un compte créé dans la foulée ici pour troller et pointer un article de fbezies, faut vraiment nous prendre pour des imbéciles
103 commentaires à l'heure actuelle et sûrement des dizaines de visites vers son blog… Imbéciles ou pas je pense qu'il a parfaitement réussi ce qu'il cherchait à accomplir. C'est pas pour rien qu'on dit "don't feed the troll" , il en sort forcément gagnant.
Par contre le même jour, un enfant a 2x plus de chances d'être victime d'un accident lié à un véhicule motorisé. Et ça personne n'en parle ce jour là alors que c'est un danger avéré.
Je comprends ton exemple mais là c'est faux. Chaque Halloween j'entends et je lis (à Montreal mais je suis sûr que c'est pareil aux US) les règles de sécurité pour les enfants : vêtements clairs , pas trop long pour ne pas trébucher, toujours se déplacer en groupe, toujours traverser aux passages piétons, etc… Tous les journaux le disent.
Bien sûr que ça marcherait. Je connais quantité de gens (y compris des pros) qui gagneraient à passer sous Linux mais sont bloqués juste à cause de Office. Parce qu'ils y sont habitués, il ont leurs macros, leurs tableurs remplis etc… Changer de suite bureautique représente pour eux un effort plus important que changer d'OS (puisque l'OS pour beaucoup c'est essentiellement Chrome + Office).
Je n'utilise pas Office mais je serais très content qu'ils sortent une version Linux.
Et avec un OpenVPN sur un petit VPS perso à 5€/mois ? Si tu prends ça chez OVH par exemple, je vois pas trop ce qu'ils peuvent faire : https://www.ovh.com/fr/vps/vps-ssd.xml
Sauf si il s'amusent aussi à bloquer les plages IP des hébergeurs étrangers mais du coup la connexion internet ne sert plus à grand chose.
C'est une vraie question, je n'ai aucune idée ce qu'ils bloquent.
J'ai lu tout le journal sans jamais m'apercevoir qu'il contenait des points médians… Sincèrement, je ne l'ai su qu'en arrivant au 1er commentaire de ce fil.
Je l'ai déjà dit ailleurs sur ce site et me suis fait sévèrement moinssé mais moi non plus je ne comprends pas la gêne. Ou plutôt je comprends que c'est autre chose qui gêne, pas le point médian (exception faite de ceux qui ont déjà des difficultés de lecture par ailleurs).
Il gère les utilisateurs et les clients stockés en base de données ou dans un LDAP.
Est-ce que ça veut dire que le backend peut fonctionner en utilisant un LDAP existant ? Et que je pourrais utiliser Glewlwyd pour ajouter l'authent OpenID à mon serveur LDAP ?
En définitive, et pour répondre à Zenitram, ça ne me choque pas d'interdire un logiciel libre à des nazis si c'est pour les empêcher de diffuser de la propagande nazie. Par contre, ce ne serait pas cohérent pour un logiciel Open Source, car le mouvement Open Source est un mouvement technique avant d'être politique.
OK mais sachant que les licences sont les mêmes, ça se passe comment ? Comment fait-on pour définir la limite ?
Y'a une autre nuance que je vois dans la discussion du précédent journal c'est qu'on parle de deux choses différentes :
- gitlab le logiciel libre. On ne peut pas l'interdire à qui que ce soit sinon ça viole n'importe quelle licence libre.
- gitlab le SaaS. Là y'a ptet moyen de dire qu'on ne fait pas de business avec X,Y. Tu prends le logiciel, t'en fais ce que tu veux, mais je n'héberge pas ton code sur mon serveur. En France ce n'est pas légal de refuser un client pour raisons politiques. Je ne sais pas ce qu'il en est aux US.
Sinon je suis quand même étonné parce que je me souviens avoir dit que j'aimais la liberté d'expression des USA, qui évitait que les fachos se cachent pour fachoter, et Zenitram avait répondu un truc comme quoi lui préférait la liberté d'expression à la française, avec les limites. Et là j'ai l'impression qu'il dit un peu le contraire (mais pas complètement puisqu'il montre son Code of Conduct). Donc il aime les limites FR à la liberté d'expression, il pose des limites pour contribuer à son projet, mais en même temps accuse ceux qui voudraient faire pareil de "remettre en pratique (par effet boule de neige) le libre dans son ensemble." OK ces problématiques ne sont pas binaires, y'a pas une bonne et une mauvaise façon de voir le problème, mais là soit c'est contradictoire, soit je n'ai pas compris le positionnement (soit il trolle, "unacceptable behavior" chez mediaarena, donc il se décharge ici )
Ta méthode te paraît simple parce que tu es sensibilisé. Mais si je la donne à mon entourage, ça va se finir en "L'érep3" comme mot de passe sur absolument tous les comptes. Parce que nous avons beaucoup trop de mots de passe à gérer pour pouvoir tous les retenir. Si tu rajoutes ceux des comptes de ton entreprises c'est inhumain.
À l'heure actuelle je pense que la seule méthode sécurisée et utilisable c'est gestionnaire de mot de passe + authentification 2 facteurs. Mais… ce n'est malheureusement pas possible à intégrer partout.
Un autre client en a une pas mauvaise : il frappe ses mains au hasard sur le clavier quand il faut remplir le champ mot de passe. Et quand il lui faut se connecter, il passe systématiquement par "mot de passe oublié" pour obtenir un lien par email (et remettre un nouveau mot de passe qu'il n'essaiera pas de retenir).
On est d'accord, l'entreprise ne peut pas (ne devrait pas) lui demander de gérer seule les x passwords professionnels. En fait je voulais surtout répondre à "C'est mieux que dans les hôpitaux" avec un exemple tout aussi mauvais dans le privé. Par contre il y a quand même au moins une méthode plus simple et plus sécurisée pour l'employée : mettre les post-it ailleurs que sous les yeux des clients. Un ptit cahier dans son tiroir par exemple. C'est toujours mauvais mais c'est "moins pire".
Le vrai scandale c'est que personne de l'entreprise ne le lui ait dit. Le gars qui vient réparer le bourrage de l'imprimante, son supérieur, quelqu'un d'autre qu'un client quoi.
L'autre soucis, c'est que la "sécurité simple" je pense qu'on ne sait toujours pas faire (y compris les personnes responsables). Soit c'est simple et foireux (prénom comme mot de passe), soit c'est sécurisé et trop compliqué (règles absconses genre 28 caractères dont 2 voyelles de l'alphabet cyrillique qui entraînent fatalement les mots de passe sur post-it). Ça va mieux avec la généralisation de l'authent à 2 facteurs et la multiplication des gestionnaires de mots de passe mais encore faut-il réussir à concilier ça avec les usages en entreprise, que ça fonctionne avec les 3 logiciels métiers et la messagerie, etc…
Bref la sécurité c'est compliqué et je n'en veux pas à ceux qui veulent juste faire leur taff sans avoir à lutter contre les outils. Mais le constat reste le même : y'a des trous béants dans toutes les organisations.
Dernier exemple : En 2017, "des pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale de plus de 145 millions d’Américains" clients de Equifax (leader mondial en évaluation de la cote de crédit, 3 milliards de dollars de chiffre d'affaires annuel). Aujourd'hui on sait qu'en fait les identifiants du portail d'accès au données étaient {user : admin , password : admin}
Pas dans un hopital mais dans un laboratoire d'analyses (privé donc) : sur le panneau juste à côté de la gentille dame à l'accueil(et caisse), il y avait les URL et identifiants de leur solution SaaS de Gestion Électronique de Documents.
De plus elle avait visiblement plusieurs comptes différents car il y avait plusieurs post-its, chacun avec user/password écrit dessus. Cette personne est à la caisse. L'endroit où des dizaines de gens défilent chaque jour et restent assis avec, sous les yeux, les identifiants permettant d'accéder aux factures et/ou comptes rendus des prélèvements sanguins/vaginaux/etc… des patients. Je lui ai gentillement fait remarquer que c'était très dangereux, elle a souri puis m'a dit "c'est vrai, je vais les déplacer".
Sinon j'ai aussi découvert que ma secrétaire administrative (freelance) écrivait les mots de passe de tous ses clients (99% de TPE) sur un grand calendrier juste sous son clavier. Quand je lui ai dit d'arrêter tout de suite et d'installer un gestionnaire de mot de passe, elle m'a répondu qu'elle écrivait les mots de passe sans les identifiants et qu'en plus comme c'est écrit dans tous les sens, y'a qu'elle qui peut s'y retrouver.
Un autre client qui écrit tous les mots de passe de l'entreprise (~50 salariés) dans le Wiki de l'entreprise. Donc accessible à tout le monde. Il y a les comptes réseaux sociaux, certains comptes de messagerie, les identifiants du site des imôts et… l'accès aux comptes en banque ! En fait la seule protection c'est qu'il faut connaître l'URL de la page.
Et je ne parle même pas des mots de passe du style prénom+année, ils sont partout, chez tout le monde. En fait soyons clairs : il n'y a que les informaticiens qui se préoccupent de sécurité informatique. À quelques exceptions près, tous les autres font exactement ce qu'on dit de ne pas faire. Ils vont au plus simple juste pour que l'outil fonctionne sans les emmerder.
Par contre, quand t'auras la moitié des utilisateurs qui vont débarquer sur les forums en disant que Linux c'est de la merde parce qu'un Flatpak installé a tout cassé, et que du coup ils retournent sous Windows, faudra pas se plaindre de voir les PdM passer de 5% à 2%.
Alors :
Ils peuvent déjà tout casser. C'est la (mauvaise) mode aux "curl | sh" mais ceux qui sont susceptibles de taper ça sont généralement des dev donc ils vérifient. Les utilisateurs lambdas vont faire comme toujours : utiliser le programme fournit par la distro. Ici c'est de ça dont parle Ploum : sa distro lui donne des paquets snap. Mais le lambda ne saura même pas si c'est deb snap ou flomp. Il clique dans l'interface, ça installe. Donc pas plus de danger qu'avant, c'est la distribution qui gère.
Je ne pense pas que Linux soit déjà à 5% mais dans tous les cas, tu FUD. Je ne vois pas ce qui permet de penser que ça va faire fuire ceux qui vont se contenter de passer par l'outil fournit par la distro. Les autres savent ce qu'ils font
Personnellement, je ne veux rien à part un système qui marche. Ça fait longtemps que j'ai arrêté le prosélytisme. Je n'ai jamais utilisé flatpack/snap/autres parce que je n'en ai pas besoin. Si un jour ça arrive, je saurai gérer. Je m'adapte.
Non, à la base je fais juste remarquer que Flatpak permet exactement les mêmes dérives que les sites d'installations de logiciels Windows.
C'est vrai. Et c'est pour ça qu'il faut faire avec flatpack comme tu ferais sous Windows : ne prendre le paquet que sur le site de l'éditeur du logiciel. Tu constateras qu'il faut faire plus ou moins la même chose avec AUR : lire attentivement le PKGBUILD et t'assurer, notamment, que la source est correcte. Car les paquets ne sont pas gérés pas l'équipe de Arch (et il y a eu des cas de paquets vérolés). Et tu passes par un outil tiers (pas par Pacman, pas par le gestionnaire de paquets de la distribution) pour installer ton logiciel.
Bref, sur la sécurité, flatpack n'est pas si différente de AUR… Charge à l'utilisateur de vérifier ce qu'il installe.
Je pense que beaucoup sont dans ce cas : je me suis inscrit en janvier 2008, 1er contenu en aout 2009.
D'abord tu lis, puis tu t'inscris mais tu préfères attendre parce que tu as constaté que sur DLFP on se fait descendre assez vite, et puis un jour tu penses que tu as quelque chose qui pourrait vraiment les intéresser donc tu te lances… Je trouve ça plutôt sain en fait comme manière de faire pour s'intégrer. Et pas louche.
(Qui pour écrire un ptit script pour calculer l'interval moyen entre date d'inscription et premier contenu posté ?)
Effectivement, je n'ai pas pensé au fait que c'était ptêt une vraie adresse, j'aurais dû. Je voulais préciser que c'était chez hotmail que je rencontrais le soucis mais j'aurais pu l'écrire autrement.
Tu as oublié le "journal qui devrait être dans les forums".
En fait il faudrait que les contenus soient orientés objet. Tout post est par défaut un journal, puis :
- Si tu demandes de la relecture ou de l'édition collaborative ET qu'il est dans la ligne éditoriale, il devient une dépêche (manuel)
- Si cherches de l'aide sur un truc, les modos le passent en forum (manuel)
- Si ça contient uniquement un lien, il va dans les liens (automatique)
- Sinon il reste journal
Mais il faudrait que le contenu puisse passer de l'une à l'autre catégorie. Le lien d'un journal promu pourrait tjrs apparaître dans la liste des journaux mais pointerait vers la dépêche correspondante. Mais ça va poser un soucis pour les URL des contenus j'imagine. Le fonctionnement actuel des journaux promus en dépêche est chiant : ça divise la discussion. Au final le contenu n'est pas vraiment promu, il est dupliqué.
Bref, je suis d'accord avec ploum ci-dessus : les séparations arbitraires de contenus, ça complique la consultation pour un intérêt (à mon sens) limité.
Affirmer la domination masculine est une chose. Vraie et souhaitable.
Je me rends compte que ça peut être très mal compris… La domination est vraie et c'est le fait de l'affirmer qui est souhaitable ! La domination n'est pas souhaitable…
Je suis complètement d'accord avec ton explication sur la diférence entre rapport social et identité. Mais quand totof2000 dit
tu fais le même style de généralisation que font les gens d'extrême droite, du style "tous les immigrés sont des terroristes"
il me semble qu'il répond à cette phrase d'Ysabeau
pourquoi les femmes font-elles si peur aux hommes.
Ici ils (les 2) ne parlent pas du rapport social (voulu ou pas), mais biens "d'attributs individuels" (pour reprendre ton expression). Donc pour moi, dans ce cas, la comparaison se tient.
Affirmer la domination masculine est une chose. Vraie et souhaitable.
Affirmer que "les hommes ont peur des femmes" => même procédé de généralisation inutile & abusive que sur les immigrés.
Idem pour moi avec une vieille adresse hotmail. Je reçois les notifications de commandes de jeux XBOX (je n'ai jamais eu de console…) et, plus embêtant, des factures Bouygues Telecom. Comme il y a le n° de tel sur les factures, j'ai appelé cette personne pour lui dire que l'email xyz@hotmail.com était le mien et que je recevais ses factures. Et là, moment WTF, elle m'assure que c'est bien son adresse et qu'elle reçoit aussi les factures ! Je lui ai immédiatement demandé si elle ne recevait des trucs qui ne la concernait pas (adressés à moi) et apparemment non.
Bref je n'ai jamais réussi à démêler ce truc, ça fait longtemps que je n'ai rien de perso qui arrive sur cette adresse mais je continue à recevoir des factures Bouygues et notifications Xbox…
Je n'ai commencé à la croiser partout que récemment (relativement, genre 5 dernières années) donc j'en ai déduis que c'était une des nombreuses incursions de l'anglais dans la langue courante (surtout dans le digital) .
Mais vu que tu as une source qui atteste son utilisation bien avant ça, je prends. Par contre le Wiktionnaire dit qu'elle n'est pas dans le Petit Robert et tu donnes une définition qui vient de ce dernier. Faut ptêt corriger le wiktionnaire.
Posté par Faya .
En réponse à la dépêche Firefox 69 ☯.
Évalué à 3.
Dernière modification le 16 octobre 2019 à 22:20.
Whatsap web n'appelle que 2 domaines : whatsapp.com & web.whatsapp.com
Par contre pour ton assurance il y a de fortes chances que ça soit à cause des scripts tiers. Rien que pour ouvrir la page d'accueil maif.fr ça appelle de nombreux domaines différents. Si l'un d'entre eux est censé charger le script qui gère ton bouton mais qu'il est bloqué… ça ne va pas fonctionner.
[^] # Re: En se basant sur un exemple
Posté par Faya . En réponse au journal Les distributions GNU/Linux, un petit monde en voie d’extinction ?. Évalué à 2. Dernière modification le 20 novembre 2019 à 23:36.
"la part des OS non reconnus par leur méthode " j'aurais plutôt mis ça dans la ligne "others", mais admettons.
Ça n'explique quand même pas ce pic
[EDIT] je constate que Windows évolue en même temps et de manière opposée à Unknown. Un Windows inconnu à l'époque ?
[^] # Re: [linux] Videos surveillance particulier et PME
Posté par Faya . En réponse au journal Les distributions GNU/Linux, un petit monde en voie d’extinction ?. Évalué à 3.
« Ce commentaire aurait plus sa place
dans les forumsen tant que journal » (étayé)[^] # Re: Note du journal
Posté par Faya . En réponse au journal Les distributions GNU/Linux, un petit monde en voie d’extinction ?. Évalué à 3.
103 commentaires à l'heure actuelle et sûrement des dizaines de visites vers son blog… Imbéciles ou pas je pense qu'il a parfaitement réussi ce qu'il cherchait à accomplir. C'est pas pour rien qu'on dit "don't feed the troll" , il en sort forcément gagnant.
[^] # Re: En se basant sur un exemple
Posté par Faya . En réponse au journal Les distributions GNU/Linux, un petit monde en voie d’extinction ?. Évalué à 2.
Il est bizarre ce graphique. C'est quoi l'OS "Unknown" apparu en septembre 2018, qui dépasse MacOS en novembre, pour replonger tout de suite après ?
[^] # Re: Inquiet
Posté par Faya . En réponse au journal Microsoft Edge : bientôt une version GNU/Linux. Évalué à 2. Dernière modification le 19 novembre 2019 à 17:33.
Je comprends ton exemple mais là c'est faux. Chaque Halloween j'entends et je lis (à Montreal mais je suis sûr que c'est pareil aux US) les règles de sécurité pour les enfants : vêtements clairs , pas trop long pour ne pas trébucher, toujours se déplacer en groupe, toujours traverser aux passages piétons, etc… Tous les journaux le disent.
https://www.journaldemontreal.com/2019/10/29/halloween-quelques-conseils-de-securite
https://www.redcross.ca/training-and-certification/first-aid-tips-and-resources/first-aid-tips/halloween-safety
https://www.safekids.org/tip/halloween-safety-tips
[^] # Re: cela fera plaisir aux afficonados de edge
Posté par Faya . En réponse au journal Microsoft Edge : bientôt une version GNU/Linux. Évalué à 8.
Bien sûr que ça marcherait. Je connais quantité de gens (y compris des pros) qui gagneraient à passer sous Linux mais sont bloqués juste à cause de Office. Parce qu'ils y sont habitués, il ont leurs macros, leurs tableurs remplis etc… Changer de suite bureautique représente pour eux un effort plus important que changer d'OS (puisque l'OS pour beaucoup c'est essentiellement Chrome + Office).
Je n'utilise pas Office mais je serais très content qu'ils sortent une version Linux.
[^] # Re: Great firewall, cas de la Chine
Posté par Faya . En réponse à la dépêche HTTPS, Tor, VPN : de quoi est‐ce que ça protège exactement ?. Évalué à 5.
Et avec un OpenVPN sur un petit VPS perso à 5€/mois ? Si tu prends ça chez OVH par exemple, je vois pas trop ce qu'ils peuvent faire : https://www.ovh.com/fr/vps/vps-ssd.xml
Sauf si il s'amusent aussi à bloquer les plages IP des hébergeurs étrangers mais du coup la connexion internet ne sert plus à grand chose.
C'est une vraie question, je n'ai aucune idée ce qu'ils bloquent.
[^] # Re: Difficultés de lecture et découverte d'extension
Posté par Faya . En réponse au journal S'acheter son logement avec le salaire d'un expert C++ (ou autre techno). Évalué à 9.
J'ai lu tout le journal sans jamais m'apercevoir qu'il contenait des points médians… Sincèrement, je ne l'ai su qu'en arrivant au 1er commentaire de ce fil.
Je l'ai déjà dit ailleurs sur ce site et me suis fait sévèrement moinssé mais moi non plus je ne comprends pas la gêne. Ou plutôt je comprends que c'est autre chose qui gêne, pas le point médian (exception faite de ceux qui ont déjà des difficultés de lecture par ailleurs).
[^] # Re: Base de données
Posté par Faya . En réponse au journal Sortie de Glewlwyd 2.0, serveur SSO. Évalué à 2.
Ce projet m'intéresse. Je lis :
Est-ce que ça veut dire que le backend peut fonctionner en utilisant un LDAP existant ? Et que je pourrais utiliser Glewlwyd pour ajouter l'authent OpenID à mon serveur LDAP ?
Sauf erreur je n'ai pas trouvé comment le configurer de cette façon ( en parcourant rapidement https://babelouest.github.io/glewlwyd/docs/INSTALL.html#database-back-end-initialisation ), je dis ptêt une connerie.
# Mais concrètement ?
Posté par Faya . En réponse au journal Du logiciel libre et de la liberté en général. Évalué à 6. Dernière modification le 31 octobre 2019 à 16:18.
OK mais sachant que les licences sont les mêmes, ça se passe comment ? Comment fait-on pour définir la limite ?
Y'a une autre nuance que je vois dans la discussion du précédent journal c'est qu'on parle de deux choses différentes :
- gitlab le logiciel libre. On ne peut pas l'interdire à qui que ce soit sinon ça viole n'importe quelle licence libre.
- gitlab le SaaS. Là y'a ptet moyen de dire qu'on ne fait pas de business avec X,Y. Tu prends le logiciel, t'en fais ce que tu veux, mais je n'héberge pas ton code sur mon serveur. En France ce n'est pas légal de refuser un client pour raisons politiques. Je ne sais pas ce qu'il en est aux US.
Sinon je suis quand même étonné parce que je me souviens avoir dit que j'aimais la liberté d'expression des USA, qui évitait que les fachos se cachent pour fachoter, et Zenitram avait répondu un truc comme quoi lui préférait la liberté d'expression à la française, avec les limites. Et là j'ai l'impression qu'il dit un peu le contraire (mais pas complètement puisqu'il montre son Code of Conduct). Donc il aime les limites FR à la liberté d'expression, il pose des limites pour contribuer à son projet, mais en même temps accuse ceux qui voudraient faire pareil de "remettre en pratique (par effet boule de neige) le libre dans son ensemble." OK ces problématiques ne sont pas binaires, y'a pas une bonne et une mauvaise façon de voir le problème, mais là soit c'est contradictoire, soit je n'ai pas compris le positionnement (soit il trolle, "unacceptable behavior" chez mediaarena, donc il se décharge ici )
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Faya . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 10.
Ta méthode te paraît simple parce que tu es sensibilisé. Mais si je la donne à mon entourage, ça va se finir en "L'érep3" comme mot de passe sur absolument tous les comptes. Parce que nous avons beaucoup trop de mots de passe à gérer pour pouvoir tous les retenir. Si tu rajoutes ceux des comptes de ton entreprises c'est inhumain.
À l'heure actuelle je pense que la seule méthode sécurisée et utilisable c'est gestionnaire de mot de passe + authentification 2 facteurs. Mais… ce n'est malheureusement pas possible à intégrer partout.
Un autre client en a une pas mauvaise : il frappe ses mains au hasard sur le clavier quand il faut remplir le champ mot de passe. Et quand il lui faut se connecter, il passe systématiquement par "mot de passe oublié" pour obtenir un lien par email (et remettre un nouveau mot de passe qu'il n'essaiera pas de retenir).
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Faya . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 5. Dernière modification le 29 octobre 2019 à 17:05.
On est d'accord, l'entreprise ne peut pas (ne devrait pas) lui demander de gérer seule les x passwords professionnels. En fait je voulais surtout répondre à "C'est mieux que dans les hôpitaux" avec un exemple tout aussi mauvais dans le privé. Par contre il y a quand même au moins une méthode plus simple et plus sécurisée pour l'employée : mettre les post-it ailleurs que sous les yeux des clients. Un ptit cahier dans son tiroir par exemple. C'est toujours mauvais mais c'est "moins pire".
Le vrai scandale c'est que personne de l'entreprise ne le lui ait dit. Le gars qui vient réparer le bourrage de l'imprimante, son supérieur, quelqu'un d'autre qu'un client quoi.
L'autre soucis, c'est que la "sécurité simple" je pense qu'on ne sait toujours pas faire (y compris les personnes responsables). Soit c'est simple et foireux (prénom comme mot de passe), soit c'est sécurisé et trop compliqué (règles absconses genre 28 caractères dont 2 voyelles de l'alphabet cyrillique qui entraînent fatalement les mots de passe sur post-it). Ça va mieux avec la généralisation de l'authent à 2 facteurs et la multiplication des gestionnaires de mots de passe mais encore faut-il réussir à concilier ça avec les usages en entreprise, que ça fonctionne avec les 3 logiciels métiers et la messagerie, etc…
Bref la sécurité c'est compliqué et je n'en veux pas à ceux qui veulent juste faire leur taff sans avoir à lutter contre les outils. Mais le constat reste le même : y'a des trous béants dans toutes les organisations.
Dernier exemple : En 2017, "des pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale de plus de 145 millions d’Américains" clients de Equifax (leader mondial en évaluation de la cote de crédit, 3 milliards de dollars de chiffre d'affaires annuel). Aujourd'hui on sait qu'en fait les identifiants du portail d'accès au données étaient {user : admin , password : admin}
Voilà voilà…
[^] # Re: C'est mieux que dans les hôpitaux
Posté par Faya . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 10.
Pas dans un hopital mais dans un laboratoire d'analyses (privé donc) : sur le panneau juste à côté de la gentille dame à l'accueil(et caisse), il y avait les URL et identifiants de leur solution SaaS de Gestion Électronique de Documents.
De plus elle avait visiblement plusieurs comptes différents car il y avait plusieurs post-its, chacun avec user/password écrit dessus. Cette personne est à la caisse. L'endroit où des dizaines de gens défilent chaque jour et restent assis avec, sous les yeux, les identifiants permettant d'accéder aux factures et/ou comptes rendus des prélèvements sanguins/vaginaux/etc… des patients. Je lui ai gentillement fait remarquer que c'était très dangereux, elle a souri puis m'a dit "c'est vrai, je vais les déplacer".
Sinon j'ai aussi découvert que ma secrétaire administrative (freelance) écrivait les mots de passe de tous ses clients (99% de TPE) sur un grand calendrier juste sous son clavier. Quand je lui ai dit d'arrêter tout de suite et d'installer un gestionnaire de mot de passe, elle m'a répondu qu'elle écrivait les mots de passe sans les identifiants et qu'en plus comme c'est écrit dans tous les sens, y'a qu'elle qui peut s'y retrouver.
Un autre client qui écrit tous les mots de passe de l'entreprise (~50 salariés) dans le Wiki de l'entreprise. Donc accessible à tout le monde. Il y a les comptes réseaux sociaux, certains comptes de messagerie, les identifiants du site des imôts et… l'accès aux comptes en banque ! En fait la seule protection c'est qu'il faut connaître l'URL de la page.
Et je ne parle même pas des mots de passe du style prénom+année, ils sont partout, chez tout le monde. En fait soyons clairs : il n'y a que les informaticiens qui se préoccupent de sécurité informatique. À quelques exceptions près, tous les autres font exactement ce qu'on dit de ne pas faire. Ils vont au plus simple juste pour que l'outil fonctionne sans les emmerder.
[^] # Re: Bien d'accord !
Posté par Faya . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
Alors :
Ils peuvent déjà tout casser. C'est la (mauvaise) mode aux "curl | sh" mais ceux qui sont susceptibles de taper ça sont généralement des dev donc ils vérifient. Les utilisateurs lambdas vont faire comme toujours : utiliser le programme fournit par la distro. Ici c'est de ça dont parle Ploum : sa distro lui donne des paquets snap. Mais le lambda ne saura même pas si c'est deb snap ou flomp. Il clique dans l'interface, ça installe. Donc pas plus de danger qu'avant, c'est la distribution qui gère.
Je ne pense pas que Linux soit déjà à 5% mais dans tous les cas, tu FUD. Je ne vois pas ce qui permet de penser que ça va faire fuire ceux qui vont se contenter de passer par l'outil fournit par la distro. Les autres savent ce qu'ils font
Personnellement, je ne veux rien à part un système qui marche. Ça fait longtemps que j'ai arrêté le prosélytisme. Je n'ai jamais utilisé flatpack/snap/autres parce que je n'en ai pas besoin. Si un jour ça arrive, je saurai gérer. Je m'adapte.
[^] # Re: Bien d'accord !
Posté par Faya . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
C'est vrai. Et c'est pour ça qu'il faut faire avec flatpack comme tu ferais sous Windows : ne prendre le paquet que sur le site de l'éditeur du logiciel. Tu constateras qu'il faut faire plus ou moins la même chose avec AUR : lire attentivement le PKGBUILD et t'assurer, notamment, que la source est correcte. Car les paquets ne sont pas gérés pas l'équipe de Arch (et il y a eu des cas de paquets vérolés). Et tu passes par un outil tiers (pas par Pacman, pas par le gestionnaire de paquets de la distribution) pour installer ton logiciel.
Bref, sur la sécurité, flatpack n'est pas si différente de AUR… Charge à l'utilisateur de vérifier ce qu'il installe.
[^] # Re: moinsage?
Posté par Faya . En réponse au journal Un serveur de mail complet et moderne . Évalué à 5.
Je pense que beaucoup sont dans ce cas : je me suis inscrit en janvier 2008, 1er contenu en aout 2009.
D'abord tu lis, puis tu t'inscris mais tu préfères attendre parce que tu as constaté que sur DLFP on se fait descendre assez vite, et puis un jour tu penses que tu as quelque chose qui pourrait vraiment les intéresser donc tu te lances… Je trouve ça plutôt sain en fait comme manière de faire pour s'intégrer. Et pas louche.
(Qui pour écrire un ptit script pour calculer l'interval moyen entre date d'inscription et premier contenu posté ?)
[^] # Re: Signaler et porter plainte
Posté par Faya . En réponse au journal Les cons? ça ose tout!. Évalué à 2.
Effectivement, je n'ai pas pensé au fait que c'était ptêt une vraie adresse, j'aurais dû. Je voulais préciser que c'était chez hotmail que je rencontrais le soucis mais j'aurais pu l'écrire autrement.
[^] # Re: Proposition pragmatique
Posté par Faya . En réponse au journal manque d'auto-respect des bookmarks?. Évalué à 8.
Tu as oublié le "journal qui devrait être dans les forums".
En fait il faudrait que les contenus soient orientés objet. Tout post est par défaut un journal, puis :
- Si tu demandes de la relecture ou de l'édition collaborative ET qu'il est dans la ligne éditoriale, il devient une dépêche (manuel)
- Si cherches de l'aide sur un truc, les modos le passent en forum (manuel)
- Si ça contient uniquement un lien, il va dans les liens (automatique)
- Sinon il reste journal
Mais il faudrait que le contenu puisse passer de l'une à l'autre catégorie. Le lien d'un journal promu pourrait tjrs apparaître dans la liste des journaux mais pointerait vers la dépêche correspondante. Mais ça va poser un soucis pour les URL des contenus j'imagine. Le fonctionnement actuel des journaux promus en dépêche est chiant : ça divise la discussion. Au final le contenu n'est pas vraiment promu, il est dupliqué.
Bref, je suis d'accord avec ploum ci-dessus : les séparations arbitraires de contenus, ça complique la consultation pour un intérêt (à mon sens) limité.
[^] # Re: Je veux pas dire mais...
Posté par Faya . En réponse au journal Wikimedia pris en otage. Évalué à 3.
Je me rends compte que ça peut être très mal compris… La domination est vraie et c'est le fait de l'affirmer qui est souhaitable ! La domination n'est pas souhaitable…
[^] # Re: Je veux pas dire mais...
Posté par Faya . En réponse au journal Wikimedia pris en otage. Évalué à 6.
Je suis complètement d'accord avec ton explication sur la diférence entre rapport social et identité. Mais quand totof2000 dit
il me semble qu'il répond à cette phrase d'Ysabeau
Ici ils (les 2) ne parlent pas du rapport social (voulu ou pas), mais biens "d'attributs individuels" (pour reprendre ton expression). Donc pour moi, dans ce cas, la comparaison se tient.
Affirmer la domination masculine est une chose. Vraie et souhaitable.
Affirmer que "les hommes ont peur des femmes" => même procédé de généralisation inutile & abusive que sur les immigrés.
[^] # Re: Signaler et porter plainte
Posté par Faya . En réponse au journal Les cons? ça ose tout!. Évalué à 4.
Idem pour moi avec une vieille adresse hotmail. Je reçois les notifications de commandes de jeux XBOX (je n'ai jamais eu de console…) et, plus embêtant, des factures Bouygues Telecom. Comme il y a le n° de tel sur les factures, j'ai appelé cette personne pour lui dire que l'email xyz@hotmail.com était le mien et que je recevais ses factures. Et là, moment WTF, elle m'assure que c'est bien son adresse et qu'elle reçoit aussi les factures ! Je lui ai immédiatement demandé si elle ne recevait des trucs qui ne la concernait pas (adressés à moi) et apparemment non.
Bref je n'ai jamais réussi à démêler ce truc, ça fait longtemps que je n'ai rien de perso qui arrive sur cette adresse mais je continue à recevoir des factures Bouygues et notifications Xbox…
[^] # Re: Masculinisation des noms de métiers, y'a encore du boulot
Posté par Faya . En réponse au journal Féminisation des diplômes, y'a encore du boulot. Évalué à 4.
Je n'ai commencé à la croiser partout que récemment (relativement, genre 5 dernières années) donc j'en ai déduis que c'était une des nombreuses incursions de l'anglais dans la langue courante (surtout dans le digital) .
Mais vu que tu as une source qui atteste son utilisation bien avant ça, je prends. Par contre le Wiktionnaire dit qu'elle n'est pas dans le Petit Robert et tu donnes une définition qui vient de ce dernier. Faut ptêt corriger le wiktionnaire.
[^] # Re: Masculinisation des noms de métiers, y'a encore du boulot
Posté par Faya . En réponse au journal Féminisation des diplômes, y'a encore du boulot. Évalué à 7.
Un autre truc qui n'a pas de sens, c'est "faire sens" (sûrement calqué de to make sense)
[^] # Re: la version Wayland de Firefox ne prend pas en charge Flash
Posté par Faya . En réponse à la dépêche Firefox 69 ☯. Évalué à 3. Dernière modification le 16 octobre 2019 à 22:20.
Whatsap web n'appelle que 2 domaines : whatsapp.com & web.whatsapp.com
Par contre pour ton assurance il y a de fortes chances que ça soit à cause des scripts tiers. Rien que pour ouvrir la page d'accueil maif.fr ça appelle de nombreux domaines différents. Si l'un d'entre eux est censé charger le script qui gère ton bouton mais qu'il est bloqué… ça ne va pas fonctionner.
abtasty.com
try.abtasty.com
commander1.com
engage.commander1.com
privacy.commander1.com
facil-iti.com
ws.facil-iti.com
tagcommander.com
cdn.tagcommander.com
xiti.com
logs4.xiti.com
[EDIT] Ah bin mince t'as répondu pendant que je rédigeais.
[^] # Re: la version Wayland de Firefox ne prend pas en charge Flash
Posté par Faya . En réponse à la dépêche Firefox 69 ☯. Évalué à 4. Dernière modification le 15 octobre 2019 à 22:04.
Je l'utilise en ce moment même avec FF 69.0.3 Ptêt que ton soucis est ailleurs ? (extensions, etc…)