Carnet de notes

Catégorie : Geek

  • J’ai un problème (sécu­rité) avec Dash­lane – Vous m’ai­dez ?

    Je vous ai déjà parlé de Dash­lane. Fran­che­ment c’est le bonheur.

    Puis je suis tombé aujourd’­hui sur un échange à propos de faiblesses dans le code d’auto-comple­tion de Last­pass. Et là, même si le problème de Last­pass ne se retrouve pas sur Dash­lane j’ai eu un malai­se… « Merde, mes exten­sions Chrome et Fire­fox arrivent à tirer des mots de passe de Dash­lane un peu trop faci­le­ment »

    * * *

    Dash­lane a une app native très clas­sique. C’est elle qui a les mots de passe (chif­frés), que je déver­rouille avec mon mot de passe maître. À partir de la quelle je peux copier les iden­ti­fiants et mots de passe.

    De cette app native, j’ai pu instal­ler les exten­sions Chrome et Fire­fox. Je suppose que ça construit une exten­sion qui m’est spéci­fique, avec des jetons d’ac­cès qui sont diffé­rents chez chacun.

    Ces exten­sions peuvent libre­ment ajou­ter et récu­pé­rer les mots de passe depuis l’app native. Rien à faire, rien à déver­rouiller. Pour peu que l’app native soit ouverte, ça fonc­tionne.

    * * *

    Qu’est-ce qui m’em­pêche de créer un script ou une appli­ca­tion qui ouvre le profil Fire­fox sur le disque, y trouve les fichiers de l’ex­ten­sion Dash­lane, y lit les jetons d’ac­cès et s’adresse à l’app native Dash­lane en cours d’exé­cu­tion pour en extraire tous les mots de passe ?

    Ok, il faudrait que mon script ait accès à mon disque dur, ce qui est en soi un problème, mais si j’uti­lise Dash­lane ce n’est pas pour que n’im­porte quelle appli­ca­tion qui a accès à mon disque puisse accé­der à mes mots de passe en clair aussi faci­le­ment.

    En réalité c’est proba­ble­ment plus complexe. Un petit tour dans les fichiers javas­cript de Dash­lane me fait dire qu’il y a du chif­fre­ment en jeu et qu’il faudrait quelques jours de boulot pour réuti­li­ser le même canal de commu­ni­ca­tion. Rien d’im­pos­sible cepen­dant.

    En fait je peux même proba­ble­ment récu­pé­rer tout le fichier Javas­cript et l’uti­li­ser en tapant direc­te­ment dans l’API interne plutôt que de mimer ce qu’elle sait faire.

    Tout au plus il y a peut-être un système qui iden­ti­fie le nom de l’ap­pli­ca­tion source qui s’adresse à l’app native Dash­lane. Je doute que ça aussi soit incon­tour­nable.

    * * *

    Bref, c’est moi où j’ai un gros problème avec Dash­lane ? Si un techos de Dash­lane passe par là, sans forcé­ment révé­ler tous les méca­nismes dans le détail, j’ai­me­rais bien savoir pourquoi je peux faire confiance au système mis en place.

  • Oups Crash­plan

    J’ai plusieurs fois parlé de Crash­plan par le passé. Je l’uti­lise avec un backup sur le cloud de la société, et un second sur un serveur person­nel en ligne.

    Crash disque il y a un mois. Je devrais être heureux d’avoir pris les devants mais…

    Tout d’abord c’est lent. C’était exagé­ré­ment lent lors de l’en­voi des données mais ce n’était pas bien grave. Par contre la récu­pé­ra­tion des données se fait entre 2 et 8 Mb/s à partir du cloud alors que j’ai du 60 Mb/s soutenu avec le crash­plan sur mon serveur distant person­nel. Là fran­che­ment il y a de l’abus.

    Là où ça coince c’est ma femme qui a cher­ché une photo spéci­fique dans les données récu­pé­rées. Elle me signale de multiples sous-réper­toires vides qui ne devraient pas l’être. Je regarde, ils sont vides sur une des sources de backup mais pas sur l’autre, à la même date, plusieurs mois après leur ajout.

    Du coup je fouille. Sur un des dossiers qui m’in­té­resse le plus j’ai près d’un Go de diffé­rence entre mes les deux desti­na­tions de stockage. Je ne peux même pas dire que l’une a des fichiers plus récents parce que la première a plus de fichiers mais que l’autre a plus de sous-dossiers. Sachant que que je fais que des ajouts et jamais des suppres­sions… ça n’a aucun sens.

    En remon­tant plus loin, mes photos de mariage vielles de 10 ans et qui ne changent jamais sont passées de 7 Go à moins de 200 Mo sur une des desti­na­tions. Il va falloir que fouille mes DVD de backup mais je crois que j’avais plus de 7 Go de toutes façons…

    Bref, atten­tion Crash­plan. Simple : vous allez dans l’on­glet restau­ra­tion, vous cliquez sur le disque pour tout sélec­tion­ner, ça vous donne un nombre de fichiers, de dossiers et un volume de backup. Si ce n’est pas cohé­rents entre vos diffé­rentes desti­na­tions de sauve­garde (ça ne l’est pas chez moi) ou si ce n’est pas cohé­rent avec vos données sources, alors vous avez un problème.

    Même si c’était un problème spéci­fique à mes instal­la­tions, n’avoir aucune erreur d’in­té­grité pour un truc si impor­tant que le backup, c’est un peu un échec. Et du coup si vous avez une autre recom­man­da­tion que Crash­plan, je suis preneur.

    Entre temps je vais passer une semaine (esti­ma­tion Crash­plan) à restau­rer ce qui doit l’être depuis leur Cloud, puis faire la même chose depuis mon stockage Crash­plan person­nel avant de faire un diff manuel.

  • Logi­ciel de mot de passe

    Ça faisait long­temps que je voulais passer à un gestion­naire de mot de passe un peu évolué.

    J’ai tenté par deux fois de me mettre à Last­pass. Je ne saurais dire pourquoi mais les deux fois j’ai fini par peu l’uti­li­ser, le lais­ser dans un coin et reve­nir à mes habi­tudes.

    Depuis peu de temps j’ai tenté avec Dash­lane. Il n’y a pas de client Linux, l’in­ter­face web et en lecture seule mais son gros avan­tage est de pouvoir fonc­tion­ner tota­le­ment offline. Mieux : C’est une entre­prise française. Même si le chif­fre­ment fait que mes données sont théo­rique­ment illi­sibles par le pres­ta­taire, j’ai un peu plus confiance que dans une société US.

    Peut-être est-ce l’er­go­no­mie mais cette fois la sauce a pris. J’ap­pré­cie le login auto­ma­tique sur le navi­ga­teur. J’aime le fonc­tion­ne­ment de l’app mobile qui se contente de l’em­preinte digi­tale si l’app a déjà été déver­rouillée récem­ment par le mot de passe maître.

    Pour le même prix il m’a signalé les sites où mon mot de passe était trop faible ou obso­lète (genre le mot de passe Yahoo qui n’a pas changé depuis les failles) et a su le chan­ger d’un simple bouton sans me deman­der d’al­ler faire les mani­pu­la­tions moi-même sur les diffé­rents sites.

    Il me reste la fonc­tion­na­lité de partage que je n’ai pas testée mais j’ai bon espoir que ça résolve nos diffi­cul­tés de comptes commun avec ma femme.

    Enfin la bonne surprise c’est le mode urgence : Permettre à un tiers iden­ti­fié de récu­pé­rer ma base de mots de passe si je ne décline pas sa requête après un certain nombre de jours. Quelque part ça peut faire office de testa­ment numé­rique, même si ça n’est pas parfait.

    Depuis on m’a pointé vers le récent Enpass, qui ne demande que 10 € pour l’achat à vie de l’app mobile (contre 40 € par an pour le premium Dash­lane). Il a le support Linux, le offline, sa synchro­ni­sa­tion se fait par des pres­ta­taires de cloud habi­tuels, mais il n’y a pour l’ins­tant pas de partage possible. Ça vaut peut-être le coup de commen­cer par Enpass si vous n’avez pas besoin de cette dernière fonc­tion­na­lité.

  • Samsung A5 2017

    J’ai cédé et j’ai acheté un nouveau smart­phone. Ça faisait 9 mois que le tiers supé­rieur de la dalle tactile du précé­dent ne fonc­tion­nait plus et que je le tour­nais dans tous les sens pour faire la moindre action.

    Bref, le Samsung A5 2017 est sorti, avec des réduc­tion tempo­raires qui le font tomber à 310 €, ce qui semble raison­nable pour un dessus de moyen de gamme.

    Étanche, auto­no­mie qui semble plus impor­tante que feu mon Z3 compact, pour­tant connu pour en avoir une excep­tion­nelle. Le Always On remplace parfai­te­ment son seul défaut : l’ab­sence d’une LED pour les noti­fi­ca­tions. Pour l’ins­tant je recom­mande sans hési­ta­tion.

    Quitte à jouer les recom­man­da­tions, la coque souple anti­choc Spigen est parfaite et ne coûte pas grand chose.

  • Je rêve de domo­tique

    Je rêve que mes pièces puissent être chauf­fées à la bonne tempé­ra­ture quand elles en ont besoin et couper le chauf­fage le reste du temps. Je n’ai besoin du bureau que les jours où je travaille de la maison. Je n’ai besoin du chauf­fage dans la cuisine que proche des heures de repas, et idéa­le­ment en détec­tant quand je suis ou pas à la maison pour déjeu­ner. Bien entendu les tempé­ra­tures de vie, de repos et de travail ne sont pas les mêmes.

    Quitte à y aller, je veux des volets qui se ferment seuls la nuit en hiver pour préser­ver le chauf­fage, avec une excep­tion si je suis sur le balcon (ou pour faire simple si la porte-fenêtre est ouverte). À l’in­verse je veux qu’ils se ferment aux trois quarts en été dès que la tempé­ra­ture dépasse les 25°.

    Quitte à rêver je veux que les lumières s’al­lument seules en fonc­tion de la lumi­no­sité et de ma présence. Idéa­le­ment celle des toilettes pour­rait s’al­lu­mer à 50% de leur puis­sance seule­ment quand c’est la pleine nuit pour ne pas m’em­pê­cher de me rendor­mir.

    Je veux même une porte qui se déver­rouille seule quand c’est un membre de la famille qui approche de l’ex­té­rieur, sans avoir besoin de sortir les clefs, et qui se verrouille seule quand on sort.

    * * *

    Si j’osais je commen­ce­rais par le chauf­fage, qui est ce qu’on touche le moins et qu’on subit le plus. Je suis en chauf­fage central, radia­teur à eau. Dans le meilleur des cas ça veut dire insé­rer une tête sans-fil sur six radia­teurs, ajou­ter autant de capteurs de tempé­ra­ture dans les pièces, et relier ça avec un Pi et un module z-wave.

    C’est un coup à faci­le­ment dépas­ser les 500 € en maté­riel sans même parler du coût d’ins­tal­la­tion des têtes de radia­teurs (et ça…).

    Si j’ajoute le rempla­ce­ment des inter­rup­teurs (le contrôle des lumières et des volets c’est top mais il faut garder la main), les capteurs qui vont avec et une ou deux serrures qui peuvent se pilo­ter à distance en plus d’une clef clas­sique, même en brico­lant moi-même ça va vite donner un budget peu ration­nel.

    C’est ridi­cule, je sais. Je cherche une excuse pour me lancer. Ce n’est pas un vrai besoin et pas rentable finan­ciè­re­ment. Même écolo­gique­ment il y a bien mieux à faire avant. Il y a une ques­tion de confort mais surtout une envie de jouer au geek.

    Au cas où, qui a mené un parcours simi­laire ? (sur un appar­te­ment où pas grand chose n’est acces­sible, pas dans une maison récente ou à construire)

  • De la repré­sen­ta­tion graphique de données

    Petite disser­ta­tion sur la repré­sen­ta­tion graphique qui va ravir les plus geeks d’entre nous.

    Ce graphique est-il honnête ? L’axe des abscisses est tout sauf linéaire. Est-ce trom­per ou faus­ser ? Arthur Char­pen­tier nous montre avec brio que la repré­sen­ta­tion est un choix.

    On part du graphique suivant (Landais, Piketty et Saez)

    revol-fiscale

    Pour arri­ver à ces deux là

    pik6pik8

     

  • Pour ceux qui veulent s’amu­ser

    Je vous recom­mande les illu­sions d’op­tique du profes­seur Akiyo­shi Kitaoka. J’en envie de quasi toutes les copier et il faut que je me limite donc je vous mets juste une illu­sion de mouve­ment et une illu­sion géomé­trique mais je vous recom­mande d’al­ler voir les autres.

    Je trouve inté­res­sant que les personnes âgées soient moins sensibles à ces construc­tions, comme si l’es­prit inter­pré­tait moins ce qu’il perçoit (ici on peut dire que c’est une bonne chose, mais ça veut dire perdre beau­coup d’in­for­ma­tions en temps normal).

    Non, l'image est fixe, seul votre esprit en fait tourner certaines parties.
    Non, l’image est fixe, seul votre esprit en fait tour­ner certaines parties.
    Me croirez-vous di je vous dit que ce sont tous des carrés parfaits et que la déformation n'est qu'une illusion ?
    Me croi­rez-vous si je vous dit que ce sont tous des carrés parfaits et que la défor­ma­tion n’est qu’une illu­sion ?

    Pour ceux qui ont plus envie de créer je propose de suivre ce lien vers un spiro­graphe en ligne. Ce que j’ai pu m’amu­ser gamin avec ce truc… Je ne suis pas certain que ça ait autant de charme sur écran d’or­di­na­teur.

  • Petite aide sur les liens Face­book

    J’uti­lise peu Face­book mais le peu que j’uti­lise ne fonc­tionne même pas. En suivant les liens, j’ob­tiens quasi­ment toujours une page d’er­reur si je suis déjà connecté, et ça sous deux navi­ga­teurs diffé­rents :

    Cette page n’est malheureusement pas disponible. Le lien que vous avez suivi peut être incorrect ou la page peut avoir été supprimée.

     

    Je n’ai pas cette erreur si je suis décon­necté. Ça me le fait avec tout le monde donc il ne s’agit pas d’un blocage indi­vi­duel. Je n’ai d’ailleurs aucun problème à aller voir le profil de la personne concer­née et voir la publi­ca­tion en ques­tion dans son fil. C’est unique­ment en suivant le lien direct que j’ai un problème.

    La même page fonc­tionne aussi, y compris en étant connecté, si je passe sur le site mobile en remplaçant le www.face­book.com par un m.face­book.com.

    Petit exemple avec winter life alors que je vois sans problème la publi­ca­tion dans le fil de son auteur, à laquelle je ne suis pas abonné et qui ne me connait pas.

    Quelqu’un saurait-il m’ai­der ? (j’ai tenté de désac­ti­ver le bloqueur de pub mais ça ne vient visi­ble­ment pas de là)

    Merci à Pascal qui a la solu­tion (même si je ne comprends pas pourquoi elle est néces­saire) :

  • Quel poste de travail ?

    On m’a posé la ques­tion en privé et je trouve inté­res­sant d’échan­ger là dessus. La ques­tion est proche de « Tu disais de ne pas écono­mi­ser, c’est quoi ton maté­riel de travail au final ? »

    * * *

    En fin d’an­née j’avais un Macbook pro retina 13″, i5 2.7 Ghz, 16 Go de RAM et 256 Go de SSD, accom­pa­gné d’un écran 22″ full HD, d’un clavier et d’un track­pad mac blue­tooth.

    Autour de ça il y a une housse Icon tensaer­lite pour le trans­port, un adap­ta­teur vga et un ether­net, un adap­ta­teur secteur secon­daire (pour en avoir un à la maison et un au bureau plutôt que de le trim­bal­ler deux fois par jour).

    Ce n’est pas du maté­riel de boulot à l’ori­gine mais j’ai aussi un usage très inten­sif du Sony Z3 compact qui me sert de smart­phone, ses coques et acces­soires, et un casque audio à réduc­tion de bruit Black­beat Pro. L’in­dis­pen­sable sac avec lequel je trans­porte le laptop deux fois par jour est un R10 de RiutBag.

    Bref, au prix d’ori­gine de la tota­lité, je suis pile à 3 000 € TTC. Amorti sur 3 ans c’est tout juste 800 € HT annuels. Autant dire pas grand chose par rapport à un salaire.

    * * *

    Les tarifs et connec­tiques ayant évolué, la même config sur du neuf aujourd’­hui coûte envi­ron 15% de plus, 920 € HT annuels sur 3 ans. Le prix du Z3C n’a quasi­ment pas baissé mais les prix Apple ont flambé.

    Si j’avais à reprendre tout de zéro je pren­drais cepen­dant proba­ble­ment un écran QHD proche de 27″ avec une connec­tique USB-C qui me fait aussi le relai pour l’ether­net et l’ali­men­ta­tion. Le Black­beat Pro serait remplacé par un Bose QC35 et le Sony Z3C par un Samsung A5 2017.

    S’ils gagnent deux ports Thun­der­bolt 3, je risque de rempla­cer le macbook pro 13″ par le récent macbook 12″ dans sa confi­gu­ra­tion la plus musclée. À l’in­verse, si c’est pour y poser des machines virtuelles, il est possible que je réflé­chisse à un macbook pro, là aussi en pous­sant le disque et le cpu.

    On tombe­rait entre 950 € et 1200 € HT annuels sur 3 ans pour cette config remise à jour, surgon­flée dans sa borne haute.

    * * *

    Tout n’est pas indis­pen­sable. Il y a du confort voire du super­flu mais le surcoût du super­flu ne repré­sente quasi­ment rien annuel­le­ment, d’au­tant qu’en réalité tout ne se remplace pas tous les 3 ans.

    Même en ajou­tant un bureau et une chaise haut de gamme, pas mal de métiers néces­sitent des inves­tis­se­ments bien plus élevés, surtout mis en propor­tion de la rému­né­ra­tion.

    * * *

    Et vous ? Quel est votre maté­riel de travail ? Combien coûte-t-il ? Vous voyez quelque chose qui manque ?

    Et ques­tion orien­tée mais à laquelle j’ai­me­rais bien une réponse quand même : Si vous avez pris ou si on vous a fait prendre moins bien pour écono­mi­ser, est-ce que vous n’avez pas déjà perdu plus d’argent en temps perdu à attendre la fin de certaines tâches, en cher­chant une clef USB ou triant des fichiers à suppri­mer pour compen­ser un manque de disque, en perte d’ef­fi­ca­cité ou de concen­tra­tion à cause d’une mauvaise chaise ou du manque d’un casque à réduc­tion de bruit de bonne qualité, en perte parce que votre laptop était trop lourd donc pas avec vous, etc. ?

    Je suis curieux aussi de savoir si les indé­pen­dants font plus atten­tion ou non, et si à la baisse ou à la hausse.

  • Seconde inter­ca­laire et délires tempo­rels

    Les plus geeks d’entre vous doivent déjà être soulés par les billets sur la seconde inter­ca­laire de fin 2016 alors je ne vais que poser des liens.

    J’en recom­mande toute­fois la lecture, même pour ceux qui croient connaitre le sujet, au moins la vidéo (sérieu­se­ment, même si ce n’est que pour rire).

    Sinon, False­hoods program­mers believe about time est inté­res­sant pour renver­ser les idées reçues.

    Et les éter­nels wiki­pe­dia : Univer­sal time (dont il existe cinq versions diffé­rentes), TAI (temps atomique inter­na­tio­nal, qui lui fonc­tionne de façon très clas­sique mais diverge un peu plus de UTC à chaque seconde inter­ca­laire) et Unix time.

    Person­nel­le­ment de tout ça j’ai au moins appris que pour mesu­rer une durée précise à la seconde il faut utili­ser UTC (avec une biblio­thèque évoluée de gestion du temps) et pas une diffé­rence entre deux times­tamp Unix, parce que ce dernier revient en arrière tempo­rai­re­ment lors des secondes inter­ca­laires.