Reprise du message précédent :

C'était clairement le sens de ma question la dernière fois. J'ai l'impression que pour bien sécuriser un poste typé "dev" et exposé sur le net c'est vraiment la galère.
 
Ca me fait penser à Applocker qui semble top au premier abord, mais on se rend vite compte du nombre assez fou de contournement possible et qui demande une configuration bien fine pour être réellement efficace..

 
Bah tu vas pas chercher un truc de fou si ça ça marche.  
La finalité c'est que quand l'attaquant a ses moyens la, c'est compliqué de pas finir hack. Quand tu vois qu'ils sont capables de mettre un mec en sous marin pendant des années comme pour la faille XZ Utils. C'est dur

Le prochain truc drôle c'est quand les dataset d'entraînement ou de renforcement d'ia seront corrompus et que les IA de dev proposerons des bibliothèques/modules /... corrompus à intégrer dans le code.  

Je pense que Xat parle du process de compromission du compte du développeur, avec la réunion Teams qui plante et Teams qui demande d'installer une mise à jour.

Oui

On en a trouvé qui parle Polak sdf.

Ben, tu peux pas savoir

C'est pas le client lourd teams, c'est via l'application web.

C'est ce que dit une fille plus loin dans le fil, pas le développeur, si ?
Sur ses screen d'exemple,l'adresse de la visio est en microscell.com
Et il y a des commandes à entrer dans le terminal

Stirling aussi dans ma cogip. En web, voir en client local.

J’avoue préférer stirling et le client installé. Mais dommage de ne pas pouvoir supprimer cet écran de connexion au départ.

Applocker, c'est juste une brique parmi d'autres. Il faut le compléter par d'autres outils de sécu (ce qui est vrai pour n'importe quel outil quelque part).

Ouais, un sacré bordel.

Mais faut aller vite

Un aigri ex-employée de M$ qui l'ouvre sur la qualité de ce qui y est fait.
Passionnant, mais en anglais.
https://isolveproblems.substack.com [...] a-trillion
A+,

sacré gabegie

Bordel  

@Claude résume moi ce lien

A vos ordres

L'article est de Axel Rietschin, ex-ingénieur Azure Core chez Microsoft (2013-récemment). C'est la première partie d'une série en 6 épisodes intitulée "How Microsoft Vaporized a Trillion Dollars".

En résumé :

L'auteur raconte de l'intérieur comment Azure Core, l'infrastructure qui fait tourner Azure (et donc OpenAI, Claude API, SharePoint Online, les clouds gouvernementaux US...), est dans un état lamentable.

Points marquants :

• 173 agents mystère — sur chaque noeud Azure, 173 agents logiciels tournent. Personne dans l'organisation — littéralement personne — ne peut expliquer à quoi ils servent tous, comment ils interagissent, ou pourquoi il y en a autant.

• Le projet Overlake — son premier jour, il assiste à une réunion où 122 ingénieurs discutent sérieusement de porter Windows sur une minuscule puce ARM avec 4 Ko de mémoire FPGA. L'auteur décrit ça comme physiquement impossible, une "hallucination collective" de l'équipe.

• Performance déplorable — la stack logicielle plafonne à quelques dizaines de VMs par noeud sur un serveur Xeon 400W, alors que la théorie permet 1024 VMs.

• Perte de confiance — OpenAI (plus gros client d'Azure) et le gouvernement US auraient perdu confiance, contribuant à ~1 000 milliards de dollars de perte de capitalisation boursière.

Sa conclusion : c'est "l'une des mésaventures les plus ridicules, les plus évitables et les plus coûteuses du 21e siècle", avec des implications directes pour la sécurité nationale américaine.

À noter que l'article mentionne que l'infrastructure Azure fait tourner Claude (moi), donc en un sens, je suis en train de critiquer le datacenter sur lequel je tourne probablement

 
vous avez pas ça qui traîne dans vos stocks ? m'en faut au moins 1

Merci pour le résumé et la conclusion

j'adore sa maitrise du redface

 
intéressant

Les réactions / décisions du management
 
Avec leur indifférence / mustisme la fin, où tu devines que c'est pour eux un casse-couille qui les emmerde à vouloir faire des trucs sécurisés et qui marchent

Résumé IA kôm même.  
 
Les 4 ko c'est ce que les mecs voulaient bien lui donner pour sa feature à lui, pas le total.
 
Et ça parle pas des millions de crashs classifiés cause inconnue, et que ça arrange bien tout le monde comme ça pas besoin de corriger les bugs.

 
C'est assez dingue en fait. J'imagine que dans la tête d'un décideur y'a eu le moment où le gars s'est dit "Vas y on prend un mec chaud et ça va le faire. Allez Einstein, réinvente la physique et ça va passer"

Ah merci, c'est bien ce que j'avais compris. Ca m'avait paru bizarre dans le résumé de l'IA. Comme quoi, ça comprend pas tout.

Malheureusement, c'est souvent comme ça dans les grosses structures. Le gras qui veut bien faire et alerter qu'une décision prise va pas marcher/mettre la merde, c'est souvent mal vu alors que pourtant, ça irait dans le bon sens pour la boîte. Ca m'agace ce genre de comportement de la part de la hiérarchie

 
Pas de gain à court terme ? Alors c'est une mauvaise idée.

 
Le mec qui met le doigt dans les côtes, a raison bien souvent, personne n'aime ça.
mais pour l'avoir été, et a l'etre encore un peu aujourd'hui c'est tout autant frustrant/enervant/epuisant pr lui aussi, car on sait tres vite qu'on va dans le mur et que derriere ça sera tres certainnement a nous de trouver une parade (que ça soit contourner le mur ou casser le mur).
 
Faut arriver a passer en mode BALEC', tant pis pr eux, mais c'est souvent plus facile a dire qu'a faire.
 
 

 
Tu vas dire "mon n+1 est un con" à ton n+2
- Choix 1: il considère que t'es un chieur, et tu es le problème de ton n+1
- Choix 2: il vire ton n+1, doit se taper le recrutement et la formation d'un remplaçant, faire son job avant que le remplaçant arrive, ...
- Choix 3: il va expliquer à ton n+3 que c'est pas la faute de ton n+1, que c'était le bordel depuis des années, qu'il faut tout changer, ...
 
Choix cornélien  
 
Maintenant imagine quand tu vas dire à ton n+4 "y'a 30 mecs au dessus de moi qui sont des clowns"

Et Dave Cutler au milieu, qui pensait au 3eme acte de sa vie apres DEC/VMS et x64/WNT et au final a supervisé un gachis sans nom...

J’ai pas suivi le lien mais pourquoi on le croit sur parole ?

t'as deja touché a azure ? ca a deja marché combien de jours d'affilées dans votre implémentation avant que ca chie de maniere bizarre ?

oh? c'est vrai ? j'ai jamais eu l'occase et pas été plus tenter que ça de fair runer des trucs sur azure

j'exagere mais ca m'a jamais donné envie que je regardais par dessus les epaules les galeres d'interface, de code langage etc

Jamais touché, et bizarrement pas trop curieux

Moi, je trace par mail auprès de la hiérarchie les pbs que j'ai identifiés et j'explique factuellement pourquoi je vois tel ou tel pb. Je propose une solution. Eventuellement, je réexplique une 2ème fois de manière plus appuyée à la hiérarchie avec un saut vers la hiérarchie supérieure. Si ça bouge, ben BALEC, j'aurais prévenu. Et le jour où ça se casse la figure (ce qui ne manque jamais d'arriver), ben je ressors le mail pour dire "je vous avais prévenu"
 
J'ai un peu le syndrome de Cassandre : je vois bien en avance les catastrophes arriver. Je pesse pour le pessimiste de service ou l'oiseau de mauvaise augure. Jusqu'au moment où tout le monde finit par voir que j'avais raison. Mais à ce moment-là, c'est trop tard. Aujourd'hui, heureusement, je suis plus écouté

Tu fais pas, t'es pas crédible.
 
Si tu aimes vivre dangereusement, il faut trouver un gros client et l'aider pour qu'il le fasse à ta place

Ça s'appelle être intelligent tout simplement  

 
Le mec a balancé ça sous son vrai nom, et c'est repris par The Reg. Si c'est factuellement faux il va lui arriver 2 3 trucs.