fcartegnie a écrit 1393 commentaires

Autre projet open source only SUSI.AI

Applique un denoise avant l'encodage.

Il y a rien de pire pour un codec que d'avoir à compresser des détails ou créer des tiles pour des détails qui n'existent pas.

Envoyer la une clé à utiliser dans la réponse est une mauvaise idée.

Si la clé n'est pas fournie pas un moyen de confiance par le destinataire, rien n'empêche l'attaquant de substituer une autre clé et faire un MITM.

C'est comme envoyer des données à un serveur TLS qui n'aurait pas de CA.
Rien ne prouve que c'est bien le certificat du serveur demandé.

La seule "validation" implicite c'est via le réseau de confiance et les signatures de clé, mais là encore, rien ne prouve que la clé récupérée est la bonne et pas une clé révoquée.
En plus:
- ça bloate les headers en grossissant la clé avec toutes les signatures.
- la seule manière de vérifier les révocations c'est de vérifier auprès d'un serveur de clés auquel on fait confiance (en TLS bien sur!)

Ca rend le concept de clé dans le header ou de lien de clé dans le header totalement bancale, voire dangereux.

 - After each User Attribute packet, zero or more Signature packets
   (certifications)

Super : personne stocke en local sa clé épurée.
Donc des headers de 300 à 1Mo pour ceux qui ont participé à une keysigning…

On a un gros problème de spam quotidien sur les forums de videolan.

On avait des RBL, inefficaces.
Un check sur cleantalk montrait qu'on était majoritairement apparemment frappé en premier.
On pensait à des bots, j'ai changé les captchas en manuel régulièrement et c'était donc que de l'humain.

Puce à l'oreille un jour avec "seo" dans certaines adresses.
A tout hasard j'ai googlé "seo forum.videolan.org".
Je vous laisse constater par vous même l'origine du problème.

Malheureusement, pas grand chose à faire contre ces connards, à part blacklister l'ensemble des IP Indiennes, Pakistanaises, ukrainiennes et russes (la majorité du spam).

Dans leur techniques, en dehors de celles mentionnées dans ce journal
- Ouvrir un compte et attendre un temps défini avant de spammer
- Ouvrir un compte et poster un message anodin "thanks, that did help", "good work"
- Ouvrir un compte et copier des réponses existantes et les poster ailleurs
- Un des messages précédents qui est édité plus tard pour insérer le spam

Ca demande donc de monitorer l'activité de tous les profils, et pas que les nouveaux.

Très couteux en temps, et pénible :/

messages de rejet sympa avec To: <série de chiffres>@qq.com, quelqu'un énumérant visiblement les logins à base de chiffres (numéros de téléphone ?), nous conduisant à mettre @qq.com en liste noire pour être tranquilles (décembre 2017 et janvier 2018)

C'est du bounce spam vers la messagerie qq. Le but étant de faire renvoyer le texte d'origine en erreur à l'expéditeur forgé.

La seule solution c'est de ne jamais renvoyer de message d'erreur quand la box de destination est invalide ou de ne jamais citer le contenu du message d'origine.

C'est pourtant écrit "~29.97", donc l'unité ne peut être utilisée sans entraîner d'erreur à long terme.

Certains pays d'Asie ou du moyen orient s'en frottent les mains !

Plus besoin de torturer pour faire parler un opposant et obtenir son mot de passe,
il suffira de lui poser (ou couper) la main, l'oeil, …

Je pense que c'est une bonne initiative ; je ne sais pas si les chasses aux bugs payantes sont une façon plus ou moins efficace d'aider un logiciel qu'un audit de sécurité (relativement à leurs coûts, etc.), mais je trouve intéressant la démarche de ces eurodéputés d'essayer des choses différentes et de voir ce qui marche, pour ensuite proposer ce qui aura réussi dans une demande de financement pérenne.

On rappellera juste au passage que VLC est le logiciel Français et le logiciel multimédia le plus utilisé au monde, et, que VideoLAN a incontestablement moins de moyens financiers et humains que d'autres projets. (Mozilla c'est riche/gros comment ?)

Si l'U.E. investit un minimum dans la sécurité des logiciels libres c'est bon signe, c'est qu'ils prennent en compte aussi la menace pour les logiciels de premier plan que certains sont tentés d'exploiter…

Et nous on doit faire quoi à part subir si c'est bien le cas d'un fiasco majeur annoncé ?
- Vendre à découvert Intel à la sortie de l'embargo,
- prendre maintenant des Turbo/Warrant Put Intel et Call AMD,
- lancer une class action qui existe pas vraiment en France,
- et/ou invoquer le Vice caché pour un retour de tous les matos ?

Par contre sur Xbox et iPhone pas la même chose. J'ai converti les .avi en .mpeg pour les lires sur iPhone mais même chose, la vidéo se lance mais aucun image ni son pourtant c'est du .mp4.

Des AVI en MPEG en MP4… faudrait déjà savoir ce que tu fais.

Si on part sur la conso, faut le placer face à une board arm 64 bit

Si c'est face un NUC i5 avec un boîtier proto Asaka Fanless, strictement aucun.

Si la taille maximale d'un bloc empêche de valider un nombre infini de transactions par nouveau bloc trouvé (max transaction rate) alors sur un système à capacité pleine, oui les frais sont liés au minage car il faut bien prioritiser les transactions à valider.

Pour le reste les frais de transaction "en bitcoin" n'ont jamais changé. Ce n'est pas plus cher qu'hier, sauf si on sort du système bitcoin, et là c'est un autre problème.

Pour visser/dévisser les boulons GPG

quand c'est stable et secure, y'a pas besoin de maj

Fais un hexdump du header au lieu de nous poster le résultat d'une comparaison

Suffit de monter ton snapshot…
Pour la liste
zfs list -t snapshot

Après à voir si tu préfères pas directement un rollback ou le cloner

Avec la 'logique' de l'auteur on doit donc
dépasser celui qui roule à sa droite avec une marge de 30km/H.

Donc on a un max de 129 + (30 - 1) * (nb_de_voies - 1) sur la voie de gauche.

Les gens sont prêts à inventer n'importe quel prétexe pour se plier à des règles simples.

Dans l'isoloir, à la place du vote blanc, ça doit se tenter

Y'a de quoi s'inspirer dans les schemas et pièces de ce truc ici
http://airboxlab.foobot.io/

Simple à faire, impossible à vérifier sur une simple déclaration de patrimoine, légal…

Bof, quand tu vois que certains déclarent une propriété achetée à 400K
à leur valeur réévaluée avec l'évolution du prix du marché à 750K,
tout en mentionnant avoir eu des prêts pour des travaux coûteux,
et que personne se rend compte qu'il réévalue le montant de la ruine d'origine, et pas l'état actuel…

N'importe quel gars qui retape des maisons peut faire le calcul. Pas les journalistes.

Avec le Mobile ID (dont il faut également une configuration initiale, chez l'opérateur téléphonique) il est possible de se connecter avec le même appareil sur le compte bancaire. Le Mobile ID est cependant protégé par un mot de passe séparé. De plus, la validation se fait par l'intermédiaire de la société de télécommunication. Pour ceux que ça intéresse, voici le document de référence technique (en anglais)

Si tu regardes ta spec, la faille se trouve sur le terminal à l'entrée du pin.
Suffit que l'attaquant contrôle le terminal pour keylogger le pin, réutiliser le pin ou présenter une transaction autre pour le faire valider avec le pin de l'utilisateur.

C'est pour ça que les tokens hardware les plus sécurisés ont leur propre clavier et un écran séparé pour saisir et présenter la transaction, sans possibilité de détournement.

Autrement dit, on vend à l'utilisateur un faux sentiment de sécurité ("c'est plus compliqué à utiliser, c'est donc forcément plus sécurisé") qui aboutit en pratique à diminuer la sécurité.

Suffit de constater le nombres de personnes qui croient que le "3D Secure" des cartes bancaires augmente la sécurité du possesseur de la carte. J'ai jamais eu une réponse dans le sens contraire.