Certified Malice – text/plain

#16223

Un effet de bord de letsencrypt. C’est pas comme si on ne savait pas que ça allait se produire, mais ça a commencé, et je pense qu’il y a déjà tout un tas de gens qui sont tombés dans le panneau :(.

Maintenant, même les sites contrefaits sont en HTTPS avec un logo « secure » (le petit cadenas).

À part ça, apprendre aux gens à reconnaître un nom de domaine dans une URL c’est toujours pas au programme à l’école ? Entre les leçons pour traverser la rue correctement et la politesse ?

À mais oui, c’est vrai… L’École c’est de l’enseignement, pas de l’éducation. J’suis con moi aussi.

gearbest.com | Forum | WOT (Web of Trust)

#15826

Ils me font rire les sites qui sont noyés sous les mauvaises notes WOT et qui demandent une réévaluation à tout le monde.

Demander à être réévaluer c’est une chose qui peut se comprendre. Mais pour ça il faut avoir évolué aussi. Une fois que la confiance des clients est perdue, on ne peut pas la retrouver comme ça, surtout quand des clients mécontents continuent d’arriver tous les jours.

Dans le cas de ce site, le choix est fait :
– mon vote initial était mauvais à cause de pratiques douteuses (demande de paiement par email, par exemple) → confiance perdue.
– ils utilisent des faux comptes pour tenter de redorer leur note sur Wot (manque de chance, Wot donne plus de poids aux noteurs qui notent beaucoup, ce qui demande du temps et ne peut pas être compensé par quelques bots) → fail et malhonnêteté.
– ils continuent de recevoir des notes négatives en masse, ce qui signifie qu’ils n’ont absolument rien changé à leur site ni à leur politique commerciale. → ils n’ont rien compris au commerce en ligne.

Ma note sur le site ne change donc pas.

Sinon, je vous recommande toujours d’installer WOT sur votre navigateur. Ils vous notifiera des sites douteux que vous consultez. Sinon vous pouvez également mettre ce site des les favoris et le consulter manuellement pour un site dont vous voulez connaître le sérieux.


PS : Ce post n’a rien à voir avec mon post de ce matin. Suite au problème de ce matin, je recherche d’autres vendeurs et je vérifie sur Wot. Je je viens de tomber sur le MP de GearBest.

https://www.mywot.com/en/forum/66986-gearbest-com

Let's Encrypt : activation par défaut pour l'ensemble des hébergements d'OVH

#15796

Nice !

Petite précision quand-même : le HTTPS normal (y compris auto-signé) apporte le chiffrement mais pas l’authenticité du site.

Pour ça (ce dont ils parlent à la fin de l’article) il faut passer par une autorité de certification plus stricte (et généralement payante). C’est ce que font généralement les banques, et c’est pour ça qu’on observe la « barre verte » dans la barre de recherche.

Mais ajouter le chiffrement, c’est déjà largement suffisant pour les blogs ou sites personnels. C’est aussi ce que veut LetsEncrypt : pousser le chiffrement partout, pour rendre plus difficiles une bonne partie des attaques et méthodes d’espionnage.

https://www.nextinpact.com/news/100601-lets-encrypt-activation-par-defaut-pour-ensemble-hebergements-dovh.htm

SAIP : quand une « anomalie » rend indiscrète l’application d’alerte des populations - Next INpact

#15563

En effet, qu’une telle application demande l’accès au GPS, c’est normal (faut voir l’usage qui en est fait ensuite). Mais l’accès aux photos, fichiers, carte mémoire et le reste, LOL.

Ils peuvent aller se faire voir. C’est pas pour protéger les usagers, ça.

BTW, c’est là qu’on devrait avoir les sources du programme, pour voir ce que fait l’application.

ÉDIT : on me signale que ce bordel des permissions c’est parfois dû à cause des API ou framework qui sont mal foutues (une petite fonction nécessitant l’accès à toute une catégorie de permissions).

Je sais ça, et c’est un problème réel.

Mais je maintiens que ça n’est pas une excuse.
Il ne s’agit pas d’être conspirationniste ou quoi que ce soit (même si Prism/Snowden/NSA montre que ce n’est pas être conspi, juste réel…), il s’agit juste de dire "non" à ces pratiques qui sont, pour moi, inacceptables.

Si ton livreur de pizza te fais signer une clause stipulant de lui remettre un double des clés de votre maison, et qu’il disait « t’en fais pas, on ne les utilisera jamais, c’est juste la patronne qui exige ça », vous lui diriez d’aller se faire voir, non ? Moi aussi.

Ici c’est la même chose : je ne veux pas donner l’accès à mes fichiers, historique, photos… à n’importe qui, et sûrement pas un gouvernement qui a démontré son agressivité en matière de flicage.
Qu’il le fassent ou pas n’est pas mon problème. Qu’ils demandent à le faire c’est déjà trop.

Enfin, avec le prix que cette application a dû coûter, ils auraient pu trouver un moyen de contourner ces besoins de permissions. Il y a des apps très complètes qui arrivent à ne demander que les permissions normales. Pourquoi un gouvernement ne peut pas le faire aussi ?

Et comme j’ai dit : toute ambiguïté serait levée si ils libéraient le code de leur outil. On serait en mesure de voir ce qu’ils font vraiment.

Tout ça reste un simple choix. Dans mon cas, il est motivé par le fait que — oui — j’ai des choses à cacher : ma vie privée.
Celle qui ne regarde que moi. Celle qui fait que j’ai des rideaux et des volets. Que je ferme la porte des WC ou que je ne porte pas un tshirt avec mes coordonnées.

C’est tout. Et contrairement à d’autres, je ne vous agresserait pas si vous ne partagez pas ma vision des choses.

Jean-Ph˙ ͜ʟ˙ppe sur Twitter : ".@edf_client @EDFofficiel Certificat expiré. Slow clap… 👏 Bon courage pour sécuriser les compteurs intelligents… https://t.co/woZOoQHgsX"

#15418

+1

EDF, pas capable de maintenir son certificat HTTPS à jour. Et ça veut nous faire croire qu’ils peuvent sécuriser les données sur leur compteurs.

Bon, leur ndd .com renvoie sur du .fr (où c’est à jour), mais bon quand même…

(ça me fait penser que je dois renouveler les miens, de certifs, avec LetsEncrypt…)

https://twitter.com/Jipe_/status/734070793118883840

Voulez-vous vraiment verrouiller votre téléphone avec votre empreinte digitale ? | Angristan

#15299

+1

Contrairement à ce qu’on peut croire le verrouillage avec les empreintes n’est pas sécurisé du tout. On laisse nos empreintes sur tout ce qu’on touche : ça revient donc à écrire son code pin sur des post-it et à les coller partout chez soi et même dehors, au travail, sur votre caddy au super-marché ou sur la poignée de porte en entrant chez le boulanger.

Niveau discrétion, il y a mieux, avouez.

Pour moi aussi c’est non.

https://angristan.fr/voulez-vraiment-verrouiller-telephone-empreinte-digitale/

La police peut-elle obliger un suspect à débloquer son iPhone avec son doigt ? - Politique - Numerama

#15265

Avec ce qui se passe actuellement, ça ne m’étonnerait pas que des flics* emploient la force pour déverrouiller le téléphone avec votre doigt.
Et je suis même pas sûr que dans ce cas là tu puisse déposer plainte pour « accès et maintient frauduleux dans un système d’information ».


(*oui, "flic", pour une fois. Et j’assume parfaitement l’emploi de ce terme pour une profession qui passe de plus en plus de temps à tabasser du civil que les protéger, volontairement et sciemment. Le respect, ça se gagne et ça se perd. Et en ce moment, avec ce qui se passe, je vois pas pourquoi je respecterait la profession.).