Shared posts

21 Dec 18:49

Certificate Transparency : des journaux public en ajout seul pour améliorer la sécurité de TLS

by webmestre [at] ssi.gouv.fr

 

Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF.

L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats émis par les autorités de certification reconnues par les navigateurs sont enregistrés dans des journaux en ajout seul.

Les titulaires de noms de domaines sont invités à consulter ces journaux, lister les certificats émis pour leurs noms de domaine, et finalement d’identifier et de rapporter tout certificat qui aurait été émis sans leur accord. Divers outils sont à leur disposition, pour ce faire, dont :

 

À ce jour, la prise en charge de Certificate Transparency est généralement optionnelle. À partir d’octobre 2017, le navigateur Chrome la rendra néanmoins obligatoire pour tous les nouveaux certificats. Les gestionnaires de sites web sont donc invités à prendre en main la technologie, dès à présent.

 

 

 

14 Jun 19:32

Tesla Suspension Breakage: It's Not The Crime, It's The Coverup

by BeauHD
schwit1 quotes a report from Daily Kanban: For several months now, reports have circulated in comment sections and forum threads about a possible defect in Tesla's vehicles that may cause suspension control arms to break. Many of those reports appeared to come from a single, highly-motivated and potentially unreliable source, a fact which led many to dismiss them as crankery. But as more reports of suspension failure in Teslas have come in, Daily Kanban has investigated the matter and can now report on this deeply troubling issue. Our investigation began in earnest upon reading a thread titled "Suspension Problem on Model S" in the Tesla Motors Club forum. The original poster (OP) in that thread described the suspension in his 2013 Model S (with 70,000 miles) failing at relatively low speed, saying the "left front hub assembly separated from the upper control arm." Images of the broken suspension components showed high levels of rust in the steel ball joint and the OP reported being told by Tesla service center employees that the "ball joint bolt was loose and caused the wear," which was "not normal." Because his Tesla was out of warranty, the repair was reportedly sent to Tesla management for consideration. According to a subsequent post by the OP, Tesla management refused to repair the broken suspension under warranty despite the "not normal" levels of wear reported by the service techs. Then, just days later, the OP reported that Tesla had offered to pay 50% of the $3,100 repair bill in exchange for his signature on a "Goodwill Agreement" which he subsequently posted here (a scan of the stock agreement can be found here). That agreement included the following passage: "The Goodwill is being provided to you without any admission of liability or wrongdoing or acceptance of any facts by Tesla, and shall not be treated as or considered evidence of Tesla's liability with respect to any claim or incidents. You agree to keep confidential our provision of the Goodwill, the terms of this agreement and the incidents or claims leading or related to our provision of the Goodwill. In accepting the Goodwill, you hereby release and discharge Tesla and related persons or entities from any and all claims or damages arising out of or in any way connected with any claims or incidents leading or related to our provision of the Goodwill. You further agree that you will not commence, participate or voluntarily aid in any action at law or in equity or any legal proceeding against Tesla or related persons or entities based upon facts related to the claims or incidents leading to or related to this Goodwill." [Emphasis added] This offer, to repair a defective part in exchange for a non-disclosure agreement, is unheard of in the auto industry. More troublingly, it represents a potential assault by Tesla Motors on the right of vehicle owners to report defects to the National Highway Traffic Safety Administration's complaint database, the auto safety regulators sole means of discovering defects independent of the automakers they regulate. Reuters also reports today that U.S. auto safety investigators are reviewing reports of suspension problems in Tesla Motors Inc's Model S cars.

Share on Google+

Read more of this story at Slashdot.

22 May 13:11

Petit moment de nostalgie

by CommitStrip

Strip-Pepperidge-farm-(650-final)

Inspiré d’un commentaire d’un de nos lecteurs, Ivan Petrushev
06 Nov 08:28

Saying "Wasted" On Facebook Can Affect Your Credit Score

by Soulskill
JustAnotherOldGuy writes: According to a recent report by the Financial Times (paywalled), some of the top credit rating companies are now using people's social media accounts to assess their ability to repay debt. "If you look at how many times a person says 'wasted' in their profile, it has some value in predicting whether they're going to repay their debt," Will Lansing, chief executive at credit rating company FICO, told the Financial Times. "It's not much, but it's more than zero." According to the Financial Times, both FICO and TransUnion have had to find "alternative ways" to assess people who don't have a traditional credit profile — including people who haven't borrowed enough to give creditors an idea of what kind of risk they pose.

Share on Google+

Read more of this story at Slashdot.

22 Oct 14:37

La planète Foot, le jour d'après

Article - chronique :
Le 2 juin dernier, Sepp Blatter annonça à Zurich sa démission de la présidence de la Fifa, la Fédération internationale de Football Association. Valerio di Domenico, photographe pour l’AFP, ...
05 Sep 18:27

La France a besoin de héros

by vidberg
À voir sur LeMonde.fr : François Hollande remet la légion d'honneur aux héros du Thalys Vous pouvez...

Cliquez sur le titre pour lire la note en entier.
19 May 12:47

RTFM? How To Write a Manual Worth Reading

by timothy
An anonymous reader writes with a link to Rich Bowen's insightful, detail laden piece at Opensource.com about improving documentation: Have you noticed that the more frequently a particular open source community tells you to RTFM, the worse the FM is likely to be? I've been contemplating this for years, and have concluded that this is because patience and empathy are the basis of good documentation, much as they are the basis for being a decent person. What's the best example you know of for open-source documentation? How about the worst?

Share on Google+

Read more of this story at Slashdot.

23 Jan 19:06

HTTP/2 - the IETF Is Phoning It In

by samzenpus
An anonymous reader writes HTTP/2 is back in the spotlight again. After drawing significant ire over a proposal for officially sanctioned snooping, the IETF is drawing criticism for plowing ahead with its plans for HTTP/2 on an unrealistically short schedule and with an insufficiently clear charter. A few days ago the IETF announced Last Call for comments on the HTTP/2 protocol. Poul-Henning Kamp writes, "Some will expect a major update to the world's most popular protocol to be a technical masterpiece and textbook example for future students of protocol design. Some will expect that a protocol designed during the Snowden revelations will improve their privacy. Others will more cynically suspect the opposite. There may be a general assumption of 'faster.' Many will probably also assume it is 'greener.' And some of us are jaded enough to see the "2.0" and mutter 'Uh-oh, Second Systems Syndrome.' The cheat sheet answers are: no, no, probably not, maybe, no and yes." "Given this rather mediocre grade-sheet, you may be wondering why HTTP/2.0 is even being considered as a standard in the first place. The Answer is Politics. Google came up with the SPDY protocol, and since they have their own browser, they could play around as they choose to, optimizing the protocol for their particular needs. SPDY was a very good prototype which showed clearly that there was potential for improvement in a new version of the HTTP protocol. Kudos to Google for that. But SPDY also started to smell a lot like a 'walled garden'." "The IETF, obviously fearing irrelevance, hastily 'discovered' that the HTTP/1.1 protocol needed an update, and tasked a working group with preparing it on an unrealistically short schedule. This ruled out any basis for the new HTTP/2.0 other than the SPDY protocol. With only the most hideous of SPDY's warts removed, and all other attempts at improvement rejected as 'not in scope,' 'too late,' or 'no consensus,' the IETF can now claim relevance and victory by conceding practically every principle ever held dear in return for the privilege of rubber-stamping Google's initiative."

Share on Google+

Read more of this story at Slashdot.








09 Jan 17:57

Firefox – Isolez vos onglets dans une Sandbox pour plus de sécurité

by Korben

Si vous utilisez Firefox, vous allez apprécier la lecture de ce petit article. Pour améliorer la sécurité de vos séances de surf, il est possible grâce à l'extension Priv8, d'établir une série d'URL à mettre en Sandbox.

C'est quoi tous ces gros mots me direz vous ? Et bien Priv8 permet selon vos désirs, d'isoler les onglets de votre choix afin que les sites qui s'y chargent, ne partagent aucun cookie ou aucun fichier stocké ou donnée avec les autres onglets, sauf ceux appartenant à la même sandbox.

Cela permet par exemple, de charger plusieurs connexions à des comptes Gmail, Facebook ou Twitter différents, sans se marcher sur les pieds. Et comme chaque Sandbox dispose de sa propre couleur, vous les distinguerez rapidement. Priv8 est aussi pratique si vous êtes développeur, et que vous avez besoin de vous logger avec différents comptes utilisateurs pour vos tests.

148082

148076

Pour résumer, cela permet d'isoler les accès à certains sites (webmail, banque, backoffice de votre blog...etc.) pour une meilleure sécurité ou tout simplement pour des raisons pratiques.

Priv8 se télécharge ici.

Cet article merveilleux et sans aucun égal intitulé : Firefox – Isolez vos onglets dans une Sandbox pour plus de sécurité ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

17 Dec 17:48

Une extension Chrome pour vous aider à vous sevrer d’Amazon

by Korben

Si vous conchiez Amazon par-dessus tout et que vous préférez agir en militant et acheter vos livres papier chez de VRAIS libraires, voici un site + une extension pour Chrome qui devrait vous intéresser.

Le site c'est Place des Libraires. En gros c'est une place de marché qui rassemble des tas de libraires indépendants dans toute la France et qui permet aux internautes que nous sommes que savoir si tel ou tel livre est disponible à côté de chez nous.

C'est redoutable si vous avez une librairie pas loin car vous pouvez réserver le bouquin et aller le chercher immédiatement sans devoir attendre une livraison.

place 650x489 Une extension Chrome pour vous aider à vous sevrer dAmazon

Bon, ça c'est cool et c'est typiquement le genre d'initiative qui pourrait me faire acheter un livre autrement qu'en passant par Amazon. Bah oui c'est en ligne et si j'ai de la chance, le livre est entre mes mains dans la demi heure qui suit. Même si faut sortir son gros cul pour aller chez le Libraire, difficile de faire mieux. Et j'ai regardé, niveau prix, c'est la même chose que sur Amazon.

Bon, ça, c'est pour vous présenter Place des Libraires. C'est jusqu'à présent l'initiative la plus intéressante que j'ai vue pour continuer le jeu de la concurrence avec Amazon, sans tomber dans les pleurs et la contemplation.

L'autre truc sympa, c'est que pour ceux qui ont pris de mauvais réflexes en allant toujours sur Amazon, et qui trouvent quand même super pratique de choisir un bouquin grâce aux recommandations et aux classements d'Amazon, il existe une extension pour Chrome qui permet à partir d'une page Amazon (et donc du n° ISBN du bouquin), de se rendre en un clic, sur la Place des Libraires pour réserver le même livre.

Vous trouverez l'extension ici et les sources sur Github et l'installer en passant par le menu développeur de Chrome (Charger l'extension non empaquetée)

Du coup, la prochaine fois que j'ai besoin de papier tamponné, je penserai à cliquer dessus juste pour voir si la librairie en bas de chez moi dispose du livre en stock.

Cet article merveilleux et sans aucun égal intitulé : Une extension Chrome pour vous aider à vous sevrer d’Amazon ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

07 Dec 14:37

The Cost of the "S" In HTTPS

by timothy
An anonymous reader writes Researchers from CMU, Telefonica, and Politecnico di Torino have presented a paper at ACM CoNEXT that quantifies the cost of the "S" in HTTPS. The study shows that today major players are embracing end-to-end encryption, so that about 50% of web traffic is carried by HTTPS. This is a nice testament to the feasibility of having a fully encrypted web. The paper pinpoints also the cost of encryption, that manifests itself through increases in the page loading time that go above 50%, and possible increase in battery usage. However, the major loss due to the "S" is the inability to offer any in-network value added services, that are offered by middle-boxes, such as caching, proxying, firewalling, parental control, etc. Are we ready to accept it? (Presentation can be downloaded from here.)

Share on Google+

Read more of this story at Slashdot.








07 Dec 14:29

Google joins the effort to combat overfishing, with Global Fishing Watch

by Chris Wood

Google helped develop the new tool, which aims to help tackle the problem of overfishing

Google has partnered with SkyTruth and Oceana to produce a new tool to track global fishing activity. Known as Global Fishing Watch, the interactive web tool uses satellite data to provide detailed vessel tracking, and aims to harness the power of citizen engagement to tackle the issue of overfishing. .. Continue Reading Google joins the effort to combat overfishing, with Global Fishing Watch

Section: Environment

Tags: Fishing, Google, Ocean

Related Articles:
07 Dec 14:22

WaveNET – the floating, flexible wave energy generator

by Loz Blain

WaveNET - a floating, flexible, modular and massively scalable wave power generation idea ...

Scotland's Albatern is putting a new, modular spin on renewable energy generation. WaveNET is a scalable array of floating "Squid" generator units that harvest wave energy as their buoyant arms rise and fall with the motion of the waves. Each Squid can link up to as many as three others, effectively creating a large, floating grid that's flexible in every direction. The bigger this grid gets, the more efficient it becomes at harvesting energy, and the more different wave movements it can extract energy from. Albatern's 10-year target is to have 1.25 kilometer-long floating energy farms pumping out as much as 100 megawatts by 2024... Continue Reading WaveNET – the floating, flexible wave energy generator

Section: Environment

Tags: Modular, Renewable Energy, Scotland, Wave Power

Related Articles:
30 Nov 10:49

Chiffrez vos sauvegardes avant de les envoyer dans le cloud

by Korben

On le sait tous, utiliser des services de cloud comme Skydrive ou Google Drive nous expose à une violation de notre vie privée par des organismes tel que la NSA mais aussi à de simples piratages qui pourraient rendre publics nos fichiers.

Si vous voulez vraiment utiliser ce genre de services, il n'y a qu'un seul moyen de protéger efficacement ses données : Les chiffrer.

Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers américains, il existe un soft gratuit baptisé Duplicati pour vous aider.

Duplicati est un outil pour Windows, OSX et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix et d'envoyer tout ça sur votre serveur (via SCP ou FTP), ou sur Skydrive, Box, Amazon S3, Google Drive, Rackspace...Etc. Le chiffrement se fait en AES-256.

1 Chiffrez vos sauvegardes avant de les envoyer dans le cloud

2 Chiffrez vos sauvegardes avant de les envoyer dans le cloud

3 Chiffrez vos sauvegardes avant de les envoyer dans le cloud

4 Chiffrez vos sauvegardes avant de les envoyer dans le cloud

Si vous rencontrez quelques erreurs d'authentification, notamment sur Google Drive (SSL), rendez-vous ici pour plus d'infos.

Cet article merveilleux et sans aucun égal intitulé : Chiffrez vos sauvegardes avant de les envoyer dans le cloud ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

25 Nov 18:57

Leaked Documents Show EU Council Presidency Wants To Impair Net Neutrality

by Soulskill
NotInHere writes: The advocacy group "European Digital Rights" (EDRi) reports on leaked documents proposed by the Presidency of the council of the EU (currently held by Italy), which plans to remove vital parts from the telecommunications package that introduced net neutrality. The changes include removing the definition of "net neutrality" and replacing it with a "reference to the objective of net neutrality," which EDRi says will impair any ability to enforce it. Also, the proposed changes would allow ISPs to "block, slow down, alter, degrade or discriminate" traffic in order to meet "obligations under a contract with an end-user to deliver a service requiring a specific level of quality to that end-user." EDRi writes that "[w]ith all of the talk of the need for a single digital market in Europe, we would have new barriers and new monopolies." The council of the EU is one of its two legislative chambers. The EU parliament can now object or propose further changes to prevent the modified telecommunications package from passing.

Share on Google+

Read more of this story at Slashdot.








28 Oct 16:49

Comment Netflix a survécu au redémarrage d'Amazon EC2

by Joab Jackson, IDG NS (adaptation Jean Elyan)
Parfois, la meilleure voie vers le succès est d'apprendre comment éviter l'échec. Parce qu'il s'est préparé à cette éventualité, Netflix a pu continuer (...)
29 Sep 08:18

TrueCrypt Gets a New Life, New Name

by Soulskill
storagedude writes: Amid ongoing security concerns, the popular open source encryption program TrueCrypt may have found new life under a new name. Under the terms of the TrueCrypt license — which was a homemade open source license written by the authors themselves rather than a standard one — a forking of the code is allowed if references to TrueCrypt are removed from the code and the resulting application is not called TrueCrypt. Thus, CipherShed will be released under a standard open source license, with long-term ambitions to become a completely new product.

Share on Google+

Read more of this story at Slashdot.








12 Aug 15:15

Tarifs différents selon l’internaute : des loueurs de voitures épinglés par l'UE

by xavier@nextinpact.com

Avis, Europcar et Hertz viennent de se faire taper sur les doigts par la Commission européenne. Via leurs sites Internet respectifs, les trois célèbres sociétés de location de voitures pratiquent des tarifs différents selon l’endroit où est situé le consommateur européen, ce qui constitue une différence de traitement injustifiée aux yeux de Bruxelles. Les loueurs ont désormais jusqu’à la fin du mois pour respecter la législation de l’Union. 

Face à l’inertie des trois loueurs de voitures concernés, la Commission européenne a décidé de mettre à mal l’image de ces sociétés - pour la plupart bien connues du grand public. Hier, l’institution a en effet publiquement annoncé avoir écrit il y a plusieurs jours à Avis, Europcar et Hertz pour leur demander de modifier leurs pratiques de vente en ligne, en vain. Accusés de discrimination à l’égard des consommateurs européens, les trois géants de la location sont désormais tenus de rentrer dans le rang « au plus tard le 30 août 2014 ».

Un même service, plusieurs tarifs selon la localisation de l'internaute 

Et pour cause. Saisie par des particuliers, la Commission a pu constater que ces loueurs offraient des tarifs différents en fonction du pays-membre de résidence de l’internaute. En guise d’exemple, Bruxelles explique que récemment, « un consommateur, après avoir saisi le nom de son pays de résidence (l'Allemagne), a vu doubler le prix annoncé d'une location de voiture au Royaume-Uni ». Les prestations auraient pourtant été les mêmes que si c’était un Britannique qui avait effectué cette réservation.

 

D’un point de vue technique, les services de la Commission affirment avoir décelé « l'existence de pratiques de réacheminement automatique après identification de l’adresse IP du consommateur ». Parfois, « même sans réacheminement, le consommateur peut se voir imposer un prix différent après avoir saisi le nom de son pays de résidence sur le site Internet de la société de location de voitures concernée ». Selon Bruxelles, il arrive également que l’adresse IP du consommateur soit repérée par le loueur, lequel l’empêcherait alors d'effectuer toute réservation en ligne en raison de son adresse IP.

Une différence de traitement injustifiée au sein du marché unique

Si la Commission européenne fait les gros yeux aux loueurs, c’est parce que « la directive sur les services interdit en particulier aux sociétés d'appliquer des discriminations injustifiées pour l'accès à un service, sur la base de la nationalité ou du lieu de résidence du consommateur ». Autrement dit, il n’est pas autorisé de moduler le tarif de location uniquement d’après le lieu d’où l’internaute, résidant d'un État-membre européen, fait sa réservation.

Drapeau EuropeCrédits : Joris Van Ostaeyen/iStock/Thinkstock

Il est à noter que trois autres loueurs avaient également reçu ce courrier rendu public hier (Sixt, Goldcar et Enterprise), mais leur réponse jugée « satisfaisante » a conduit la Commission à ne pas leur demander de nouvelles actions.

 

On se rappellera enfin que la même Commission avait refusé l’année dernière de se pencher sur les pratiques dites d’IP Tracking, qui consistent à repérer l’adresse IP d’un internaute pour moduler ses tarifs de vente (quand on revient voir le prix d’un billet d’avion par exemple). Interpellée par l’eurodéputée Françoise Castex, l’institution s’était défaussée sur les autorités nationales de protection des données personnelles - en France, la CNIL. 

09 Aug 11:42

Quand un poisson essaye de jouer à Pokémon

by kevin@nextinpact.com

Si la plateforme Twitch fait surtout parler d'elle en ce moment pour les polémiques générées par de récents changements de politique, certains utilisateurs en profitent pour mettre au point des expériences saugrenues. C'est ainsi qu'une chaîne permet de regarder un poisson jouer à Pokémon dans son bocal. Et très franchement... il n'est pas doué.

Sur Twitch, il y a actuellement deux types de personnes. Celles qui s'égosillent au sujet des récents changements apportés à la plateforme de streaming, et 20 000 autres qui occupent leurs journées en regardant un poisson jouer à Pokémon.

 

Comment un poisson peut-il jouer à Pokemon ? La méthode est plutôt simple à comprendre. Une caméra filme en permanence le bocal de Grayson (c'est son petit nom) et cherche à détecter sa position. L'aquarium est divisé en neuf zones, huit d'entre elles correspondant à l'un des boutons d'un Game Boy, tandis que la neuvième permet de mélanger l'emplacement de chaque bouton. Il suffit de relier ce système à un PC sur lequel fonctionne un émulateur Game Boy avec Pokémon Rouge et le tour est joué.

 

Fish Plays Pokemon

 

Ce programme n'a pas été réalisé sans but puisqu'il a été conçu par Catherine Moresco et Patrick Facheris, deux étudiants des universités de Chicago et de Columbia lors d'un hackaton à New York. Il leur aura fallu moins de 24 heures pour développer tout ceci et ainsi amuser la galerie. 

 

Si, sur le plan technique, la réalisation est intéressante, Grayson n'est quant à lui pas vraiment doué. En l'espace de 156 heures de jeu, notre héros n'est parvenu qu'à choisir son pokémon de départ (un Salamèche) et à gagner son premier match contre son rival. Depuis, il tourne en rond dans le Bourg Palette, tout en tournant en rond dans son aquarium. Deux théories s'opposent : soit les poissons sont totalement incapables de jouer à Pokémon correctement, soit il essaye de nous expliquer que tout comme lui, nous errons sans discontinuer, enfermés dans notre propre bocal. Nous vous laissons le soin de trancher la question.

22 Jul 18:07

Le gouvernement veut vos idées pour simplifier l’administration

by Korben

En France, on n'a pas de pétrole, mais on a des idées ! J'ai entendu cette phrase toute ma jeunesse, et on va (peut-être) pouvoir la vérifier grâce à cette initiative du gouvernement.

Il s'agit d'un site baptisé "Faire Simple" qui se veut être une plateforme collaborative destinée à aider la modernisation de l'action publique. En gros, on croule sous la complexité des démarches administratives et ce site propose à chacun de lancer ses idées en l'air pour moderniser et simplifier cette usine à gaz.

fairesimple Le gouvernement veut vos idées pour simplifier ladministration

Actuellement, il y a 2 projets ouverts. Le premier concerne les démarches administratives qui nous irritent le plus... Que faire pour rendre la vie plus douce à tous ceux qui doivent se farcir ces démarches.

Le second projet, c'est un peu la même chose, mais pour les entreprises. Comment simplifier ce qui est tordu et faire un peu le ménage dans toutes les démarches exigées auprès des entreprises.

Bref, que vous soyez un particulier ou un entrepreneur, venez l'ouvrir ici. Espérons juste que ça suive derrière...

Cet article merveilleux et sans aucun égal intitulé : Le gouvernement veut vos idées pour simplifier l’administration ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

06 Jul 12:03

Savoir rester hors du temps

by Korben

S'il y a un exercice qui est difficile quand on tient un blog comme le mien, c'est celui de ne pas se laisser bouffer...

Bouffer par le temps qui passe, par l'actualité qui ne s'arrête jamais, par cet engrenage propre aux sites d'actualité en général qui oblige a être toujours sur le pont. Il faut dégainer vite et le plus proprement possible pour informer les gens et sortir de la news fraiche.

Dans une démarche écoresponsable pour mon cerveau et parce que je suis seul aux commandes de ce site, j'ai toujours pris le contrepied de cette pression permanente. Ne pouvant et ne voulant pas embaucher 10 rédacteurs payés au lance-pierre pour écrire une news machin sur l'iPhone, une news bidule sur le dernier Doodle de Google, une news tartempion sur la levée de fond de telle ou telle startup...etc. tout au long de la journée, je dois faire au mieux en fonction de mes moyens et surtout de mes envies.

Car malgré tout, ce site reste mon site perso bien loin, dans l'esprit, des autres sites d'actu tech que vous pouvez lire sur la toile. Au lieu de participer à cette course à la news, je préfère au contraire prendre mon temps. Chercher et sélectionner des pépites, des trucs qu'on ne trouve pas ailleurs, des sujets beaucoup plus intemporels. Et toujours des choses qui m'inspirent, qui donnent matière à réfléchir ou que je trouve amusantes.

Alors bien sûr, je me prends parfois des "OLD" ou des "J'en ai parlé sur mon site en 1999" dans les commentaires, mais sur la totalité de mes articles, ça reste assez marginal ;-). Et même l'info la plus OLD du monde n'est jamais connue de tous. Il est donc toujours intéressant de la partager.

Au milieu de tout ça bien sûr, je réagis parfois à de l'actualité un peu plus fraiche sous la forme d'une réflexion personnelle ou d'un coup de gueule. Parfois je sors un peu de mes tranchées "tech" et j'aborde aussi des thèmes un peu plus exotiques comme ce matin avec le jardinage ou quand je pars en voyage. Cela m'amuse beaucoup et ça évite la routine.

Ce qui fait la richesse d'un site, je trouve, c'est sa diversité et son intemporalité. Humainement, il m'est impossible de suivre la cadence de l'actualité et de couvrir tous les sujets. Quand je rédige quelque chose, ma seule pensée est : est-ce que ça nous est utile ? Utile comme un petit logiciel. Utile comme un truc que je trouve important et auquel il faut prêter attention. Utile comme un petit moment de détente.

Je dis "nous" parce que je m'inclus dans mes lecteurs. Non, je ne me relis pas le soir sous la couette en m'autocongratulant, mais je reviens souvent sur mon site à la recherche de tel ou tel soft ou astuce dont j'ai parlé. C'était d'ailleurs une de mes premières motivations lorsque j'ai créé ce site : En faire mon pense-bête.

Je vois beaucoup de sites se perdre dans du relais d'actu sans fin ce qui rend tout ceci totalement inintéressant. Cela est motivé par la peur de manquer le scoop, de manquer l'info dont tout le monde parle et surtout par la concurrence entre les sites...etc.

Si j'avais un conseil à donner à ces sites qui comme moi, n'ont pas les moyens de faire dans de la news périssable, ce serait celui de décrocher. Un peu comme quand on arrête de regarder la télévision. On est un peu perdu au début et déconnecté, mais au final, c'est bénéfique.

Il vaut mieux vivre à son propre rythme et selon ses propres thématiques. Il est important d'être à la page en terme d'actualité pour avoir toujours une connaissance du contexte très pointue, mais il n'est pas nécessaire de tout relayer. D'autres le font mieux que quiconque et je pense que quand on n'en a pas les moyens (genre comme moi qui suis tout seul), on peut rapidement s'épuiser. Il vaut mieux mieux traiter un sujet 15 jours après tout le monde, sous un axe différent et avec une valeur ajoutée que de le balancer comme ça à chaud pour sortir dans les premiers sur Google Actu :-). En plus, j'ai pas forcément envie de devenir pigiste pour mon propre média.

Ce choix de faire la course à l'actu est humain et j'avoue que parfois je me laisse aussi aller à une petite news d'actu rapide. Parce qu'elle m'interpelle, parce qu'elle vous sera utile et parce que je suis dans un moment où j'ai le temps de buller un peu. Mais cela n'a pas de conséquence sur la globalité du travail fourni puisque ça reste très ponctuel. Si je partais dans une optique de ne faire que ça H24, je serai vite débordé et je ne pourrai plus suivre la cadence. C'est la réalité des choses.

Mon choix est donc de viser l'intemporalité à 90% avec 10% de news périssables. Ça me semble plutôt correct et surtout ça me permet de partir en vacances (en programmant des articles) sans même que vous vous en doutiez ;-)

Si vous vous sentez débordé, à courir derrière vos flux RSS, à rager parce que vous êtes toujours à la ramasse, ce serait mon conseil du jour. Visez plutôt les articles de fond ou les articles qui auront toujours un intérêt dans 2 ou 3 ans. Ça fera mal au début puis vous vous habituerez et vous serez plus détendu.

Voilà, c'était mon conseil "blogging / rédacteur / webmaster" du jour. D'ailleurs, si vous avez des questions qui pourraient intéresser tout le monde sur certains aspects du "travail" de blogueur, n'hésitez pas à les envoyer à blog @ korben.info. Je tenterai d'y répondre de temps en temps... Ça pourrait être drôle.

Cet article merveilleux et sans aucun égal intitulé : Savoir rester hors du temps ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

06 Jul 11:42

Unix – L’étoile de la mort

by Korben
Jil Larner

C'est bien pour ça qu'il faut faire un chown -R . et non chown -R *

Des chercheurs en sécurité de DefenseCode viennent de publier un papier très intéressant pour qui s'intéresse un peu au hacking et au système Unix (Linux, OSX...etc.). Dans ce document, Leon de DefenseCode passe en revue quelques techniques fourbes qui exploitent le symbole '*' (wildcards) combiné à certaines commandes, pour injecter des arguments dans les commandes shells.

Par exemple, si un vilain pirate dépose sur votre serveur un fichier qu'il nomme "-rf'", celui-ci peut être passé en argument à la commande "rm" provoquant pas mal de dégâts. Démonstration :

[root@defensecode public]# ls -al
total 20
drwxrwxr-x.  5 leon   leon   4096 Oct 28 17:04 .
drwx------. 22 leon   leon   4096 Oct 28 16:15 ..
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR1
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR2
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR3
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file1.txt
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file2.txt
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file3.txt
-rw-rw-r--.  1 nobody nobody    0 Oct 28 16:38 -rf

On voit là un répertoire avec quelques sous-répertoires et fichiers. Le fichier -rf appartient à l'utilisateur nobody. Imaginons maintenant que l'utilisateur root lance maintenant la commande "rm *"

[root@defensecode public]# rm *
[root@defensecode public]# ls -al
total 8
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:05 .
drwx------. 22 leon   leon   4096 Oct 28 16:15 ..
-rw-rw-r--.  1 nobody nobody    0 Oct 28 16:38 -rf

Tout le répertoire a été vidé, y compris les sous-répertoires. En réalité, la commande rm couplée à l'étoile passe en revue chaque fichier et sous répertoire comme ceci :

[user@defensecode WILD]$ rm DIR1 DIR2 DIR3 file1.txt file2.txt file3.txt -rf

Vous l'aurez compris, le fichier -rf est alors pris comme un argument, provoquant la suppression des répertoires sans aucun avertissement.

Autre exemple, avec un changement de droits fait à l'insue de l'utilisateur root... Pour cela, l'attaquant a déposé un fichier ".drf.php" et un fichier "--reference=.drf.php" sur le serveur.

[root@defensecode public]# ls -al
total 52
drwxrwxrwx. 2 user user 4096 Oct 28 17:47 .
drwx------. 22 user user 4096 Oct 28 17:34 ..
-rw-rw-r--. 1 user user 66 Oct 28 17:36 admin.php
-rw-rw-r--. 1 user user 34 Oct 28 17:35 ado.php
-rw-rw-r--. 1 user user 80 Oct 28 17:44 config.php
-rw-rw-r--. 1 user user 187 Oct 28 17:44 db.php
-rw-rw-r--. 1 user user 201 Oct 28 17:35 download.php
-rw-r--r--. 1 leon leon 0 Oct 28 17:40 .drf.php
-rw-rw-r--. 1 user user 43 Oct 28 17:35 file1.php
-rw-rw-r--. 1 user user 56 Oct 28 17:47 footer.php
-rw-rw-r--. 1 user user 357 Oct 28 17:36 global.php
-rw-rw-r--. 1 user user 225 Oct 28 17:35 header.php
-rw-rw-r--. 1 user user 117 Oct 28 17:35 inc.php
-rw-rw-r--. 1 user user 111 Oct 28 17:38 index.php
-rw-rw-r--. 1 leon leon 0 Oct 28 17:45 --reference=.drf.php
-rw-rw----. 1 user user 66 Oct 28 17:35 password.inc.php
-rw-rw-r--. 1 user user 94 Oct 28 17:35 script.php

Comme vous pouvez le voir, seuls ces 2 fichiers appartiennent à l'attaquant "leon". Maintenant, imaginons sur l'utilisateur root fasse quelques petits changements de droits sur les fichiers en utilisant la fameuse étoile. Il souhaite les attribuer à l'utilisateur "nobody".

[root@defensecode public]# chown -R nobody:nobody *.php

Voici le résultat :

[root@defensecode public]# ls -al
total 52
drwxrwxrwx. 2 user user 4096 Oct 28 17:47 .
drwx------. 22 user user 4096 Oct 28 17:34 ..
-rw-rw-r--. 1 leon leon 66 Oct 28 17:36 admin.php
-rw-rw-r--. 1 leon leon 34 Oct 28 17:35 ado.php
-rw-rw-r--. 1 leon leon 80 Oct 28 17:44 config.php
-rw-rw-r--. 1 leon leon 187 Oct 28 17:44 db.php
-rw-rw-r--. 1 leon leon 201 Oct 28 17:35 download.php
-rw-r--r--. 1 leon leon 0 Oct 28 17:40 .drf.php
-rw-rw-r--. 1 leon leon 43 Oct 28 17:35 file1.php
-rw-rw-r--. 1 leon leon 56 Oct 28 17:47 footer.php
-rw-rw-r--. 1 leon leon 357 Oct 28 17:36 global.php
-rw-rw-r--. 1 leon leon 225 Oct 28 17:35 header.php
-rw-rw-r--. 1 leon leon 117 Oct 28 17:35 inc.php
-rw-rw-r--. 1 leon leon 111 Oct 28 17:38 index.php
-rw-rw-r--. 1 leon leon 0 Oct 28 17:45 --reference=.drf.php
-rw-rw----. 1 leon leon 66 Oct 28 17:35 password.inc.php
-rw-rw-r--. 1 leon leon 94 Oct 28 17:35 script.php

Tous les fichiers ont changé de propriétaire... Et ce n'est pas nobody mais leon qui est devenu le proprio de tous les fichiers PHP. Mais quelle est cette sorcellerie ?

Et bien, grâce aux 2 fichiers envoyés, quand la commande chown est passée, elle a pris comme argument "--reference=.drf.php", ce qui veut dire en langage clair : "Utilise le propriétaire du fichier .drf.php comme référence". Cela surcharge le paramètre nobody:nobody spécifié dans la commande lancée en root et fait de leon le propriétaire de tous les autres fichiers php.

Mortel !

Il s'agit là d'un aperçu pour vous montrer un peu ce principe connu depuis les années 80 et toujours possible. Ce document donne d'autres exemples qui sont tout aussi intéressants.

Maintenant vous savez que c'est possible, alors pensez-y la prochaine fois que vous utiliserez l'étoile dans une de vos commandes.

Source

Cet article merveilleux et sans aucun égal intitulé : Unix – L’étoile de la mort ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

02 Jul 17:07

YouTube Introduces 60fps Video Support

by timothy
jones_supa (887896) writes Google's YouTube announced that it's adding two new features that will especially benefit people who enjoy watching gameplays and those who stream games live. Most excitingly, the site is rolling out 60 frames per second video playback. The company has a handful of videos from Battlefield Hardline and Titanfall (embedded in the article) that show what 60fps playback at high definition on YouTube looks like. As the another new feature, YouTube is also offering direct funding support for content creators — name-checking sites like Kickstarter and Patreon — and is allowing fans to 'contribute money to support your channel at any time, for any reason.' Adding the icing on the cake, the website has also a number of other random little features planned, including viewer-contributed subtitles, a library of sound effects and new interactive info cards.

Share on Google+

Read more of this story at Slashdot.








08 Jun 11:32

PHK: HTTP 2.0 Should Be Scrapped

by Unknown Lamer
Via the HTTP working group list comes a post from Poul-Henning Kamp proposing that HTTP 2.0 (as it exists now) never be released after the plan of adopting Google's SPDY protocol with minor changes revealed flaws that SPDY/HTTP 2.0 will not address. Quoting: "The WG took the prototype SPDY was, before even completing its previous assignment, and wasted a lot of time and effort trying to goldplate over the warts and mistakes in it. And rather than 'ohh, we get HTTP/2.0 almost for free', we found out that there are numerous hard problems that SPDY doesn't even get close to solving, and that we will need to make some simplifications in the evolved HTTP concept if we ever want to solve them. ... Wouldn't we get a better result from taking a much deeper look at the current cryptographic and privacy situation, rather than publish a protocol with a cryptographic band-aid which doesn't solve the problems and gets in the way in many applications ? ... Isn't publishing HTTP/2.0 as a 'place-holder' is just a waste of everybody's time, and a needless code churn, leading to increased risk of security exposures and failure for no significant gains ?"

Share on Google+

Read more of this story at Slashdot.








08 Jun 11:30

PHP Next Generation

by Soulskill
An anonymous reader writes "The PHP Group has put up a post about the future of PHP. They say, 'Over the last year, some research into the possibility of introducing JIT compilation capabilities to PHP has been conducted. During this research, the realization was made that in order to achieve optimal performance from PHP, some internal API's should be changed. This necessitated the birth of the phpng branch, initially authored by Dmitry Stogov, Xinchen Hui, and Nikita Popov. This branch does not include JIT capabilities, but rather seeks to solve those problems that prohibit the current, and any future implementation of a JIT capable executor achieving optimal performance by improving memory usage and cleaning up some core API's. By making these improvements, the phpng branch gives us a considerable performance gain in real world applications, for example a 20% increase in throughput for Wordpress. The door may well now be open for a JIT capable compiler that can perform as we expect, but it's necessary to say that these changes stand strong on their own, without requiring a JIT capable compiler in the future to validate them.'"

Share on Google+

Read more of this story at Slashdot.








05 Jun 18:37

En cas de baisse de référencement Google, Analytics dévoile ses ambiguités

by david@pcinpact.com

Suite à notre changement de nom, qui s'accompagne du changement de l'URL principale du site, nous avions anticipé une baisse de notre référencement au sein du moteur de recherche de Google le temps que tout soit correctement pris en compte. Mais cette opération a surtout été l'occasion de voir le comportement d'Analytics, l'outil de mesure d'audience du géant du web, et notamment son étrange gestion des sources.

01 Jun 16:02

Scientists from CERN and MIT launch encrypted email service

by Stu Robarts

ProtonMail is a new secure email service created by scientists from CERN and MIT

The privacy of the data that we put online has been a hot topic over the last year. In order to protect against unwanted snooping, a group of scientists has created a new secure email service. ProtonMail provides end-to-end encryption, meaning that even the company itself can't even see the content of your messages... Continue Reading Scientists from CERN and MIT launch encrypted email service

Section: Computers

Tags: CERN, Email, Encryption, MIT, Security

Related Articles:
27 May 18:25

Des enfants VS des ordinateurs préhistoriques

by Korben
Jil Larner

Hilarant ! =)

Les plus vieux d'entre nous savent à quel point il fallait être patient avec nos anciennes machines. Patient et pas trop exigeants sur un tas de trucs, mais c'était le début et ça avait un petit côté "explorateur" qui a disparu de nos jours.

Après les petits vieux qui découvrent des technologies récentes, les enfants qui découvrent des technologies du passé, voici venue les enfants qui testent des ordinateurs du passé réalisé par Fine Brothers Productions.

Et vous ? Avez-vous essayé de mettre votre enfant devant un vieil Atari, un vieux téléphone ou un vieux PC sous Windows 3.11, juste pour rire ?

Cet article merveilleux et sans aucun égal intitulé : Des enfants VS des ordinateurs préhistoriques ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

13 May 14:24

Hopper – Pour savoir quand acheter votre billet d’avion

by Korben

Le Big Data, quand c'est bien utilisé, c'est formidable !

Par exemple, Frédéric Lalonde a eu l'excellente idée en 2007 de récupérer des millions des données de réservation en provenance de tous les sites des compagnies aériennes du monde entier afin de les analyser.

Et ce qui en est ressorti, c'est Hopper, un site miraculeux pour ceux qui cherchent à acheter leurs billets d'avion le moins cher possible.

Sur Hopper, vous entrez votre aéroport de départ (en anglais), celui d'arrivée et vous obtenez une page assez complète sur où, quand, comment acheter un billet au meilleur tarif.

Prenons par exemple un CDG-PTP (Paris -> Point à Pitre en Guadeloupe). Hopper m'indique que le prix moyen d'un vol est actuellement de 918 €. Que durant les 6 derniers mois, le moins cher était à 400 € et me dit surtout de ne pas l'acheter tout de suite car les prix vont bientôt baisser. Hopper m'explique (en anglais) que la demande baisse chaque jour comparé aux 4 précédentes semaines et que le prix de la semaine dernière a baissé de 22% par rapport au prix du mois dernier.

Du coup, grâce à son index faramineux, Hopper m'indique que la meilleur période pour réserver son vol à destination de Point à Pitre c'est fin mai. Pour les pas réveillés, ça ne veut pas dire que je dois partir fin Mai. Non, cela veut dire que je dois ACHETER fin mai pour avoir plus de chances d'avoir un meilleur tarif. (peu importe mes dates réelles de départ)

hopper savoir acheter billet davion Hopper   Pour savoir quand acheter votre billet davion

Il recommande d'ailleurs de partir un mercredi et de rentrer un mercredi pour économiser de l'argent sur le billet. Il me dit aussi que XL Airways en vol direct, c'est le moins cher. Et avec des escales, Lufthansa et American Airlines sont intéressants. Hopper me propose aussi de jeter un oeil aux départs d'Orly pour voir si y'a pas moins cher. Ou plutôt que d’atterrir à PTP, opter pour une arrivée à Antigua & Barbuda ou à la Dominique.

Autrement, le site propose aussi pas mal de lieux à voir, de restaurants et d’hôtels ou séjourner, en complétement d'information.

A bookmarker !

Cet article merveilleux et sans aucun égal intitulé : Hopper – Pour savoir quand acheter votre billet d’avion ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

09 Apr 16:22

Prix Busiris pour Marion "Marine" Le Pen

by Eolas

NB : Ce billet devait à l’origine être publié sur le site de l’Académie, mais un bug semble s’y opposer. C’est avec plaisir que j’héberge cette annonce ici en attendant.

L’Académie a été tirée de sa torpeur par une énormité juridique proférée par Marion Le Pen, dite Marine Le Pen, au micro de RTL. Qu’elle en soit remerciée.

Invitée de jean-Michel Aphatie, qui l’interrogeait sur sa récente condamnation par le tribunal correctionnel de Béthune dans l’affaire d’un tract calomniant Jean-Luc Mélenchon, son adversaire aux élections législatives (tous deux seront battus). Voici la vidéo, ça commence à 05:50. 

 


Marine Le Pen : “Il faut la supprimer, sinon la… par rtl-fr

Voici la transcription des propos qui ont retenu l’attention de l’Académie : à la question de savoir si sa condamnation pour manœuvre électorale frauduleuse et diffusion d’un montage d’une image sans autorisation de l’intéressé était grave, la présidente du Front national répond :

« Non, ce qui est grave, c’est ce qu’a fait le tribunal de Béthune, dont je vous signale que j’avais déposé contre lui (sic.) une requête en suspicion légitime, ce qui prouve que à l’avance, je savais pertinemment que ce tribunal n’allait pas juger avec impartialité cette affaire, j’ai donc fait appel, et donc je ne suis pas condamnée, pour l’instant, Monsieur Aphatie.»

Le prix Busiris est double dans cette phrase, ce qui récompense enfin un fort potentiel jamais primé à ce jour, ce tort est rattrappé.

► Première couche : “j’ai déposé une requête en suspicion légitime, ce qui prouve que je savais à l’avance que ce tribunal n’allait pas juger avec impartialité”.

Ce à quoi l’Académie répond que le fait que cette action n’ait pas prospéré tend à prouver le contraire. 

D’autant qu’un article du Point nous apprend que Madame Marion Le Pen n’a pas déposé elle-même ladite requête, et c’est là tout le problème.

Une requête en suspicion légitime, art. 662 du code de procédure pénale, vise à demander à la Cour de cassation de considérer que la juridiction amenée à juger une affaire a démontré, dans son ensemble, un défaut de partialité tel qu’il convient de confier l’affaire à une autre juridiction. C’est le cas par exemple quand l’assemblée générale du tribunal a adopté une motion de soutien au magistrat victime de l’infraction qu’il a à juger. La procédure n’est pas compliquée : le prévenu signe une requête (ou la fait déposer par un avocat aux Conseils) expliquant en quoi la juridiction lui paraît légitimement suspecte et la dépose au greffe de la Cour de cassation, et la porte à la connaissance des autres parties (ici le parquet et M. Mélenchon) pour qu’ils puissent faire connaître leurs observations. Pas compliquée, mais trop quand même puisque la requête a été déclarée irrecevable car signée non par la prévenue mais par un avocat ordinaire, ce que la loi ne permet pas et qu’elle ne l’a pas notifiée aux autres parties par dessus le marché. La requête n’a donc même pas été examinée. Amateurisme de la part d’une avocate et de son avocat ? Ou manœuvre pour éviter que la requête ne soit jugée infondée, le but étant de gagner du temps pour que l’affaire soit jugée après les municipales ? L’Académie ne pouvant prêter des intentions aussi cyniques à une femme politique faisant de la probité son oriflamme, elle ne peut que conclure à l’incompétence.

Toujours est-il que le simple dépôt, irrégulier qui plus est, d’une requête, ne saurait constituer la preuve de la partialité d’une juridiction. L’exploitation de ce fiasco ressemble trop à la manœuvre de quelqu’un se sachant sur le point d’être condamnée visant à jeter la suspicion sur le tribunal pour se faire passer pour une victime pour que l’Académie laisse passer.

► Deuxième couche : « J’ai fait appel donc je ne suis pas condamnée.»

Celle-ci a été déterminante pour l’attribution de ce prix. C’est une superbe inversion de la cause et de l’effet. Non, Marine Le Pen n’est pas “pas condamnée” car elle a fait appel : elle a fait appel parce qu’elle est condamnée. Sinon, une simple question : si elle n’est pas condamnée, pourquoi a-t-elle fait appel ?

Une juridiction pénale doit juger deux points : la culpabilité et la peine. Tout jugement doit contenir une déclaration de culpabilité ou relaxer. Ici, il y a eu déclaration de culpabilité, puis prononcé d’une peine : 10 000 euros d’amende. L’appel a bien un effet suspensif, mais de la peine seulement. On ne peut exiger de Marion Le Pen qu’elle paye les 10 000 euros. La condamnation, elle, existe bel et bien. Elle n’est pas définitive, et peut être infirmée par la cour d’appel, mais en attendant, elle existe et figure sur un jugement revêtu du sceau de la République et rendu au nom du Peuple français que la récipiendaire prétend abuser.

Cette manipulation des faits, qui s’ajoute à la manœuvre de la requête en suspicion légitime, visant à retarder un jugement mal engagé, pour des raisons électorales, caractérise la maltraitance du droit pour des motifs politiques qui est l’essence du Prix.

Une avocate, qui a plaidé au pénal, et qui s’en vante pour asseoir sa légitimé et sa compétence, ne peut l’ignorer, ce qui caracétrise la mauvaise foi.

L’Académie a aussitôt procédé au vote et a décerné un prix Busiris par acclamation, avec mention “chapeau bas”.