Dave Null @devnull

@ffeth @Lapineige @BrunoSpy « Rome ne s'est pas faite en un jour » Sauf que le but n'est pas de réinventer la roue, mais déjà de commencer par appliquer aux bonnes pratiques déjà établies (transparence/logiciels libres, audit, patches, crypto forte end2end, décentralisation…) pour ensuite améliorer encore plus la sécurité (financement de la maintenance du code, mécanismes de sécurité plus avancés)

Ne pas suivre les bonnes pratiques = aucune sécurité

@ffeth @Lapineige @BrunoSpy C'est pas une approche tout ou rien, c'est surtout que pour les produits commerciaux apportent très souvent rien en terme de sécurité, mais qu'on s'acharne à faire passer pour quelque chose d'important.

Le niveau de sécurité d'un système dépend grandement du maillon faible de la chaine. Si ton OS est mourchardé ou ta crypto est pourrie au possible, chiffrer sert à rien. Si une faille existe, elle sera exploitée.

@bortzmeyer @CapsLock @Nozdus
https://github.com/tootsuite/mastodon/issues/1092

https://github.com/tootsuite/mastodon/issues/3874

@Lapineige @BrunoSpy Je vois enfait en quoi une fenêtre externe change quelque chose. Qui peut très bien contenir du code intrusif (qu'il soit poussé avec ou sans la complicité de ProtonMail n'est pas la question... Leurs HTTPS étant assez moyen pour une boite qui prétends faire de la sécuro)ité)

Si l'user n'a pas de clé gérée entièremnt en local, indépendamment de protonmail, alors il y a aucune sécurité possible, car pas de vrai chiffrement E2E

@BrunoSpy @Lapineige A partir du moment où on implique pas. l'user sous couvert de faire du « userfriendly ». On laisse trop de marge aux erreurs que peut faire un user ( y a un gros paquet, à commencer par le choix des technos/outils), mais aussi aux marketteux qui aiment bullshiter les users avec des promesses de sécurité absolue totalement délirantes, pour des services insecure by design (genre du webmail…)
Protonmail n'est pas une exception

@Lapineige @BrunoSpy C'est du bullshit aussi protonmail. Il y a le.mot secure tout les 2 paragraphes mais ils utilisent du mail… et du webmail qui est plus est, t'as 20 milles vecteurs de fuite avant que ton email ne soit chiffré. Sans parler de.leurs volonté d'avoir un max de users quitte a utiliser des ciphersuites troués pour supporter les clients pourris.

La sécu sans effort coté user, ça ne peut pas exister. Les 2 plus grosses failles c'est
- l'user
- le bullshit marketing

@shnoulle /facepalm

@shnoulle Je m'en doutes

@Lapineige « Le problème avec l’anonymat, c’est qu’il signifie que l’on a quelque chose à cacher. On ne peut donc pas être anonyme sans être considéré comme une menace. Le surf invisible semble être réservé aux terroristes, aux hackers, aux criminels, aux utilisateurs du Darknet … » (tous les termes de propagande qui vont bien)
En conseillant contre la pub ciblée, Adblock, au business model puant avec google et M$ comme clients
https://blog.newmanity.com/faut-il-etre-anonyme-sur-internet/

@Lapineige Que c'est un nieme service marketo-bullshit, fait par des gens qui profitent des scandales pour essayer de s'en mettre pleins les fouilles avec des arguments bullshit avec que dalle comme preuve? Je vois nul par les mots « chiffrement », « logiciel libre » ou encore « vous pouvez aussi héberger votre propre serveur si vous le souhaitez ». 3 critères indispensables à l'argument « ça protège vos données ».

Sans parler du discours tenues par les personnes de la boite, de type

@shnoulle Bah forcèment, t'en a qui essayent de mieux faire, et d'autres non…

@shnoulle mieux*

@Tris @myckeul Justement, ube infection me parait une explication raisonnable pour telles choix de conception.
Ce genre de connerie doit être fait au début du processus de l'infection, quand les neurones sont en mauvaise état mais avant que la personne ne devienne un zombie

@shnoulle Une bonne partie non-négligeable quand même. Et les admin c'est pas tellement mieu, plein font de la merde en étant tout contents…

Jeme demande s'il y a pas un lien entre le taux de caféine dans le sang et la propension à troller 😂

@alex OK. J'ai eu uniquement un plantage de MySQL il y a >1 an, mais jamais de la galerie elle-même. J'aurai voulu savoir si la faille est encore d'actualité

@alex Ouais enfin… NodeJS s'installe aussi via npm. C'est juste certains users/développeurs d'outils basés sur NodeJS, qui sont cons

@alex ouch, ça pique! >_<
C'etait quelle version?

@pb Quelque chose me dit que certains députés vont déposer plainte…

Sur quelle planète vivent les devs web sérieusement? entre les données sensibles de type username/mot de passe stockées dans un code source au moment où l'outil est configuré. Des permissions délirantes mais on sait pas pourquoi (1), et curl | bash (à la mode chez les fans de NodeJS et diverses bouses basés dessus). Il y a du level… Rt je parle même pas de la docker-ite aigue avec des usines à gaz de 36 librairies

1. Permissions SQL : "SUPER reason for this requirement is unclear"… normal :/