barmic 🦦 a écrit 5782 commentaires

Dark Reader

Je l'ai essayé il y a quelques temps et je n'ai que rarement eu un résultat satisfaisant, il y a toujours un truc bien mal foutu qui me fais préférer une version claire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Moi ce que je fais :)

Réglages de base

• connecter à mon compte Mozilla
• Restaurer la session précédente
• je met le thème sombre
• j'utilise un densité « compacte »

Mes extensions

• Firefox Multi-Account Containers : outre certain usages dans mon taff de dev, ça permet aussi de limiter un peu partage d'info entre site
• HTTPS Everywhere : pareil ça me sert principalement pour quelques sites, heureux de savoir que ce sera bientôt inclu par défaut
• ReloadMatic: Automatic Tab Refresh : principalement parce que j'épingle https://linuxfr.org/readings et je la laisse se rechercharger toutes les 5 minutes
• Tag Center Redux : on m'a longtemps parlé de tree style tab que j'ai jamais apprécié pour 2 raisons : je trouve que ça devient bordélique et ça consomme de la place horizontale sur un espace pas très grand
• Tampermonkey parce qu'on peut faire des trucs cool avec :)
• uBlock Origin : il faut vraiment le présenter ?

Les 3 que j'active en mode privé sont HTTPS Everywhere, Tab Center Redux et uBlock Origin.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Puis ça casse des sites quand, comme moi, on utilise prioritairement une authentification type OAuth.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ton lien est cassé. Quelqu'un de l'équipe de modération pourrait le corriger ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça laissera le souci d'une lenteur internale -bon PoC de geek, mais complètement inutilisable au quotidien.

On est totalement d'accord, mais déjà sortir une vielle machine et faire les mises à jours version par version, plutôt qu'une nouvelle installation propre, je pense que l'auteur du journal peut être un client ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et pour plus d'efficacité, d'aller voir du côté des capacités AsyncIO de Python.

Ça dépend. Utiliser des I/O asynchrones est plus efficace si tu dois multiplexer beaucoup de requêtes, mais s'il s'agit de ressources volumineuses ce sera moins efficace que du synchrone si je ne m'abuse.

Donc il faut voir pourquoi tu as besoin d'un proxy :

• un grand nombre de requêtes
• des ressources volumineuses

Des 2 il faut choisir ce qui est prioritaire. Après tu peux même faire 2 implémentations et configurer les clients pour choisir le bon proxy.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ils ont pas des réimplémentations logiciel justement ? Le principe c'est justement de virtualiser une architecture différente de celle que tu as sinon on perd une partie de l'intérêt du truc. S'ils n'ont pas prévu d'implémentation logiciel de SSE2, peut être virtualiser un ARM, mais ça doit être compliqué parce qu'il faut reproduire complètement un SOC connu type RPi ou banana pi.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour le lol, virtualise une machine qui va bien par dessus. Tu n'a pas les instructions de virtualisation mais j'espère qu'ils n'obligent pas tous à les avoir. Alors oui jeter le peu de puissance de ton CPU dans de la virtualisation ça paraît pas une bonne idée, mais si tu as des petits besoins.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est plus rigolo à lire

Non c'est horripilant, énervant et rend difficile la discussion (la discussion est un échange de point de vu et pas un jeté de son point de vu à la gueule de son lectorat). Ça participe a une ambiance pas très agréable.

J'aime les commentaires qui ont du style

Tu confond style et violence, c'est assez triste. Quand bien même se serait un style, il doit être à la hauteur du propos et ce n'est clairement pas le cas ici. On a quelque chose à dire, on choisi un style pour le dire. Si c'est pour sortir une soupe insipide sans la moindre argumentation ça tombe à plat. Je ne sais pas qui tu cherche à copier, mais tu ne le fais pas dans le bon sens.

aussi j'ai plein d'karma donc ça fout :p

Tout ton karma ne te protègera pas de mon plonkage car, non, je n'ai aucune intention de te censurer, je préfère simplement t'éviter.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La dissonance cognitive ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il existe suffisamment d'environnements de bureau et de gestionnaires de fenêtres pour que tu fasse ton choix comme bon te semble. Personne n'oblige personne à utiliser gnome.

À partir de là, si tu veux en discuter pourquoi mettre autant de véhémence et d'énervement dans tes propos ?

Tu n'es pas le seul à qui cette remarque peu s'appliquer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le fait d'avoir des termes plus ou moins précis n'indique en rien que c'est marketing ou non. La « musique » ce n'est pas bien précis, le « rock » non plus. Est-ce qu'il faut pour autant mettre n'importe quoi derrière en disant haut et fort qu'on s'en fout ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En gros tu t'en fout de ce que ça signifie tu as choisi ta définition tu l'utilise comme tu l'entends et tu conclus que de toute façon c'est comme ça et pas autrement. Tu voudrais pas lui cracher au visage aussi ?

Il prends le temps de donner des explications détaillé sur ce que c'est et toi tu n'oppose rien d'autres que « de toute façon c'est marketing ! ».

Je trouve ça sincèrement pas terrible comme remarque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour l'assembleur, je n'ai pas creusé assez mais peut-être ont-ils codé aussi leur assembleur ?

Heu je ne sais pas si c'est moi qui déconne, mais tu choisis pas ton langage assembleur. C'est la machine sur laquelle tu es qui définit ce que tu dois utiliser.

Tu confond le langage assembleur (défini par une architecture matériel) et le logiciel assembleur qui prends une représentation textuelle du langage d'assemblage et en produit un binaire. On parle ici de logiciels comme nasm ou yasm par exemple.

Ensuite pour relire l'assembleur effectivement, je ne vois pas le souci car même pour lire un script il faut un outil (soit faire confiance à cat soit un éditeur).

Trusting trust tel que pris par les puriste. Consiste en un modèle d'attaque assez large qui prendrait pour cible ce en quoi tu as confiance avant la cible finale. C'est pour cela qu'ils veulent pas faire confiance à un compilateur au cas où le compilateur serais lui-même corrompu. Mon point c'est que c'est un modèle d'attaque qui n'est que théorique parce qu'extrêmement compliqué et de mettre en évidence aux jusque boutistes que c'est impossible avec des architectures modernes et la complexité mise en branle. Parce qu'on en revient toujours à 2 points :

• on fini par faire confiance à un truc sans qu'il y ai plus de raison que pour autre chose (pourquoi faire confiance en cat ou en un éditeur de texte ?)
• qui se sent sincèrement assez capable pour exécuter un bootstrap complet en s'assurant qu'il n'y a pas d'intrusion ?

C'est pas un travaille inintéressant. C'est même assez important mais faut d'après moi, le prendre comme un travaille de recherche en informatique plus que comme un travaille de sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est stocké dans une "blockchain".

Non c'est une DHT (ce qui est bien mieux).

Et Richard Stallman en a fait la promotion donc on peut considérer que c'est ok de ce point de vue là.

C'est un argument d'autorité ça. Irais oui le côté pair à pair est pas mal pour ne pas enfreindre la RGPD.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je n'ai pas lu ton journal mis à part les premières lignes. J'évite les contenus anxiogènes en ce moment avoir trop de détail pourrait aller jusqu'à me faire somatiser.

Je te souhaite comme d'autres un bon rétablissement et beaucoup de courage et force d'ici là.

On se dis rarement des choses très positives ici sur linuxfr, mais je suis toujours content de te lire (bon cette fois-ci je ne t'ai pas trop lu, mais j'ai une excuse !).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'avoue ne pas avoir lu/vu la conférence de Ken Thomson, mais je crois que faire confiance à son éditeur de texte c'est pas trop fou tout de même, surtout qu'on peut le lire sur plusieurs distro avec plusieurs outils différents, donc ça augmente grandement la confiance que l'on peut accorder au contenu du fichier texte.

Tout comme il existe plusieurs compilateurs C, si tu désactive les optimisation et que le code produit est équivalent avec gcc, clang, tcc et icc est-ce que ça n'est pas suffisant du coup ? Voir plus intéressant et utile pour l'utilisateur final ?

Pour l'assembleur, je n'ai pas creusé assez mais peut-être ont-ils codé aussi leur assembleur ?

Reste qu'il faut le valider.

Pour ce qui est du matériel, je dirai que c'est un autre sujet qui ne concerne pas la distribution. Eux ils font leur part, ensuite c'est aux personnes à qui appartient le matériel sur lequel la distribution est compilée de faire le travail de vérification de son matériel.

Tout comme faire l'amorce d'un compilateur n'est pas le boulot d'une distribution, mais d'un compilateur.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et si l'admin du serveur était malveillant

Vu qu'il a la main sur un script que tu va exécuter avec les droits root et qu'il n'existe aucun moyen officiel de vérifier ce dis script, pourquoi est-ce qu'il ferrait quelque chose d'aussi complexe alors qu'il suffit de pourrir le script une bonne fois pour toute.

Tant qu'il n'y a pas de validation du script l'un ou l'autre c'est précisément les même dégâts. Note que tu parle de lancer un script qui vient d'un serveur d'on l'admin est malveillant en tant que root. Qu'il détecte tout ce qu'il veut tu as déjà perdu.

Note que ta revue du script est loin d'être suffisante pour parer à une attaque (sans présumer de tes compétences).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L'objectif du trusting trust c'est de ne pas accorder sa confiance, donc la donner comme ça a un quelconque éditeur de texte et à un assembleur (le logiciel qui compile ton code ascii/unicode en binaire) et une limite forte. D'autant que ça leur met une pression particulière.

Tu aura compris autant je trouve l'exercice intéressant, autant c'est une façon très très obtus de comprendre la conférence de Ken Thompson. D'autant qu'une fois que tu as fait tout ça tu n'a pas vérifier le matériel (le CPU, mais pas que).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Merci pour le conseil. Les informations ne sont pas particulièrement sensibles, mais je vais le suivre (en fait je voulais éviter un gros carré noir car ça fait "moche" dans la vidéo, bref…).

Alors ça dépend beaucoup du contexte, mais je trouve que souvent ce qui marche bien (dans le sens ou ça reste confortable) c'est d'assumer d'avoir quelque chose. Le classique c'est de mettre un smiley par exemple ou un carré, mais avec du texte. Dis autrement au lieu d'essayer que ça ne se vois pas et chaque imperfection sautera aux yeux, assumer le fait de cacher et choisir une image sympa à insérer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

un énorme effort est fait pour rendre la distribution bootstrapable (désolé pour l’anglicisme) et ainsi pouvoir compiler l’ensemble des sources (même gcc) à partir d’un unique binaire très léger dont le code assembleur est lisible, ceci afin d’éviter les attaques dites de « trusting trust » ;

Le code assembleur lisible avec quoi est-ce qu'on le lit ?

désolé pour l’anglicisme

Sinon amorçable c'est bien, si tu ne voulais pas faire d'anglicisme (il y avait déjà boot dans les traductions classiques j'ai ajouté bootstrap si c'est utile).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En effet je me suis laissé avoir par le fait que la solution recommandée n'est qu'un petit encart dans la page que tu pointe. Je trouve vraiment bizarre comme façon de le présenter…

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le projet demande à vérifier la signature gpg du fichier que tu as téléchargé. C'est le truc dont on parle.

À noter que ça fait partie de leur procédure de téléchargement. C'est pas une option mise dans un coin comme beaucoup d'autres projets.

Ils sont vraiment propre sur la sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour bien comprendre le coup de gueule, il faut savoir que de plus en plus de projets "modernes" donnent comme instructions d’installations officielles des variantes autour de ce curl … | sudo bash, à tel point que cette méthode se banalise et n’est plus considérée comme problématique.

C'est largement plus compliqué que ça. Si un projet ne te file pas de moyen de vérifier les binaires qu'il te file, un curl | sh ou un plouf.<extension_de_paquet_de_ta_distribution_préféré> sera pareil (sauf si ta distribution refuse d'installer des paquets non signés, ce qui n'est pas le cas de Debian, ses dérivées ni d'arch si je ne m'abuse).

Bref oui ça pose un problème de sécurité, mais non ça n'est pas une question de commande.

Ici en l'occurrence le projet upstream propose quelque chose qui a l'air propre c'est dommage de l'outrepasser.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Même si l’étape de vérification du script n’est pas explicitement citée avec ces deux commandes, elle n’est plus rendue impossible.

C'est donc une question de principe plus qu'autre chose. On a beaucoup dis que curl … | sh - c'est mal donc, il ne fait pas l'écrire, même si ce ne sont que des circonvolutions autour ?

Si le problème c'est de faire la vérification ça ne coûte rien de mettre un :

aria2c "https://…"
# vérifier la signature comme indiqué ici : https://
sh plouf.sh

Soit la question de la vérification est importante et on la met en évidence, soit OSEF.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll