Reprise du message précédent :
Hey les experts    
 
Je cherche des bouquins de référence sur l'architecture, le design et l'imprementation d'API
Ca peux etre generique mais ca serait bien que ca se concentre sur les web api
Des feedbacks la dessus ?
 
 
Appeau a trainoo : http://hfr-rehost.net/http://www.s [...] 100514.jpg  
Appeau a lam's : http://hfr-rehost.net/http://24.me [...] 1_1280.jpg  
Appeau a machine : http://hfr-rehost.net/http://stati [...] -N-009.jpg  

l'appeau à machine  

Oh pinaise, je suis venu tout de suite parce que j'ai cru que c'était le nouveau line-up des macbooks qu'ils doivent annoncer à la WWDC. Je suis déçu du coup. Et donc je ne répondrai pas.

 
Josua Bloch : http://www.infoq.com/presentations [...] E1F296E3B8
http://www.infoq.com/articles/API-Design-Joshua-Bloch
 
le mec est pas mauvais, c'est le gars qui a designé une bonne partie de l'API de la librairie java...

Le monsieur veut une "web API", je ne sais pas ce que ça veut dire. Un web service peut-être ?
Les règles ne sont pas fondamentalement différentes des API standard, à savoir que le plus important à mes yeux est de se mettre à la place de l'utilisateur, quand on designe une API. Combien d'appels pour effectuer une opération donnée, temps de traitement, vaut-il mieux préférer plusieurs appels simples facilement combinables à une fonction/un service qui fait tout, etc. Dans une API standard, j'ai tendance à privilégier les briques simples qu'il est facile de combiner, mais dans un web service, on veut minimiser le nombre d'appels et privilégier un traitement en base de données plus complexes plutôt que N appels successifs, ou parfois proposer 2 versions d'un même service en fonction du contexte. Il faut aussi rendre l'API simple à utiliser, empêcher les erreurs, et surtout toujours privilégier la sécurité (ne pas permettre n'importe quelle opération, nécessité d'une identification préalable), en particulier pour un webservice qui est par nature ouvert à tout le monde, l'API doit-êlle gérer des transactions, etc.

Web ou non, ça reste toujours une api...il n'y a que l'implementation qui sera spécifique web.  
 
Neil Ford a fait un talk à devoxx sur l'abstraction mais derrière, ça pointé aussi sur les API et leurs écritures. Donc j'irais voir aussi ce que dis ce gars

Preummmmm's

http://arstechnica.com/security/20 [...] akthrough/

La NSA se lâche. Ca commence sérieusement à faire chier, ces conneries. Après les exploits zero-day utilisés pour propager des virus, après les algos de décryptage de mots de passe "normaux" lâchés dans la nature,

Je me demandais quand est-ce que mon PC allait choper une saloperie via Windows update, il se pourrait bien que ça soit fait. Dieu sait de combien de backdoors il est affublé maintenant. Et ça marche aussi pour les updates Linux ou Mac à partir de serveurs secondaires infectés. Les Etats-Unis ont ouvert la boite de Pandore avec ces attaques virales, maintenant, on va voir ça venir de la Chine et de la Russie, et des auteurs de virus privés vont se faire une joie de forker ces trojans high tech.

edit: Fox News

proot

Ahah c'est des comiques à la VRT (chaine flamande)
 
Ils ont mis des bananes dans les arbres du Mont des Arts, ça donnait
 
http://imgur.com/aIaPV

Footing ce matin
Putain de vent par contre

excellent

 
Combien de temps ? Rythme ? A jeûn ?

Sauf que sans salt t'as besoin d'aucun temps (tu utilises une table précalculée — "rainbow tables" ), et avec salt par user (/par mdp) c'est très peu de temps par utilisateur, t'es obligé de redémarrer à 0 à chaque fois.

Et ça prend "très peu de temps" quand tu hash avec du md5 ou du sha1 qui sont rapides et faciles à calculer (et à paraléliser), du PBKDF2 ou du bcrypt avec un bon load-factor (recos actuelles) va rendre la chose notablement plus difficile (et peut être évolué au cour du temps pour augmenter le load factor progressivement), et scrypt semble avoir un futur prometteur (PBKDF2 et bcrypt sont adaptatif au niveau du coût CPU mais ont un coût mémoire à peu près fixes — donc restent paralélisables sur de l'ASIC ou du GPGPU, scrypt est aussi adaptatif en conso de RAM, ce qui augmente sauvagement les coûts de paralélisation du brute-forcing)

Bon après linkedin ils ont tout mal fait: md5 pas salté, la seule manière de faire moins bien aurait été de stocker les pwd en clair

 
4.3km, 20min environ. J'ai ni montre ni portable donc pas évident pour savoir combien de temps je cours exactement.
J'ai couru tranquillement, de toute façon sur la moitié du parcours je me tapais le vent de pleine face.
Pas à jeûn, mais j'ai pas vraiment senti de différences.
 
Mais j'ai déjà couru plus d'une fois le matin, et j'essaye de courir 2 fois par semaine le soir, c'était le footing du réveil on va dire.

Pareil, je n'emmène rien. Une fois j'avais pris le portable avec tracking GPS, mais trop lourd, il me faudrait un sac ou quelque chose, mais c'est chiant. J'essaye de courir entre 45min et 1h en général, en rythme cool

12 km/h c'est déjà correct pour du footing tranquille...

Beetlejuice Bluetooth: enumerates devices around the infected machine.
May turn itself into a “beacon”: announces the computer as a discoverable
device and encode the status of the malware in device information using
base64.

Microbe Records audio from existing hardware sources. Lists all multimedia devices,
stores complete device configuration, tries to select suitable recording
device.

Infectmedia Selects one of the methods for infecting media, i.e. USB disks. Available
methods: Autorun_infector, Euphoria.

Autorun_infector Creates “autorun.inf” that contains the malware and starts with a custom
“open” command. The same method was used by Stuxnet before it
employed the LNK exploit.

Euphoria Create a “junction point” directory with “desktop.ini” and “target.lnk” from
LINK1 and LINK2 entries of resource 146 (were not present in the resource
file). The directory acts as a shortcut for launching Flame.

Limbo Creates backdoor accounts with login “HelpAssistant” on the machines
within the network domain if appropriate rights are available.

Frog Infect machines using pre-defined user accounts. The only user account
specified in the configuration resource is “HelpAssistant” that is created by
the “Limbo” attack.

Munch HTTP server that responds to “/view.php” and “/wpad.dat” requests.

Snack Listens on network interfaces, receives and saves NBNS packets in a log
file. Has an option to start only when “Munch” is started. Collected data is
then used for replicating by network.

Boot_dll_loader Configuration section that contains the list of all additional modules that
should be loaded and started.

Weasel Creates a directory listing of the infected computer.
Boost Creates a list of “interesting” files using several filename masks.
Telemetry Logging facilities

Gator When an Internet connection becomes available, it connects to the C&C
servers, downloads new modules, and uploads collected data.
Security Identifies programs that may be hazardous to Flame, i.e., anti-virus
programs and firewalls.

Bunny
Dbquery
Driller
Headache
Gadget
The purpose of these modules is not yet known.

"The authors took extra precautions to evade detection by security products. The list is so
comprehensive it is rarely seen. A very similar list can be found in the ccalc32drv.sys file,
where table DangerousProcesses contains 346 items.(...) It can clearly be seen that this malware was continuously developed over a long time period
and it employs several tricks to evade security products. For example, the extensions are
chosen according to the detected anti-malware products."
http://www.crysys.hu/skywiper/skywiper.pdf

 
C'est surtout que je n'ai pas de montre pour courir, plus de portable, et que mon pantalon moule bite n'a pas de poches
 

 
Entre 20 et 25min de courses, donc un peu moins de 12. Il y a quelques mois je courrais à 14. 12 parait élevé mais sur 20-25min c'est pas vraiment fatiguant.

Y a moyen de faire pire.  Exemple en live:

ypcat passwd |  wc -l
2151
 
ypcat passwd | cut -f2 -d: | sort | uniq -c | sort -n | cut -c1-8 | tail -3
    123
    335
    726

Pour les non-shelliens: je récupère le crypt() des mots de passe NIS, je les trie pour es compter en séquence, puis je trie le compte, et j'en extrait le top 5. On voit donc que plus de la moitié des utilisateurs ont encore un des mots de passe par défaut (dépend du site).

J'ai pas mis RMS donc pas de trucs de nulixiens
 

Comme si un maçon utilisait un macbook
 

Merci
je regarde ca des que je suis sur un reseau qui me laisse acces a des fonctionnalites evolues comme les images, les pdf, etc...
 

Oui, et c'est une terminologie wikipedia compliant
 

Oui c'est pour ça qu'un truc generique m'interesse mais pour moi il y a des contraintes d'architecture specifiques (pour faire du web scale   ), notamment sur le synchrone/asynchrone, , le polling...
 

Je regarde

tout à fait d'accord : par contre l'immense majorité des sites grand public hashent en MD5, SHA-1 ou SHA-2, et là salt ou pas ça change pas grand chose : du matos récent et quelques heures de calcul et tu peux générer tous les hash possibles pour n'importe quel MDP de moins de 10 char
 

 
c'est surtout ton rythme cardiaque qu'il faut monitorer...tlm peut courir vite, la question c'est combien tu tapes niveau rythme cardiaque...
idéalement tu devrais être à 60-70% FC max

Ne mets pas si vite de côté le génie créatif de Sony, je suis sûr qu'ils ont trouvé un scénario alternatif entre les mots de passe en clair et le md5 pas salté

Double-ROT13.  

Base64

pig latin

 
J'ai pas du tout l'équipement pour.

Faut hasher avec bcrypt

T'as pas de cou et t'as pas de poignet ?

tu testes ton bot "machine tl;dr" ?

tékitoi ?  

RAIPOND2 A MA KESTION    

Bof, faut surtout mettre un pied devant l'autre. Le reste, on s'en pas mal.

 
C'est compliqué sans notion de temps

Unhandled Exception: System.NullReferenceException: Object reference not set to an instance of an object.
   at KitetouaBot.App.GetPseudo(string pseudo)
   at System.Windows.Forms.Control.WndProc(Message& m)

42

 
Et si on cumule les hash?

 
drogué  

salut les gros.

Tu gardes que les 8 premiers caractères bytes, en uppercase

C'est comme ça que PBKDF2

Ca pourrait s'appliquer aux devs, mais nos amis les grapheux sont pas vernis
http://legraphimsecaboom.tumblr.com/