Glandos a écrit 1325 commentaires

Pour éviter les bruteforce sur les login.

Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !

Oui, c'est pas faux, les solutions clés en main ont un vrai historique, bien gros.

Par contre, c'est en général pas impossible de récupérer les identifiants d'un collègue. Surtout quand les communications internes vers le système d'authentification ne sont pas chiffrées.

Il me semble compliqué d'exiger des entreprises qu'elles identifient les sites des banques des employés (pour ne parler que de ça).

Ma boîte le fait très bien. Les sites « sensibles » comme les banques, ameli.fr, impots.gouv.fr, etc, ne sont pas interceptés. Par contre, le reste… Si :) Souvent l'interception sert à faire une redirection vers une page interne de blocage. Parfois (comme linuxfr ou GitHub, mais pas tout le temps), c'est juste pour rechiffrer.

Apparemment, ça utilise WebSense. Je n'ai pas plus creusé que ça.

Bah, tu sais, il y a reCaptcha pour s'identifier. Donc Google connaît déjà ton login et ton mot de passe.

reCaptcha pour créer un compte, pourquoi pas… Mais pour s'identifier, je ne comprendrais jamais.

Au début de la page 29 du document de l'ANSSI, il est clairement mentionné la chose suivante :

« La mise en place par une entité d’un mécanisme de déchiffrement des flux doit s’accompagner du respect des principes généraux suivants :
– transparence et loyauté de l’employeur vis-à-vis de ses salariés en les informant sur la nature des mesures informatiques prises sur le réseau informatique de l’entité et en recueillant leur consentement individuel sur la charte informatique ainsi qu’en consultant les
instances représentatives
du personnel »

Donc CHAQUE individu doit avoir signé un papier.

Ensuite, il faut savoir que cette note rappelle aussi un point important : ce n'est plus l'utilisateur qui fait la connexion, mais l'entreprise. En effet, à partir du moment où c'est elle qui chiffre, c'est elle qui devient responsable de la communication sortante. Je ne sais pas si les entreprises ont bien compris ce qu'implique cette responsabilité. En cas d'activité frauduleuse, ce sera donc à l'entreprise de démontrer que ce n'est pas elle qui est à l'origine de l'activité, et surtout de désigner le coupable. C'est pas évident.

Il faut avouer que le droit d'auteur est de moindre importance face à l'accord de Paris, les règles sociales et environnementales, et même au secret de la négociation, qui, même s'il n'est que de la forme, conditionne justement tout le reste de l'accord.

Ceci dit, c'est intéressant de voir qu'effectivement, « l'Occident » impose sa vision des choses. Enfin, j'imagine que ça ne déplaît pas non plus au Japon d'étendre les droits d'auteur.

Et ça n'a toujours aucun sens de le faire, du point de vue de la société. Évidemment, du point de vue des producteurs, ça a beaucoup plus de sens.

Stallman n'a rien fait pour empêcher les comportements que tu évalues comme non éthique d'une part, mais pire il a voulu accorder des droits larges.

Cf. le débat sur la licence JSON qui mentionne « […] for good, not evil », ou dans le genre, et qui n'est du coup pas considérée comme libre, parce que la notion de bien et de mal réduit la liberté des utilisateurs.

C'est vrai que c'est un point important. On peut légitimement vouloir que ses logiciels ne contribuent pas à l'extinction de la race humaine, ou d'autres choses, mais c'est une notion orthogonale à la liberté d'utilisation et de modification.

Oui, oui. Comme le vote sur le Brexit : https://www.lemonde.fr/referendum-sur-le-brexit/article/2018/07/17/au-royaume-uni-la-campagne-pour-le-brexit-sanctionnee-pour-infraction-au-code-electoral_5332744_4872498.html

La campagne a été un peu irrégulière (dépassement de budget), mais maintenant que c'est fait, le résultat est le même. C'est pas possible de revenir en arrière.

Commission européenne : http://europa.eu/rapid/press-release_IP-18-4581_fr.htm

UPDATE : Google : https://twitter.com/googleeurope/status/1019539840457723904

Bon, attention avant de tout remplir : il y a un Google reCAPTCHA, à la fin.

Donc, si vous voulez remplir ce formulaire, plutôt simple d'ailleurs, n'oubliez pas de débloquer les ressources externes en provenance de notre Grand Ami.

Thermal Grizzly a son guide. Alors, OK, c'est un vendeur de pâte thermique. Mais pour eux, c'est avec leur applicateur, ou bien, sans ça, avec une surface plane, lisse et légèrement flexible, en appuyant doucement et continuellement.

Moi, j'en sais rien. Je me rends juste compte qu'il n'y a strictement aucun avis objectif et étudié sur cette question.

J'ai pris un produit au hasard : https://www.materiel.net/pate-thermique/arctic-silver-arctic-ceramique-2-68953.html

Sur la fiche du commerçant, rien. Bon, il y a la fiche produit du constructeur : http://www.arcticsilver.com/cmq2.html

Toujours rien. Bon, il y a la fiche de sécurité, on ne sait jamais : http://www.arcticsilver.com/PDF/CMQ2_SDS.pdf

Résultat : impossible de trouver la conductivité thermique de ce produit. Ni électrique d'ailleurs. Ni pas grand chose, on sait juste qu'on peut mettre 70 particules de « trucs » dans 1/1000ème de pouce. Ce qui est très intéressant.

MISE-À-JOUR : pour d'autres produits, c'est plus facile. Genre https://www.materiel.net/pate-thermique/prolimatech-pk-1-56270.html

Ah c'est vraiment un bon spyware en bonne et due forme.
Quand Stylish avait fait sa version WebExtension, je le trouvais incroyablement lent. Il faut dire que j'ai un vieil ordinateur, mais tout de même. Et puis j'ai vu que Stylus est exactement ce que je cherchais : de l'injection de CSS pure et simple.

Je vois que mon choix était le bon. Et c'est ce que recommande aussi l'auteur à la fin de son article.

Lourd est le parpaing de la réalité sur la tartelette aux fraises de nos illusions. :'(

Dis donc, dans cet article (invité), on retrouve la même expression. Qui c'est qui a copié ?

Voilà, c'était un commentaire… euh… constructif.

Incroyablement merci de ce rapport détaillé.

Et allez, je vais donner un argument pour Google : DANE, d'un point de vue du navigateur, c'est lent. C'est lent de l'ordre de la demi-seconde, mais c'est lent pour un fournisseur de services qui compte les millisecondes. Avec DANE, il faut faire plusieurs requêtes, parfois avec un nouvel essai en TCP, avant même de se connecter au site. Les deux pourraient être fait en parallèle, mais bon.

Personnellement, mon résolveur local (unbound) fait la validation DNSSEC (ce qui n'est pas tout à fait pareil), et euh… ça va plutôt pas mal en fait :) Mais ça serait plus rapide sans ça.

C’est par exemple le cas d’un listener sur un port réseau, qui délèguerait à un thread chaque nouvelle connexion

C'est exactement pour ce cas là que l'asynchrone marche. Et justement, il ne faut pas faire de thread. Et il faut gérer les exceptions, pour éviter qu'un client ne pollue le programme complet.

Voir http://www.kegel.com/c10k.html

Bon après, il y a d'autres cas où oui, l'asynchrone ne marche pas bien, notamment quand les tâches sont complexes en calculs, et ne sont pas limitées par les entrées/sorties. Par exemple, décoder 16 flux vidéos de caméras en parallèle. Là, il faut clairement des threads, avec vaguement de temps en temps de la synchronisation.

'Tain mais Google quoi :

• https://tools.ietf.org/html/draft-ietf-httpbis-expect-ct-00 Première version en février 2017
• https://tools.ietf.org/html/draft-ietf-httpbis-expect-ct-05 Dernière en date du 30 mai 2018
• Et c'est juste un brouillon.

Ça va, c'est la fête ? Tout le monde met sa machine à jour tous les deux jours, donc on fait ce qu'on veut ?

Bon, sinon, encore une question un peu… orientée : si j'ai bien compris, la présence de Expect-CT demande au navigateur d'aller faire une requête à des journaux publics de Certificate Transparency. Alors, OK, on n'est pas obligé de prendre ceux de Google, mais ça veut dire qu'ils auront des statistiques sur tous les sites web visités en HTTPS, ou bien je me trompe ?

Il y a par exemple la lib Rayon pour Rust qui adopte un peu la même approche je crois.

Ah oui, c'est pas mal. Bon, il y a des différences conceptuelles dans le contrat des primitives :

If you do perform I/O, and that I/O should block (e.g., waiting for a network request), the overall performance may be poor.

Donc, c'est un peu l'inverse de Trio sur ce coup-là. Ce qui peut-être vu comme un complément. Rayon a l'air de simplifier les tâches parallélisables en environnement préemptif, alors que Trio (comme asyncio) favorise les tâches en environnement coopératif.

Mais ils ont l'immense honneur de mettre un terme au bordel, en instaurant une hiérarchie, permettant le retour des exceptions et de la bonne lecture du code.

Effectivement, comme déjà dit, foo() est qualifiée par async.

Un bon exemple (avec ipython):

In [1]: async def foo():
   ...:     print('1')
   ...:     

In [2]: def bar():
   ...:     print('2')
   ...:     

In [3]: bar()
2

In [4]: foo()
Out[4]: <coroutine object foo at 0x7fc5c6adae08>

En même temps, j'ai envie de poser la question : est-ce que la communauté « asynchrone » est si grande que ça dans l'écosystème Python ? Et même en général d'ailleurs. Il y a bien Javascript avec Node.js, et l'enfer du rappel que ça engendre (tiens, c'est une traduction rigolote du callback hell).

Mais asyncio en Python est vraiment tout récent, voire carrément « bleeding edge » dans l'industrie. Peu de bibliothèques l'utilisent, j'ai l'impression.

Et enfin, j'aurais envie de m'attarder sur le côté théorique plutôt que pratique. Trio propose un nouveau paradigme de programmation, une évolution. Ce n'est pas lié à Python, même si sa proposition concrète est faite avec. Mais qu'est-ce que ça peut donner dans d'autres langage ? Après tout, certains langages possèdent suffisamment de souplesse pour obtenir peu ou prou le même résultat.

Évidemment, avant de généraliser, il vaut mieux montrer au monde que ça marche avec une implémentation solide et reconnue. En tout cas, c'est comme ça que ça fonctionne aujourd'hui.

Il est têtard. Mais le tout est de faire la correction dans l'étang.

mardi 14 juin 2018

Je confirme, c'est Grammalecte. Sous Firefox, avec la version 0.6.4, le mot est en vert, avec en suggestion « jeudi ». C'est vrai, c'est sympa.

OK, envoie moi un moyen de te contacter, en utilisant mon JabberID, qui est aussi une adresse email valide :)

OK, envoie moi un moyen de me contacter, en utilisant mon JabberID, qui est aussi une adresse email valide :)

Évidemment ça ne sera peut-être pas adapté, mais c'est une idée : le laryngophone. Je vais repomper Wikipédia pour les flemmards :

Il est utilisé :

• dans des environnements très bruyants où la communication serait perturbée avec un microphone acoustique (sur un chantier, à moto, dans un hélicoptère, sur un champ de bataille),
• ou bien pour permettre au locuteur de rester furtif en parlant à un niveau plus faible qu'avec un microphone acoustique (et ainsi ne pas révéler sa position), et en cachant l'appareil sous son col (dans les opérations sous couverture)2.

Après, il faut pouvoir le fixer, ce qui n'est peut-être pas évident avec l'appareil d'assistance respiratoire.