Logo journal du hacker middle
  1. 1

    Salut, j’ai ajouté pass dans le billet. Merci !

    1. 1

      L’avantage de pass n’est pas tant de stocker ses mots de passes avec git, mais surtout d’utiliser gpg pour les chiffrer. Ce qui permet d’avoir toute l’intégration qui va avec (clefs multiples, jetons de sécurité).

      On va dire que c’est l’outil qui impose le moins de structure dans l’organisation des mdp, ce qui le rend à la fois ultra configurable, mais également réservé à un public sachant ce qu’il fait

    1. 1

      Merci pour l’article, c’est super intéressant !

      Je m’étais toujours demandé si c’était safe de brancher des fils sur un composant soudé, ça donne envie d’ouvrir son pc et de tester chez soi pour voir ce que l’on peut extraire comme information !

      1. 1

        Tant que tu ne relies pas deux bornes entre elles, il n’y a aucun risque, surtout sur des fils de données :)

      1. 1

        J’ai toujours l’impression de jouer avec le feu au moment où je copie une image sur une clef USB en ligne de commande.la manip est très simple, mais le risque d’une fausse manip est bien trop grand. Je précède ma commande par :

        • dmesg | tail pour m’assurer dans les logs du nom du périphérique qui vient d’être connecté
        • mount | grep sdX pour m’assurer que le périphérique n’est pas monté.
        • cp image.iso /dev/sdX et la mon doigt glisse au moment de taper la commandes :=O
        1. 2

          Latex est très bien pour faire ce genre de chose, le problème est qu’il n’oblige pas à séparer le fond de la forme. Dès lors que l’on retrouve du texte qui se mélange avec des commandes latex, c’est qu’on a manqué quelque-chose. Bien sur, cela fonctionne et le résultat est là, mais ça n’est pas maintenable : on est obligé d’aller modifier le “code latex” si l’on veut modifier le document, et pire, si l’on veut apporter une correction sur le modèle, on est obligé d’aller modifier tous les fichiers dont il est dérivé (alors qu’en faisant un \input{mon_template.tex} en début de fichier on peut versionner le template et le mettre à jour indépendament du document)

          Aujourd’hui, je suis partisant d’une séparation complète entre :

          • le texte (qui peut etre généré à l’aide d’un langage de balisage — avec une sortie Latex)
          • le template latex (qui se présente sous la forme de macro latex qui viennent s’appliquer qui sont appelées à partir du texte).

          C’est comme le code, on peut choisir de tout coder dans le main… mais c’est plus propre de séparer les classes :)

          1. 1

            Tout à fait d’accord, je vais ajouter une section ajout de macros LaTeX et séparer la template en deux fichiers, le contenu de la facture et les macros

            Merci pour ton retour pertinent

            PS: l’intention de cet article est de montrer qu’on peut arriver à une mise en forme de facture satisfaisante avec peu de code

            1. 1

              PS: l’intention de cet article est de montrer qu’on peut arriver à une mise en forme de facture satisfaisante avec peu de code

              J’avais compris, et j’ai hésité avant de poster le commentaire. Si le blog était tenu par un artisan indépendant qui a trouvé avec Latex une solutiion pour éditer ses factures maisons je n’aurait pas peut-etre pas envoyé mon commentaire de la meme façon. Là j’ai vu que tu étais un dev en c++/python alors je me suis laché :)

          1. 1

            Je comprend le principe, mais avant de laisser tourner un service sur le port 22, je préfère qu’il soit audité avant ! Aujourd’hui il est tellement facile de glisser une faille exploitable dans un code C, j’assume clairement être incapable de savoir si parmi les 800 lignes de code, il n’y a pas une porte ouverte !

            1. [Comment removed by author]

              1. 1

                kconfig n’est qu’une des chaînes de compilation proposée, il y en a vraiment plein d’autres :

                Voir la documentation sur la création des packages qui est assez claire (même si je n’ai pas eu besoin de me créer de nouveau paquets, puisque ceux proposés me convenaient). Le résultat donne quelque chose de plutôt facile, puisqu’on n’a juste à s’occuper de la configuration finale.

                Par contre, je ne pourrai pas t’aider pour l’initramfs — j’ai des mauvais souvenirs qui me reviennent en repensant au chiffrements des disques que j’avais mis en place, je n’irais pas m’amuser à ça sur une architecture comme le raspberry pi…

              1. 4

                J’aime beaucoup cette chaîne EICAR, car ce texte est en fait un programme DOS, qui utilise des techniques d’obfuscation de code afin de ne contenir que des caractères affichables.

                Une analyse (en anglais) : https://blog.nintechnet.com/anatomy-of-the-eicar-antivirus-test-file/

                1. 1

                  Merci pour cet article et cette remise à plat. C’est vrai que les messages frauduleux se sont multipliés ces derniers temps, et les réactions des autres personnes autour de moi ont été d’accuser la sécurité de Signal.

                  L’article explique bien que l’on est là justement parce que l’application n’a pas la capacité d’intercepter les messages

                  1. 1

                    J’aime beaucoup le site et son design. Derrière l’article l’existence même du site est un projet intéressant !

                    1. 1

                      Article très intéressant ! J'aime le fait qu'il ait présenté un peu la partie technique, la plupart des articles sur le deep learning se contentent juste de donner des résultats sans chercher à démystifier ce qui se trame derrière.

                      1. 1

                        :-). Tu peux aussi voter pour lui ….pour traduire ton appréciation.

                        1. 1

                          Exact !

                        2. 1

                          J'ai posté un article qui explique que l'IA c'est un peu de l'alchimie… d'où peut-être le manque de transparence de certains articles sur le bien-fondé scientifique des méthodes utilisées par l'IA.

                          1. 1

                            Je l'ai également lu, mais il me pose plus interrogations qu'il n'y répond, sur le côté « science de l'informatique ». Pendant des années, l'informatique s'est posée comme une science en se basant sur les notions de calculabilité, complexité et d'expressivité des programmes. Les algorithmes qui sont utilisés tous les jours dans les librairies standard (tri rapide, djikstra) ont été prouvé mathématiquement.

                            Dans le cas de l'IA, on perd complètement cette dimension. J'ai l'impression qu'on ne cherche plus à prouver la démarche utilisée, mais que l'on construit une tautologie qui se résume à « on prouve que l'IA fonctionne car on obtient des résultats ».

                            Bon, je résume grossièrement ici. Mais dans l'ensemble, j'ai l'impression qu'il nous manque tout un bagage théorique sur l'IA pour pouvoir en comprendre ses limites et son fonctionnement.

                            1. 2

                              Chimrod, pour en avoir discuter avec une connaissance qui est chercheuse sur le sujet. Il y a un peu de “magie” que l'on ne sais pas encore suffisamment expliquer. Pourquoi tel pattern de réseaux de neurone fonctionne bien sur une problématique et pas sur une autre restent un peu mystérieux. On sait que ça fonctionne, alors on l'utilise….

                        1. 2

                          La vidéo est intéressante à travers les hésitations du présentateur : « ah non, ça sert à rien de de faire une redirection dans un fichier car il sera encore la propriété d'elaine, il faut que je trouve autre chose »

                          En fait, ça montre surtout qu'il ne faut pas forcément avoir une bonne connaissance technique, mais plutôt un regard qui cherche à comprendre les erreurs dans le système (et être méticuleux bien sûr)

                          1. 1

                            Le lien n'est pas bon ? (il manque .html) : https://avent.data.gouv.fr/2017/11.html

                            1. 1

                              corrigé, merci

                            1. 1

                              J'ai trouvé l'initiative fort intéressante.

                              Il y a une vrai volonté d'ouverture tant sur la partie matériel que logiciel. L'interpréteur python est un très gros plus. On peut l'essayer ici : https://www.numworks.com/fr/simulateur/

                              Je pense me la prendre pour essayer. (J'ai une certaine passion pour les calculatrice)

                              1. 1

                                Hmmm c'est pas du Logiciel Libre j'ai l'impression https://github.com/numworks/epsilon/blob/master/LICENSE => Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International Public License

                                1. 1

                                  La licence est CC BY-NC-ND. Le BY-NC est classique.

                                  Le -ND un peu moins.

                                  Je suppose que cela est dû au fait que la calculatrice possède un mode examen qui la rend éligible pour passer le bac en 2018… Mais du coup, sans le -ND, rien n'interdirait un étudiant de modifier ce mode officiel pour lui laisser accès à la mémoire, tout en faisant clignoter la diode. Je suppose que cela problème. Une solution est de le -ND qui demande donc à centraliser les modifications pour les faire valider par l'équipe via github, je suppose.

                                  Dans tous les cas, on a la documentation sur la partie hardware électronique : https://www.numworks.com/resources/engineering/hardware/electrical/

                                  Pour les amateurs, on a quand même une possibilité de lire et proposer des changements sur la partie logiciel. Ce qui est loin d'être négligeable pour la correction de bug qui chez les concurrents peuvent rester à vitam-æternam…

                                  Je vais essayer d'en choper une et je ferais un retour dessus. Mais avec pour cible un lycéen qui a envie de bidouiller, elle semble intéressante.

                                  1. 2

                                    La licence empêche toutefois l'ouverture aux contributions externes…

                                    Un ticket a été ouvert sur leur repo, ça permettra de trancher sur leur position :

                                    https://github.com/numworks/epsilon/issues/38

                                    1. 1

                                      Prosaïquement ce que je comprends:

                                      • NC signifie pas d'utilisation commerciale, il ne s'agit donc pas de logiciel libre, vu qu'on empêche les professionnels de s'en servir.
                                      • ND pour pas de redistribution autorisée en cas de modification de l'original. Vous imaginez Debian qui interdirait les dérivées ? (60% des distributions GNU/Linux sur distrowatch). Haha.

                                      Donc bon, c'est pas du logiciel libre pour moi. Ou je comprends pas bien cette licence (fort possible).

                                      1. 2

                                        Donc bon, c'est pas du logiciel libre pour moi.

                                        Effectivement, tel quel, c'est de l'opensource et non du logiciel libre. Ils embarquent un micropython sous licence MIT, et le reste est développé par leur équipe, donc à priori c'est légal.

                              1. 4

                                J’ai le droit de hurler très beaucoup ? :s

                                Ça devrait être interdit de faire de la crypto dans un blog sans avoir passer un permis ><

                                Entre les erreurs grossières sur ECB (qui ne doit jamais être utilisé, quelqu’en soit la raison) et la mauvaise gestion de la clef et de l’IV (qui est justement le morceau difficile de ce code et qui n’est pas du tout abordé). Snif…

                                1. 2

                                  Merci pour ton retour !

                                  1. 2

                                    Bien que ça date, il faut croire que tout le monde n'a pas encore pris le temps de lire cet article : https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2009/july/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/

                                    1. 1

                                      “J’ai le droit de hurler très beaucoup ? :s”

                                      mais… oui ! :D

                                    1. 2

                                      Est-il possible de remplacer l'url du lien (qui pointe vers google.com) par celle de l'article : http://www.framboise314.fr/plongez-dans-le-go/ ?

                                      1. 1

                                        c'est fait, merci pour le signalement ;)

                                      1. 1

                                        mais… mais… on est pas vendredi !

                                        1. 1

                                          on croit rêver … c'est des sabres à LED, pas des sabres laser (y'a tromperie sur la marchandise, /me déçu)

                                          1. 2

                                            J'ai eu l'occasion de faire une démo avec la sport saber league.

                                            Faut le voir comme une scéance de Kendo un peu fun, mais les sabres utilisés dans la démo étaient bien solide, et pouvaient faire mal au doigts si on fait pas attention… C'est avant tout un équipement sportif

                                        1. 1

                                          Mon dieu je vais bientôt devoir dire du bien de Microsoft ha, ha, ha !

                                          1. 1

                                            On pourrait commencer à dire du bien de l'INRIA et du mal de l'Etat Français qui préfère payer sa dette ad vitam eternam plutôt que de financer la recherche.

                                            1. 2

                                              Soyons positifs, ça évolue très (et trop) lentement mais ça évolue. Et puis il n'y a pas que la France dans d'autres pays comme le Brésil ils prennent de l'indépendance de plus en plus vis-à-vis de Microsoft, des USA, des logiciels proprios.

                                              Le vent du changement souffle et je sais qu'on est beaucoup à le sentir.

                                              1. 1

                                                Je partage l'avis de lugus35 , j'ai toujours trouvé l'INRIA beaucoup trop lié à Microsoft.

                                                1. 2

                                                  Est-ce que tu peux détailler ?

                                                  Je sais que l'inria essaie de se détacher d'ocaml, mais aujourd'hui, ocaml ne s'installe toujours pas correctement sous windows…

                                              2. 1

                                                ça me gêne en effet que de l'argent public parte dans des licences Microsoft, non seulement car il y a des alternatives, et ensuite car vu les histoires d'espionnage liés à cet OS…

                                            1. 2

                                              Il y avait déjà eu une news à ce sujet sur le journalduhacker. Je n'ai pas voulu diffuser l'article que j'avais écrit pour ne pas faire doublon…

                                              Mais merci de l'avoir fait ^^

                                              1. 2

                                                Ton article est plus clair et plus précis, il a toute sa place ici et vu les votes je ne suis pas le seul à penser cela ;)

                                              1. 1

                                                Une autre solution, quand on s'auto-héberge et avons la possibilité de maîtriser sa configuration c'est de bloquer l'accès au fichier xmlrpc.php :

                                                    <IfModule mod_alias.c>
                                                            RedirectMatch 403 (.*)/xmlrpc\.php$
                                                    </IfModule>
                                                

                                                Voilà !

                                                1. 1

                                                  outil intéressant, ça marche avec tous les projets ?

                                                  1. 1

                                                    Oui, je pense que ça surcharge la commande « install » appelée dans les makefile pour en faire .deb

                                                    Je n'ai jamais eu de problème jusqu'à présent.

                                                    1. 1

                                                      ok merci faut que je teste ça pour voir comment ça se comporte (mon côté développeur debian qui réapparaît ;)