theora du le moteur de Jeu Dæmon (Unvanquished) pour les mêmes raisons.
cf. https://github.com/DaemonEngine/Daemon/pull/391
Citations (traduction) d’un de nos développeurs:
Et pour nous le code du jeu est dans une sandbox, mais les codecs sont dans le moteur (et donc pas dans la sandbox).
ce commentaire est sous licence cc by 4 et précédentes
# Mozilla-Eyes-Dropping-Theora
Posté par antistress (site web personnel) . Évalué à 4.
https://www.phoronix.com/news/Mozilla-Eyes-Dropping-Theora
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.