Reprise du message précédent :

Ça fait des sacrées journées.
Tu le fais par envie ou obligation ?

Effectivement 2h de pause ça rigole pas, ou alors tu fais des semaines de 4j.
 
Normalement une fin à 18h c’est un début à 9h avec une bonne pause à midi. Perso je fais 0730-1600 (sachant que la journée belge c’est 7h36)

GG
 

vu ce qu'il a posté, c'est leur "leadership" interview
 

 
moi je suis pas regulier
ma pause méridienne va de 15mn a 2h30
le matin j'attaque entre 7h30 ( quand tout le monde part à l'ecole) et 9h30 (fleeeeemme ou autre chose a faire), le soir c'est entre 17h et 19h

 
bah en fait en TT, les enfants et Madame partent tôt (genre vers 7h35), donc si c'est pas moi qui fait l'A/R covoiturage avec les voisins, et que j'ai rien d'autre à faire dans la maison je me met au taf avant 8h. Sinon c'est au retour d'aller emmener les mômes à 8h10.
 
Après 18h, ben ça arrive d'avoir des réunions jusqu'à cette heure là.. Mais bon, j'ai pas l'impression de faire des journées de malade non plus : mes enfants ont à peu près les mêmes au lycée/collège en termes d'amplitude horaire (ils font 8h1-17h30)
 

(et en fait c'est comme Flo, sauf que je commence rarement après 9h, parce que j'ai les daily des projets sur lesquels j'interviens à 9h30/9h45, donc j'ai besoin d'un temps de "putain mais j'ai fait quoi hier?" avant

suffit de regarder les commit  
ou le planning de réunion
 
( mais pareil en vrai)  

C'est ce que je fais avant la réu hebdo, je prends parfois des notes, sinon je check mes commits.

nous c'est tous les jours
mais le lundi, ( ou le mardi après un pont) c'est plus difficile  
 
MAIS JE M4EN FOUS ? MES MEGA PRS SONT TOUTES PASS2ES

 
En Allemagne c'est comme ça me dit-on   rester le soir = gros nullos pas efficient

https://youtu.be/IlWT_TdOK6s
 

Honorable.  
Franchement, t'es dix fois mieux à Zurich.

Je me rends compte que je n'avais pas remercié les personnes qui m'ont filé un coup de main pour ma dernière demande, à savoir une problématique mysql/php pour updater des ids de clés étrangères...
 
Merci flo850, mechkurt, masklinn notamment
 
J'ai une autre question (oui je viens principalement ici quand j'ai des nœuds au cerveau parce que je sais qu'il y a du level).
J'imagine que certains ont suivi il y a quelques semaines (mois maintenant) le hack de Linus Tech Tips basé sur le vol de token stocké en cookie une fois correctement identifié... et donc bypassant toute la partie 2FA.
 
Je serai curieux de connaitre la bonne pratique pour arriver à équilibrer sécurité et praticité d'accès.
 
Prenons un cas concret :  
Formulaire d'accès à un espace privé sur un site https quelconque (email + pass), ensuite 2FA via code -> création d'un cookie avec un token
C'est ce token qui sert pour toutes les pages ultérieures.
 
Quelqu'un qui pique le token (et sait donc quel navigateur est utilisé vu qu'il a été piquer le token dans c:\machinchose\Firefox\Profiles\...) peut donc le remettre dans son navigateur à lui, appeler une page du site... et est considéré comme authentifié -> gros FAIL.
 
Certains ont évoqué le fait de stocker l'ip côté serveur et de déloguer si l'ip change. Perso je trouve ça pénible pour l'utilisateur car avec un ordi portable (ou pire sur smartphone), on peut facilement changer d'IP plusieurs fois par jour. Je me vois mal imposer une réauthentification 2FA à chaque changement d'IP !
 
Bref on a un peu les 2 extrémités du spectre : ne rien faire ou faire un truc hyper relou pour l'utilisateur.
 
Ca serait quoi les idées pour faire quelque chose de + sécurisé ET aussi transparent que possible pour l'utilisateur ?

non mais ça c'est depuis ton dépucelage

Le premier truc important c'est de locker le cookie de session, en HttpOnly et avec SameSite=Strict si t'as pas besoin de la flexibilité, je sais pas comment les cookies youtube sont à ce niveau et comment ça a été piqué (en détail).

Un 2FA via webauthn va aussi probablement être moins chiant à revalider, surtout si l'utilisateur supporte webauthn on-device.

Une autre option simple, c'est de demander le 2FA à chaque fois qu'il y a des modifs impactantes, probablement avec un "mode" qui dure un petit temps histoire de pas être trop une plaie, c'est ce que fait par exemple github. Comme ça au pire le type rentre dans le channel et peux exfiltrer des infos ce qui est pas terrible, mais la possibilité de griefing est limitée, pas moyen de modifier les vidéos, changer la publication, ... Tu peux aussi le faire pour les infos en lecture s'il y a des périmètres identifiables.

S'assurer que changer le MDP invalide les sessions est important aussi.

Tu peux associer un token avec plusieurs IPs si c'est ça que tu crains, ça va être un peu chiant initialement mais à long terme ça passe. Et la géoloc via IP est approximative mais elle peut aider aussi, si tu vois qu'un appareil s'est téléporté du Canada à la Turquie tu demandes une validation, au pire la personne est en vacance, c'est pas une énorme contrainte de revalider. Mais dans la majorité des cas la personne va rester dans une zone relativement limitée.

Une autre option c'est de faire du fingerprinting sur les devices, ça change pas, mais la quantité d'info est variable et pas pratique (surtout sans avoir du JS côté client).

bah en même temps le minimum syndical en allemagne ca doit etre 3h de travail effectif dans la journée en étant efficace
 
edit: enfin il faut bosser pour une boite allemande

- "HttpOnly et avec SameSite=Strict" ça c'est relativement facile (déjà en prod pour moi).
 
- 2FA via webauthn, je ne peux pas imposer ça à mes users, déjà leur faire activer le 2FA via app c'est pas gagné
 
- je prends note pour la demande de pass pour les fonctions impactantes + invalidation des sessions si changement de pass. C'est un peu "limiter la casse mais casse quand même", mais c'est mieux que rien
 
- pour l'association avec plusieurs IP, j'imagine que tu veux dire "à chaque nouvelle IP on demande le code 2FA" mais ensuite on stocke l'ip pour ne plus redemander le code 2FA pour toutes ces IP ? Si c'est ça, sur smartphone en 4/5G à mon avis c'est invivable, t'as jamais la même ip.
 
- pour la géoloc, faudrait que je trouve un système avec une base de données (locale), parce que ça veut dire à chaque appel de page faire la requête pour vérifier que le token est bien cohérent par rapport à l'ip qui l'utilise. Ca semble assez lourd non ? Faut voir à quelle granularité descendre, genre par pays (en supposant que le réseau de téléphonie mobile ait bien des ip cohérentes) + tout le bordel d'ipv6, ça m'a l'air d'être un bon rabbit hole où tu finis par avoir une base de données de 10 Go juste pour ça non ? Après par exemple si le hacker tente via quelques vpn pour avoir une sortie dans le pays d'origine du client qu'il tente de hacker (ou le pays principal de l'appli) c'est vite KO comme concept
 
- fingerprinting JS (ça je peux, c'est ce qui me semble le plus prometteur/souple), il faudrait voir quoi monitorer, et j'imagine qu'il vaut mieux stocker les paramètres indépendants et autoriser un peu de souplesse, genre ne pas jeter l'utilisateur à chaque fois qu'il redimensionne se fenêtre ou met à jour son navigateur Par exemple monitorer une dizaine de points et autoriser un ou deux différents par rapport aux données stockées lors de la création du token.
 
je pense à des trucs comme : timezone, langage, plateforme (bof, très commun mais ne mange pas de pain), un hash de la liste de polices, de la liste des plugins, résolution d'écran, nombre de cores (bof mais pareil, pourquoi pas). Qu'est-ce qui pourrait être pertinent qui soit différenciant mais qui change peu ? Sachant qu'il faut faire gaffe car j'imagine que plus ça va aller plus les navigateurs vont répondre des trucs aléatoires pour limiter le tracking. Déjà quand je regarde le nombre de cores ou la ram, sur mon ordi avec 64 go de ram, Vivaldi répond 8, Brave 4 (et 11 cores au lieu de 12 et une résolution d'écran qui est en fait celle de la fenêtre), firefox rien...

 
salut, je suis entre autre le TPM lead de l'équipe sécu de YT  
 
Alors plusieurs choses :  
- le cookie theft en l'occurence a été permis grace à un malware, transféré via un document PDF + social engineering (l'attaquant connaissait la cible et savait qu'il/elle ouvrirait une proposition commerciale) : tu peux super difficilement lutter contre ça
- on a des systèmes qui analysent les signaux liés aux comptes (sans révéler le truc parce que je sais pas ce qu'il y a dedans en détail, ça checke des trucs genre IP / geoloc / device fingerprint / etc...). C'est couteux à faire soit même, mais tu peux checker déjà la geoloc de l'IP (c'est plus souple que juste l'IP, meme si ayant habité proche du léman je connais des cas limite, genre ton telephone qui décide qu'on capte la borne d'Evian / Thonon bien mieux que celle de Lausanne), dans bien des cas l'attaquant n'est pas dans le même pays, et forcer une reauth en cas de doute. Notre systeme calcule un score, sous un certain seuil => reauth
- on met aussi en place du deterministic reauth sur les actions critiques (eg: renommer une chaine va bientot systématiquement demander une reauth)
- pour la DB des adresses IP t'as des prestataires qui vendent ça (eg: https://ipinfo.io/developers/asn-database ...jamais testé). Comme ça te donne des range d'IPs associées à un pays, ça te donne un moyen de geoloc rapidement (je sais pas a quel point c'est fiable, mais j'imagine pas mal). Y'a peut etre moyen de créer ça tout seul en scanant la base RIPE, je sais pas.

 
Oui l'attaque était très ciblée, mais on peut imaginer que ça devienne de plus en plus utilisé (et scripté) vu que c'est ce qui va permettre de continuer à hacker malgré les protections qui augmentent (2FA).
En plus à partir du moment où tu as un virus quelconque qui a accès open bar au système de fichiers de l'utilisateur, il peut aller automatiquement chercher aux bons endroits les lieux de stockages de cookies, tokens, ... et les exfiltrer pour les utiliser. Tu as le nom du site associé et hop ça prend 2 secondes de recréer le contexte original (quel navigateur notamment), de mettre le cookie qui va bien et de tenter d'accéder au site pour voir si ça ne permettrait pas d'accéder à d'autres données plus croustillantes.
 
Après personnellement j'ai une petite appli avec quelques dizaines d'utilisateurs, sur un marché francophone, ... donc clairement je ne suis pas une cible, mais j'aime bien avoir une longueur d'avance sur ce point là quand c'est possible à peu de frais, plutôt que de me retrouver dans une situation où un de mes clients a été personnellement ciblé et d'imaginer que mon app serait un gruyère face à ça

sérieusement les gens ? on a que ça à foutre que de compter des f et des 0 ?

C’est marrant ce flip, c’est quoi le but, une espèce de conversion d’endianness sur un truc packé?

c'est une rotation plus exactement.
ça pue le code pas endian agnostic (ne marchera que sur little endian)

je sais as trop pourquoi ils ont inversé ces bits.
 
le contexte est là : https://lists.gnu.org/archive/html/ [...] 00934.html

Hahahhaa

Moi aussi j'ai hurlé sur ce code
Mais c'est pour ça que j'ai besoin de tes compétences et de ton talent

const indexPart = entry & ((1n << 60n) - 1n) // keep only 60 bits
  const topIndexPart = indexPart >> 48n // bring the top 12 down
  const bottomIndexPart = (indexPart & ((1n << 48n) - 1n)) << 12n //bring the bottom 48 up

j'esaye de marquer les positions en dur au lieu d'avoir à compter les f

A priori le A est certif automobile 125°C, le C est qualif indus 105°C avec des fréquences plus faibles
 
MIMX8QM5AVUFFAB 1 x VPU A72 Two @1.6 GHz + A53 Four @1.2 GHz + M4F Two @264 MHz + GPU Two @800 MHz
Automotive AEC-Q100
 
MIMX8QM5CVUFFAB 1 x VPU A72 Two @1.3 GHz + A53 Four @1.104 GHz + M4F Two @264 MHz + GPU Two @625 MHz
Industrial

y'a des trucs où copilot capte bien ce que je veux faire

GG

Même genre ici avec démarrage a 8h30 plutot et fin 18h30/19h.

Edit : en tt ... Si je suis au bural, c'est 9h/17h30 avec 1h de break (et pour le tt, c'est suivant la charge 30mn au mini et 2h/2h30 au max).

Ça a du sens, t'as trouvé ça où? Les infos chez nxp étaient pas super détaillées avec plein de trucs manquants, et chez les distributeurs differ les spec sheets donnait rien, d'ailleurs les deux sont listés à 125.

Wow c'est de la magie noire du reverse engineering d'un format à la con, je présume que sans avoir le témoignage de chez quelqu'un de chez vmware c'est pas possible de savoir pourquoi c'est bricolé de cette manière.

 
+1000
 

Ouais
Heureusement que cette implémentation existe
Ça aurait été raide sinon

Btw, north Wales où je passe une semaine de vacance ->superbe. C’est un genre de Pyrénées moins hautes, mais très vert avec des torrents, plein de trucs intéressants à voir…
On est dans un coin où on peut arrêter le train à vapeur. C’est totalement génial.

il faut créer un compte nxp pour télécharger les 2 datasheets à la dernière révision (d'ailleurs le password check est ultimate relou) car je pense que la 1ère y'avait pas encore la certif automotive. Chez mouser c'est la même DS pour les 2 refs (lol) ce qui doit pas aider car c'est bien 2 DS différentes. J'avais eu une intuition pour la Tj avec google (d'ailleurs la Tj dans la version 105°C le "°C" est codé U+F0B0 U+0043 du coup c'est pas sorti en faisant une recherche dans le pdf )  
https://www.nxp.com/part/MIMX8QM5CVUFFAB#/
https://www.nxp.com/part/MIMX8QM5AVUFFAB#/
 
bref, je déteste toujours autant nxp

Sinon je te conseille l'Armorique, c'est des genre d'Alpes en un peu plus bas c'est un peu escarpé par endroit mais ça vaut le détour.

   
On peut connaître ce qui a fait pencher la balance ?

L'invocation de Gatsu a donc fonctionné  

Gg    
Du coup pour le craft, j'ai du matos de qualité pour le bois si tu veux

C'est bon signe
 

chatGPT est peut-être capable d'expliquer