Le fil des geeks informatiques

[h16]

Très bien  !

[NoName]

je me suis fait plaisir, je me suis acheté ceci

 

https://www.fnac.com/PC-Portable-Acer-Nitro-5-AN515-51-56EN-15-6-Gaming/a11083938/w-4

en solde, à 600€ parce que mon autre ordi est en train de crever à vitesse grand v. ça me suffira pour jouer à sleeping dogs, xcom et faire des meme.
 

Par contre, je me demande:

- est ce que ça sert à quelque chose que je m'inscrive sur le bidule ACER proposé quand j'allume l'ordi ?

- est ce que je garde norton installé de base ou je colle un autre antivirus dessus ? a ce qu'il parait, windows defender est pas si mal que ça, et norton m'a l'air de bouffer de la performance de manière démesurée.

[Rübezahl]

un peu en retard (sept 2017), mais je signale quand même :

Des paquets malveillants portant des noms trompeurs ont été découverts sur la plateforme PyPI, ils pourraient avoir été utilisés dans des logiciels https://www.developpez.com/actu/161070 via @developpez

 

[Neomatix]

je me suis fait plaisir, je me suis acheté ceci
 
https://www.fnac.com/PC-Portable-Acer-Nitro-5-AN515-51-56EN-15-6-Gaming/a11083938/w-4
en solde, à 600€ parce que mon autre ordi est en train de crever à vitesse grand v. ça me suffira pour jouer à sleeping dogs, xcom et faire des meme.
 
Par contre, je me demande:
- est ce que ça sert à quelque chose que je m'inscrive sur le bidule ACER proposé quand j'allume l'ordi ?
- est ce que je garde norton installé de base ou je colle un autre antivirus dessus ? a ce qu'il parait, windows defender est pas si mal que ça, et norton m'a l'air de bouffer de la performance de manière démesurée.

Un PC portable gaming (argh) Acer (re-argh) avec Norton dessus ()

Pour répondre à tes questions :
- Non, jarte cette merde de bloatware
- Non, jarte cette merde de bloatware

Euh, éclate-toi sinon

[0100011]

Je viens d'installer Termux sur mon téléphone android. Pour l'instant la meilleur émulation linux/unix. L'installation des packages se fait comme sous linux et ça me permet notamment d'avoir un LaTeX hors connexion. 

 

Le tout avec un clavier externe fait que je me retrouve avec un ordi portable pour presque rien en terme de poids (vu que de toutes façons j'aurais mon tel sur moi les seuls trucs en plus que je prend sont une batterie externe et le clavier sois 3xle téléphone mais que je peux mettre dans des poches à l'inverse d'un ordi portbale). Le seul truc qui me manque c'est de pouvoir projeter facilement (ok il y a les solutions chromecasts etc mais je trouve ça lourd j'aimerais bien juste une sortie vers hdmi par un dongle adapté).  En tous cas pour le moment mon tel (one plus five) est plus rapide pour compiler de gros fichier que mon ordi portable. 

 

Bilan à force de structurer l'OS comme une prison je me retrouve en 2018 à tout faire par la ligne de commande : j'utilise ssh, sftp, latex et vi. Un comble ! Mais au moins je fais ce que je veux avec mes cheveux. 

[Rübezahl]

Il y a 23 heures, Kassad a dit :

... j'aimerais bien juste une sortie vers hdmi par un dongle adapté).

Le rapsberry pi a une sortie HDMI (et d'autres).

Et c'est une machine qui supporte plusieurs OS linux.

[0100011]

1 hour ago, Rübezahl said:

Le rapsberry pi a une sortie HDMI (et d'autres).

Et c'est une machine qui supporte plusieurs OS linux.

tu veux que j'utilise un raspberry comme dongle ? je branche le portable dessus par une prise usb et je branche le raspberry par hdmi et le raspberry je le dirige comment ? on peut brancher un clavier par bluetooth dessus ?

[Rübezahl]

il y a 1 minute, Kassad a dit :

tu veux que j'utilise un raspberry comme dongle ?

non, non, ce n'était pas du tout mon idée. (même si c'est peut-être faisable, mais là, je n'en ai pas la moindre idée).

Je signalais juste l'existence de cette petite machine (paquet de cigarette), qui est un ordi linux avec une sortie HDMI, supporte ssh, sftp, (mais aussi desktop) etc. That's all.

 

il y a 1 minute, Kassad a dit :

... et le raspberry je le dirige comment ? on peut brancher un clavier par bluetooth dessus ?

Clavier filaire USB, clavier wifi, et clavier bluetooth. Tout est possible.

eg https://www.kubii.fr/fr/claviers-et-peripheriques-usb/671-mini-clavier-rii-mini-i8-azerty-6952917708002.html

 

 

 

[0100011]

Ah oui mais le but c'est de n'avoir que le téléphone portable (et un clavier bluetooth) et rien d'autre !

[Rübezahl]

Les dernières discussions vpn, openvpn ici datent de 2016.

Les choses ont peut-être un peu évolué depuis.

Je me demandais comment on pouvait essayer de fonder sa confiance dans tel ou tel prestataire tiers ?

y a t il des audits open ?

Comment peut-on être sur que le prestataire n'est pas un pot de miel de la NSA ou d'autres enfoirés ?

 

 

[cedric.org]

9 minutes ago, Rübezahl said:

Les dernières discussions vpn, openvpn ici datent de 2016.

Les choses ont peut-être un peu évolué depuis.

Je me demandais comment on pouvait essayer de fonder sa confiance dans tel ou tel prestataire tiers ?

y a t il des audits open ?

Comment peut-on être sur que le prestataire n'est pas un pot de miel de la NSA ou d'autres enfoirés ?

 

 

Réponse simple : on ne peut pas. A ma connaissance peu/pas d'audit sérieux sur ces choses. A partir du moment ou tu dépends d'un serveur d'un autre, tu ne peux RIEN savoir sur ce qui tourne sur ce serveur. Et c'est facile pendant l'audit prévu de changer la version du logiciel qui tourne sur un serveur, et de remettre l'ancienne une fois l'audit terminé. Seul un "contrôle surprise" pourrait garantir statistiquement la fiabilité.

 

Des systèmes prévus pour et ouverts comme tor peuvent à priori être un poil plus sûrs. Sans garantie pour autant.

[Rübezahl]

Merci pour la réponse.

C'est en effet un peu décevant de constater que les fournisseurs VPN mettent en avant plein de features

... mais absolument rien pour essayer d'esquisser un début d'esquisse de commencement de preuve desdites features.

 

Bon, là je viens de m'apercevoir que les gens de proton ont lancé récemment protonvpn.

... I'm reading.

 

[cedric.org]

Aujourd'hui, un VPN est plutôt fait pour accéder à des services étrangers ou pour esquiver la riposte graduée au moins en France.

Il n'a jamais été question dans la tête des concepteurs des logiciels VPN d'en faire des solutions garantes de la vie privée, et pourtant on en voit plein vantant cela. Seule une solution décentralisée et ouverte — tor en est un exemple — le permet en théorie.

 

Afin de bien comprendre le problème, dis-toi qu'un VPN au final c'est un serveur chez quelqu'un chez qui TOUT ton contenu passe. dont une bonne partie non chiffré. Et l'autre stockable puis crackable dans le futur voire le présent.

[cedric.org]

Amusant que 24h après avoir écrit ça je tombe sur cet article : https://gist.github.com/joepie91/5a9909939e6ce7d09e29

[Rübezahl]

Il y a 2 heures, cedric.og a dit :

 

 

Il y a un point qui me laisse un peu dubitatif :

If you absolutely need a VPN, and you understand what its limitations are, purchase a VPS and set up your own.

 

C'est effectivement tentant, et plus très difficile (ni très cher) aujourd'hui.

Néanmoins, un VPS = une IP fixe.

Donc la couche d'obfuscation n'est guère épaisse.

Et par ailleurs, même si ce n'est pas l'intérêt du fournisseur de VPS, rien ne l'empêche également d'avoir installé des mouchards indétectables depuis l'intérieur du VPS.

 

Ces discussions sur cryptage etc sont très intéressantes,

mais peut-être seraient-t-elles mieux à leur place (et auraient plus de participants) dans un salon/club plus fermé ?

Un gentil modo/admin peut peut-être faire quelque chose ?

 

 

[Mathieu_D]

Ben pourquoi ?  Ça profite à tous.

[cedric.org]

1 hour ago, Rübezahl said:

 

Il y a un point qui me laisse un peu dubitatif :

If you absolutely need a VPN, and you understand what its limitations are, purchase a VPS and set up your own.

 

C'est effectivement tentant, et plus très difficile (ni très cher) aujourd'hui.

Néanmoins, un VPS = une IP fixe.

Donc la couche d'obfuscation n'est guère épaisse.

Et par ailleurs, même si ce n'est pas l'intérêt du fournisseur de VPS, rien ne l'empêche également d'avoir installé des mouchards indétectables depuis l'intérieur du VPS.

 

Ces discussions sur cryptage etc sont très intéressantes,

mais peut-être seraient-t-elles mieux à leur place (et auraient plus de participants) dans un salon/club plus fermé ?

Un gentil modo/admin peut peut-être faire quelque chose ?

 

 

Parce que le but du VPN n'a jamais été l'obfuscation. Pour obfusquer, tu utilises du routage en oignon par exemple, pas un serveur centralisé.

Encore une fois, tout dépend de ton but. Télécharger du Lady Gaga sans te faire choper par HADOPI, ou avoir une vraie privacy / sécurité? Dans le premier cas, un VPN fait l'affaire (et encore, cf l'article). Dans le second, le VPN ne répond pas à tes besoins.

 

Edit : Note pour la protection de l'asso : je ne prône pas le téléchargement illégal et je le condamne car c'est illégal et ça tue des chââtons.

[Rübezahl]

Je partage tout ce qu'écrit cedric sur VPN.

Sinon, je signale aussi ce projet : https://mysterium.network/ 

Decentralized VPN powered by Blockchain

Quelqu'un a déjà gratté ça ?

 

(PS : svp, inutile/bad de se répondre via citer.)

 

 

[0100011]

1 hour ago, Rübezahl said:

 

Et par ailleurs, même si ce n'est pas l'intérêt du fournisseur de VPS, rien ne l'empêche également d'avoir installé des mouchards indétectables depuis l'intérieur du VPS.

 

 

 On est en 2018 : les OS sont si complexes qu'aucune personne au monde n'est capable de dire ce qu'il se passe dedans de bout en bout. Par exemple qu'est ce qui se passe exactement quand tu entres un mot de passe ? La valeur en clair est elle quelque part dans un cache/fichier tampon ? Si oui lequel ? etc.

 

  Bref même en étant le plus parano du monde tu ne pourras jamais avoir de certitude si tu utilises une machine un peu perfectionnée. Même le air wall peut ne pas fonctionner (même si c'est théorique un ordi peut émettre des ultrasons captés par le micro d'un autre à ton insu qui fait que même si ton ordi n'est pas branché sur le réseau il peut quand même communiquer avec le réseau).

 

Si tu veux récupérer de la privacy il faut payer un prix : car c'est ce prix qui fait que la surveillance de la technique que tu vas utiliser ne pourra pas permettre une surveillance automatisée de masse. Donc tu imprimes le message codé que tu vas envoyer sur ton écran (d'un ordi qui n'est pas connecté sur le réseau et qui ne peut avoir d'entrées sorties que par le clavier et l'écran), tu en fais une photo (et si tu veux ceinture et bretelles tu recopies le message à la main  dans sms/mail) et tu envoies la photo par mail/messenger etc. Là tu peux être raisonnablement sûr que si tu utilises un bon algo de cryptage personne (même pas la NSA) n'y pourra rien. Si tu te contentes  de cliquer et d'envoyer par internet tu n'as aucun moyen de savoir si à un endroit de la chaîne tu ne te fais pas baiser.

[cedric.org]

22 minutes ago, Kassad said:

 

 On est en 2018 : les OS sont si complexes qu'aucune personne au monde n'est capable de dire ce qu'il se passe dedans de bout en bout. Par exemple qu'est ce qui se passe exactement quand tu entres un mot de passe ? La valeur en clair est elle quelque part dans un cache/fichier tampon ? Si oui lequel ? etc.

Si, on le sait, sur un OS libre dont les audits se font continuellement.

Encore une fois, tout dépend de ce que tu veux faire. Avoir un réel contrôle de ta vie privée, de tes données, éviter l'espionnage, avoir une vraie sécurité? Oublie Windows ou Mac car on ne peut pas auditer le code.

 

Oui, la sécurité en informatique, c'est chiant. Très chiant. 99,9% des gens (dont moi!) abandonnent avant d'être réellement sécurisés. Ça revient à une gestion de risque classique au final : à quel point tu es prêt à perdre du temps et de l'argent pour te sécuriser :

- Ton OS

- Ton réseau (tu as acheté le dernier gadget à la mode qui allume ta lampe tout seul? Perdu, ça peut faire office de cheval de troie!)

- Tes services en lignes (en gros : 0)

- Toute correspondance avec un site quelconque ou un tiers

- etc

 

Pour la petite histoire, si on rentre dans la technique (pardon pour les non techniques, ce qui suit va piquer un peu), Ubuntu fait depuis quelques temps des compilations déterministes et reproductibles. C'est quoi ce machin? En gros : à partir du même code source, on arrivera toujours au même résultat binaire.

C'est à dire qu'un tiers peut auditer un code source, le compiler, donner le hash du binaire, et toi tu n'as pas besoin de recompiler depuis ce qui a été audité mais reprendre le build qui correspond au hash. Donc tu SAIS que c'est sécurisé sans avoir à lire toi-même le code et tout compiler à la main.

[jubal]

23 minutes ago, cedric.og said:

Si, on le sait, sur un OS libre dont les audits se font continuellement.

 

 

Les sources sont auditées, pas les binaires que tu as sur ton VPS. Des bash backdore sur un VPS j'en ais déjà vu, et de toute façon la machine host a tout contrôle sur le vps. Un serveur dédié est un peu plus secure.

 

Sinon les vpn c'est super utile pour plein de trucs (contourner la censure, acces a des service limite par pays etc.), et même pour protéger sa vie privée c'est bien. Ton ISP ou ton gouvernement local ne peut pas voir ou tu vas c'est déjà énorme, il faut pas compter dessus pour un anonymat infaillible c'est tout.

 

[cedric.org]

15 minutes ago, jubal said:

 

Les sources sont auditées, pas les binaires que tu as sur ton VPS. Des bash backdore sur un VPS j'en ais déjà vu, et de toute façon la machine host a tout contrôle sur le vps. Un serveur dédié est un peu plus secure.

 

Je n'ai jamais prétendu qu'utiliser une machine (virtuelle ou non) qui n'est pas sous son contrôle direct est sûr. J'ai dit qu'on pouvait contrôler son OS. Nuance.

[Noob]

3 hours ago, cedric.og said:

Parce que le but du VPN n'a jamais été l'obfuscation. Pour obfusquer, tu utilises du routage en oignon par exemple, pas un serveur centralisé.

Encore une fois, tout dépend de ton but. Télécharger du Lady Gaga sans te faire choper par HADOPI, ou avoir une vraie privacy / sécurité? Dans le premier cas, un VPN fait l'affaire (et encore, cf l'article). Dans le second, le VPN ne répond pas à tes besoins.

This. Le problème de base c'est que l'origine du VPN c'est de pouvoir créer un réseau sécuriser entre deux ou plusieurs noeuds sur internet . Le trafic sécurisé n'a a priori pas vocation à sortir du VPN. Vouloir se planquer pour faire des crasses sur internet "en toute sécurité" est une utilisation totalement dévoyée du VPN.

A partir du moment où l'essentiel du trafic se fait entre internet et le VPN l'intérêt technique du VPN est super faible, tout devient une question de confiance dans un tiers, alors qu'à l'origine le P pour private signifie bien qu'on peut se passer d'un tiers. 

[cedric.org]

3 hours ago, jubal said:

 

Les sources sont auditées, pas les binaires que tu as sur ton VPS. Des bash backdore sur un VPS j'en ais déjà vu, et de toute façon la machine host a tout contrôle sur le vps. Un serveur dédié est un peu plus secure.

 

 

Je me rends compte que j'ai mal répondu : si tu installes l'os que tu veux sur la machine, c'est bon (ou si c'est installé de base, facile avec un ubuntu).

Par contre tu ne contrôles pas l'hyperviseur...

[PABerryer]

Il y a 8 heures, Rübezahl a dit :

 

 

Ces discussions sur cryptage etc sont très intéressantes,

mais peut-être seraient-t-elles mieux à leur place (et auraient plus de participants) dans un salon/club plus fermé ?

Un gentil modo/admin peut peut-être faire quelque chose ?

 

 

 

 

Exaucé:

 

[Adrian]

D'ailleurs, il existe ces deux topics liées :

 

 

 

[Rübezahl]

Il y a 1 heure, PABerryer a dit :

exaucé

Merci bien PABerryer.

Il me semble qu'il y a une typo dans le titre.

Aussi, si ce club ne pouvait être ouvert qu'aux liborgiens, ama ce serait mieux.

 

[PABerryer]

Pas sur de pouvoir modifier cette caractéristique

[0100011]

Après une pratique plus intensive de l'utilisation de mon téléphone comme ordinateur portable, je m'aperçois que finalement je suis plus productif avec mon téléphone. 

 

Le truc est que c'est plus difficile de faire du vrai multitâche sur un smartphone et donc au final je suis plus concentré et plus efficace que quand je suis sur mon ordi portable avec n fenêtres ouvertes en même temps. D'ailleurs je devais m'acheter un nouveau ultra portable depuis décembre mais je n'en vois pas vraiment l'usage que je pourrais avoir. Il ne me reste vraiment que la projection qui me pose problème (mais la majeure partie des salles ont un ordi dédié).  Pour faire certains diagrammes dans les articles également (genre utiliser gimp sur un smartphone est un peu pénible). 

 

Et au final je fais même certain truc exclusivement sur mon smartphone (les scans et l'utilisation d'office windows car gratuite sous android).

 

 

[cedric.org]

19 minutes ago, Kassad said:

Après une pratique plus intensive de l'utilisation de mon téléphone comme ordinateur portable, je m'aperçois que finalement je suis plus productif avec mon téléphone. 

 

Le truc est que c'est plus difficile de faire du vrai multitâche sur un smartphone et donc au final je suis plus concentré et plus efficace que quand je suis sur mon ordi portable avec n fenêtres ouvertes en même temps. D'ailleurs je devais m'acheter un nouveau ultra portable depuis décembre mais je n'en vois pas vraiment l'usage que je pourrais avoir. Il ne me reste vraiment que la projection qui me pose problème (mais la majeure partie des salles ont un ordi dédié).  Pour faire certains diagrammes dans les articles également (genre utiliser gimp sur un smartphone est un peu pénible). 

 

Et au final je fais même certain truc exclusivement sur mon smartphone (les scans et l'utilisation d'office windows car gratuite sous android).

 

 

Essaye un chromebook alors, ça devrait te plaire.