Claudex< est intervenu dans le fil de la discussion, c'est tout. Tu n'es pas plus cible que xcomcmdr< , et d'ailleurs ni l'un ni l'autre n'êtes cibles : simplement ces propos.
Il y a aussi boxcryptor, binaire portable dispo pour linux, mais : n'est pas un logiciel libre d'une part, et d'autre part il utilise AlphaFS (écrit en C#)
créer un dossier dans lequel je pourrais mettre mes documents les plus sensibles
GnuPG convient à cela, cependant la simplicité d'usage et l'efficacité de la solution peuvent être mises à mal par la nécessaire gestion des clefs (en plus, sur un pc sans selinux, ou avec selinux mais pas configuré, firefox peut lire le contenu de .gpg, et ce n'est pas ça qu'on veut) et/ou des certificats.
Il y a ZuluCrypt (compatible truecrypt, veracrypt, LUKS, DM-Crypt), une interface graphique bien fichue et simple d'usage (propose un mot de passe, pour chiffrer : le plus simple (propose aussi une "clef fichier" et une paire "clef-fichier" + "mot de passe" mais on retombe alors sur une nécessaire gestion de clefs)
Il y a également Cryptomator mais utilises WebDAV et JavaFX, ce qui rends son intégration sur un bureau local difficile (sur kde, par exemple, le kio concerné ne fonctionne pas bien avec dav.. mais il fonctionne bien avec webdav, cf ci-dessous) Et j'ai eu des pb d'erreurs de ré-ouverture de coffres lors de tests avec ce logiciel, avec perte des données de test. La leçon est donc : "utiliser dav" dans cryptomator & utilises les url webdav:// dans le gestionnaire de fichiers : ainsi ça fonctionne bien.
Le support de cryptomator renvoie sur kde, mais comme webdav fonctionne très bien avec dolphin, il y avait un doute… en fait c'est bien le gio mount de cryptomator qui fait mal le job si on choisi webdav, et pour l'autre possibilité : le fait qu'en choisissant dav il appelle ensuite dolphin avec une url dav:// qui cause des soucis (kio_http is a mess) Au final cela fonctionne bien, mais n'est pas parfaitement pratique : il faut faire "dav" côté cryptomator, et ouvrir l'url avec webdav:// dans dolphin.
Enfin, il y a QcCrypt qui a l'air très bien mais je n'ai pas testé.
Au final, j'utlise ZuluCrypt ;-) bien maintenu, projet très actif, facile d'usage, visiblement bien pensé et conçu, et enfin intégré et suivi par ma distribution. Plein d'atouts, et jamais eu de pb avec. Synchro directe sur mon nextcloud, avec intégration bureau, nickel.
postmarketOS (pmOS), is a touch-optimized, pre-configured Alpine Linux that can be installed on smartphones and other mobile devices. The project is at very early stages of development and is not usable for most users yet.
Posté par bubar🦥 (Mastodon) .
En réponse au journal Linky et filtre cpl.
Évalué à 2.
Dernière modification le 14 septembre 2017 à 23:09.
Ne surtout pas jeter ces lampes !
Ce sont de véritables petites alarmes : « tiens, c'est l'heure de l'étude par cpl »
Et nul doute qu'il y a des bricolages très sympas à faire avec, au lieu d'allumer une ampoule elles peuvent éteindre 17 multi-prises :p
Autre point : pour la compilaton la page github mentionne qt5 base devel seulement, or il faut également les outils de langues et traductions qt5 qttranslations, qui ne sont pas forcément installés par défaut avec kde plasma, selon les distributions. Il serait peut être utile de le mentionner ?
Perso j'autorise root à se connecter.
Avec une triple authentification :
quelque chose que j'ai : une clef + quelque chose que je connais : le mot de passe de la clef
quelque chose que j'ai : un token RFC 6238
quelque chose que je connais : le mot de passe root.
Par contre pour les users c'est plus compliqué… beaucoup plus : obtenir un shell (même non root donc), sur mon serveur me semble plus problématique qu'une bonne auth assez musclée pour root + conf système. Non ?
2FA sans sms : sur le téléphone, AndOTP (ou Yubico Authenticator ou Google-authenticator.) Sur le serveur, PAM Google-authenticator, puis placez simplement : auth required pam_google_authenticator.so En seconde ligne de /etc/pam.d/sshd (si on le veut seulement avec ssh, sinon pour tout le systeme c'est dans system-auth-ac)
Le top serait d'avoir une double authentification (clé SSH + code envoyé par SMS) mais je ne connais pas de solution pour mettre en place ce système.
C'est assez simple (avec le 2FA ci-dessus, donc sans sms mais avec un "que je possède") il suffit de remplacer un espace par une virgule dans sshd_config (ou ajoutez la directive suivante si elle n'existe pas) : AuthenticationMethods publickey,keyboard-interactive:pam
Probablement, mais n'oublions que les geeks sont aussi des prescripteurs. Bien sûr la situation concurrentielle reste difficile, et qq prescripteurs ne feront pas changer la donne tout seuls. De vrais belles nouveautés peuvent faire revenir des geeks et avoir un effet positif plus globalement chez celles et ceux qui font attention à leur navigation.
J'ai abandonné Firefox il y a quelques semaines maintenant, après avoir subit pendant des semaines le problème central de consommation CPU de Firefox. Quelques onglets d'ouverts, parfois à peine 6, et il consomme entre 5 et 40% d'un I7, en oscillant en permanence entre ces valeurs. Quelques onglets de plus, dont des sites de type "réseaux sociaux" et c'était l'explosion : des pics à 70%, et au delà, de CPU, de cumul entre firefox et web-content. Jusqu'à des freezes sur des pages un peu "complexes". C'était devenu insupportable.
J'ai bien essayé le tarball de la MoFo, pour voir s'il ne s'agissait pas d'un problème de packaging ou de compilation par la distribution, et le résultat a été identique. Avec beaucoup de regret je me résigné à arrêter d'utiliser Firefox.
Ce journal me donne fortement envie de re-tester : la boite à cookies, c'est juste l'option parfaite. Initiée il y a bien longtemps par Chrome, puis abandonnée par ce dernier. Les containers sont une autre très bonne idée, c'est rassurant de savoir qu'on peut faire du facebook sans que ce dernier n'espionne toute la navigation. Si à l'usage ce Firefox limite sa consommation de CPU à du normal (ie : identique qu'un Chromium, ou un QupZilla, à usage similaire) alors je garderai ce Firefox. Et pour le moment, les premières observations font dire Bingo Mozilla a également amélioré son Firefox là dessus : il y du progrès.
Apper et Discover sont fournis, me semble t il, non ? Ce dernier est pas mal buggé aussi, du moins sur f25, plus que sur f24. Ce n'est pas dû à Fedora cependant. Personnellement je ne les utilise pas, préférant de loin l'interface cli dnf. D'un point de vue "pédagogique" j'aurai tendance à regretter les rpmdrake et autres interfaces qui présentaient sur un niveau strictement identique de la petite bibliothèque jusqu'à l'énorme 0AD, car cela a été un point majeur de ma compréhension du système : lire, re-lire, re-re-lire et encore lire pendant des heures cette liste de logiciels m'a permis de comprendre les bases d'un logiciel, son découpage, et d'appréhender ensuite la notion d'arbre de dépendances, jusqu'à le connaitre comme ma poche.
On ne peut pas tout remplacer du ME, à moins d'être fondeur, et du moins pour le moment, car le service se découpe en deux parties distinctes : celle dans la puce spi (puce contenant le chargeur, ses payloads comme une interface bios et une init vga, et le ME [et à côté un grub et/ou directement un noyau s'il reste de la place]) et une partie encore plus obscure que le me spi dans une puce d'architecture arc (argonaut risc proco) contenant une clef privé pour le me. Cette dernière partie n'est pas atteignable pour ré-écriture par des moyens habituels. Par analogie on entends donc souvent "me = code me dans le spi", car c'est la partie essentielle, celle dans laquelle on trouve toutes les goodies (accès dma / oob, réseau, etc ..)
Ensuite ce service se découpe en 2 options : une version 2Mo, une ~6Mo. Ces 2 types/options offrent différent niveaux de possibilités, allant de "pas grand chose" jusqu'à "contrôle total distant", en passant par un "lms" (local management service). Les laptops (et les ordis de bureau), tous, ont à minima la version 2Mo. Certains laptops de classe entreprise ont la version ~6Mo, et les serveurs aussi. Désolé de ne pas être plus précis, je ne maitrise pas le sujet, vejmarie corrigera peut être si grosse bourde.
Un peu de lecture (plus récente que des trucs de 2014 :p) https://mail.coreboot.org/pipermail/coreboot/2016-November/082333.html https://mail.coreboot.org/pipermail/coreboot/2016-November/082335.html https://github.com/skochinsky/me-tools https://github.com/corna/me_cleaner https://review.coreboot.org/#/c/19849/ (ce lien juste pour signaler les très belles avancées du projet purism)
& le + vieux : https://www.kernel.org/doc/Documentation/misc-devices/mei/mei.txt On appréciera particulièrement la possibilité d'un accès total et complet même en état s2 (veille d'un laptop par exemple)
Les deux parties essentielles sont : désactiver toute la stack réseau du me, et désactiver l'accès au me par le noyau.
Pour un laptop de classe 'parano', désactiver en plus tout ce qui permet d'avoir un accès usb/fw/esata/hdmi -> me.
Les pb rencontrés actuellement sur les laptops semblent variés après un me_cleaner : pb de stabilité et de performances sont rapportés. (Sur des acer c7x, aucun pb.)
À noter que chez amd c'est encore pire, puisque plutôt que d'avoir un proco arc dans un bridge, ils ont carrément foutu un proco arm lambda dans le cpu, dans leur dernière génération, qui semble t il fourni le même type de services (clef privée dans le proco arm, avec lequel l'équivalent du me dans le spi discute au pré-boot)
Il n'est pas illusoire d'avoir un serveur totalement libre :-)
Sur des machines personnelles, non-amt (ni même lms, d'ailleurs) comme des acer chromebook c710 & c720, c720p par exemple.
C'est l'effet le moins pire, parfois c'est la brique si tout (ex: la partition fptr) du me est retiré ('tout' entend : la partie dans le spi).
Les machines/cartes sur lesquelles cette op est faite ne rebootent pas toutes seules après 30mn ? (Il me semblait que le code contenu dans le processeur Arc implémenté dans un des deux bridges (et qui contient la clef privé du me) faisait rebooter la carte après un certain laps de temps s'il n'avait rien reçu du me. C'est obsolète ?)
Pareil ici, c'est vraiment une super radio, et qui m'a fait découvrir des petits groupes français que même fip ne passe pas. C'est rare mais ça arrive.
Utiliser « abc123 » comme mot de passe n'est possible que parce que c'est possible. Rend le impossible et ça ne sera plus possible ( j'adore ce genre de tournures de phrases :)
Merci pour ton journal, cette critique de jeu : ça m'a donné envie d'y jouer. Je vais probablement craqué dessus ! Autant de superbes hits comme Xcom2, Dying Light, Middle earth : shadow of mordor, Tomb Raider, Metro 2033, Metro Last Light, Hitman, Deux EX : Mankind Divided, Alien Isolation (ce dernier donne même envie d'acheter l'équipement VR) sont tellement excellents chacun dans leur genre et avec chacun leurs "wow" différents, que je n'hésite pas à payer le prix fort lorsqu'ils sortent natif pour Linux, autant Talos j'avais toujours hésité.
Et j'ai aussi adoré le petit hitman sous Android, un petit go d'énigme, alors je vais finalement essayer ce Talos.
A chaque fois que je lance Xonotic par contre je me dis la même chose : "tiens j'ai le sourire", car autant tout ces jeux sont tous excellents, et donne beaucoup de plaisir à y jouer, autant seuls des jeux comme Xonotic me donne physiquement le sourire et des éclats de rire. Et ça aussi c'est très important ! Bravo Xonotic !
En théorie oui. En pratique peux tu dire que tu vois la différence entre : аррӏе & apple ? lorsqu'on y prête attention, on remarque la subtile différence, mais sincèrement, au jour le jour : regardes tu si précisement tout les domaines ? Ouvres tu systématiquement tout les certificats pour les regarder de tes yeux ? Tout tes utilisateurs le font aussi ?
Non, bien probablement non.
Mais ce n'est visiblement pas/plus suffisant. Alors bien que la vérification visuelle soit possible, et bien qu'effectivement la phrase "les navigateurs n'y voient que du feu" est incomplète, il n'en reste pas moins que des contre-mesures sont déjà en place, et que des mises à jour sont attendues.
C'est également remarquable pour les informations présentées. J'y avait découvert le format des serveurs Facebook, cela ouvre d'autres horizons que les catalogues Dell & HPE.
Ce type de matériel convient également pour les écoles et universités, à mon humble avis, autant pour la partie prod que la partie découverte et apprentissage, non ? Mais je ne sais pas si c'est un marché intéressant et/ou comment ils achètent ces matériels.
En tout cas, en étant plus facile à maintenir en éléments séparés, et prenant moins de place même pour de petites configs d'un seul rack, nul doute que ce format finisse par se développer à plus petites échelles aussi (et pas seulement chez les grands opérateurs ou les facebook and co) et qu' on les voit dans toutes les entreprises "lambdas".
[^] # Re: moins d'1 minute et pas un euro ne sera dépensé
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Seconde mise en demeure pour l'association LinuxFr. Évalué à 10. Dernière modification le 12 novembre 2017 à 09:44.
Claudex< est intervenu dans le fil de la discussion, c'est tout. Tu n'es pas plus cible que xcomcmdr< , et d'ailleurs ni l'un ni l'autre n'êtes cibles : simplement ces propos.
[^] # Re: faille spatiotemporelle ?
Posté par bubar🦥 (Mastodon) . En réponse au journal sched_deadline est dans les temps. Évalué à 2.
En effet ;-)
Merci
[^] # Re: encfs
Posté par bubar🦥 (Mastodon) . En réponse au message Informations sur un dossier chiffré.. Évalué à 2.
Il y a aussi boxcryptor, binaire portable dispo pour linux, mais : n'est pas un logiciel libre d'une part, et d'autre part il utilise AlphaFS (écrit en C#)
[^] # Re: encfs
Posté par bubar🦥 (Mastodon) . En réponse au message Informations sur un dossier chiffré.. Évalué à 5. Dernière modification le 30 septembre 2017 à 11:50.
Il y a de plus certains problèmes avec EncFS, entre autre si un «attaquant» a accès à deux (ou plus) "snapshot" (cf : audit)
eCryptFS semble avoir moins de problèmes
GnuPG convient à cela, cependant la simplicité d'usage et l'efficacité de la solution peuvent être mises à mal par la nécessaire gestion des clefs (en plus, sur un pc sans selinux, ou avec selinux mais pas configuré, firefox peut lire le contenu de .gpg, et ce n'est pas ça qu'on veut) et/ou des certificats.
Il y a ZuluCrypt (compatible truecrypt, veracrypt, LUKS, DM-Crypt), une interface graphique bien fichue et simple d'usage (propose un mot de passe, pour chiffrer : le plus simple (propose aussi une "clef fichier" et une paire "clef-fichier" + "mot de passe" mais on retombe alors sur une nécessaire gestion de clefs)
Il y a également Cryptomator mais utilises WebDAV et JavaFX, ce qui rends son intégration sur un bureau local difficile (sur kde, par exemple, le kio concerné ne fonctionne pas bien avec dav.. mais il fonctionne bien avec webdav, cf ci-dessous) Et j'ai eu des pb d'erreurs de ré-ouverture de coffres lors de tests avec ce logiciel, avec perte des données de test. La leçon est donc : "utiliser dav" dans cryptomator & utilises les url webdav:// dans le gestionnaire de fichiers : ainsi ça fonctionne bien.
Le support de cryptomator renvoie sur kde, mais comme webdav fonctionne très bien avec dolphin, il y avait un doute… en fait c'est bien le gio mount de cryptomator qui fait mal le job si on choisi webdav, et pour l'autre possibilité : le fait qu'en choisissant dav il appelle ensuite dolphin avec une url dav:// qui cause des soucis (kio_http is a mess) Au final cela fonctionne bien, mais n'est pas parfaitement pratique : il faut faire "dav" côté cryptomator, et ouvrir l'url avec webdav:// dans dolphin.
Enfin, il y a QcCrypt qui a l'air très bien mais je n'ai pas testé.
Au final, j'utlise ZuluCrypt ;-) bien maintenu, projet très actif, facile d'usage, visiblement bien pensé et conçu, et enfin intégré et suivi par ma distribution. Plein d'atouts, et jamais eu de pb avec. Synchro directe sur mon nextcloud, avec intégration bureau, nickel.
Cdt.
# Autre système/distribution qui voit le jour
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Librem 5, un projet de téléphone mobile libre tournant sous GNU/Linux !. Évalué à 6.
https://postmarketos.org/
Basée sur Alpine Linux
Bonne route, « postmarketOS » !
[^] # Re: Si tu cherches encore
Posté par bubar🦥 (Mastodon) . En réponse au journal Linky et filtre cpl. Évalué à 2. Dernière modification le 14 septembre 2017 à 23:09.
Ne surtout pas jeter ces lampes !
Ce sont de véritables petites alarmes : « tiens, c'est l'heure de l'étude par cpl »
Et nul doute qu'il y a des bricolages très sympas à faire avec, au lieu d'allumer une ampoule elles peuvent éteindre 17 multi-prises :p
[^] # Re: Bah... Ça marche pô...
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche OpenDBViewer 1.0.1, lecteur de base de données léger SQLite & MySQL. Évalué à 4. Dernière modification le 13 septembre 2017 à 18:11.
Autre point : pour la compilaton la page github mentionne qt5 base devel seulement, or il faut également les outils de langues et traductions qt5 qttranslations, qui ne sont pas forcément installés par défaut avec kde plasma, selon les distributions. Il serait peut être utile de le mentionner ?
[^] # Re: (en plus des règles habituelles de sécurité)
Posté par bubar🦥 (Mastodon) . En réponse au journal De l'exploitation des logs de fail2ban…. Évalué à 2. Dernière modification le 04 septembre 2017 à 20:28.
Perso j'autorise root à se connecter.
Avec une triple authentification :
Par contre pour les users c'est plus compliqué… beaucoup plus : obtenir un shell (même non root donc), sur mon serveur me semble plus problématique qu'une bonne auth assez musclée pour root + conf système. Non ?
[^] # Re: (en plus des règles habituelles de sécurité)
Posté par bubar🦥 (Mastodon) . En réponse au journal De l'exploitation des logs de fail2ban…. Évalué à 4. Dernière modification le 04 septembre 2017 à 20:42.
2FA sans sms : sur le téléphone, AndOTP (ou Yubico Authenticator ou Google-authenticator.) Sur le serveur, PAM Google-authenticator, puis placez simplement :
auth required pam_google_authenticator.soEn seconde ligne de /etc/pam.d/sshd (si on le veut seulement avec ssh, sinon pour tout le systeme c'est dans system-auth-ac)C'est assez simple (avec le 2FA ci-dessus, donc sans sms mais avec un "que je possède") il suffit de remplacer un espace par une virgule dans sshd_config (ou ajoutez la directive suivante si elle n'existe pas) :
AuthenticationMethods publickey,keyboard-interactive:pam[^] # Re: Mwai
Posté par bubar🦥 (Mastodon) . En réponse au journal Firefox 57 - onglets contextuels et autres joyeusetés. Évalué à 10. Dernière modification le 27 août 2017 à 00:19.
Probablement, mais n'oublions que les geeks sont aussi des prescripteurs. Bien sûr la situation concurrentielle reste difficile, et qq prescripteurs ne feront pas changer la donne tout seuls. De vrais belles nouveautés peuvent faire revenir des geeks et avoir un effet positif plus globalement chez celles et ceux qui font attention à leur navigation.
J'ai abandonné Firefox il y a quelques semaines maintenant, après avoir subit pendant des semaines le problème central de consommation CPU de Firefox. Quelques onglets d'ouverts, parfois à peine 6, et il consomme entre 5 et 40% d'un I7, en oscillant en permanence entre ces valeurs. Quelques onglets de plus, dont des sites de type "réseaux sociaux" et c'était l'explosion : des pics à 70%, et au delà, de CPU, de cumul entre firefox et web-content. Jusqu'à des freezes sur des pages un peu "complexes". C'était devenu insupportable.
J'ai bien essayé le tarball de la MoFo, pour voir s'il ne s'agissait pas d'un problème de packaging ou de compilation par la distribution, et le résultat a été identique. Avec beaucoup de regret je me résigné à arrêter d'utiliser Firefox.
Ce journal me donne fortement envie de re-tester : la boite à cookies, c'est juste l'option parfaite. Initiée il y a bien longtemps par Chrome, puis abandonnée par ce dernier. Les containers sont une autre très bonne idée, c'est rassurant de savoir qu'on peut faire du facebook sans que ce dernier n'espionne toute la navigation. Si à l'usage ce Firefox limite sa consommation de CPU à du normal (ie : identique qu'un Chromium, ou un QupZilla, à usage similaire) alors je garderai ce Firefox. Et pour le moment, les premières observations font dire Bingo Mozilla a également amélioré son Firefox là dessus : il y du progrès.
Ouffff, bravo et merci.
# CGénial
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche GCompris sort en version 0.80. Évalué à 6.
Jusqu'à 10 ans ? Hey, j'ai pas encore fini le "atterrissage en douceur" sur Ceres :-)
[^] # Re: Haute trahison ?
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Le développeur libriste Bassel Khartabil exécuté dans une prison syrienne fin 2015. Évalué à 10.
Merci de rester poli et courtois dans les échanges.
[^] # Re: ben ca change pas fedora
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Fedora 26 est sortie !. Évalué à 2. Dernière modification le 16 juillet 2017 à 08:43.
Apper et Discover sont fournis, me semble t il, non ? Ce dernier est pas mal buggé aussi, du moins sur f25, plus que sur f24. Ce n'est pas dû à Fedora cependant. Personnellement je ne les utilise pas, préférant de loin l'interface cli dnf. D'un point de vue "pédagogique" j'aurai tendance à regretter les rpmdrake et autres interfaces qui présentaient sur un niveau strictement identique de la petite bibliothèque jusqu'à l'énorme 0AD, car cela a été un point majeur de ma compréhension du système : lire, re-lire, re-re-lire et encore lire pendant des heures cette liste de logiciels m'a permis de comprendre les bases d'un logiciel, son découpage, et d'appréhender ensuite la notion d'arbre de dépendances, jusqu'à le connaitre comme ma poche.
[^] # Re: Fichiers et sauvegarde
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche L’heure du test — fork 2 — Qubes OS. Évalué à 5. Dernière modification le 04 juillet 2017 à 20:19.
Autre exemple : modprobe 9p (c'est royal.)
Reste la question : quoi partager?
[^] # Re: Coquilles
Posté par bubar🦥 (Mastodon) . En réponse au journal Un bug ? Qui est le coupable ? Le processeur !!!. Évalué à 2.
Corrigé.
Merci!
[^] # Re: Ce n'est pas la première fois
Posté par bubar🦥 (Mastodon) . En réponse au journal Un bug ? Qui est le coupable ? Le processeur !!!. Évalué à 4. Dernière modification le 04 juillet 2017 à 16:47.
Autre source, sur ce bug de 2015.
Discussion intéressante (du moins, à la date du 25 juin) au sujet de ce bug là
[^] # Re: Chtite question
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Un pas en avant pour les serveurs libres : le projet NERF. Évalué à 10. Dernière modification le 01 juillet 2017 à 09:14.
On ne peut pas tout remplacer du ME, à moins d'être fondeur, et du moins pour le moment, car le service se découpe en deux parties distinctes : celle dans la puce spi (puce contenant le chargeur, ses payloads comme une interface bios et une init vga, et le ME [et à côté un grub et/ou directement un noyau s'il reste de la place]) et une partie encore plus obscure que le me spi dans une puce d'architecture arc (argonaut risc proco) contenant une clef privé pour le me. Cette dernière partie n'est pas atteignable pour ré-écriture par des moyens habituels. Par analogie on entends donc souvent "me = code me dans le spi", car c'est la partie essentielle, celle dans laquelle on trouve toutes les goodies (accès dma / oob, réseau, etc ..)
Ensuite ce service se découpe en 2 options : une version 2Mo, une ~6Mo. Ces 2 types/options offrent différent niveaux de possibilités, allant de "pas grand chose" jusqu'à "contrôle total distant", en passant par un "lms" (local management service). Les laptops (et les ordis de bureau), tous, ont à minima la version 2Mo. Certains laptops de classe entreprise ont la version ~6Mo, et les serveurs aussi. Désolé de ne pas être plus précis, je ne maitrise pas le sujet, vejmarie corrigera peut être si grosse bourde.
Un peu de lecture (plus récente que des trucs de 2014 :p)
https://mail.coreboot.org/pipermail/coreboot/2016-November/082333.html
https://mail.coreboot.org/pipermail/coreboot/2016-November/082335.html
https://github.com/skochinsky/me-tools
https://github.com/corna/me_cleaner
https://review.coreboot.org/#/c/19849/ (ce lien juste pour signaler les très belles avancées du projet purism)
& le + vieux :
https://www.kernel.org/doc/Documentation/misc-devices/mei/mei.txt
On appréciera particulièrement la possibilité d'un accès total et complet même en état s2 (veille d'un laptop par exemple)
Les deux parties essentielles sont : désactiver toute la stack réseau du me, et désactiver l'accès au me par le noyau.
Pour un laptop de classe 'parano', désactiver en plus tout ce qui permet d'avoir un accès usb/fw/esata/hdmi -> me.
Les pb rencontrés actuellement sur les laptops semblent variés après un me_cleaner : pb de stabilité et de performances sont rapportés. (Sur des acer c7x, aucun pb.)
À noter que chez amd c'est encore pire, puisque plutôt que d'avoir un proco arc dans un bridge, ils ont carrément foutu un proco arm lambda dans le cpu, dans leur dernière génération, qui semble t il fourni le même type de services (clef privée dans le proco arm, avec lequel l'équivalent du me dans le spi discute au pré-boot)
Il n'est pas illusoire d'avoir un serveur totalement libre :-)
[^] # Re: Chtite question
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Un pas en avant pour les serveurs libres : le projet NERF. Évalué à 4. Dernière modification le 01 juillet 2017 à 09:49.
Sur des machines personnelles, non-amt (ni même lms, d'ailleurs) comme des acer chromebook c710 & c720, c720p par exemple.
C'est l'effet le moins pire, parfois c'est la brique si tout (ex: la partition fptr) du me est retiré ('tout' entend : la partie dans le spi).
[^] # Re: Chtite question
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche Un pas en avant pour les serveurs libres : le projet NERF. Évalué à 4. Dernière modification le 30 juin 2017 à 11:41.
Les machines/cartes sur lesquelles cette op est faite ne rebootent pas toutes seules après 30mn ? (Il me semblait que le code contenu dans le processeur Arc implémenté dans un des deux bridges (et qui contient la clef privé du me) faisait rebooter la carte après un certain laps de temps s'il n'avait rien reçu du me. C'est obsolète ?)
[^] # Re: Radio Paradise, une webradio qu'elle est bien
Posté par bubar🦥 (Mastodon) . En réponse à la dépêche À la (re)découverte de Radio Paradise. Évalué à 2.
Pareil ici, c'est vraiment une super radio, et qui m'a fait découvrir des petits groupes français que même fip ne passe pas. C'est rare mais ça arrive.
[^] # Re: La faute à qui?
Posté par bubar🦥 (Mastodon) . En réponse au message La sécurité informatique ça sert à rien …. Évalué à 1.
Aux règles ?
Utiliser « abc123 » comme mot de passe n'est possible que parce que c'est possible. Rend le impossible et ça ne sera plus possible ( j'adore ce genre de tournures de phrases :)
# Hum, ça donne envie
Posté par bubar🦥 (Mastodon) . En réponse au journal Jeu sous GNU/Linux : The Talos Principle. Évalué à 7. Dernière modification le 09 mai 2017 à 22:43.
Merci pour ton journal, cette critique de jeu : ça m'a donné envie d'y jouer. Je vais probablement craqué dessus ! Autant de superbes hits comme Xcom2, Dying Light, Middle earth : shadow of mordor, Tomb Raider, Metro 2033, Metro Last Light, Hitman, Deux EX : Mankind Divided, Alien Isolation (ce dernier donne même envie d'acheter l'équipement VR) sont tellement excellents chacun dans leur genre et avec chacun leurs "wow" différents, que je n'hésite pas à payer le prix fort lorsqu'ils sortent natif pour Linux, autant Talos j'avais toujours hésité.
Et j'ai aussi adoré le petit hitman sous Android, un petit go d'énigme, alors je vais finalement essayer ce Talos.
A chaque fois que je lance Xonotic par contre je me dis la même chose : "tiens j'ai le sourire", car autant tout ces jeux sont tous excellents, et donne beaucoup de plaisir à y jouer, autant seuls des jeux comme Xonotic me donne physiquement le sourire et des éclats de rire. Et ça aussi c'est très important ! Bravo Xonotic !
[^] # Re: ha bon ?
Posté par bubar🦥 (Mastodon) . En réponse au journal La peste ou le choléra ?. Évalué à 2.
Merci de rester poli et courtois dans les échanges, y compris pour les insultes totalement ratées (enculés ? depuis quand est ce une insulte ?)
[^] # Re: correction
Posté par bubar🦥 (Mastodon) . En réponse au journal Campagne d'hameçonnage, Firefox et Chrome vulnérables.. Évalué à 3. Dernière modification le 18 avril 2017 à 18:33.
En théorie oui. En pratique peux tu dire que tu vois la différence entre : аррӏе & apple ? lorsqu'on y prête attention, on remarque la subtile différence, mais sincèrement, au jour le jour : regardes tu si précisement tout les domaines ? Ouvres tu systématiquement tout les certificats pour les regarder de tes yeux ? Tout tes utilisateurs le font aussi ?
Non, bien probablement non.
C'est pourquoi les navigateurs s'en protègent un peu, par exemple avec Chromium & Chrome :
https://www.chromium.org/developers/design-documents/idn-in-google-chrome
Mais ce n'est visiblement pas/plus suffisant. Alors bien que la vérification visuelle soit possible, et bien qu'effectivement la phrase "les navigateurs n'y voient que du feu" est incomplète, il n'en reste pas moins que des contre-mesures sont déjà en place, et que des mises à jour sont attendues.
[^] # Re: Félicitations
Posté par bubar🦥 (Mastodon) . En réponse au journal Et si on achetait des serveurs Open Hardware ?. Évalué à 2. Dernière modification le 09 avril 2017 à 11:52.
C'est également remarquable pour les informations présentées. J'y avait découvert le format des serveurs Facebook, cela ouvre d'autres horizons que les catalogues Dell & HPE.
Ce type de matériel convient également pour les écoles et universités, à mon humble avis, autant pour la partie prod que la partie découverte et apprentissage, non ? Mais je ne sais pas si c'est un marché intéressant et/ou comment ils achètent ces matériels.
En tout cas, en étant plus facile à maintenir en éléments séparés, et prenant moins de place même pour de petites configs d'un seul rack, nul doute que ce format finisse par se développer à plus petites échelles aussi (et pas seulement chez les grands opérateurs ou les facebook and co) et qu' on les voit dans toutes les entreprises "lambdas".
En tout cas, simplement bravo.