Article intéressant en soit.
Par contre, la “popup” - plutôt le message - incitant à rejoindre les 363 abonnés au moment de quitter la page est vraiment agaçant. Cela fait partie des pratiques incitatives, que personnellement j’abhorre, et que je trouve mal venu. Au point que cela ne me donne pas envie de revenir, car je n’ai pas envie de la subir à chaque itération de vue sur le site… Bref - dommage.
Le fait que le code soit d’origine chinoise te dérange plus que s’il venait des USA ?
Tu as peur d’une forme d’espionnage ? Pourtant les plus grosses boîtes violants la vie privée viennent des USA…
Après, il faudrait probablement un audit pour s’assurer un tant soit peu que le code est clean et fait ce qu’il est censé faire et pas plus…
Je pense qu’on peut introduire du code malveillant par continuité dans n’importe quel logiciel (temps + énergie + complexité + ingéniosité + confiance). La surface d’exploitation est toujours problématique : plus un système devient sécurisé moins il est pratique à utiliser. Il me semble qu’on ne cherche pas à protéger totalement son système mais on se protège de menaces identifiables. Donc, à minima, il me semble qu’il faut avoir des connaissances sur le fonctionnement des systèmes d’exploitation (et) ou se former en sécurité informatique. Aucune magie noire. Pour rappel, l’extrait de code Java le plus recopié sur Stack Exchange contenait un bogue mineur. Le logiciel mentionné a 154 fichiers .rs et 47 413 lignes.
Autant l’envie de virer Teamviewer et de hoster mon propre serveur de mise en relation me tente, autant installer un logiciel développé par des ressortissants chinois (si j’en crois leur noms et localisation sur Github), ben.. je suis pas chaud chaud.
N’ayant aucune compétence en Rust, je ne me vois pas relire le code pour voir s’il y a des backdoors dedans, et, encore moins, compiler les sources pour ne pas prendre directement les binaires.
Et vu qu’en plus c’est backupé par Lenovo, de sinistre mémoire quand il s’agit d’installer des backdoors et d’envoyer des informations en Chine, bof, bof…
Une alternative : vim qui propose les mêmes choses sauf que pour moi c’est un éditeur et non pas un outil de visualisation.
Ça se discute : la commande view (fournie dans le paquet vim) est un alias de vim -R qui ouvre le fichier en lecture seule, empêchant les modifications mais permettant navigation, coloration syntaxique et autres friandises de vim.
L’avantage de pass n’est pas tant de stocker ses mots de passes avec git, mais surtout d’utiliser gpg pour les chiffrer. Ce qui permet d’avoir toute l’intégration qui va avec (clefs multiples, jetons de sécurité).
On va dire que c’est l’outil qui impose le moins de structure dans l’organisation des mdp, ce qui le rend à la fois ultra configurable, mais également réservé à un public sachant ce qu’il fait
Je n’ai pas d’expérience dans le domaine mais je pense que l’important est d’utiliser les outils qui nous conviennent. Si l’outil est complexe le temps d’apprentissage est plus long pour parvenir à une maîtrise. Il semble que cela soit fastidieux pour l’auteur de passer en revue du texte. À mon avis, c’est parce que son approche n’est pas efficace : lire du texte en séquence (e.g. Emacs Rocks! Episode 12: Working with HTML). Évidemment, il y a des avantages et des inconvénients.
Article intéressant en soit. Par contre, la “popup” - plutôt le message - incitant à rejoindre les 363 abonnés au moment de quitter la page est vraiment agaçant. Cela fait partie des pratiques incitatives, que personnellement j’abhorre, et que je trouve mal venu. Au point que cela ne me donne pas envie de revenir, car je n’ai pas envie de la subir à chaque itération de vue sur le site… Bref - dommage.
Le fait que le code soit d’origine chinoise te dérange plus que s’il venait des USA ?
Tu as peur d’une forme d’espionnage ? Pourtant les plus grosses boîtes violants la vie privée viennent des USA… Après, il faudrait probablement un audit pour s’assurer un tant soit peu que le code est clean et fait ce qu’il est censé faire et pas plus…
Je pense qu’on peut introduire du code malveillant par continuité dans n’importe quel logiciel (temps + énergie + complexité + ingéniosité + confiance). La surface d’exploitation est toujours problématique : plus un système devient sécurisé moins il est pratique à utiliser. Il me semble qu’on ne cherche pas à protéger totalement son système mais on se protège de menaces identifiables. Donc, à minima, il me semble qu’il faut avoir des connaissances sur le fonctionnement des systèmes d’exploitation (et) ou se former en sécurité informatique. Aucune magie noire. Pour rappel, l’extrait de code Java le plus recopié sur Stack Exchange contenait un bogue mineur. Le logiciel mentionné a 154 fichiers
.rset 47 413 lignes.J’ai j’ajoute asdf et k9s
Et moi j’aimerais que Scarlett Johansson me demande en mariage. :o)
Merci pour l’info
J’aimerai votre avis sur le commentaire que je viens d’ajouter svp
Bonjour.
Je m’interroge beaucoup sur ce logiciel.
Autant l’envie de virer Teamviewer et de hoster mon propre serveur de mise en relation me tente, autant installer un logiciel développé par des ressortissants chinois (si j’en crois leur noms et localisation sur Github), ben.. je suis pas chaud chaud.
N’ayant aucune compétence en Rust, je ne me vois pas relire le code pour voir s’il y a des backdoors dedans, et, encore moins, compiler les sources pour ne pas prendre directement les binaires.
Et vu qu’en plus c’est backupé par Lenovo, de sinistre mémoire quand il s’agit d’installer des backdoors et d’envoyer des informations en Chine, bof, bof…
Suis-je trop parano ? Vous en pensez quoi ?
JMS
Juste une coquille dans son titre, l’outil s’appelle rustdeSk :) Sinon je valide, il fonctionne bien.
Vu les coûts cloud, c’est quasiment indispensable aujourd’hui. Une bonne chose pour leur base installée d’utilisateurs.
On imagine que la rémunération devait être à la hauteur de l’entretien d’embauche pour accepter ce processus de recrutement :)
Tout a fait … ;)
Rhô, tu viens de me faire découvrir un truc. Je savais pas. Merci. <3
hum… Est-ce que ce commentaire ne serait pas pluôt destiné à l’autre article qui mentionne DevOps ?
Ça se discute : la commande
view(fournie dans le paquet vim) est un alias devim -Rqui ouvre le fichier en lecture seule, empêchant les modifications mais permettant navigation, coloration syntaxique et autres friandises de vim.L’avantage de pass n’est pas tant de stocker ses mots de passes avec git, mais surtout d’utiliser gpg pour les chiffrer. Ce qui permet d’avoir toute l’intégration qui va avec (clefs multiples, jetons de sécurité).
On va dire que c’est l’outil qui impose le moins de structure dans l’organisation des mdp, ce qui le rend à la fois ultra configurable, mais également réservé à un public sachant ce qu’il fait
Salut, j’ai ajouté pass dans le billet. Merci !
Je plussoie
Bien sur il manque le plus utilisé et le meilleur :
pass
https://passwordstore.org
Je n’ai pas d’expérience dans le domaine mais je pense que l’important est d’utiliser les outils qui nous conviennent. Si l’outil est complexe le temps d’apprentissage est plus long pour parvenir à une maîtrise. Il semble que cela soit fastidieux pour l’auteur de passer en revue du texte. À mon avis, c’est parce que son approche n’est pas efficace : lire du texte en séquence (e.g. Emacs Rocks! Episode 12: Working with HTML). Évidemment, il y a des avantages et des inconvénients.