Glandos a écrit 1327 commentaires

Non, franchement, je n'ai pas envie de faire de pub pour Windows, mais il se trouve que Microsoft envisage d'utiliser Rust dans Windows. D'ailleurs, il y a une bibliothèque pour WinRT et quelques autres projets.

Ça mettrait quand même Rust bien en avant, ne serait-ce que pour l'introduire dans les connaissances recherchées chez les développeurs.

https://linuxplumbersconf.org/event/7/contributions/798/attachments/661/1214/LTO_PGO_and_AutoFDO_-_Plumbers_2020_-_Tolvanen_Wendling_Desaulniers.pdf

Bon, je connaissais pas l'AutoFDO (Automatic Feedback Directed Optimizer). En gros, ça utilise les données générées par le CPU (ses compteurs matériels), également utilisées par perf, pour générer des profils d'optimisation.

Je comprends et j'adhère à l'argumentaire (qui dit que le temps alloué à l'exclusivité des droits patrimoniaux est trop long), mais j'ai pas compris le passage à la conclusion, qui dit que « le contrat est rompu », et qui balance le film « Alice in Wonderland » de Walt Disney, en VO, mais en entier.

Enfin, bon visionnage :)

Ils font ça discrètement ?

J'ai dû le voir passer, mais non, je ne l'ai jamais vraiment envisagé. La cible annoncée est clairement pas le noyau familial :

Vault is a complex system that has many different pieces. To help both users and developers of Vault build a mental model of how it works, this page documents the system architecture.

Non, globalement, c'est bien ça. Par contre, j'ai oublié de mentionner que le nom du fichier n'est pas chiffré par pass. Or pour pouvoir proposer une extension navigateur qui sait remplir les formulaires, il faut mettre le nom du site web dans le nom du fichier (ou d'un répertoire parent). Ce qui pose un certain problème de confidentialité.

On a tous un jardin secret, et même quand c'est pas le cas, notre esprit est toujours inconsciemment rassuré de savoir qu'on peut cacher des choses sans risque.

Le fait que des gens se servent du projet signifie que c'est des morts-vivants ou des consanguins ? J'ai pas compris la comparaison là…

Je crois qu'il veut dire que les projets listés appartiennent soit à la catégorie des projets obsolètes (donc mort-vivant), soit à des projets faits par des développeurs de Weboob (donc consanguins).

Je ne crois pas que ce soit le cas de Cozy Cloud et de Geneanet.

Si j'utilise un logiciel je n'ai pas envie de soutenir des idées qui ne sont pas forcément les miennes.

L'auteur du logiciel l'affiche dans l'article de blog associé. Lors de l'utilisation de Notepad++ ce n'est pas affiché.

Dans ce cas-là, je ne vois pas de lien de soutien entre l'utilisation du logiciel et le soutien aux idées de l'auteur. Il n'y a pas de transfert d'argent, de transfert de pouvoir, ni de transfert de crédibilité. L'auteur ne sait pas qui utilise son logiciel, et ne peut pas en tirer un quelconque avantage pour la propagation de ses idées.

Je dirais même qu'il me semble qu'on a le droit d'utiliser un produit pour ses qualités intrinsèques, et non pas pour (ou contre) les idées de ses auteurs. Je parle des idées, pas de la manière dont le produit a été fait (par exemple en utilisant certaines formes d'esclavage moderne lors de la confection).

Au risque de me répéter, le choix d'une licence pour son logiciel est déjà un acte politique en soi. Le choix de la GPL va à l'encontre de beaucoup de règles culturelles et de lois qui sacralisent la propriété privée.

C'est a priori à cause de ses positions politiques. Le développeur de Notepad++ est connu pour cela, l'article le résume bien.

Je ne sais pas pourquoi, j'ai de l'empathie pour ce genre de comportement. Pas la censure, hein, mais utiliser sa notoriété pour défendre des causes. Et du coup, on se pose toujours la question de mélanger logiciel et politique, mais j'ai l'impression qu'on se la pose moins quand il s'agit d'acteurs célèbres. Bref, je m'égare.

D'après mon urologue, c'est strictement slip ou boxer. Mais du serré. Pas de caleçon qui fait brinquebaler. Et puis l'avantage du mot « slip », c'est que c'est unisexe.

De la même manière que si j'ai un slip Reine des Neiges, personne ne le saura, sauf si quelqu'un vient m'espionner aux toilettes.

Oui, j'ai fait un script, méthode La Rache. La variable STORE est à changer, et le résultat est à copier-coller dans l'import générique CSV de l'interface Web de Bitwarden.

Attention, pass supporte beaucoup de formats différents. À vrai dire, il n'y a même pas de formalisme imposé, ce qui est à la fois une force et une faiblesse. Donc les champs exportés ne seront peut-être pas bons…

#!/usr/bin/env python3

import sys
import pathlib
import subprocess
import csv

from typing import List
from dataclasses import dataclass

STORE = "/home/user/.password-store"


@dataclass
class PasswordEntry:
    folder: str
    login: str
    password: str
    uris: List[str]


def parse_passfile(store: pathlib.Path, passfile: pathlib.Path):
    run = subprocess.run(
        [
            "/usr/bin/gpg",
            "--decrypt",
            "--quiet",
            "--yes",
            "--compress-algo=none",
            "--no-encrypt-to",
            store / passfile,
        ],
        text=True,
        capture_output=True,
    )
    if run.returncode != 0:
        print("Decrypting failed")
        return None

    content = run.stdout.splitlines()
    password = content[0]
    uris = []
    login = ""
    folder = ""
    for line in content:
        field_line = line.split(":", 1)
        if len(field_line) == 1:
            continue
        field_name, field_value = [field_line[0].lower(), field_line[1]]
        if field_name in ["password", "pass", "secret"]:
            password = field_value
        elif field_name in ["login", "username", "user"]:
            login = field_value
        elif field_name in ["uri", "url", "website", "site", "link", "launch"]:
            uris.append(field_value)

    if not uris:
        uris = [passfile.stem]
        folder = str(passfile.parent)

    return PasswordEntry(folder, login, password, uris)


def generate_row(entry: PasswordEntry):
    # folder,favorite,type,name,notes,fields,login_uri,login_username,login_password,login_totp
    return [
        entry.folder,
        "",
        "login",
        entry.uris[0],
        "",
        "",
        entry.uris[0],
        entry.login,
        entry.password,
        "",
    ]


def iterate_passfile(store_dir: pathlib.Path):
    writer = csv.writer(sys.stdout)
    writer.writerow(
        [
            "folder",
            "favorite",
            "type",
            "name",
            "notes",
            "fields",
            "login_uri",
            "login_username",
            "login_password",
            "login_totp",
        ]
    )
    for passfile in sorted(
        [p.relative_to(store_dir) for p in store_dir.glob("**/*.gpg")]
    ):
        passname = passfile.stem
        dirname = passfile.parent
        entry = parse_passfile(STORE, passfile)
        writer.writerow(generate_row(entry))


if __name__ == "__main__":
    iterate_passfile(pathlib.Path(STORE))

La réponse rapide est : pas vraiment, non.

Mon modèle de menace part du principe que je ne cherche pas à éviter les attaques ciblées. Si quelqu'un cherche à me nuire spécifiquement, je n'aurais pas les moyens de l'éviter. Donc mon serveur est « sécurisé », je gère mon courriel et d'autres services, je le surveille aussi (c'est important), je le mets à jour régulièrement (presque tous les jours), mais je ne l'ai pas particulièrement durci. J'utilisais grsecurity de Debian jusqu'à il y a peu, mais le noyau commençait à se faire trop vieux (c'est un 4.9.0).

Je pense que ces protections suffisent pour éviter les attaques « simples », non ciblées, qui cherchent des serveurs ouverts ou non mis-à-jour. Je pars du principe qu'actuellement, il est beaucoup plus rentable pour un attaquant de cibler un gros silo plutôt que mon serveur qui ne contient que quelques informations à revendre. Et si la motivation n'est pas l'argent, il y a plein d'autres moyens de me nuire.

Ah oui, je me suis trompé. J'utilise trop de sécurité, et j'ai pas compris pourquoi ça marchait. Je vous explique.
uBlock Origin utilise la règle noopjs pour utag.js par défaut, qui crée un objet vide. C'est un comportement choisi parce que la plupart des sites échouent lamentablement quand l'objet global utag créé par ce script n'est pas présent.
Or sur le site d'identification de BPCE, c'est l'inverse : si l'objet est là, son comportement attendu est manquant, et le site plante. Si l'objet est non présent, c'est pas grave, on continue.

Donc il faut remplacer la règle de blocage. Je vous propose la solution miracle qui lave plus blanc :

||tags.tiqcdn.com/*/utag.js$script,redirect=none,domain=credit-cooperatif.coop,important


Une remarque concernant le domaine d'application. J'ai mis celui qui me concernait, domain=credit-cooperatif.coop, à vous de mettre le vôtre.

J'apprécierai tout particulièrement vos retours, y compris pour dire : « hey, c'est pas comme ça qu'on écrit une règle. »

Cf. https://linuxfr.org/users/jseb/journaux/dans-son-barillet-l-ecureuil-ne-met-pas-des-noisettes#comment-1818668

L'identification avec tags.tiqcdn.com bloqué fonctionne à nouveau.

Je ressors ce vieux (?) journal : aujourd'hui, au Crédit Coopératif, avec tags.tiqcdn.com bloqué, ça fonctionne.

Donc râlé a probablement marché quelque part. En tout cas, c'est la première fois que je vois que c'est allé aussi vite. C'est cool.

C'est bien rigolo comme réponse de la part d'un banquier. Ils utilisent toujours du COBOL, non ? Les virements SEPA non-instantanés ne sont pas possibles le week-end parce que les bases de données (AS/400 ?) sont en maintenance ?

Il faut savoir vivre avec son temps, en effet.

J'ai moinssé le journal parce que … c'est du FUD.

C'est vrai. Un peu.

Le comportement dénoncé est complètement nouveau. Avant, ça marchait très bien. Et il y a eu un projet de mise à jour, visiblement pour la DSP2, visiblement pour le groupe BPCE en entier. Et ce projet demande quelque chose de complètement fou : désactiver une protection. Car oui, quand je clique sur « valider » pour mon code confidentiel, ça appelle du Javascript de tags.tiqcdn.com. Donc justement, la culture du risque est totalement inexistante, ou tout du moins complètement à côté de sa cible. Une page d'identification ne devrait même pas contenir de Javascript. C'est facile, et on peut même la faire jolie.

Par contre ça a un petit impact négatif sur la partie bourse
J'espère que tu continueras la maintenance, je ne suis pas doué en JS/CSS.

Bon évidemment, j'accepte les modifications :) Si jamais c'est possible, je peux aussi tester sur des pages « anonymisées ». Mais ça demande un sacré travail d'exporter ça, donc à voir…

J'ai pu tester ou voir les banques suivantes :

• CIC
• Boursorama
• BNP Paribas
• Crédit Coopératif

Seul le CIC a une page d'identification qui respecte les standards, avec un champ d'identifiant, et un de mot de passe. Tous les autres ont un clavier virtuel à chiffres aléatoirement disposés, gênant à la fois pour l'accessibilité et rendant toute tentative de sécurisation de mon poste inutile : je ne peux pas utiliser un gestionnaire de mot de passe.

Concernant l'UX : Bourso et BNP sont partis sur une interface web de type tablette. C'est joli, et ça rend mon écran 1920×1200 aussi utile qu'un écran de résolution VGA. Il a fallu que je me paluche de la CSS pour tout défoncer, et afficher suffisamment d'informations. Bien sûr, il y a une mise en production tous les deux mois, donc ma bidouille n'est pas toujours à jour.

Crédit Coopératif a fait un truc rigolo : une SPA (Single Page Application), mais sans utilisation de l'API pour l'historique HTML5. Donc quand on navigue dans l'interface, ça charge des pages, mais l'historique n'est pas changé. Un clic sur « Précédent » et paf, tout est perdu. Sans parler des codes d'authentification forte qui sont envoyés. Dans l'absolu, c'est bien, mais ils font 8 chiffres au lieu de 6, c'est long et pénible sans être un plus pour la sécurité.

Bref, on demande à une banque en ligne de fournir :

• Un formulaire d'identification normal. Voir ce site de moules pour un bon exemple.
• Un tableau des transactions normal. Voir Excel ou Calc pour un bon exemple.

Rien de tout cela ne semble inclure du contenu externe actif comme sentry.io ou tags.tiqcdn.com. Et pourtant, ils le font, et demandent de désactiver le bloqueur de publicités, tout en demandant par les CGV de s'assurer que son poste est sain. On marche sur la tête.

J'avais déjà oublié que j'avais reçu leur réponse. Voici ma requête :

Bonjour,
Depuis peu, le clavier virtuel a évolué sur votre site. Cette page semble nécessiter le chargement d'une ressource Javascript tierce depuis https:// tags.tiqcdn.com/utag/caisse-epargne/ccoop/prod/utag.js
Je tiens à signaler que cette ressource est identifiée comme « gênante » par les bloqueurs de publicité, car elle contient des éléments effectuant du suivi comportemental. Elle n'a donc strictement rien à faire sur la page de saisie du code personnel d'authentification.
En anticipant votre réponse, je tiens à vous dire que je ne désactiverai pas mon bloqueur de publicité, qui est précisément là pour augmenter la sécurité lors de ma navigation sur Internet en évitant de charger des scripts tiers suspects. tags.tiqcdn.com est régulièrement bloqué sur d'autres sites, sans aucun impact sur la navigation. D'ailleurs, j'utilise également un outil de scraping pour accéder à mes comptes qui fonctionne parfaitement.
Merci donc de faire le nécessaire afin de ne plus charger cette ressource externe.

Et donc voici leur réponse. C'est court et pas argumenté.

Bonjour,
Nous accusons réception de votre demande d’assistance.
Nous avons donc contacté notre service sécurité afin qu'il nous apporte une réponse à votre questionnement.
Voici leur réponse :
"Les composants tiers appelés sont utilisés pour des besoins d’amélioration continue de notre service. Aucunes données à caractère personnelles ne leurs est transmise »
Bien cordialement
L'Equipe d'Assistance Crédit Coopératif

Je me disais bien que ça me disait quelque chose : j'ai le même symptôme au Crédit Coopératif

C'est le même site pour tous les membres de BPCE : Banque Populaire, Caisse d'Épargne, et donc aussi Crédit Coopératif.

J'ai écrit un message au service technique. Avec un peu de chance, il ne finira pas à la poubelle.

Perdu. C'est le pseudonymat qui existe en ligne, et c'est très différent.

Tout est bon sur ce site :

• Ne marche pas sans activer du JS externe
• Demande de désactiver des protections pour accéder à un site « sécurisé »
• Affiche des captures d'écrans prises avec un appareil photo
• Effectue une boucle active pour faire des requêtes POST sans pause entre les requêtes

Ce qui est important, c'est le medium physique. Après, les équipements intermédiaires peuvent se changer plus facilement, s'il faut du débit symétrique.

Pour le préfixe IPv6 fixe, oui, c'est l'équivalent de l'IPv4 fixe.