On poursuit encore dans la descente en disgrâce et en justifications absurdes de Clubic.

"Crois moi que nous sommes conscient des désagréments provoqués par ce downloader et n'essayons pas, en plus, de le pousser en avant à tout pris."

Si vous regardez le sujet original (http://www.clubic.com/forum/logiciel-general/informations-sur-le-gestionnaire-de-telechargement-clubic-id916281-page1.html#1803269097) vous pouvez voir cette image (http://image.clubic.com/01219667-photo-photo.jpg) où là, non non, le téléchargeur n'est pas DU TOUT mis en avant à tout prix. Absolument pas. Puisqu'on vous dit que non, enfin !

Et vérifiez par vous même, pour télécharger Firefox (http://www.clubic.com/telecharger-fiche11003-mozilla-firefox.html) que noooooooon, le téléchargeur n'est pas DU TOUT mis en avant en gros orange avec un lien ridicule en dessous pour télécharger la version sans leur merde.

Vas-y Clubic, rame plus fort, t'es presque sur le rocher.

(alors par contre, j'ai une interface différente sous mon Linux et dans ma VM Windows, c'est chiant pour les impressions d'écran, tant pis)

Réponse de Clubic, qui s'enfonce encore plus.

Point "les méchants bloqueurs de pub" : "l'utilisation massive de bloqueur de pub pèse sur nos revenus" => en même temps, si c'est pour prendre des décisions aussi dégueulasses, je risque pas d'autoriser la pub...

Point "l'élite n'est pas touchée" : "Je rappelle que les membres n'ont pas ses désagréments" (au passage, il admet donc que c'est un DÉSAGRÉMENT, bien joué !) ;

Point "c'est juste pour tester" : "nous ne [...] faisons ces test que sur une partie de la logithèque". Regardez la liste des logiciels concernés :

• µTorrent
• Adobe Reader
• CCleaner
• Daemon Tools Lite
• DirectX
• Flash Player
• Hamachi
• Internet Download Manager
• iTunes (32bits)
• Firefox
• RealPlayer
• Skype
• Windows Movie Maker 2012
• WinRAR
• Youtube Downloader HD

"Juste une partie de la logithèque", certes, mais, comme de par hasard, la partie la plus téléchargée.

Clubic cherche de nouvelles sources de revenues. Et il en a trouvé une : vous.

Du coup, adios !

Un antispyware qui détecte spécifiquement les spyware gouvernementaux (que les éditeurs d'antispyware classiques laissent passer). Édité par l'EFF.

Très très utile et à installer sur chaque poste.

(via sebsauvage)

Je dois m'inscrire en faux sur les mises à jour automatiques.

Une mise à jour automatique, c'est très bien pour un poste client. Pour un serveur, ça peut se révéler catastrophique.

Pour la gestion d'un parc de serveurs, un système de vérification/test/qualification des mises à jour à déployer est nécessaire. Ensuite, ces mises à jour sont pushées sur les serveurs ou non. C'est notamment vital pour des serveurs sous Windows (Microsoft dispose d'ailleurs d'un tel système de validation/propagation des mises à jour, encore faut-il pouvoir le mettre en place), mais ça ne l'est pas moins pour des systèmes sous Linux ou BSD.

Tu ne peux pas te permettre de planter une prod automatiquement, tous les automatismes sur une prod doivent être blindés et monitorés.

Pour illustrer mon propos, un exemple. Tu installes MySQL sur une machine à partir des dépôts. Il y a un bug mineur sur cette version, tu développes un workaround. MySQL est mis à jour lors de ta mise à jour automatique le Dimanche, corrigeant ce problème mais rendant ton workaround non fonctionnel. Le Lundi matin, tu as une prod de plantée. Et bonne semaine ! :p

Tu as plusieurs façons de gérer le problème des mises à jour critiques et les failles 0-day révélées.

Déjà, en général, tu as toujours un moyen publié de mitiger ton problème pour les serveurs "ne pouvant être arrêtés". Tu peux aussi utiliser des firewalls applicatifs de type Beeware (http://www.bee-ware.net/fr) ou DenyAll (http://www.denyall.com/) et entrer directement des règles qui vont bloquer en partie les attaques ou les atténuer.

Tu peux aussi décider qu'en raison de la gravité de la faille, tu appliques la mise à jour immédiatement ou en dehors des heures de bureau (pour ce dernier point, ça peut être un problème lorsque tu es en multi-site à travers le monde ^^).

Globalement, il y a une raison pour que, dans les grandes structures, on sépare les sysadmins de la sécurité : les premiers s'appliquent à installer, configurer, maintenir et supporter les systèmes, les autres s'occupent de leur sécurité (et agissent de conserve avec les sysadmins).

La sécurité, c'est un vrai métier à part entière. Dans les faits, il incombe la plupart du temps aux sysadmins, par manque de moyen (voulu ou subit) investi dans ce domaine. Est-ce une raison pour activer les mises à jour automatique "wild" sur tous ses serveurs ? À mon sens, non. Par contre, la sécurité doit être un sujet primordial, ça on est d'accord. Il y a plein de moyens de gérer ça efficacement.

GG OVH en tout cas :)

Ah oui, je m'amuse à ça régulièrement.

Pour faire court : lorsque vous créez une URL avec, dedans, l'ID de l'objet/élément que vous voulez afficher, cela signifie que si on entre manuellement un ID à la place d'un autre, on peut afficher cet objet/élément.

Rien de bien grave en soi, puisqu'il existe des systèmes pour vérifier qu'un utilisateur a bien accès au contenu demandé, ou qu'il s'agit d'un usage qui n'est pas problématique (site marchand qui affiche un produit, etc.)

Le problème, c'est quand votre ID est auto-incrémenté : lorsque vous ajoutez un élément, son ID augmente de 1 par rapport au dernier élément inséré. Dans l'exemple cité dans l'article, il est ainsi possible de parcourir les annonces facilement, y compris les anciennes qui ne sont pas directement disponibles depuis un lien du site. Et d'en déduire combien d'offres d'emploi ont été publiées. Pour le site de l'exemple, c'est 1050. En un an. Du coup, ça donne une idée de comment marche le site, une idée de son chiffre d'affaire, etc.

Bien pire que ça cependant : les développeurs qui utilisent des identifiants de session auto-incrémentés. Connectez vous à un site qui utilise un tel système, puis ajouter ± 1 à votre identifiant de session : vous voilà connecté avec la session d'un autre. Magique non ?

Bref, les ID auto-incrémentés dans les URL, c'est le mal. Utilisez des UUID ou des URL "user-friendly".

Ah oui, et tant qu'on y est à faire le ménage dans les trucs malsains, virez moi Chrome aussi, tant qu'à faire...

Oh putain de merde... Le développeur de Freenet (un réseau de diffusion de contenu anonyme permettant un anonymat total) pourrait être forcé, si la loi britannique passait, d'inclure une backdoor (une "porte dérobée" permettant, entre autre, l'intrusion du système par un tiers) dans Freenet...

Notez bien que si ce réseau est en effet utilisé par des pédophiles, des nazis et des terroristes, il est aussi utilisé par des nombreux journalistes et dissidents dans les dictatures à travers le monde, et notamment par tous les dissidents chinois. Une backdoor dans Freenet pourrait donc être très facilement détournée par, mettons, le gouvernement chinois, afin de trouver et abattre les journalistes.

L'heure des développeurs anonyme arrive. Et elle est poussée par l'Occident, censé "protéger les libertés". Qui y croit encore, mh ?

"De toute façon, si mon PC est hacké, je m'en fous, il n'y a rien de valeur dessus".

Vous n'avez pas idée de comment on peut valoriser un PC hacké... Même un sorti d'usine...

Excellent ! Il faudrait faire plein d'opérations comme ça pour que ça ait un réel impact mais vraiment excellent...

Mettez à jour Firefox, Thunderbird et SeaMonkey (il y a encore des utilisateurs de ça ?). C'est un ordre !

Mouahahahaha ! "Le format propriétaire permet une meilleure sécurité" "l'iPhone est le mobile le plus sûr" MON CUL OUAIS !

Ils arrivent à créer des failles dans un protocole qui n'en contient pas ! CHAPEAU BAS !

Un résumé assez complet des conséquences pratiques du cassage de MS-CHAPv2.

PPTP est définitivement mort, il ne faut plus DU TOUT l'utiliser. PEAP est affaibli.

Houuuuuula, du lourd du lourd du lourd Hydra...

Un système d'authentification unique intéressant.

Il y a juste à entrer son login/mail/whatever et ça envoie un mail avec un token à très courte durée de vie dans un lien de connexion.

Plus qu'un seul mot de passe à retenir : celui de sa boite mail.

Intéressant, je vais ptet le proposer en option sur mon site, à voir.

C'est l'éducation technologique et l'implication minimum dans la défense de sa propre liberté qui permettra à chacun d'être libre sur le net et de le rester.

Les USA sont tellement sujets aux tireurs isolés qu'ils font des vidéos pour donner des instructions aux personnes qui pourraient se retrouver confrontées à un tel acte...

Intéressant et effrayant.

À tous ceux qui m'ont demandé "mais pourquoi il y a un bout de scotch sur ta webcam".

À tous ceux qui ont rigolé lorsque j'ai expliqué pourquoi. ("mais non, qui en a quelque chose à foutre de pirater un PC pour voir une webcam")

Voilà une deuxième réponse.

Mais putain de connards ! Même les tokens hardware ne sont plus sûrs à cause.......... des fabricants qui ne respectent pas les normes les plus basiques de la cryptographie ! :'(

Un mec des labs d'AVG (un antivirus) était en train d'étudier un cheval de Troie lorsque le hacker s'est mis à discuter, via ce trojan, avec lui... Assez inédit ^^

Le Top 10 des mots de passe LinkedIn... Affligeant.

Pas bête...

Ma clé publique PGP.

Ho putain. Et ils utilisent ces systèmes pour gérer l'eau et l'électricité en France ? Ce sont de vraies passoires ! C'est limite si on ne peut pas contrôler une pompe à eau juste en connaissant son IP ! Attention DANGER !

Le virus Flame s'est auto-détruit en réécrivant les secteurs des disques où il était avec des bits aléatoires pour ne pas se faire récupérer et analyser. Super bien joué (et bravo pour avoir pensé à une commande d'auto-destruction)

Vous avez un compte LinkedIn ? Changez votre mot de passe TOUT DE SUITE !

Apple ne veut pas d'antivirus sur ses machines...... sous prétexte que la sécurité des iPhones est largement suffisante.

Je me souviens de l'iPhone 3GS censé être "absolument sécurisé" qu'il suffisait de brancher en USB sur un Linux pour accéder aux données cryptées........... en clair !

Failles de sécurité dans SQLite 3.

Avant, on pouvait aller faire du vélo dans la rue sans surveillance jusqu'à l'heure du dîner.

Désormais, cette liberté est niée aux enfants/ados jusque sur Internet.

"Contrôle parental" hein ?

Le vote par Internet est une passoire qui ne garantie en rien les fondements même de l'expression démocratique.

Refusez le et déplacez vous pour voter !

Argument numéro 1 (et imparable) contre le vote républicain via Internet : le conjoint qui vote à la place de l'autre.

Seul le déplacement dans un bureau de vote contrôlé par les assesseurs et les citoyens permet la démocratie.

Voici un bout du code qui servira aux français de l'étranger pour le vote législatif lors du vote par Internet.

Pour ceux qui ne codent pas : il s'agit d'une hérésie, d'une (enfin, des) erreur(s) qu'on ne fait que quand on débute, et encore. C'est... abominable.

4 raisons de NE PAS chiffrer ses partitions (Linux ou autre). Ce sont des raisons valables, et applicables dans la majorité des cas. Préférez TrueCrypt (notamment avec l'option de "hidden partition"). Mais le cryptage de partitions reste nécessaire dans certains cas.

On peut notamment chiffrer sa partition système et avoir une partition data en clair avec, dedans, un container TrueCrypt (ou carrément sa home TrueCrypt). C'est ce que j'ai tendance à faire d'ailleurs depuis quelques temps.

Un moyen un peu pervers de forcer les utilisateurs à avoir un mot de passe fort...

What is ZeroBin