sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Vagrant Cascadian : « Just learned that #GitHub makes account names available 90 days after the account is deleted. » - FLOSS.social

Friday 8 July 2022 at 08:58

Sachez-le: Si un compte GitHub est supprimé, n'importe qui peut se ré-inscrire avec le nom du compte au bout de 90 jours.
Et comme tout un tas d'installations, de dépendances et de mises à jour automatiques se basent directement sur des URL GitHub (qui contiennent le nom du compte), cela permettrait de faire entrer des malwares un peu partout.
Certes ce n'est pas tous les jours qu'un développeur supprime son compte GitHub, mais attendez-vous à des problèmes de sécurité liés à cette politique dans les années à venir.

Notez que le problème de réattribution des comptes n'est pas nouveau: À l'époque où YahooMail a perdu beaucoup d'utilisateurs, des pseudos ont été libérés par Yahoo, permettant à de petits malins de reprendre ces adresses email... et demander la réinitialisation du mot de passe sur tout un tas d'autres sites, menant à un piratage en masse compte sur divers sites.
(Permalink)

Source: https://floss.social/users/vagrantc/statuses/108602869548729967


NPM supply-chain attack impacts hundreds of websites and apps

Friday 8 July 2022 at 08:56

Typosquatting des noms de packages npm : Une faute de frappe dans vos dépendances, et votre système est entièrement piratés sans que vous vous en rendiez compte.
(Permalink)

Source: https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/


« Cloud de confiance » : le député Philippe Latombe attaque le projet de Google et Thales (S3ns) auprès de la Cnil et de l'Anssi

Friday 8 July 2022 at 08:55

Good
(Permalink)

Source: https://www.latribune.fr/technos-medias/internet/cloud-de-confiance-le-depute-philippe-latombe-attaque-le-projet-de-google-et-thales-s3ns-aupres-de-la-cnil-et-de-l-anssi-924750.html


Microsoft To Ban Commercial Open Source from App Store - Conservancy Blog - Software Freedom Conservancy

Friday 8 July 2022 at 08:39

Je pense que pour le coup, l'intention de Microsoft ici n'était pas mauvaise. Ce qui ne change malheureusement rien au résultat. J'explique :

Dans son Windows Store, Microsoft vient de changer le contrat: Ils stipulent qu'il sera interdit de vendre des Logiciels Libres qui sont disponibles ailleurs gratuitement.
Tout le monde gueule, mais je comprend la volonté de Microsoft : Depuis une éternité (et même hors du WindowsStore), il y a plein de salopards qui repackagent des Logiciels Libres gratuits qu'ils n'ont pas créés pour les revendre. C'est vraiment dégueulasse et c'est profiter du travail des autres. Donc en soit, ce changement de politique, c'est bien.

Mais d'un autre côté, la nouvelle politique interdit aussi aux vrais auteurs des logiciels de vendre leurs logiciels sur le WindowsStore, coupant ainsi une source de soutient des projets Libres. Et là c'est nettement plus problématique.
Microsoft va sans doute revoir sa copie.

EDIT: La suite : https://www.nextinpact.com/lebrief/69677/microsoft-store-champ-libre-pour-lopen-source
(Permalink)

Source: https://sfconservancy.org/blog/2022/jul/07/microsoft-bans-commerical-open-source-in-app-store/


Microsoft rolls back decision to block Office macros by default

Friday 8 July 2022 at 08:32

Les macros (notamment les macros VBA) dans les documents Microsoft Office ont toujours été à la source d'un nombre incalculable de problèmes de sécurité. Il faut dire que mettre du code exécutable dans des fichiers de données, c'est pas la meilleure idée du monde.
Récemment Microsoft avait décidé de désactiver enfin cette F.B.I. (Fausse Bonne Idée), sauf que bien entendu des centaines de milliers d'entreprise utilisent massivement cette horreur de VBA pour tout un tas de tâches. Microsoft s'est donc vu contraint de réactiver les macros.

Donc pour résumer, les entreprises - ayant développé à l'arrache des macros VBA dans tous les sens au lieu d'investir dans un développement sérieux - se retrouvent dépendre d'une fonctionnalité Microsoft qui les met en danger permanent.  Bien joué.
(Permalink)

Source: https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-back-decision-to-block-office-macros-by-default/


Ghostscript : PDFI

Friday 8 July 2022 at 08:29

Ghostscript a changé son interpréteur PDF.
Et là j'apprend que l'ancien interpéteur PDF de Ghostscript était écrit... en Postscript 😱
Je n'ose pas imaginer l'horreur.
(Permalink)

Source: https://ghostscript.com/blog/pdfi.html


Online programming IDEs can be used to launch remote cyberattacks

Thursday 7 July 2022 at 16:57

Je me demandais aussi quand ils commenceraient à attaquer les IDE, vu que ces environnements passent leur temps à télécharger, compiler et exécuter du code. Bah voilà...
Le tout branché sur des GitHub ou des dépôts npm vérolés, ça va être rigolo.
Pourquoi se cantonner à attaquer les déploiements quand on peut s'attaquer directement au développement ?
(Permalink)

Source: https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/


Style scoping versus shadow DOM: which is fastest? | Read the Tea Leaves

Thursday 7 July 2022 at 14:29

Bonjour.
Firefox est plus rapide que Chrome.
Mesures à l'appuis.
« Firefox, thanks to its multi-threaded style engine, is much faster than Chrome or Safari. »
Voilà.

Arrêtez d'utiliser Chrome. Il n'est même pas plus rapide et il ne respecte pas votre vie privée.
(Permalink)

Source: https://nolanlawson.com/2022/06/22/style-scoping-versus-shadow-dom-which-is-fastest/


Plus de 4 000 postes d’enseignants non pourvus aux concours en 2022

Thursday 7 July 2022 at 12:55

Ben alors, y'a pas plus de candidats à ce fantastique métier facile où tu fous rien, t'as des horaires tranquilles et t'es tout le temps en vacances ? Comme c'est curieux...
(Permalink)

Source: https://www.lemonde.fr/societe/article/2022/07/07/plus-de-4-000-postes-d-enseignants-non-pourvus-aux-concours-en-2022_6133765_3224.html


Comment fonctionnent les glow-stick, des bâtons lumineux ? - Couleur-Science

Thursday 7 July 2022 at 10:42

Science !
(Permalink)

Source: https://couleur-science.eu/?d=4a2b5b--comment-fonctionnent-les-glow-stick-des-batons-lumineux