sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

How do you fix a problem like open-source security? Google has an idea, though constraints may not go down well • The Register

Monday 8 February 2021 at 08:19

Bon maintenant que Google a récupéré des tonnes de Logiciel Libres pour construire son empire, et qu'il *dépend* de ces codes libres créés par d'autres, la sécurité devient importante.
Voilà donc ce que suggère Google pour assurer la sécurité de ces codes "critiques" (OpenSSL, libpng, ffmpeg, etc.):
- interdiction pour les auteurs d'être anonyme.
- toute modification d'un auteur à son propre projet devra être validée par code review par 2 entités indépendantes.

En gros, Google dit que les développeurs ne devraient pas apporter de modification à leurs propres projets sans une autorisation extérieure. Mais pour notre bien: La sécurité (What else ?)
Embrace. Extend. Control.

Et si au lieu de vouloir FLIQUER les devs du LL les GAFAM commençaient par les FINANCER, hein ?
(Permalink)

Source: https://www.theregister.com/2021/02/04/google_open_source_security/


esoteric.codes

Monday 8 February 2021 at 08:14

Sous le coude. J'ai l'impression qu'il ya plein de choses à explorer sur ce site, au croisement entre l'informatique et l'art.
(Permalink)

Source: https://esoteric.codes/


Moscou sous le coup d'une "attaque" GPS

Sunday 7 February 2021 at 11:37

L'équivalent russe de Waze s'est fait avoir par des informations gps truquées faisant croire à de gigantesques embouteillages autour de Moscou.
L'API de Yandex a été noyée d'informations gps truquées.
(Permalink)

Source: https://twitter.com/it4sec/status/1357636877814288385?s=20


The computer built to last 50 years | ploum.net

Thursday 4 February 2021 at 14:54

Pour lecture ultérieure, mais la réflexion me semble intéressante: On a des machines à écrire qui marchent parfaitement 75 ans après leur fabrication. Alors pourquoi pas aussi des ordinateurs ?
Comment concevoir un ordinateur qui peut durer 50 ans ? Quels sont les besoins récurrents ? La connectivité ? l'affichage ? les dispositif d'interaction ? Les périphériques ? Les sources d'énergie ?
(Permalink)

Source: https://ploum.net/the-computer-built-to-last-50-years/


Microsoft repo secretly installed on all Raspberry Pi's Linux OS - nixCraft

Thursday 4 February 2021 at 14:03

Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.

Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.

Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:
- je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
  - et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
- je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.

Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?

EDIT: Voici le commit à la source du problème: https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351
(Permalink)

Source: https://www.cyberciti.biz/linux-news/heads-up-microsoft-repo-secretly-installed-on-all-raspberry-pis-linux-os/


Utilisateurs libres ou domestiqués ? WhatsApp et les autres – Framablog

Thursday 4 February 2021 at 10:14

« WhatsApp s’est développé en piégeant dans son enclos des créatures auparavant libres, et en changeant leurs habitudes pour créer une dépendance à leurs maîtres. Avec le temps, il leur est devenu difficile voire impossible de revenir à leur mode de vie précédent. Ce processus devrait vous sembler familier : il est étrangement similaire à la domestication des animaux. J’appelle ce type d’enfermement propriétaire « domestication des utilisateurs » : la suppression de l’autonomie des utilisateurs, pour les piéger et les mettre au service du fournisseur. »
(Permalink)

Source: https://framablog.org/2021/02/04/utilisateurs-libres-ou-domestiques-whatsapp-et-les-autres/


Free Software

Thursday 4 February 2021 at 10:09

Je cite @Sylvhem@eldritch.cafe:
« Richard Stallman invented free software because printers were shitty.
Now we have free software that run on rockets, but the printers are still shitty. »

Traduction:
« Richard Stallman a inventé le Logiciel Libre parce que les imprimantes étaient merdiques.
Maintenant on a des Logiciels Libres qui tournent sur des fusées, mais les imprimantes sont toujours merdiques. »
(Permalink)

Source: https://sebsauvage.net/links/?i7bwYg


Est-ce que le nucléaire tue ou sauve des vies ? - Le Hollandais Volant

Thursday 4 February 2021 at 09:34

À mon avis, LHV va s'en prendre plein la gueule pour avoir osé écrire cet article ! 😅
(Permalink)

Source: https://lehollandaisvolant.net/?d=2021/02/04/07/05/58-est-ce-que-le-nucleaire-tue-ou-sauve-des-vies


GitHub - ianhan/BitmapFonts: My collection of bitmap fonts pulled from various demoscene archives over the years

Thursday 4 February 2021 at 09:30

Des tonnes de polices de caractère qui viennent de la demoscene.
Et aussi un truc rigolo pour générer une bannière dans le style C64 : https://codepo8.github.io/logo-o-matic/
(Permalink)

Source: https://github.com/ianhan/BitmapFonts


Mojeek : un moteur de recherche indépendant respectueux de la vie privée // /home/lord

Thursday 4 February 2021 at 08:12

Vous voulez éviter les GAFAM donc vous n'utilisez pas Google ou Bing.
Vous utilisez Qwant ? Il utilise les résultats de Bing.
DuckDuckGo utilise aussi les résultats de Bing, et il est hébergé chez Amazon.
Donc d'une certaine manière vous êtes toujours chez les GAFAM.
Peu de moteurs sont vraiment indépendants: https://www.searchenginemap.com/
Lord propose d'essayer https://www.mojeek.com/
(Permalink)

Source: https://lord.re/shares/22-mojeek-un-moteur-de-recherche-ind%C3%A9pendant-et-respectueux-de-la-vie-priv%C3%A9e/