Alternativement, de nos jours il devrait être possible de redéfinir l'en-tête User-Agent au niveau du client web sans rien changer au niveau du serveur:
Dans la mesure où ce journal semble être une citation intégrale du tweet lié (ce qui n'est pas indiqué clairement, par ailleurs), il me semble qu'on excède le droit de citation et que le journal ne devrait pas être publié sous une licence CC By-SA. A vrai dire le journal lui-même est problématique sauf si l'auteur initial a donné son accord pour la republication, ce qui n'est pas indiqué.
Ce journal aurait peut-être dû être un lien, ce qui n'aurait pas empêché la discussion d'avoir lieu.
Si je comprends bien toute l'idée ici est de provoquer l'exécution de code sur la machine de la personne qui se connecte en exploitant une faille dans ssh-agent. Ça nécessite que l'attaquant ait accès à la machine sur laquelle on se connecte pour installer les libraries nécessaires dans /usr/lib. Ça a l'air intéressant comme concept mais ça a l'air compliqué à exploiter en l'état dans la nature.
En gros, évitez d'utiliser -A si vous n'en avez pas besoin et supprimez l'option de votre configuration par défaut (alias ou ssh_config). Ceci n'est pas lié à ce problème mais une bonne pratique générale :-)
Non, la déclaration n'est pas signée avec la carte, car le seul certificat utilisé est le certificat d'authentification via le portail CSAM (acronyme un peu malheureux s'il en est). Mais la signature n'est pas nécessaire dans la mesure où ce n'est pas un document qui est partagé.
En fait si c'était juste un tag <img> comme dans la liste des logos ce serait facile (il suffit littéralement de mettre un if dans le template et de mettre un tag <video> s'il s'agit d'une extension de vidéo - j'ai vérifié) mais le logo principal du site est en fait affiché comme arrière-plan de l'élément <h1> en CSS. Afficher une vidéo impliquerait dès lors de modifier le markup pour introduire un tag <video>, ce qui devient tout de suite beaucoup plus contraignant dans la mesure où ça implique aussi de modifier les feuilles de style.
Mais comme apparemment le webp animé existe on est peut-être sauvés de la contrainte de tout faire en 256 couleurs comme avec les gif animés.
Le monde du web semble avoir décidé d'utiliser du webm pour cela, mais il faut alors utiliser un tag <video> et pas <img>, ce qui aurait nécessité un patch minime du site.
TIFF, c'est un format conteneur (un peu comme ogg en audio ou mkv en vidéo) qui peut contenir à peu près n'importe quoi. Fun fact, le TIFF peut être destructif si l'image est stockée JPEG dans le conteneur.
D'ailleurs une expansion non-officielle de TIFF c'est Thousands of Incompatible File Formats…
Ils ont quand même un support officiel pour les mails via leur package "groupware". C'est sous la forme de plugins mais quasiment tout est sous la forme de plugins dans Nextcloud… Par contre c'est bien un client e-mail, il faut toujours installer son propre serveur derrière.
Je pense que pour un si petit fichier ce genre de pinaillage n'a aucun intérêt pratique. Sur le disque un fichier va occuper au minimum un bloc de 4 kB sur un disque formatté en ext4 donc toute taille de fichier inférieure n'a aucune pertinence. En HTTP il est plus difficile de juger mais avec la masse de données envoyée en en-têtes, certificats TLS, etc., on n'est sans doute pas à un ou deux kB près non plus.
La seule chose que ça démontre c'est que certains formats ont une structure plus lourde que d'autres, typiquement liée à la flexibilité dudit format. Il serait plus intéressant de comparer de "grosses" images de différents types et c'est pour ça que c'est ce que les benchmarks font.
Et ceux qui utilisent un smartphone de marque Apple utilisent HEIC car c'est dans ce format que l'iPhone stocke les photos. Donc être capable de lire ce format est important si on veut éviter de dégrader la qualité (et augmenter la taille des images) en les convertissant en JPEG.
CECI DIT, si c'est une bonne raison pour que Darktable/Photos/Shotwell/whatever supporte la lecture du foramt HEIC ce n'est pas en soi une raison valable pour utiliser ce format sur le web, car devoir potentiellement payer des royalties est un problème. Dans la mesure où tous les sites "grand public" vont convertir eux-même les photos dans un format léger quite à ce qu'il soit dégueulasse, le partage de ces photos n'est pas un argument pertinent pour imposer le support d'un format breveté dans Firefox ou Chrome.
Posté par nud .
En réponse à la dépêche Des formats d'image.
Évalué à 3.
Dernière modification le 26 juin 2023 à 23:30.
Dans la mesure où un une icône de 16×16 contient 256 pixels, à raison de 32 bits par pixel (soit 3 canaux couleurs de 8 bits + un canal de transparence) on obtient 1024 octets, ou 1 kio, soit le "PNG optimisé" ne l'est pas du tout, soit il stocke masse de métadonnées.
Si ton image est en noir et transparent (soit deux couleurs) elle peut théoriquement tenir sur 256 bits, soit 32 octets, sans compression, à quoi il faut ajouter la taille de la palette de deux couleurs.
Avec gimp et les directives que tu donnes j'obtiens une image de 143 bytes, dont, si je n'ai pas fait d'erreur:
une palette (section PLTE) de 6 octets
un masque (section tRNS) de 1 octet
une section de données (IDAT) de 55 octets
Au final il y a plus d'octets liés au format lui-même (rien que le bornage et l'identification des 5 sections ça fait 60 octets) que de données…
Le hexdump pour les curieux, qui est plus court que le commentaire:
Posté par nud .
En réponse à la dépêche Des formats d'image.
Évalué à 5.
Dernière modification le 26 juin 2023 à 11:07.
Les formats habituels de compression de données (gzip, bzip, lzma, etc) sont heureusement sans perte. On parle de compression parce que la taille finale est inférieure à la taille initiale, le fait que cela passe par un encodage de Huffman ou équivalent est un détail d'implémentation.
Si on a deux outils efficaces, il est plus intéressant d'utiliser les deux outils que de se priver volontairement de l'un d'entre eux et de se rendre la tâche plus compliquée juste pour le fun.
Je ne comprends pas cette attitude qui consiste à comparer les deux outils et à vouloir en exclure un parce qu'il est "moins efficace". C'est pas comme si on ne pouvait pas faire les deux.
Le bâteau coule, il y a une pompe et des seaux. La pompe est plus efficace que les seaux mais si l'eau rentre plus vite que le débit de la pompe, il me paraît judicieux d'utiliser les seaux aussi, même s'ils sont moins efficaces…
On pourrait avancer que la décroissance, nécessairement induite par la réduction de l'énergie disponible, ça veut dire beaucoup moins d'ordinateurs et de microprocesseurs cachés partout.
Note bien que s'il est compétent dans la matière il a peut-être de bonnes raisons d'être anti-nucléaire (et donc, de militer contre). Être compétent ne veut pas forcément être pour quelque chose.
En Belgique, j'ai aussi une pile d'appareils comme ça à la maison de diverses banques et époques et également des digipass dans ce style-là:
Mais tous sont en train de tomber en désuétude au profit d'applications sur smartphone dans laquelle il faut scanner un code QR ou équivalent.
J'ai aussi une banque dans laquelle je ne dispose que d'une carte visa, et l'identification se fait soit via le mot de passe avec une page dégueulasse quasi sans style, avec des URLs improbables, soit via l'application smartphone. La même banque fournit un digipass pour les gens qui ont un compte à vue.
Ou alors tu introduis une url linuxfr.org/@slug ou linuxfr.org/~slug (qui ne gère que les slugs) et tu fais une 304 depuis /user/slug (qui est ambigue). Les @ sont à la mode :-)
[^] # Re: API
Posté par nud . En réponse à l’entrée du suivi Désactiver l'affichage du User-Agent par défaut. Évalué à 2 (+0/-0).
Alternativement, de nos jours il devrait être possible de redéfinir l'en-tête User-Agent au niveau du client web sans rien changer au niveau du serveur:
# Licence
Posté par nud . En réponse au journal "Contestabilité concurrentielle". Évalué à 10. Dernière modification le 24 juillet 2023 à 22:52.
Dans la mesure où ce journal semble être une citation intégrale du tweet lié (ce qui n'est pas indiqué clairement, par ailleurs), il me semble qu'on excède le droit de citation et que le journal ne devrait pas être publié sous une licence CC By-SA. A vrai dire le journal lui-même est problématique sauf si l'auteur initial a donné son accord pour la republication, ce qui n'est pas indiqué.
Ce journal aurait peut-être dû être un lien, ce qui n'aurait pas empêché la discussion d'avoir lieu.
[^] # Re: Choisissez bien votre browser
Posté par nud . En réponse au lien Google veut rendre le web le plus privateur possible. Évalué à 2.
Je pense que webalizer devrait être mis un peu à jour pour ne pas vérifier que la première partie du User-Agent
# Bonnes pratiques
Posté par nud . En réponse au lien CVE-2023-38408: Remote Code Execution in OpenSSH’s forwarded ssh-agent. Évalué à 3.
Si je comprends bien toute l'idée ici est de provoquer l'exécution de code sur la machine de la personne qui se connecte en exploitant une faille dans ssh-agent. Ça nécessite que l'attaquant ait accès à la machine sur laquelle on se connecte pour installer les libraries nécessaires dans /usr/lib. Ça a l'air intéressant comme concept mais ça a l'air compliqué à exploiter en l'état dans la nature.
En gros, évitez d'utiliser
-Asi vous n'en avez pas besoin et supprimez l'option de votre configuration par défaut (alias oussh_config). Ceci n'est pas lié à ce problème mais une bonne pratique générale :-)Voir aussi https://cve.circl.lu/cve/CVE-2023-38408
[^] # Re: Curieux d'avoir l'avis d'un compatriote
Posté par nud . En réponse au journal Copie d'une pièce d'identité. Évalué à 4.
Non, la déclaration n'est pas signée avec la carte, car le seul certificat utilisé est le certificat d'authentification via le portail CSAM (acronyme un peu malheureux s'il en est). Mais la signature n'est pas nécessaire dans la mesure où ce n'est pas un document qui est partagé.
[^] # Re: Et du coup pour DLFP
Posté par nud . En réponse au journal Les mineurs privés de télécommunication, les majeurs traqués. Évalué à 9. Dernière modification le 06 juillet 2023 à 09:40.
Da Linux French-Speaking Page, now hosted in Germany
[^] # Re: Bravo et longue vie à Linuxfr
Posté par nud . En réponse à la dépêche Vingt-cinq ans de LinuxFr.org. Évalué à 2.
Du gatekeeping comme d'habitude? Quel intérêt de proposer un site pour des glandus qui parlent même pas anglais?
[^] # Re: la gif89a est vivante !
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 3.
En fait si c'était juste un tag
<img>comme dans la liste des logos ce serait facile (il suffit littéralement de mettre un if dans le template et de mettre un tag<video>s'il s'agit d'une extension de vidéo - j'ai vérifié) mais le logo principal du site est en fait affiché comme arrière-plan de l'élément<h1>en CSS. Afficher une vidéo impliquerait dès lors de modifier le markup pour introduire un tag<video>, ce qui devient tout de suite beaucoup plus contraignant dans la mesure où ça implique aussi de modifier les feuilles de style.Mais comme apparemment le webp animé existe on est peut-être sauvés de la contrainte de tout faire en 256 couleurs comme avec les gif animés.
[^] # Re: la gif89a est vivante !
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 2. Dernière modification le 29 juin 2023 à 17:39.
Du markdown pour le logo du site en haut à gauche? Vraiment?
À mon avis on parle pas du même truc.
[^] # Re: la gif89a est vivante !
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 2.
Le monde du web semble avoir décidé d'utiliser du webm pour cela, mais il faut alors utiliser un tag
<video>et pas<img>, ce qui aurait nécessité un patch minime du site.[^] # Re: Formats non destructifs indispensables
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 7.
TIFF, c'est un format conteneur (un peu comme ogg en audio ou mkv en vidéo) qui peut contenir à peu près n'importe quoi. Fun fact, le TIFF peut être destructif si l'image est stockée JPEG dans le conteneur.
D'ailleurs une expansion non-officielle de TIFF c'est Thousands of Incompatible File Formats…
[^] # Re: Nextcloud
Posté par nud . En réponse au journal Vos services pour mail/calendrier et synchro de dossiers ?. Évalué à 2.
Ils ont quand même un support officiel pour les mails via leur package "groupware". C'est sous la forme de plugins mais quasiment tout est sous la forme de plugins dans Nextcloud… Par contre c'est bien un client e-mail, il faut toujours installer son propre serveur derrière.
[^] # Re: PNG encore utile.
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 5.
Je pense que pour un si petit fichier ce genre de pinaillage n'a aucun intérêt pratique. Sur le disque un fichier va occuper au minimum un bloc de 4 kB sur un disque formatté en ext4 donc toute taille de fichier inférieure n'a aucune pertinence. En HTTP il est plus difficile de juger mais avec la masse de données envoyée en en-têtes, certificats TLS, etc., on n'est sans doute pas à un ou deux kB près non plus.
La seule chose que ça démontre c'est que certains formats ont une structure plus lourde que d'autres, typiquement liée à la flexibilité dudit format. Il serait plus intéressant de comparer de "grosses" images de différents types et c'est pour ça que c'est ce que les benchmarks font.
[^] # Re: Avis sur HEIF
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 5.
Et ceux qui utilisent un smartphone de marque Apple utilisent HEIC car c'est dans ce format que l'iPhone stocke les photos. Donc être capable de lire ce format est important si on veut éviter de dégrader la qualité (et augmenter la taille des images) en les convertissant en JPEG.
CECI DIT, si c'est une bonne raison pour que Darktable/Photos/Shotwell/whatever supporte la lecture du foramt HEIC ce n'est pas en soi une raison valable pour utiliser ce format sur le web, car devoir potentiellement payer des royalties est un problème. Dans la mesure où tous les sites "grand public" vont convertir eux-même les photos dans un format léger quite à ce qu'il soit dégueulasse, le partage de ces photos n'est pas un argument pertinent pour imposer le support d'un format breveté dans Firefox ou Chrome.
[^] # Re: PNG encore utile.
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 3. Dernière modification le 26 juin 2023 à 23:30.
Dans la mesure où un une icône de 16×16 contient 256 pixels, à raison de 32 bits par pixel (soit 3 canaux couleurs de 8 bits + un canal de transparence) on obtient 1024 octets, ou 1 kio, soit le "PNG optimisé" ne l'est pas du tout, soit il stocke masse de métadonnées.
Si ton image est en noir et transparent (soit deux couleurs) elle peut théoriquement tenir sur 256 bits, soit 32 octets, sans compression, à quoi il faut ajouter la taille de la palette de deux couleurs.
Avec gimp et les directives que tu donnes j'obtiens une image de 143 bytes, dont, si je n'ai pas fait d'erreur:
Au final il y a plus d'octets liés au format lui-même (rien que le bornage et l'identification des 5 sections ça fait 60 octets) que de données…
Le hexdump pour les curieux, qui est plus court que le commentaire:
[^] # Re: Compression sans perte ou encodage ?
Posté par nud . En réponse à la dépêche Des formats d'image. Évalué à 5. Dernière modification le 26 juin 2023 à 11:07.
Les formats habituels de compression de données (gzip, bzip, lzma, etc) sont heureusement sans perte. On parle de compression parce que la taille finale est inférieure à la taille initiale, le fait que cela passe par un encodage de Huffman ou équivalent est un détail d'implémentation.
[^] # Re: 2013
Posté par nud . En réponse au journal Justin et la légende des chevaliers. Évalué à 3. Dernière modification le 23 juin 2023 à 13:06.
A priori elle a passé la main en 2016.. Aussi mentionné sur linuxfr.
[^] # Re: [X] ça dépend, ça dépend aussi
Posté par nud . En réponse au sondage Sur LinuxFr.org, quand je note pertinent/inutile, en fait je note.... Évalué à 7.
Souvent aussi, je moinsse parce que le commentaire est injurieux.
[^] # Re: Moinssage attendu => Y'a qu'à demander
Posté par nud . En réponse au lien Appel de scientifiques contre un nouveau programme nucléaire (moinssage attendu). Évalué à 5.
Si on a deux outils efficaces, il est plus intéressant d'utiliser les deux outils que de se priver volontairement de l'un d'entre eux et de se rendre la tâche plus compliquée juste pour le fun.
Je ne comprends pas cette attitude qui consiste à comparer les deux outils et à vouloir en exclure un parce qu'il est "moins efficace". C'est pas comme si on ne pouvait pas faire les deux.
Le bâteau coule, il y a une pompe et des seaux. La pompe est plus efficace que les seaux mais si l'eau rentre plus vite que le débit de la pompe, il me paraît judicieux d'utiliser les seaux aussi, même s'ils sont moins efficaces…
[^] # Re: quel rapport avec le libre ?
Posté par nud . En réponse au lien Appel de scientifiques contre un nouveau programme nucléaire (moinssage attendu). Évalué à 4.
On pourrait avancer que la décroissance, nécessairement induite par la réduction de l'énergie disponible, ça veut dire beaucoup moins d'ordinateurs et de microprocesseurs cachés partout.
[^] # Re: Premiers soutiens
Posté par nud . En réponse au lien Appel de scientifiques contre un nouveau programme nucléaire (moinssage attendu). Évalué à 4. Dernière modification le 21 juin 2023 à 09:11.
Note bien que s'il est compétent dans la matière il a peut-être de bonnes raisons d'être anti-nucléaire (et donc, de militer contre). Être compétent ne veut pas forcément être pour quelque chose.
[^] # Re: Deux poids deux mesures.
Posté par nud . En réponse au lien L’Europe veut en finir pour de bon avec Huawei et ZTE - numerama. Évalué à 5.
Quels équipementiers reste-t-il en Europe ? Nokia et Ericsson ? Le reste d'Alcatel-Lucent est maintenant chinois.
[^] # Re: Dans le pays plat ...
Posté par nud . En réponse au journal Ils sont devenu fous. Évalué à 5.
En Belgique, j'ai aussi une pile d'appareils comme ça à la maison de diverses banques et époques et également des digipass dans ce style-là:
Mais tous sont en train de tomber en désuétude au profit d'applications sur smartphone dans laquelle il faut scanner un code QR ou équivalent.
J'ai aussi une banque dans laquelle je ne dispose que d'une carte visa, et l'identification se fait soit via le mot de passe avec une page dégueulasse quasi sans style, avec des URLs improbables, soit via l'application smartphone. La même banque fournit un digipass pour les gens qui ont un compte à vue.
Le pire côtoie le meilleur, comme souvent.
[^] # Re: Images
Posté par nud . En réponse à l’entrée du suivi mettre le logo à jour pour le mois des fiertés LGBTQ (juin 2023). Évalué à 2 (+0/-0).
Le fichier XCF ne correspond pas à l'image ceci dit
[^] # Re: Est-ce voulu ?
Posté par nud . En réponse à l’entrée du suivi Slug purement numérique pour un compte utilisateur et effet sur le routage. Évalué à 2 (+0/-0). Dernière modification le 25 mai 2023 à 09:35.
Ou alors tu introduis une url linuxfr.org/@slug ou linuxfr.org/~slug (qui ne gère que les slugs) et tu fais une 304 depuis /user/slug (qui est ambigue). Les @ sont à la mode :-)