@rodolphe@pwet.what.tf

rodolphe

@rodolphe@pwet.what.tf

Dev. Rust 🦀
🇨🇵 Je pwet principalement sur le développement logiciel, la cryptographie, l'administration système, les logiciels libres ainsi que de la protection des données personnelles. Team #vélotaf et auto-radicalisé #IPv6
🇬🇧 🇺🇸 I mostly toot about software development, cryptography, system administration, free software and personal data protection.

This profile is from a federated server and may be incomplete. Browse more on the original instance.

arthru, to random French
@arthru@framapiaf.org avatar

Est ce que dans les confs Rust francophones on écoute en boucle "cargo de nuit" d'Axel Bauer ?

🎶 cette machine dans ma tête 🎶

rodolphe,

@arthru Oui, ça et crab rave en boucle 😁
https://www.youtube.com/watch?v=LDU_Txk06tM

clementd, to random French
@clementd@framapiaf.org avatar

On dirait que cette année le site des impôts n'aime pas le + dans mon adresse email.

Je n'aime pas faire des suppositions et encore moins juger le travail des autres, mais la série de messages d'erreur que j'ai eue me laisse à penser que tout ce bousin est codé avec le cul.

Cher Gabriel Attal, moi aussi j'ai pleuré en tentant de déclarer mes impôts.

rodolphe,

@clementd Sur mon serveur perso j'ai remplacé le + par le point afin d'éviter ce genre d'embêtements.

Ho, et je suis toujours super content de mon système Sake, c'est pratique, ça marche vrai bien et utilisé avec le point comme délimiteur je n'ai jamais eu de soucis d'acceptation de mes adresses.

rodolphe, to random

Great news for UUIDs: a few days ago, RFC9562 has been published! 🥳
https://datatracker.ietf.org/doc/html/rfc9562

The main change is the addition of 3 new types of UUIDs:

  • UUIDv6 is an improvement of v1 where the timestamp has been reordered in a way that prevents index fragmentation issues.
  • UUIDv7 is mostly composed of the timestamp in milliseconds followed by random data. As for v6, the timestamp prevents index fragmentation issues, which makes v7 a great replacement for v4 and Ulid.
  • UUIDv8 is the DIY version of UUIDs, it's almost only custom content. If none of the other versions suits your needs, this is the one to use since you get to decide what's inside (except for the version and variant fields of course).
mbess, to random
@mbess@attreno.fr avatar

@rodolphe Ton blog est vraiment super cool ! Plein d'informations, fouillé et on y apprend des choses.

rodolphe,

@mbess Merci ! 😊

mbess, to random
@mbess@attreno.fr avatar

Quelqu'un connaît-il un bon générateur de mot de passe mémorable en français mais en ligne de commande sur linux ?

rodolphe,

@mbess aspell -d fr dump master | grep ".{4}" | grep -Pv "[^A-Za-z]" | shuf -n 6 | paste -sd " "

Décomposition des commandes :

  • « aspell -d fr dump master » dump l'ensemble du dictionnaire français d'aspell (nécessite généralement d'installer les paquets qui vont bien)
  • « grep '.{4}' » exclue les mots de moins de 4 caractères
  • « grep -Pv "[^A-Za-z]" » exclue les mots contenant des caractères autres que des lettres non-accentuées (je sais, c'est contestable)
  • « shuf -n 6 » sélectionne aléatoirement 6 mots
  • « paste -sd ' ' » met les mots sur une seule ligne et les sépare par une espace

En l'état c'est pas forcément top, mais tu peux remplacer le dump du dico aspell par une liste de mots personnalisée, par exemple tirée des mots les plus courants :
https://eduscol.education.fr/186/liste-de-frequence-lexicale

L'utiliser permet de virer un pipe :
grep ".{4}" "ma_liste.txt" | grep -Pv "[^A-Za-z]" | shuf -n 6 | paste -sd " "

Petit point d'attention : si comme moi tu as configuré certains alias (par exemple sur grep) il se peut que tu doives utiliser le chemin absolu vers le binaire (genre /bin/grep). Dans mon cas, ayant un « -n » dans mon alias grep, ça m'ajoute le numéro de ligne ce qui contient des caractères en dehors de des lettres et exclue donc tous les mots.

Dans l'idéal il faudrait un véritable projet dédié qui maintienne une liste de mots en sachant s'il s'agit d'un nom, verbe ou adjectif puis essayes de construire un semblant de phrase avec. Ça a l'air assez fun à faire.

rodolphe,

@mbess Ce midi j'ai eu pas mal d'idées sur comment faire ça correctement et ça m'a donné envie de me pencher plus en détail sur le sujet. Après tout, les mots et phrase de passe sont un peu devenus ma spécialité. La seule chose qui me manque pour commencer c'est un nom pour ce projet.

Et voila, j'ai envie de faire ça en Rust, avec une lib commune pour le cœur du projet puis un exécutable en CLI et un avec une interface graphique.

rodolphe,

@mbess Je connais bien Codeberg, mais je lui préfère ma propre instance de Forgejo 😉
https://git.what.tf/explore/repos

Pour l'instant, l'auto-hébergement sur une instance à inscription fermée n'est pas super pratique pour un logiciel libre. Mais une fois que Forgejo aura implémenté la fédération de forges ce sera nettement mieux.

rodolphe, to random

Comment se passer de Redis et de ses dérivés ? Et bien tout simplement en utilisant PostgreSQL. C'est ce que j'ai fait pour un projet personnel et cette approche m'a vraiment convaincu. Un article pour voir comment je m'y suis pris pour revoir le stockage de mes données volatiles.

https://rodolphe.breard.tf/article/postgresql-pour-remplacer-redis/

rodolphe,

@mtparet Franchement, j'ai de très gros doutes sur l'apparition de problèmes avant d'atteindre des tailles assez monstrueuses qui dépassent ce que gèrent 99% des boites. Mais ok, je vais faire un benchmark afin de mettre à l'épreuve nos opinions respectives.

rodolphe,

@mtparet Ok, donc j'ai balancé 1 million d'entrées dans chacune des deux tables, UUIDv4 dans l'une et UUIDv7 dans l'autre. Puis j'ai benchmarké, dans chaque table, le select 2000 entrées existantes puis 500 inexistantes. Temps total pour ces 5000 requêtes sur mon laptop : dans les 200 ms. Avec PostgreSQL hein.

Bref, c'est pas ce que j'appelle 3 gus dans un garage et vu les perfs je n'en ai pas grand chose à faire de Redis qui doit très certainement faire encore mieux.

rodolphe,

@mtparet Ce n'est absolument pas ce que je constate dans les entreprises, et pourtant il y en a un bon nombre qui ont le déplaisir de ma visite.

rodolphe,

@mtparet Et moi ça fait près de 4 ans que j'enchaîne les contrôles d'organismes divers et variés, de l'entreprise individuelle à la multinationale, de la commune au ministère. Bref, des systèmes d'information j'en ai vu de toutes sortes, et au final ceux qui doivent gérer des milliers de requêtes par seconde il n'y en a pas tant que ça.

rodolphe,

@lutindiscret @codelutin Ça doit être possible dans certains cas, mais ça ne l'est pas forcément dans d'autres. Par exemple, pour les jetons à usage unique tels que les jetons CSRF, je ne fais aucun SELECT mais uniquement un DELETE et je regarde le nombre de lignes d'impactées (s'il y en a une c'est que le jeton était valide, zéro c'est que le jeton ne l'était pas). De plus, faire le ménage à chaque requête revient à le faire plus souvent lors des pics d'activités alors que je souhaiterai faire l'inverse.

Keruspe, to random
@Keruspe@mastodon.social avatar

Quand des gens commencent un projet dans une boîte et le finissent dans une autre, à qui appartient le produit ?

rodolphe,

@Keruspe C'est une bonne question. Je te met ici les dispositions légales applicables, mais il faut sans doute également regarder la jurisprudence à ce sujet. Je te recommande tout de même de les lire, en particulier l'article L113-9.
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006069414/LEGISCTA000006161635

rodolphe, to random

Rappel périodique sur la sécurité numérique :

  • la sécurité ce N'EST PAS saupoudrer votre infra de produits dits « de sécurité » ;
  • chaque nouveau produit, y compris ceux dits « de sécurité » augmente la surface d'attaque ;
  • la sécurité numérique est une affaire d'EXPERTS ;
  • la certification ou norme trucmuche ne vous protège de rien et ne dit absolument rien de vos pratiques en matière de sécurité numérique, même si le commercial vous soutient le contraire ;
  • la liste des personnes NON QUALIFIÉES pour parler de sécurité numérique inclue notamment : les dirigeants, les responsables conformité, les avocats, les commerciaux, les organismes de certification ainsi que leurs auditeurs, etc.

Si vous croyez que j'exagère, nous venons d'avoir encore un exemple de produit de sécurité qui a une vulnérabilité critique permettant à un attaquant d'exécuter du code à distance. Ce n'est malheureusement ni le premier ni le dernier exemple du genre.
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-006/

Si vous me répondez qu'on ne va quand même pas se passer de produits de sécurité au prétexte qu'il y a parfois des failles, sachez que régulièrement le problème est situé dans le bon fonctionnement du produit en question. L'exemple le plus connu à ce sujet est l'antivirus sur un serveur de base de donnée stockant les données d'une application dans laquelle un utilisateur extérieur peut publier du texte. Certaines signatures de virus sont entièrement en caractères imprimables, donc si un utilisateur en entre une dans votre app, votre antivirus va la détecter dans les fichiers de votre base de données et prendre des mesures drastiques contre cette dernière, brisant immédiatement le fonctionnement de votre app.

Encore une fois, la sécurité est une affaire d'experts qui analysent finement les risques et en déduisent les mesures adaptées. Ce n'est certainement pas une agglomération de produits qu'on installe juste pour respecter un référentiel quelconque.

clementd, to random French
@clementd@framapiaf.org avatar

I learnt about the tupolev tu-144 today, and… is it really just a concorde with a fake moustache?

rodolphe,

@clementd Yep. Lors du crash d'un TU-144 au Bourget en 1973, toutes sortes d'agents secrets se sont rués sur l'épave, dont des agents Français qui y ont prélevé un train d’atterrissage. L'analyse de la composition chimique de l’alliage métallique de cette pièce révélât qu'il était totalement identique avec celui que l'usine SNECMA (aujourd'hui Safran) de Bois-Colombes utilisait pour le concorde. Bref, le développement du TU-144 a profité de l'espionnage industriel et a pompé « quelques » trucs au concorde.

rodolphe,

@clementd C'est l'argument qu'ils avaient déjà avancé pour la forme de l'avion, argumentant que les lois de la physique sont les mêmes pour tout le monde. Déjà que sur ce point je ne suis personnellement pas super convaincu vu le nombre de designs d'aéronefs et munitions supersoniques qui existent, mais alors pour qu'en plus l'alliage soit exactement le même, là il n'y a plus aucun doute possible. C'est un peu comme si tu disais avoir « par hasard » généré la même biclé RSA que celle d'une AC d'un root store. Dans la théorie c'est possible, mais en pratique… https://www.youtube.com/watch?v=IAov0TOK4DQ

rodolphe, to random

"Quantum Algorithms for Lattice Problems"
This doesn't sounds good for post-quantum cryptography…
https://eprint.iacr.org/2024/555

fasterthanlime, to random
@fasterthanlime@hachyderm.io avatar

another day of having to explain (this time, to conference organizers) why, even though I have a VAT number, can make tax-deductible purchases, and pay a lot (a LOT) of taxes, I don't have a "company" and I can't afford their "business tickets"

(my statut juridique is "entreprise individuelle", which is confusing enough in France, and even more abroad)

rodolphe,

@marcoow @fasterthanlime Why not draw the line to the legal definition? In France, a company does have a juridical entity, which is the kind of organisation you want to buy a company ticket. On the opposite, an individual entrepreneurship does NOT have a juridical entity, in the eyes of the law it remain an individual, not a company. Furthermore, the status of individual entrepreneurship has a ressources cap: if you earn too much money, you cannot stay in that status, you must open a real company with a juridical entity.

I hope you will reconsider your choice and treat individuals with a VAT number for who they are: individuals and clearly not companies.

bortzmeyer, to ipv6 French
@bortzmeyer@mastodon.gougere.fr avatar

Vous vous en fichez mais je découvre qu'il y a un résolveur public en Inde (apparemment géré par le registre du .in) et il a une bonne adresse (et elle répond aux ICMP echo).

Comme quoi les adresses IPv6 ne sont pas forcément plus longues et plus dures à mémoriser que les adresses IPv4.

https://framagit.org/-/snippets/7253

rodolphe,

@insolit Attention, il ne faut pas confondre la conformité au RGPD avec la possibilité de transférer des données vers un pays étranger hors-UE, ce sont deux choses bien différentes. L'établissement d'une entreprise hors-UE ne présage en rien de sa conformité et tant qu'elle ne transfert pas les données qu'elle traite autre part elle n'a pas à se soucier des décision d'adéquation.

S'agissant du transfert des données à destination d'un pays hors-UE, il y a 2 manière de le faire en respectant le RGPD :

  1. le pays en question bénéficie d'une décision d'adéquation (totale ou partielle), ce qui permet d'y transférer les données sans formalités supplémentaire sur la base de l'article 45 du RGPD.
  2. Si le pays en question ne bénéficie pas d'une décision d'adéquation, il reste possible d'y transférer les données sous réserve de garanties appropriées, ce qui est détaillé à l'article 46 du RGPD.

Et concernant le cas précis des États-Unis, il existe actuellement une décision d'adéquation partielle :
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
https://www.cnil.fr/fr/adequation-des-etats-unis-les-premieres-questions-reponses

cendyne, to random
@cendyne@furry.engineer avatar

Deep breaths

rodolphe,

@JayDLugin @cendyne Agreed, I would not use it either since I have far better quality gear.

That said, I totally understand why the manufacturers include such low-quality screwdriver since most people cannot differentiate between a Phillips and a Pozidriv screw/screwdriver. If people use the included one, they use the correct model and therefore will not risk to damage the screw. Therefore, the won't get angry at the manufacturer for what falsely appears to be "low quality" screws while in fact the user used the wrong screwdriver.

rodolphe,

@JayDLugin @cendyne Indeed. So far I never saw this type in a hardware store, only on smaller electronics and therefore in my iFixit kit. I don't know if this is a regional effect or more global. Where I live, if you want to apply more torque, you go either Allen or Torx (and sadly we don't have Robertson which seems to be the one you do want for maximal torque).

rodolphe, to random

Wow, this xz backdoor really is something. If you are using a Linux distribution, you should check right now whether or not you are affected and take appropriate measures.
In the next days we will surely see some interesting reactions. I'm quite curious how the different communities and the authorities will handle it.

https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/issues/2

rodolphe,

Quick update of affected ⚠️, safe ✅ and unsure ❔ systems:
✅ Debian stable
⚠️ Debian trixie (testing)
⚠️ Debian SID (dev)
✅ Ubuntu stable
✅ ArchLinux
✅ RedHat
✅ Fedora stable
⚠️ Fedora 41 (test)
⚠️ Fedora rawhide (dev)
✅ Alpine Linux
✅ FreeBSD stable
❔ FreeBSD 15 (dev)
✅ OpenBSD stable
✅ OpenBSD 7.5 (dev)

rodolphe, to random

« Post-quantum cryptography is too damn big. »
If you were wondering why post-quantum algorithms are not wildly deployed yet, here is a very good explanation.

https://dadrian.io/blog/posts/pqc-signatures-2024/

  • All
  • Subscribed
  • Moderated
  • Favorites
  • JUstTest
  • magazineikmin
  • Youngstown
  • osvaldo12
  • khanakhh
  • slotface
  • tacticalgear
  • mdbf
  • InstantRegret
  • kavyap
  • DreamBathrooms
  • thenastyranch
  • everett
  • rosin
  • anitta
  • Durango
  • GTA5RPClips
  • ethstaker
  • modclub
  • cisconetworking
  • ngwrru68w68
  • tester
  • normalnudes
  • cubers
  • Leos
  • megavids
  • provamag3
  • lostlight
  • All magazines
    •