-
Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :
-
l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)
-
aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien
-
tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)
-
après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?
-
Commentaires super intéressants, ça fait plaisir, merci @BarbossHack !
En effet, bien que j’utilise cet outil depuis depuis +2 ans maintenant il est décevant de voir la faible maintenance du projet.
Il est cependant possible d’utiliser leur algorithme open-source sur d’autres projets (ex : https://github.com/bkueng/qMasterPassword)
Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)
Je viens de trouver des informations supplémentaires intéressantes sur Hacker News : https://news.ycombinator.com/item?id=9788597
-
Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).
C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.
Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire). Donc, aucun avantage à Spectre.
Par contre des inconvénients, on peut en lister beaucoup…
Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/
-
-
Eh bien, c’est même pas si vrai que ça en plus je trouve…
- Si tu veux changer de mdp sur un site, tu va devoir incrémenter un “compteur” (-c 2, -c 3, …) lors de la génération du mdp.
- Si un site n’accepte pas le “format” des mdp générés par Spectre, il faut lui en spécifier un nouveau en argument (-t …).
Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça
-
-
-
-
-
Merci pour vos commentaires !
Tout à fait d'accord sur le principe de respecter les règles lorsque l'on rejoint une organisation, quelle qu'elle soit.
Je pense aussi que dans ce genre de contexte, l'avenir de la personne ne devrait dépendre que d'elle même.
Si elle décide de regarder des vidéos de Fortnite plutôt que de réviser son cours de philosophie, c'est son problème et ça ne regarde que la personne.
Tant qu'elle respecte les autres, il ne devrait pas y avoir de restrictions.
Pour une seule personne regardant Fortnite, on empêche les 9 autres d'accéder à une vidéo TED ou Datagueule, qui certes n'a pas nécessairement de rapport direct avec le cours, mais reste un moyen d'élargir notre champ de connaissance, et de ne pas se restreindre à la vision portée par le cours pensé exclusivement par quelqu'un d'autre que soit.
Mais en effet, tout dépend du cadre, cela peut être plus compliqué selon le cadre dans laquelle se situe la personne. Du coup, libre à chacun de changer de cadre si les règles ne lui conviennent pas. Et notamment, si l'on reprend le cas de l'école, peut-être que la personne se sentirait mieux dans une école démocratique par exemple.
-
-
Merci pour ces tuyaux. Je suis toujours friand de conseils de bouquins. Mes trouvailles de ces dernières semaines, hors poésie, fiction, psycho, philo et bouquins techniques :
L'art subtil de s'en foutre
Initiation au sketchnote
Guerrilla marketing for consultants
@Carl : c'est “entrepreneuriat”, pas “entrepreunariat”. :o)
-
Rigolo mais pas donné => https://hakshop.com/products/bash-bunny
-
-
Pas mal du tout comme bidouillage. J'adore.
-
-
On peut utiliser Surf en mode kiosque, carrément, aussi (-K). C'‘est d'ailleurs un exemple d'application de ce mode ^^ : https://surf.suckless.org/files/kiosk_mode
-
-
Lord plus de 6 ans | lien | sur : Ethibox.fr - La nouvelle façon d'héberger vos sites web à domicile
Il y a quoi derrière ? Du matériel (j'imagine), surement un peu de logiciel mais du logiciel libre écrit de 0 ou plus probablement de l'existant.
Ça manque un peu d'info pour l'instant. Quelle est la différence vis-à-vis des autres produits similaires (brique internet par exemple) ?
-
Il s'agira d'une version beaucoup plus user friendly que la brique internet et yunohost. Tout sera sous licence libre. C'est actuellement un prototype, j'en dirai plus sur les features et les technos utilisés d'ici peu, vous pouvez vous inscrire si vous souhaitez être informé de l'évolution du produit.
-
-
Article intéressant en soit. Par contre, la “popup” - plutôt le message - incitant à rejoindre les 363 abonnés au moment de quitter la page est vraiment agaçant. Cela fait partie des pratiques incitatives, que personnellement j’abhorre, et que je trouve mal venu. Au point que cela ne me donne pas envie de revenir, car je n’ai pas envie de la subir à chaque itération de vue sur le site… Bref - dommage.
Ho il suffit de bloquer le javascript pour ne pas être emmerdé. D’ailleurs si on le fait sur ce site on est pas emmerdé par le contenu non plus vu qu’il ne s’affiche pas. ^__^
Disons que c’est le genre de pratique qui devient monnaie courante même sur des sites persos à visée non commerciale et c’est assez triste je trouve.
Salut PengouinPdt, désolé pour le désagrément, il s’agit d’une seule exit popup qui ne s’affiche qu’une fois. Il n’y a aucun trackers.
Elle permet d’être informé de tous les articles que je propose gratuitement.
Si tu as une suggestion pour me permettre d’avoir du soutien plus efficacement je suis preneur ;)
Même si ce n’est qu’une fois, les utilisateurs n’ont pas à la subir ! À toi de réorganiser ton code pour proposer l’information autrement, par exemple, un lien vers une page explicative, lien qui apparaît en fin de page, ou sur un menu contextuel placé à D ou à G, dans une balise aside, etc. Avoir du soutien plus actif? ce n’est pas à moi qu’il faut le demander, vu que je m’en fiche perso, même pour mes propres articles - un lecteur les lit tant mieux, un autre non; ce n’est pas grave, loin s’en faut.
Merci pour les conseils ;)
Un exemple parmi tant d’autres : non intrusif, regarde ce que fait le site “The conversation”. Cette page pour le propos : https://theconversation.com/entre-ethique-et-lois-qui-peut-gouverner-les-systemes-dintelligence-artificielle-190595 Tu trouveras vers le milieu une information adéquate.
Bon, perso, je n’aime toujours pas, parce que cela distrait l’attention du lecteur, de même que les liens vers d’autres articles similaires. Et ce n’est pas une bonne chose de distraire l’attention du lecteur… le lecteur peut avoir des difficultés d’attention, de compréhension, pour X raisons (santé, fatigues, etc…) : attirer son attention sur autre chose que le fil conducteur de l’article, pendant la lecture, aura certainement pour conséquence un trouble plus ou moins passager, mais la possibilité qu’il “aille voir ailleurs”, voire ne revienne pas. Maintenant un lecteur “sain” n’aura pas trop de difficultés à filtrer cognitivement ce genre d’informations, et à continuer la lecture plus bas. (mais il suffit d’un rien pour perdre le fil) :p
néanmoins, avoir ce genre d’informations en fin d’article, par exemple, est une pratique certainement plus adéquate.