• # 0 day sur codecs

    Posté par  . Évalué à 6.

    "A spike in zero day attacks against media formats has caused us to reevaluate our support for legacy codecs.

    Vous avez des exemples ?
    L'intégration des codecs n'est pas en sandbox dans les navigateurs ?

    • [^] # Re: 0 day sur codecs

      Posté par  (Mastodon) . Évalué à 1.

      C'est pas parce que tu utilises des sandbox que tu dois te foutre de la sécurité pour ce qui tourne dedans. Une sandbox c'est pas un truc magique, c'est aussi du code qui peut avoir des bugs/failles donc tu as tout intérêt à limiter les risques d'attaques partout.

      • [^] # Re: 0 day sur codecs

        Posté par  . Évalué à 6.

        Sympa le ton.
        Je pose simplement la question.
        Je suis de loin l'évolution des navigateurs, de ce que j'en sais, ils cloisonnent les onglets par processus, les visionneuses et intègrent des sandbox mais je n'ai pas de détail.

        • [^] # Re: 0 day sur codecs

          Posté par  . Évalué à 4. Dernière modification le 30 octobre 2023 à 10:44.

          Il y a peu, un bug de la lib WebP de Google a fait pas mal parler de lui : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2023-ACT-042

          Il s'agit d'un heap overflow qui permettait l'excution de code à distance ; elle a été activement exploitée, comme c'est dit dans le bulletin ci-dessus.

        • [^] # Re: 0 day sur codecs

          Posté par  (Mastodon) . Évalué à 1. Dernière modification le 30 octobre 2023 à 21:29.

          Le ton me semblait correct, c'est tout à fait factuel à vrai dire. Tu aurais voulu une petite tête jaune qui sourit peut-être?

  • # Theora as-t'il été utilisé par des plateformes l'utilisant exclusivement

    Posté par  (Mastodon) . Évalué à 4.

    Je ne crois pas avoir visité une seule plateforme qui proposait theora sans proposer un autre codec plus performant. Du coup je ne crois pas que ce serait une grande perte.

  • # Titre trompeur

    Posté par  . Évalué à 3. Dernière modification le 30 octobre 2023 à 10:49.

    Le lien parle bien uniquement de Chrome … pas des autres navigateurs.
    Je sais bien qu'il sert de base a plein d'autre fork, mais il n'est pas le seul présent.

    Donc, si les vidéo seront toujours lisible dans les navigateurs, suffit d'en choisir un qui le supporte.

  • # Pas une grosse perte

    Posté par  (site web personnel) . Évalué à 3.

    Tiens, en fait je suis même étonné que ce soit encore là, ce format n'ayant pas fait d'étincelles, faut dire que à qualité égale (les défendeurs à tout prix trichaient en "oubliant" ce détail) ça coûtait plus cher en stockage et bande passante que de payer les royalties du proprio, donc c'est bien logique de virer la chose.
    Et heureusement que le libre a fait mieux depuis dans les formats audio et vidéo.

    • [^] # Re: Pas une grosse perte

      Posté par  . Évalué à 0.

      Ca n'a même jamais dépassé le rapport qualité/taille du XviD, LA référence pour compresser en MPEG-4 ASP. Et le XviD est libre !

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

      • [^] # Re: Pas une grosse perte

        Posté par  (site web personnel, Mastodon) . Évalué à -1.

        Il faudra que je réencode tout chez moi ?
        Ça attendra : je ne diffuse et ne lis pas par le navigateur.

        “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: Pas une grosse perte

        Posté par  (site web personnel) . Évalué à 4. Dernière modification le 30 octobre 2023 à 12:34.

        Et le XviD est libre !

        Oui, et ce n'est pas le sujet.
        x264 et x265 (des encodeurs) sont aussi libres que XviD (un encodeur) et ça ne fait pas de H264 ou H265 (les formats de sortie) des formats libres.

        Le sujet est les formats libres, et XviD n'est pas un format, et le format de sortie de XviD, MPEG-4 ASP, n'est pas libre.

        • [^] # Re: Pas une grosse perte

          Posté par  . Évalué à -1.

          Ca je sais, merci.

          Mais perso j'ai jamais vu l'intérêt de Theora, désolé.

          "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: Pas une grosse perte

      Posté par  . Évalué à 2.

      Jean-Baptiste Kempf serait bien placé pour nous en parler.
      Si vous avez ses interviews sur les codecs et le conglomérat des licences vidéos écrites ou en vidéo je suis preneur.
      Je n'ai que ceci sous la main (dsl pour la source):
      Le projet qui va révolutionner la vidéo pour toujours
      https://invidious.fdn.fr/watch?v=Kv4FzAdxclA

  • # Déjà le moteur Dæmon en 2020…

    Posté par  (site web personnel) . Évalué à 7. Dernière modification le 30 octobre 2023 à 19:42.

    En 2020 on a viré Theora du le moteur de Jeu Dæmon (Unvanquished) pour les mêmes raisons.

    cf. https://github.com/DaemonEngine/Daemon/pull/391

    Citations (traduction) d’un de nos développeurs:

    Ce qui m’a motivé c’est qu’en mettant à jour le paquet des dépendances externes, j'ai remarqué que le projet Theora semble mort. Lors de la compilation, j'ai eu un avertissement de gcc indiquant que le code du décodeur indexe en dehors des limites. Bien que cela ait été corrigé en 2012, il n'y a pas eu de nouvelle version depuis 2010 et nous n'avions donc pas le correctif.

    Le problème avec Theora est que la bibliothèque est morte et qu'il n'y a pas de version utilisable. La dernière version date d'il y a 10 ans et contient le très mauvais bug d'indexation hors limites. Cela m'empêche de créer une nouvelle version pour les bibliothèques de dépendances externes (qui corrigerait le bug de plantage de MacOS Catalina, entre autres).

    Et pour nous le code du jeu est dans une sandbox, mais les codecs sont dans le moteur (et donc pas dans la sandbox).

    ce commentaire est sous licence cc by 4 et précédentes

  • # Mozilla-Eyes-Dropping-Theora

    Posté par  (site web personnel) . Évalué à 4.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.