nud a écrit 896 commentaires

Alors qu'il suffit de le compiler en WebAssembly

Euh, non. Si tu compares directement le hash envoyé par le client au hash stocké par le serveur, c'est le hash qui est le mot de passe effectif et tu es de retour au point de départ.

Ce qui se faisait, c'était une authentification par digest, dans laquelle (en très simplifié) le serveur envoie une nonce avec laquelle le client est censé chiffrer le mot de passe avant de l'envoyer au serveur. Le serveur fait de même et compare le résultat avec celui envoyé par le client. Si c'est le même c'est que le client connaît le mot de passe. C'est un peu tombé en désuétude, cependant, probablement à cause des formulaires de login, mais de toute façon ça a l'inconvénient d'empêcher le stockage sécurisé des mots de passe au niveau du serveur.

Cloudflare c'est un reverse-proxy géant. Quand on parle de hasher les mots de passe, on parle du stockage de ceux-ci dans la base de données. Sauf exception le mot de passe n'est pas chiffré entre le navigateur et le serveur, que ce soit avec HTTP Basic ou un formulaire, et donc il transite "en clair" dans la session TLS entre le client et le serveur.

Donc dans la mesure où la session TLS est terminée au niveau de Cloudflare, les informations d'identification (username et mots de passe) transitent techniquement en clair à un moment ou à un autre dans l'infrastructure de Cloudflare, et il est techniquement possible de les intercepter pour, je sais pas, faire des statistiques sur la réutilisation de mots de passes sur plusieurs sites. Ce n'est pas une surprise, c'est nécessaire pour que Cloudflare puisse fournir le service pour lequel leurs clients les paient !

Après, du coup, il est effectivement théoriquement possible pour eux d'intercepter les mots de passe et d'en faire ce qu'ils veulent, y compris les transmettre à la NSA ¯\_(ツ)_/¯

Quand j'ai vu la news pour la première fois, vu la formulation, j'ai pensé que par backdoor ils entendaient qu'on pouvait prendre le contrôle d'un ESP32 via bluetooth. Mais en fait il s'agit de commandes qui peuvent être utilisées par le logiciel installé sur l'ESP32. C'est tout de suite moins effrayant (tendance inutile) dans le cas classique rencontré par les hobbyistes ou même pour la plupart des objets connectés.

Comme l'indique le lien posté par Oumph<, ce type d'API non documentées et potentiellement abusables est présent chez presque tous les constructeurs parce que ça a de l'intérêt lors des phases de validation/test/programmation. Mais bien que ça pourrait être utilisé pour gagner des privilèges, ça implique d'avoir différents niveaux de privilège, ce qui est quand même très rare dans des projets embarqués.

Bref, y voir de mauvaises intentions est un peu prématuré.

Bon en fait le modèle "Link" correspond aux liens postés dans les dépèches. Le bon modèle utilisé pour la partie "Liens" est le modèle "Bookmark" pour lequel la colonne title a une longueur de 160.

    t.string "title", limit: 160, null: false

Mais par contre le formulaire limite la longueur à 100 caractères:

%p
  = form.label :title, "Sujet du lien"
  = form.text_field :title, autocomplete: 'off', required: 'required', spellcheck: 'true', maxlength: 100

Ce qui n'est pas cohérent avec le modèle. Il semblerait que quand on fait du copier-coller les navigateurs coupent silencieusement à 100 caractères, vu la tête des titres de liens.

Alors je sais pas pour l'interface web mais dans le code du site c'est assez clair:

  create_table "links", id: :integer, options: "ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci", force: :cascade do |t|
    t.integer "news_id", null: false
    t.string "title", limit: 100, null: false
    t.string "url", null: false
    t.string "lang", limit: 2, null: false
    t.datetime "created_at"
    t.datetime "updated_at"
    t.index ["news_id"], name: "index_links_on_news_id"
  end

En plus la validation parle de titre aussi:

  validates :title, presence: { message: "Un lien doit obligatoirement avoir un titre" },
                    length: { maximum: 100, message: "Le titre est trop long" }

Je vois qu'il y a aussi un modèle très similaire appelé "Bookmark", introduit en 2021, et dont le champ titre est plus long (160 caractères) mais je ne sais pas à quoi il sert.

J'imagine qu'il serait assez simple et sans conséquence de porter la taille de la colonne titre à 160 caractères également, voire à 255 caractères.

'va falloir allonger la colonne qui contient les titres des liens, avec cette mode des titres à rallonge.

Si tu héberges tes données dans la Drome sur un serveur Windows, tu pars du principe que 1) Microsoft a accès à tes données, et 2) le gouvernement US a légalement (au moins selon le droit US) le droit d'y accéder?

Dans la mesure où un logiciel peut téléphoner à la maison, s'il peut être accédé ou contrôlé
à distance (par exemple, en invalidant une licence, en installant une mise à jour, etc.) il est susceptible d'être corrompu. Après tout, il est théoriquement possible pour Microsoft d'installer une backdoor via Windows Update, volontairement ou non. C'est pareil pour tous les updaters automatiques pour Chrome, Firefox, Java, Adobe Acrobat. J'imagine que c'est peu probable en temps de paix, mais ce n'est pas à exclure en cas de conflit.

Et par ailleurs c'est effectivement exactement pareil si le logiciel est libre. Si les mises à jour automatiques de RHEL sont activées tu pourrais te retrouver avec une backdoor au petit matin.

Et c'est pareil pour les routeurs, je me souviens qu'à une époque on préconisait de mettre un routeur chinois derrière un routeur américain pour que les backdoors s'annulent mutuellement…

Pour les clouds en France, il semble que l'usage est de les faire gérer par les filiales françaises de ces entreprises US, qui ne sont pas soumises au droit US.

Il faut voir qui maintient les serveurs en pratique. En général il y a plusieurs shifts en fonction des zones géographiques (en fonction des fuseaux horaires) pour la maintenance 24/7 donc la maison-mère a techniquement le contrôle sur les datacenters en Europe et est donc techniquement en mesure de répondre aux requêtes de la mère patrie.

Certes ce sont des choses qui semblent peu probables bien que "techniquement possibles" mais dans la mesure où ce type de requête ne peut généralement pas être rendue publique (ce qui justifie les divers canaris du genre "on n'a jamais transmis de données sur nos clients" dans les conditions en ligne), en fonction de ton niveau de paranoïa, si c'est techniquement possible c'est peut-être déjà un risque trop important.

Il me semble que l'idée de Gtk3 c'était de rendre le toolkit Gnome-only mais qu'ils ont fait marche arrière avec Gtk4 qui redevient d'un usage générique, avec les éléments spécifiques à Gnome dans la nouvelle libadwaita (parce que libgnome ça fait trop 2005)

Les changements sur mozilla.org sont assez explicites aussi:

• Fini "the best privacy"
• Toutes les sections à propos de la revente de données ont été supprimées. Genre littéralement, ils ont supprimé des bouts de phrase comme « Unlike other companies, we don’t sell access to your data. » ou l'entrée de la FAQ « Does Firefox sell your personal data? Nope. Never have, never will. And we protect you from many of the advertisers who do. Firefox products are designed to protect your privacy. That’s a promise. »

C'est un problème récurrent, mais le management chez Mozilla n'a pas jamais donné l'impression réaliser que leur proposition de valeur unique, c'est justement cet aspect vie privée.

Clair mais un peu tardif.

On dirait qu'ils veulent vraiment ajouter un nouveau paragraphe dans la section Condamnations et manquements à la déontologie professionnelle…

C'est une référence aux forces de police qui semble mal choisie au vu des divers abus de ces dernières années par les "forces de l'ordre" tant aux Etats-Unis qu'en Europe.

Les promoteurs du symbole affirment qu'il est destiné à soutenir et valoriser les forces de l'ordre2. Dans le sillage des controverses concernant l'usage de la force par les policiers américains, le drapeau représentant la Thin Blue Line est devenu populaire parmi les forces de l'ordre, leurs familles et leurs soutiens.

Le symbole a été récupéré par l'extrême droite. À cause de cela, plusieurs y voient un encouragement à la violence et à la haine. À cause du message ambigu maintenant véhiculé par ce symbole, plusieurs forces de police ont interdit à leurs officiers de le porter.

Source: le lien ci-dessus

Ben tu auras toujours .local dans ce cas, c'est dans la RFC. Mais même sans mDNS ta box va attribuer un nom DNS à la plupart de tes équipements locaux grâce à la magie de DHCP: si un client définit l'option 12 (client host name) la box va ajouter un record DNS avec ce nom.

Donc si ta box a comme zone DNS bouquetin.internal et que ton imprimante (configurée en DHCP) a comme hostname "printer", tu auras typiquement accès à printer.bouquetin.internal. De même l'imprimante va sans doute être disponible via printer.local via mDNS (càd, sous Linux, via Avahi). Tu vas donc avoir deux enregistrements concurrents.

Maintenant, si tu as des records en plus dans ta zone DNS locale ça peut poser souci, ou si pour une raison ou pour une autre les deux hosts ne sont pas les même… Bref, il vaut mieux éviter. Après, chacun est maître en sa demeure.

Un unbound ou dnsmasq est suffisant s'il s'agit "juste" de fournir une IP locale pour quelques services. Et pour le coup ça s'installe et ça se configure très facilement, dans les deux cas il faut juste dire quel est le DNS upstream et quels records DNS doivent être remplacés. Au vu de la question, l'OP a déjà des serveurs en local, et il suffit alors de changer le serveur DNS annoncé par la box si c'est possible, ou fournir son serveur DHCP dans le cas contraire (via pihole, opnsense/pfsense, openwrt, ou soi-même avec isc-dhcp-server ou son successeur kea-dhcp) et couper celui de la box.

Par contre, il faut éviter d'utiliser .local pour un nom de domaine interne. C'est un coup à s'attirer des maux de têtes car ça risque d'entrer en conflit avec mDNS (avahi, bonjour, zeroconf, uPnP, etc, voir RFC 6762). Il vaut mieux utiliser soit le nouvellement introduit .internal, soit un sous-domaine d'un nom de domaine enregistré par tes soins.

Bonjour,

Avez-vous des nouvelles quant à l'état d'avancement du port du site vers Rails 7 ?

Le besoin dans les marchés publics est aussi souvent défini à partir de la liste des features de la plaquette commerciale que le rédacteur a devant les yeux et pas à partir des besoins réels. On devine aisément les conséquences.

C'est pas le seul fabricant.

Sinon, y'a aussi un repository APT pour node, cf https://deb.nodesource.com/ pour le côté officiel et https://github.com/nodesource/distributions pour le côté « comment configurer sans exécuter curl | bash ».

Le truc qui me chipote, c'est le côté "non officiel", pas le protocole. Après, ça serait pas mal si ça s'intégrait avec l'identité linuxfr. XMPP c'est moderne à côté de la tribune.

La tribune actuelle est un truc étrange qui vient du passé. C'est du folklore et certaines personnes qui y rôdent y sont attachées à ce titre. Que ce soit administré par LinuxFR ou par quelqu'un d'autre ne va pas changer grand chose pour la plupart des moules.

En tant que visiteur occasionnel de la tribune je n'ai en soi pas d'objection à ce qu'elle soit supprimée mais je pense qu'il serait intéressant d'avoir un système de messagerie vaguement instantanée (disons type « Slack » ou « Discord » ou « Mattermost ») un peu moderne (càd sans nhorloges, avec divers canaux, des notifications, un historique de plus de 19h et un comportement auquel les gens sont habitués) pour pouvoir contacter les gens intéressés sur certains sujets.

Par exemple: comment les modérateurs ou les contributeurs ou les rédacteurs ou les volontaires potentiels se coordonnent-ils ? Comment un nouveau contributeur potentiel peut-il observer ce qu'il se passe ? Je ne pense pas que la tribune soit adaptée à ce rôle, surtout que les gens ne l'utilisent pas. Dans le temps on avait IRC, maintenant il n'y a a priori plus rien de public. Je trouve que c'est dommage.

Notez bien que fournir un tel service n'implique pas forcément de développer quelque chose, il existe probablement quelque chose qu'on peut utiliser à peu près tel quel, modulo un lien sur le site web dans le profil des utilisateurs.

Et si on mettait 'utilisatrices' systématiquement au féminin, ça te poserait moins de problèmes?

Ça me poserait les mêmes problèmes que toute personne qui ferait exprès de ne pas respecter la grammaire élémentaire de ma langue.

Donc il faudrait écrire « les utilisateurs et les utilisatrices ». Mais c'est chiant de faire ça systématiquement, c'est long et répétitif et faut taper tout ça. On pourrait utiliser une abréviation, comme « utilisateur(ice)s », « utilisateur/ices » ou encore « utilisateur·ices ». Au final le caractère que tu utilises c'est une question de goût, et si tu aimes user ton clavier tu peux écrire la version longue.

Au fait, les guillemets français, ce sont « et », pas " ni '. On est pointilleux sur ce qu'on veut bien.

Lenovo permet aussi d'acheter certains modèles de laptops (principalement des Thinkpads je pense) avec Ubuntu installé ou bien sans OS.

L'an passé leur laptop ARM ne fonctionnait pas sous Linux par contre, mais ils avaient une équipe qui travaillait officiellement dessus. Je n'ai pas suivi l'évolution de la chose.

Après 10 secondes de recherche je soupçonne qu'elle parle du totoz du même nom sans le "e" au début du mot?

Apparemment SpaceX aussi a reporté le vol, au 15 janvier à 23h CET.