Je pense surtout que la demande de base est complétement infondée (j’ai le mot idiot en tête). Après, si on te paye pour faire le taff, tant mieux pour toi
Pourquoi je trouve ça infondé ? On te demande de remplacer dans une recette de cuisine, une carotte par un chou. Spoiler : t’auras pas le même gout
Puppet fait de la conformation : tu lui décris CE QUE TU VEUX sur le serveur.
Ansible fait de l’orchestration : tu lui donnes des opérations à effectuer.
Typiquement, puppet va te conformer le fichier A. Quelqu’un te modifie (erreur ou intention, légtitiment ou pas) le fichier A… ll va perdre sa modification au prochain run de l’agent. Question : tu vas vraiment lancé toutes les 30 minutes les playbooks ansible sur l’ensemble de ton parc ? Perso, je l’ai jamais vu. Résultat : Fichier A sera modifié et jamais remis à son état initial.
Vala pour ma remarque
( et je redis : aucune critique sur toi, si le client paye… tant pis pour son choix, tant mieux pour ton compte bancaire)
Personnellement, j’ai paramétré Nginx, pour qu’il diffuse si possible mes images Avif, Webp, JPG|PNG. C’est simple à gérer et je contente tout le monde, dont ma BP : p
J’ai écrit en son temps des articles utiles sur mon espace de documentation, publié ici, mais ça, c’est une autre histoire. ;)
Même si ce n’est qu’une fois, les utilisateurs n’ont pas à la subir !
À toi de réorganiser ton code pour proposer l’information autrement, par exemple, un lien vers une page explicative, lien qui apparaît en fin de page, ou sur un menu contextuel placé à D ou à G, dans une balise aside, etc.
Avoir du soutien plus actif? ce n’est pas à moi qu’il faut le demander, vu que je m’en fiche perso, même pour mes propres articles - un lecteur les lit tant mieux, un autre non; ce n’est pas grave, loin s’en faut.
Eh bien, c’est même pas si vrai que ça en plus je trouve…
Si tu veux changer de mdp sur un site, tu va devoir incrémenter un “compteur” (-c 2, -c 3, …) lors de la génération du mdp.
Si un site n’accepte pas le “format” des mdp générés par Spectre, il faut lui en spécifier un nouveau en argument (-t …).
Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça
Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).
C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.
Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire).
Donc, aucun avantage à Spectre.
Par contre des inconvénients, on peut en lister beaucoup…
Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/
Même si cela paraît être plus sécurisé qu’un gestionnaire de mot de passe, cela n’est pas le cas.
Un gestionnaire de mot de passe implique de respect deux critères de sécurité :
ce que je possède avec le coffre fort numérique
ce que je sais avec le mot de passe du coffre fort
La fuite d’un des deux éléments ne met pas en péril la confidentialité des données contrairement à l’usage du protocole spectre ou la possession du mot de passe suffit à mettre en péril les secrets.
De plus, la compromission d’un mot de passe généré par spectre peut mettre en péril l’entièreté des mots de passe chiffrée avec la clé maitresse car la personne peut bruteforcer la clé maitresse en jouant le protocole spectre en offline. Ce qui lui permet de débloquer les mots de passe de tous les autres logins chiffrés avec elle.
En fait, oui, c’est un peu subjectif, car une histoire récente, une application pour un client qui avait une très mauvaise expérience utilisateur, car des fichiers PNG de 10Mo (sans transparence) était envoyé, et a l’époque, il n’y avait de recompression de l’app, car comme vous, j’optimise mes images avant de les envoyer, le problème, c’est que quand on es dans le monde de la Tech, on ne se rend pas compte que les gens, n’en savent pas autant que nous sur le sujet.
Le fait est que dans mon domaine d’activité, mes clients ont plus de 90% d’iPhone et de mac, hors Safari (comme toujours, ne le prends pas en compte)
Également, il n’est pas encore pris nativement en compte dans des choses comme liip_imagine_bundle, je n’ai pas cherché si il est pris en charge dans la librairie imagine.
Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)
Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :
l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)
aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien
tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)
après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?
C’est vraiment dommage de taper aussi fort sur PNG alors que dans beaucoup de cas il est bien meilleur que JPG, voir même que WebP ou AVIF.
Si tu avais spécifié que ton billet s’appliquait uniquement aux photos ou dessins photo-réalistes, alors ça m’aurait convenu.
C’est un peu dommage de zapper avif alors que bon webp est déjà “assez vieux” maintenant et que avif est meilleur en tout point.
Selon caniuse il est déjà supporté par 75% des utilisateurs et comme mentionné dans l’article, l’utilisation de la balise <picture> permet de l’utiliser sans impact négatif en cas de non support.
Ho il suffit de bloquer le javascript pour ne pas être emmerdé.
D’ailleurs si on le fait sur ce site on est pas emmerdé par le contenu non plus vu qu’il ne s’affiche pas. ^__^
Disons que c’est le genre de pratique qui devient monnaie courante même sur des sites persos à visée non commerciale et c’est assez triste je trouve.
J’ai bien aimé. Maintenant ne lisant pas non plus personnellement le grec, cela permet de mieux comprendre la difficulté de compréhension - et pas besoin d’être asiatique :p
Je pense surtout que la demande de base est complétement infondée (j’ai le mot idiot en tête). Après, si on te paye pour faire le taff, tant mieux pour toi Pourquoi je trouve ça infondé ? On te demande de remplacer dans une recette de cuisine, une carotte par un chou. Spoiler : t’auras pas le même gout
Typiquement, puppet va te conformer le fichier A. Quelqu’un te modifie (erreur ou intention, légtitiment ou pas) le fichier A… ll va perdre sa modification au prochain run de l’agent. Question : tu vas vraiment lancé toutes les 30 minutes les playbooks ansible sur l’ensemble de ton parc ? Perso, je l’ai jamais vu. Résultat : Fichier A sera modifié et jamais remis à son état initial.
Vala pour ma remarque ( et je redis : aucune critique sur toi, si le client paye… tant pis pour son choix, tant mieux pour ton compte bancaire)
Personnellement, j’ai paramétré Nginx, pour qu’il diffuse si possible mes images Avif, Webp, JPG|PNG. C’est simple à gérer et je contente tout le monde, dont ma BP : p
J’ai écrit en son temps des articles utiles sur mon espace de documentation, publié ici, mais ça, c’est une autre histoire. ;)
Merci pour les conseils ;)
Même si ce n’est qu’une fois, les utilisateurs n’ont pas à la subir ! À toi de réorganiser ton code pour proposer l’information autrement, par exemple, un lien vers une page explicative, lien qui apparaît en fin de page, ou sur un menu contextuel placé à D ou à G, dans une balise aside, etc. Avoir du soutien plus actif? ce n’est pas à moi qu’il faut le demander, vu que je m’en fiche perso, même pour mes propres articles - un lecteur les lit tant mieux, un autre non; ce n’est pas grave, loin s’en faut.
Top :)
Tiens, j’ai sorti mon article sur le sujet: https://trolliet.info/blog/038-tailleimage/
Eh bien, c’est même pas si vrai que ça en plus je trouve…
Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça
Un des avantages est quand même le fait que tu ne peux pas perdre de base de données de mot de passe. Pas de fichiers à backup.
Mais tous les désavantages ne font pas le poids à mon goût…
Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).
C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.
Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire). Donc, aucun avantage à Spectre.
Par contre des inconvénients, on peut en lister beaucoup…
Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/
Même si cela paraît être plus sécurisé qu’un gestionnaire de mot de passe, cela n’est pas le cas.
Un gestionnaire de mot de passe implique de respect deux critères de sécurité :
La fuite d’un des deux éléments ne met pas en péril la confidentialité des données contrairement à l’usage du protocole spectre ou la possession du mot de passe suffit à mettre en péril les secrets.
De plus, la compromission d’un mot de passe généré par spectre peut mettre en péril l’entièreté des mots de passe chiffrée avec la clé maitresse car la personne peut bruteforcer la clé maitresse en jouant le protocole spectre en offline. Ce qui lui permet de débloquer les mots de passe de tous les autres logins chiffrés avec elle.
Hello,
En fait, oui, c’est un peu subjectif, car une histoire récente, une application pour un client qui avait une très mauvaise expérience utilisateur, car des fichiers PNG de 10Mo (sans transparence) était envoyé, et a l’époque, il n’y avait de recompression de l’app, car comme vous, j’optimise mes images avant de les envoyer, le problème, c’est que quand on es dans le monde de la Tech, on ne se rend pas compte que les gens, n’en savent pas autant que nous sur le sujet.
Bonne journée :)
C’est vrai :).
Le fait est que dans mon domaine d’activité, mes clients ont plus de 90% d’iPhone et de mac, hors Safari (comme toujours, ne le prends pas en compte)
Également, il n’est pas encore pris nativement en compte dans des choses comme liip_imagine_bundle, je n’ai pas cherché si il est pris en charge dans la librairie imagine.
Merci d’avoir pris le temps de commenter
Commentaires super intéressants, ça fait plaisir, merci @BarbossHack !
En effet, bien que j’utilise cet outil depuis depuis +2 ans maintenant il est décevant de voir la faible maintenance du projet.
Il est cependant possible d’utiliser leur algorithme open-source sur d’autres projets (ex : https://github.com/bkueng/qMasterPassword)
Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)
Je viens de trouver des informations supplémentaires intéressantes sur Hacker News : https://news.ycombinator.com/item?id=9788597
Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :
l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)
aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien
tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)
après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?
Ouaip surtout que non le png n’est pas forcément lossless, il a plusieurs options pour avoir un mode lossy où il est effectivement très efficace.
C’est vraiment dommage de taper aussi fort sur PNG alors que dans beaucoup de cas il est bien meilleur que JPG, voir même que WebP ou AVIF. Si tu avais spécifié que ton billet s’appliquait uniquement aux photos ou dessins photo-réalistes, alors ça m’aurait convenu.
C’est un peu dommage de zapper avif alors que bon webp est déjà “assez vieux” maintenant et que avif est meilleur en tout point. Selon caniuse il est déjà supporté par 75% des utilisateurs et comme mentionné dans l’article, l’utilisation de la balise <picture> permet de l’utiliser sans impact négatif en cas de non support.
Salut PengouinPdt, désolé pour le désagrément, il s’agit d’une seule exit popup qui ne s’affiche qu’une fois. Il n’y a aucun trackers.
Elle permet d’être informé de tous les articles que je propose gratuitement.
Si tu as une suggestion pour me permettre d’avoir du soutien plus efficacement je suis preneur ;)
Ho il suffit de bloquer le javascript pour ne pas être emmerdé. D’ailleurs si on le fait sur ce site on est pas emmerdé par le contenu non plus vu qu’il ne s’affiche pas. ^__^
Disons que c’est le genre de pratique qui devient monnaie courante même sur des sites persos à visée non commerciale et c’est assez triste je trouve.
J’ai bien aimé. Maintenant ne lisant pas non plus personnellement le grec, cela permet de mieux comprendre la difficulté de compréhension - et pas besoin d’être asiatique :p