Patrice Ferlet aka MΣƬΛᄂ3D @metal3d@techlover.eu

@Lwy@mastodon.tetaneutral.net @dada le but n'était pas de faire les louanges des autres méthodes. Je disais simplement que de s'appuyer sur la pyramide de Maslow n'est pas le meilleur conseil, et que seul du personnel qualifié, avec la personne concernée en face, peut donner le conseil et les actions à effectuer de manière efficace. La médecine des réseaux sociaux c'est à éviter à tout prix (surtout quand les outils utilisés pour conseiller ne sont pas scientifiques)

@Lwy@mastodon.tetaneutral.net @dada la pyramide de Maslow est *fortement* décriée depuis des années. Recherche scientifique peu rigoureuses. Pas de séparation entre besoins et désirs... Empirisme pur... Bref il vaut mieux orienter le personne vers de la médecine plus moderne à mon humble avis, plutôt que de baser un diagnostic sur un truc franchement bancal (sans agressivité de ma part)

Bon... C'est un compte parodique hein... Mais ça m'a fait rire 😆

Carrément... Exécuté le mec... Ils plaisantent pas chez #deliveroo

La directrice de #whatsapp n'a pas donné toutes les explications. Des conversations privées ont été indexées sur Google, le chiffrement n'est donc pas complet sur l'App "web" et il est impossible de vérifier les informations partagées avec #facebook.

https://www.fredzone.org/whatsapp-a-perdu-gros-a-cause-de-ses-nouvelles-cgu-9854

@GiacomoSansoni les appels passent potentiellement sur un serveur TURN et il y a une utilisation de STUN pour faire la connexion pair à pair. Les risques se trouvent ici à mon avis.
Faudrait qu'un spécialiste se pose sur l'application. J'ai la capacité de faire ce genre d'audit mais je préfère avoir des avis d'autres personnes.

@GiacomoSansoni je comprends tout à fait. C'est pas évident de donner une réponse sans beaucoup de tests. Signal est très bien foutu niveau sécurité. Jami je ne peux pas être formel, mais à première vue c'est vachement bien pensé. Par contre c'est pas le même fonctionnement. L'enregistrement de compte se fait sur une instance (dont celle de Jami). L'intérêt est de ne pas avoir de lien avec un numéro de tel. Par contre...

@GiacomoSansoni Voir le code source, mais c'est chiffré de bout en bout, et le canal est en peer to peer. Je ne dis pas que c'est plus protégé que Signal, mais que c'est décentralisé et que c'est un argument qui ressort souvent dans les discussions

@damvfl @briar oui mais... https://briarproject.org/ => pas d'outil desktop

Bon bha du coup, j'ai mis mon "pseudo" Jami sur mon profile, plus pratique pour discuter, bonne solution pour faire un split entre mes "contacts proches" et "les autres". Comme Jami ne demande pas de numéro de téléphone...

Tiens bas ils ont même un compte Mastodon: @Jami

On parle beaucoup de solutions de messagerie décentralisée (ce que ne fait pas #Signal), mais personne n'a parlé de #jami qui est justement décentralisée (pair à pair d'ailleurs).

https://jami.net/

@dada Bhaaaa je ne sais pas... Elementary je le mets justement à mes "ancêtres" parce que Ubuntu est pas un modèle ergonomique. Après voilà, c'est le goût de chacun, mais je pense que ça mérite un coup d'oeil

@dada https://elementary.io/fr/ => mettre "0" dans le champs de don pour le récupérer gratuitement, même si je pense qu'il faille leur donner du blé vu la qualité et le boulot fourni pour "imiter" le design de OSX et soulager les nouveaux arrivants sur Linux.

@dada J'ai installé un Elementary OS à ma tante la semaine dernière après un super qu'elle ait choppé un ransomware sur son Windows.... Sauvegarde en ligne, formatage, terminé. Elle adore ! (et elle est loin d'être à l'aise en informatique, mais alors... loiiiiiinnnn)
Je suis pas fana des Ubuntu (like) que je trouve plus compliqué que les autres distros, mais Elementary a un design et un DM (Pantheon) très cool pour les débutants.

@keimashimari j'ai pas été clair. Je te demande de déchiffrer mes propos 🙂 je suis crevé ce soir...

@keimashimari pour info, docker fonctionne de cette manière : je peux proposer mon dépôt, ça builde l'image et n'importe qui peut la récup depuis les dépôts docker hub. Je te raconte pas le nombre de failles répertoriées...
Et pourtant, même moi je m'emmerde pas à reconstruire les images... C'est pourtant mon taff, mais... Manque de temps pour contrôler les 200 images que j'utilise.
PS: une image docker c'est un package en soi.

@keimashimari tu me diras, ok mais le package devra être construit en indiquant la source. Et là je te demande : combien vont aller vérifier ? Tant que personne ne va faire les verif manuellement, tu restes sur un risque potentiel loin d'être mineur.
Sans compter les délire de packageur qui patchent à la sauvages. Genre Ubuntu, ils ont bien foutu la merde avec openssl y'a quelques temps...

@keimashimari aujourd'hui les seules manières de s'assurer que les sources correspondant au dépôt voulu c'est qu'un packageur d'app soit neutre, et qu'il ne soit pas un arnaqueur, que d'autres vérifient ensuite manuellement le build pour valider le package (ce qui est fait sous linux)... Ou de prendre les sources et de compiler soit même toutes les app. Et je sais pas si t'as déjà fait un LFS mais ça prend des jours...

@keimashimari je pourrais par exemple avoir un dépôt caché, dire à tout le monde que celui qui est public est celui utilisé par le package. Mais quand je soumets le dépôt, je déclare l'autre. Si personne ne vérifie le build manuellement, en devant connaître le dépôt "officiel", la signature sera valide (car correspond au dépôt déclaré) et personne ne remarquera la gruge. On revient donc au problème courant de la confiance de la source.