fcartegnie a écrit 1390 commentaires

 - After each User Attribute packet, zero or more Signature packets
   (certifications)

Super : personne stocke en local sa clé épurée.
Donc des headers de 300 à 1Mo pour ceux qui ont participé à une keysigning…

On a un gros problème de spam quotidien sur les forums de videolan.

On avait des RBL, inefficaces.
Un check sur cleantalk montrait qu'on était majoritairement apparemment frappé en premier.
On pensait à des bots, j'ai changé les captchas en manuel régulièrement et c'était donc que de l'humain.

Puce à l'oreille un jour avec "seo" dans certaines adresses.
A tout hasard j'ai googlé "seo forum.videolan.org".
Je vous laisse constater par vous même l'origine du problème.

Malheureusement, pas grand chose à faire contre ces connards, à part blacklister l'ensemble des IP Indiennes, Pakistanaises, ukrainiennes et russes (la majorité du spam).

Dans leur techniques, en dehors de celles mentionnées dans ce journal
- Ouvrir un compte et attendre un temps défini avant de spammer
- Ouvrir un compte et poster un message anodin "thanks, that did help", "good work"
- Ouvrir un compte et copier des réponses existantes et les poster ailleurs
- Un des messages précédents qui est édité plus tard pour insérer le spam

Ca demande donc de monitorer l'activité de tous les profils, et pas que les nouveaux.

Très couteux en temps, et pénible :/

messages de rejet sympa avec To: <série de chiffres>@qq.com, quelqu'un énumérant visiblement les logins à base de chiffres (numéros de téléphone ?), nous conduisant à mettre @qq.com en liste noire pour être tranquilles (décembre 2017 et janvier 2018)

C'est du bounce spam vers la messagerie qq. Le but étant de faire renvoyer le texte d'origine en erreur à l'expéditeur forgé.

La seule solution c'est de ne jamais renvoyer de message d'erreur quand la box de destination est invalide ou de ne jamais citer le contenu du message d'origine.

C'est pourtant écrit "~29.97", donc l'unité ne peut être utilisée sans entraîner d'erreur à long terme.

Certains pays d'Asie ou du moyen orient s'en frottent les mains !

Plus besoin de torturer pour faire parler un opposant et obtenir son mot de passe,
il suffira de lui poser (ou couper) la main, l'oeil, …

Je pense que c'est une bonne initiative ; je ne sais pas si les chasses aux bugs payantes sont une façon plus ou moins efficace d'aider un logiciel qu'un audit de sécurité (relativement à leurs coûts, etc.), mais je trouve intéressant la démarche de ces eurodéputés d'essayer des choses différentes et de voir ce qui marche, pour ensuite proposer ce qui aura réussi dans une demande de financement pérenne.

On rappellera juste au passage que VLC est le logiciel Français et le logiciel multimédia le plus utilisé au monde, et, que VideoLAN a incontestablement moins de moyens financiers et humains que d'autres projets. (Mozilla c'est riche/gros comment ?)

Si l'U.E. investit un minimum dans la sécurité des logiciels libres c'est bon signe, c'est qu'ils prennent en compte aussi la menace pour les logiciels de premier plan que certains sont tentés d'exploiter…

Et nous on doit faire quoi à part subir si c'est bien le cas d'un fiasco majeur annoncé ?
- Vendre à découvert Intel à la sortie de l'embargo,
- prendre maintenant des Turbo/Warrant Put Intel et Call AMD,
- lancer une class action qui existe pas vraiment en France,
- et/ou invoquer le Vice caché pour un retour de tous les matos ?

Par contre sur Xbox et iPhone pas la même chose. J'ai converti les .avi en .mpeg pour les lires sur iPhone mais même chose, la vidéo se lance mais aucun image ni son pourtant c'est du .mp4.

Des AVI en MPEG en MP4… faudrait déjà savoir ce que tu fais.

Si on part sur la conso, faut le placer face à une board arm 64 bit

Si c'est face un NUC i5 avec un boîtier proto Asaka Fanless, strictement aucun.

Si la taille maximale d'un bloc empêche de valider un nombre infini de transactions par nouveau bloc trouvé (max transaction rate) alors sur un système à capacité pleine, oui les frais sont liés au minage car il faut bien prioritiser les transactions à valider.

Pour le reste les frais de transaction "en bitcoin" n'ont jamais changé. Ce n'est pas plus cher qu'hier, sauf si on sort du système bitcoin, et là c'est un autre problème.

Pour visser/dévisser les boulons GPG

quand c'est stable et secure, y'a pas besoin de maj

Fais un hexdump du header au lieu de nous poster le résultat d'une comparaison

Suffit de monter ton snapshot…
Pour la liste
zfs list -t snapshot

Après à voir si tu préfères pas directement un rollback ou le cloner

Avec la 'logique' de l'auteur on doit donc
dépasser celui qui roule à sa droite avec une marge de 30km/H.

Donc on a un max de 129 + (30 - 1) * (nb_de_voies - 1) sur la voie de gauche.

Les gens sont prêts à inventer n'importe quel prétexe pour se plier à des règles simples.

Dans l'isoloir, à la place du vote blanc, ça doit se tenter

Y'a de quoi s'inspirer dans les schemas et pièces de ce truc ici
http://airboxlab.foobot.io/

Simple à faire, impossible à vérifier sur une simple déclaration de patrimoine, légal…

Bof, quand tu vois que certains déclarent une propriété achetée à 400K
à leur valeur réévaluée avec l'évolution du prix du marché à 750K,
tout en mentionnant avoir eu des prêts pour des travaux coûteux,
et que personne se rend compte qu'il réévalue le montant de la ruine d'origine, et pas l'état actuel…

N'importe quel gars qui retape des maisons peut faire le calcul. Pas les journalistes.

Avec le Mobile ID (dont il faut également une configuration initiale, chez l'opérateur téléphonique) il est possible de se connecter avec le même appareil sur le compte bancaire. Le Mobile ID est cependant protégé par un mot de passe séparé. De plus, la validation se fait par l'intermédiaire de la société de télécommunication. Pour ceux que ça intéresse, voici le document de référence technique (en anglais)

Si tu regardes ta spec, la faille se trouve sur le terminal à l'entrée du pin.
Suffit que l'attaquant contrôle le terminal pour keylogger le pin, réutiliser le pin ou présenter une transaction autre pour le faire valider avec le pin de l'utilisateur.

C'est pour ça que les tokens hardware les plus sécurisés ont leur propre clavier et un écran séparé pour saisir et présenter la transaction, sans possibilité de détournement.

Autrement dit, on vend à l'utilisateur un faux sentiment de sécurité ("c'est plus compliqué à utiliser, c'est donc forcément plus sécurisé") qui aboutit en pratique à diminuer la sécurité.

Suffit de constater le nombres de personnes qui croient que le "3D Secure" des cartes bancaires augmente la sécurité du possesseur de la carte. J'ai jamais eu une réponse dans le sens contraire.

Pour un mot de passe de 6 chiffres de 0 à 9, la réponse est simple : il y a 106 possibilités. C'est peu. Mais c'est déjà bien plus que pour le mot de passe divisé en 6 chiffres stockés séparément ! En effet, pour retrouver le premier caractère,

Ah bon ? Moi j'ai une banque stupide qui a forcé le changement de mots de passes en ajoutant 2 digits, mais toujours uniquement par des chiffres, et en ajoutant une nombre de répétition max de digits et sans séquences. (ce qui re-réduit l'espace des possibilités)

Tester l'entropie au lieu de mettre en places des règles bancales à la con, on en est encore loin.

comme par ex. photoTAN ou un "Mobile ID" qui permet de s'authentifier de manière sécurisée avec son téléphone mobile en utilisant une fonction dédiée de la carte SIM.

La belle affaire.
Grâce à cette merveille, tous ceux qui accèdent à leur banque sur leur mobile et qui ont leur 2FA sur mobile donnent toutes les clés à l'attaquant. Reste plus qu'à se servir.

Moi le TDP max je m'en moque un peu.
Pour mon profil, c'est le TDP en idle qui est important.
Par expérience, et c'est facile à comprendre, plus le nombre de core augmente, plus ça consomme à rien faire.
C'est pour ça que les U d'Intel ont moins de core, sont Hyperthreadés et à fréquence supérieure.