GuiGui's Show

Elle : Tu as des piles chez toi ?
Guill230 : Nop
Guill230 : C'est pour faire quoi ?
Elle : Faut que je change les piles de ma calculette pour le contrôle de demain, je vais devoir aller en acheter
Guill230 : Ah ok donc rien à voir avec ton canard vibrant ?
Elle : Oh putain ! Le canard t'es un génie !
Guill230 : ...
Elle : C'est bon j'ai des piles ! xD

À ceux qui se demandent à quoi va servir la 5G.
Avec la 5G, vous pourrez acheter un nouveau téléphone 5G qui ira 10 fois plus vite pour regarder du porno.
Avec la 5G, vous pourrez acheter une nouvelle voiture électrique auto-pilotée pour pouvoir regarder votre tableau de bord 5G avec 100 fois plus de porno.
Avec la 5G, vous pourrez acheter une nouvelle maison intelligente pour pouvoir acheter plein de nouveaux objets connectés 5G pour avoir tout le temps de regarder votre nouvel écran géant 5G avec 1 000 fois plus de porno.
Avec la 5G, vous pourrez acheter un nouveau cerveau augmenté 5G pour profiter de votre nouvelle puce implantée 5G avec 1 000 000 de fois plus de porno.
La 5G, encore un bon gros truc de branleurs, avec, peut-être des effets pervers.

The Internet is for porn. \o/

‒ Bon, comme d'hab, personne m'entend dans la conf call… Tu peux regarder ce qui bloque ?
‒ Alors comme ça t'arrives pas à particuper à une p****n de conf call ? Tu vois là ? Y a un trou rond si t'as des écouteurs de demeuré, et une prise USB si t'as un micro casque USB de con***d. Tu branches et tu las fermes. Oublie le bluetooh, c'est trop compliqué pour toi. Et tu sais ce que c'est ça ? C'est un p****n d'interrupteur ON/OFF. Tu le mets sur ON et tu fais pas ch**r. Tu savais que dans ton OS, y a un p****n de menu pour choisir le micro que tu veux utiliser ? Non ? Tu croyais que c'était de la magie ou m***e ? Et tu sais ce qui m'emmerde le plus ? C'est qu'il y ait des codeurs qui se cassent les couilles pour animer une foutue icône qui bouge quand y a du son… et qu'en face, t'ais des con***ds qui comprennent pas que quand ça bouge pas… y a pas de p****n de son ! On entend pas ta voix de m**de parce que le p****n de bouton du micro est rouge et barré ! Alors tu prends tes doigts à la c*n, tu cliques sur ton pad de looser et tu ACTIVES LE MICRO !! Dernière astuce si ça marche toujours pas. Tu ouvres Word, tu écris « Je démissionne » et t'envoie ça à ton boss, parce que vraiment t'as rien à faire là.
‒ Bon vas-y fais voir, ça doit pas être grand chose…

J'attendais que ça décante, mais, ouais, on a bien été servi par le télétravail durant le confinement, et encore plus nos collègues de l'assistance aux utilisateurs… Pfffiou. Y'a aussi eu les pare-feux qui filtrent quasi tout en sortie, donc lala la conf call ou le VPN (problème de découverte de la PMTU).

On peut aussi reparler de la fiabilité des implémentations logicielles, y compris des niveaux sonores animés des applications de VOIP… Tout n'est pas de la faute des utilisateurs.

Et quand je vois comment je suis une pine dans d'autres domaines pourtant très simples et logiques de la vie quotidienne (administratif, par exemple), il faut éviter de se la ramener. On est tous le con d'un autre.

Ça vaaaa, je ne suis pas rancunier, en comparaison ! :P

La : Non c'est faux je suis pas rancuniere!
DarkSM : Un fois t'as vu un type critiquer les etudiants en lettre dans un commentaire DTC et depuis tu -1 TOUS ses commentaires.
DarkSM : Ca dure depuis au moins 1 an.
La : C'est pas ma faute si ce type est orchidoclaste!
DarkSM : Tu deteste ma cousine parce qu'elle t'as mis du sable dans les yeux en secouant sa serviette.
La : Ca fait hyper mal!
DarkSM : Elle avait 7 ans, elle en a 21 maintenant.
La : Ouais bah elle avait qu'a faire gaffe.
DarkSM : Tu as envoyé des photos de ton ex nu à sa copine actuelle, pour lui faire croire qu'il l'a trompe.
La : Il m'a trompé!
DarkSM : Ca fait 9 ans que vous etes plus essemble! Vous aviez 16 ans putain, c'etait meme pas credible.
La : T'exagère, j'ai pardonné a Marléne par exemple.
DarkSM : Celle que tu as dénoncé a ta place quand tu as troué tous les ballons de basquet du lycée?
La : Le prof etait con. Mais voila, elle, maintenant je lui en veux plus.

Dans transmission, dans les propriétés du torrent, on peut supprimer à la main les liens vers les trackers.

Avec Deluge aussi. C'est plus simple que d'ajouter / retirer une règle de filtrage. Bien vu. :)

Pour les fichiers populaires, le tacker n’est même pas utile pour trouver d’autre pair, le logiciel en recherche avec d’autre protocole.

La DHT ne peut pas être utilisée sur les torrents privés (c'est d'ailleurs l'un des problèmes que j'y vois : ça construit des petits îlots qui ne se parlent pas, ce qui diminue la force de frappe du protocole torrent). Mais, ça change rien au raisonnement : une fois que le tracker a transmis une liste de pairs, que ceux-ci nous débitent plusieurs megaoctets par seconde, le tracker devient inutile (sauf si ces pairs cessent d'émettre…).

Mais effectivement les données du upload viennent d’une request http get et si l’on modifie la query upload on peut falsifier le ratio facilement avec un proxy http

Encore plus simple : récupérer l'URL complète (de la forme de celle mentionnée dans mon premier shaarli) et la rejouer (avec wget, par exemple) en ayant bidouillé le paramètre « uploaded » au préalable. Attention : il s'agit du nombre total d'octets émis, donc il faut l'incrémenter à chaque rejeu pour faire augmenter son ratio.

Merci pour le script mitmproxy. :)

Lorsqu'on ajoute un nœud de stockage (storage node) à un serveur FOG, et que ce nœud est le seul membre d'un groupe de stockage (storage group), et que l'on veut effectuer des déploiements multicast, il faut le définir comme master dans les paramètres de FOG (storage -> choisir -> cocher « is master node ») sans quoi udp-sender n'est pas lancé et le multicast ne part pas et /var/log/fog/multicast.log affiche « This is not the master node ».

J'utilise peu les trackers torrent privés, car ils sont généralement gavés de pubs et de demandes implicites de financement (ratio) alors que j'veux partager sans faire de commerce (l'acte commercial étant ce qui caractérise, pour moi, le téléchargement illégal), de conditions d'utilisation merdiques (ratio, liker pour télécharger, etc.) et de règles chiantes / chamailleries contraires à l'esprit de partage notamment pour les téléversements (telle mise en forme bullshit imposée, pas le contenu de telle équipe, pas le contenu provenant de tel endroit car il nous pompe nos contenus, etc.). Sans compter que ça forme des communautés éclatées qui ne se parlent pas (la DHT est inopérante, par exemple), ce qui amoindri la force du réseau torrent. Mais parfois, je ne trouve pas ce que je recherche sur les trackers publics.

Sur les trackers privés, il y a généralement une contrainte de téléverser autant que tu télécharges. C'est le ratio. Pour une raison que je n'explique pas, ce mécanisme incitatif est contre-productif : sur les trackers publics, j'émets à environ 3 mo/s constant avec de fréquents pics durables à 8 mo/s. Sur un tracker privé, j'émets très rarement… Comment le tracker choisit les IPs de pairs qu'il distribue ? Il existe plein de logiciels pour falsifier ce ratio (surtout pour winwin, de mémoire). Il est aussi possible de se créer un nouveau compte utilisateur à l'aide d'adresses emails jetables dès que le précédent est interdit de téléchargement pour cause de ratio négatif.

L'autre soir, je me demandais : comment un tracker est informé du volume de données téléchargées et émises ?. Par le client torrent qui télécharge / émet ? Par ceux depuis lesquels il télécharge / vers qui il émet ? La réponse est : par le client qui télécharge / émet. Voici le type de requête HTTP effectuée par un client torrent auprès d'un tracker (ici, à la fin d'un téléchargement) :

GET /<identifiant_torrent>/announce?info_hash=<CENSURE>&peer_id=<CENSURE>&port=6881&uploaded=0&downloaded=2064257560&left=0&corrupt=67108864&key=<CENSURE>&event=completed&numwant=200&compact=1&no_peer_id=1&supportcrypto=1&redundant=26712331&ipv6=<CENSURE>
Host: <nom_machine_tracker>

On voit très clairement « downloaded=2064257560 » + « uploaded=0 ». J'ai téléchargé 1,9 Go, et j'ai téléversé 0 octet.

Une falsification simple de son ratio consiste donc à bloquer le trafic destiné au tracker dès lors que le téléchargement a commencé, c'est-à-dire dès que le logiciel client torrent a récupéré une liste de pairs auprès du tracker, donc que l'utilité de ce dernier diminue. Une fois le téléchargement terminé, il faut supprimer le torrent du client torrent avant de retirer la règle de filtrage, sinon le client torrent balancera les infos au tracker.

Mise en œuvre avec Netfilter (le pare-feu de Linux) et nftables (la nouvelle interface pour piloter Netfilter) :

sudo nft add table inet filter
sudo nft add chain inet filter OUTPUT '{ type filter hook output priority 0; policy accept; }'
sudo nft insert rule inet filter OUTPUT ip daddr <adresse_IP_du_tracker> counter drop

Voir mes notes sur nftables pour apprendre comment supprimer une règle (c'est beaucoup moins intuitif qu'avec iptables).

Testé avec le client torrent Deluge et approuvé.

Vu que la communication avec un tracker se fait au-dessus du protocol HTTP (web), on pourrait également la falsifier avec un proxy HTTP. :D

« All modern digital infrastructure » reposent sur « a project some random person in Nebraska has been thanklessly maintaining since 2003 ».

Tellement vrai.

Résumé : fin juillet 2020 = premières observations publiques d'un blocage, par la censure chinoise, des connexions TLS qui utilisent ESNI afin de masquer le nom du serveur auquel la communication chiffrée est adressée.

Lors de l'établissement d'une connexion chiffrée (HTTPS, IMAPS, etc.), le client (navigateur web, logiciel de courriel, etc.) indique, en clair (sans chiffrement), le nom de la machine à laquelle il veut se connecter. Cela permet au serveur de présenter le bon certificat x509 dans le cas où il héberge plusieurs services différents derrière une même adresse IP (hébergement web mutualisé, par exemple). C'est l'extension Server Name Indication ‒ SNI ‒ de TLS.

Dans le nouveau protocole TLS, le 1.3, et contrairement aux protocoles antérieurs, l'établissement de la connexion est chiffré (voir mon article de présentation de TLS 1.3 pour les détails), donc on peut envisager de masquer totalement le nom du serveur. Le projet le plus avancé se nomme Encrypted Server Name Indication ‒ ESNI. On peut lire le cahier des charges ESNI si l'on veut se rendre compte que le problème n'est pas simple à résoudre, car il est de la forme "œuf et poule".

ESNI n'est pas encore normalisé et il est très très peu déployé, mais, depuis fin juillet 2020, la censure chinoise bloque déjà les connexions chiffrées qui utilisent cette nouvelle extension de TLS. Au moins, les adminsys du gouvernement chinois se tiennent informés, ce qui n'est pas commun dans la profession (même si chacun prétend que, lui, se tient à jour). :)

J'évoquais ce genre de filtrage dans mon article sur les apports et les limites de DNS over HTTPS / TLS et sur ce que ces protocoles changent pour un adminsys. Si l'on chiffre, à raison car il est très bavard / indiscret, le trafic DNS, alors la censure sera déportée sur SNI puis sur ESNI puis sur l'adresse IP, et la seule parade utilisable par le commun des mortels sera une centralisation des contenus chez une minorité d'hébergeurs / fournisseurs de services. La Chine ouvre la voie.

Via https://twitter.com/kkomaitis/status/1292160887206432769 via https://twitter.com/bluetouff .

J'veux jouer à un jeu vidéo uniquement disponible sur ordinateur de poche sans pour autant détenir un tel smartphone.

Une simple recherche sur le web me dégote un article de Korben sur Anbox, un système libre (GPL et Apache) qui utilise les conteneurs Linux (LXC, Docker, etc.) afin de faire tourner un système d'exploitation Android complet sur un ordinateur (équipé d'un noyau Linux, donc). Il ne s'agit pas d'un émulateur (performances préservées, tout ça).

Comme c'est un peu la galère à installer de bout en bout, voici mes notes d'installation / configuration sur un système Debian GNU/Linux Buster :

• Anbox est empaqueté dans Debian, mais j'utilise snap, car le script d'automatisation de l'installation des bibliothèques de fonction permettant l'exécution d'applications pour l'architecture ARM (voir ci-dessous) ne fonctionne pas sans snap (et vu que c'est la galère à installer à la mano…), et aussi parce que le paquet Debian ne fournit pas d'image système Android (rootfs) (on peut néanmoins en récupérer une sur le site web officiel d'anbox) ;
  
  
• Deux modules Linux sont nécessaires : ashmem_linux et binder_linux. Ils sont présents dans l'image Linux fournie par le projet Debian (pour s'en assurer : find /lib/modules/ -iname '*ashmem*') et ils seront chargés automatiquement au moment propice ;
  
  
• Installer le gestionnaire de paquets snap : sudo apt install snapd ;
  
  
• Installer anbox avec snap : sudo snap install --devmode --beta anbox. Le démon système qui gère le conteneur Android, container-manager, est automatiquement démarré à la fin de l'installation et au démarrage du système hôte ;
  
  

• Récupérer le script qui automatise l'installation des bibliothèques de fonctions permettant l'exécution d'applications mobiles conçues pour l'architecture ARM (source). Sans ça, l'installation d'un logiciel mobile ARM se soldera par l'erreur suivante : adb: failed to install <nom_apk>: Failure [INSTALL_FAILED_NO_MATCHING_ABIS: Failed to extract native libraries, res=-113]. wget https://raw.githubusercontent.com/geeks-r-us/anbox-playstore-installer/master/install-houdini-only.sh ;

  • Si l'on veut installer Google Play, la logithèque de Google pour Android, on préférera récupérer un autre script : wget https://raw.githubusercontent.com/geeks-r-us/anbox-playstore-installer/master/install-playstore.sh. Installer le Google Play après avoir déjà installé les bibliothèques ARM a aucun impact. Je rappelle que Google Play nécessite la possession d'un compte Google et que sa création nécessite la validation d'un numéro de téléphone mobile… ;
    • Attention : ce script pour installer Google Play ne fonctionne pas nativement : il se termine très rapidement sans rien afficher. Origine du problème ? La commande « which anbox » de la ligne 108 retourne rien quand anbox est installé via snap. Il faut remplacer cette ligne par ANBOX='/snap/bin/anbox' ;
• Installer les logiciels nécessaires à l'exécution du script récupéré à l'étape précédente qui ne sont pas encore installés : sudo apt install curl lzip ;
  
  
• Installer les bibliothèques de fonctions permettant l'exécution d'applications mobiles conçues pour l'architecture ARM : bash install-houdini-only.sh ;
  
  
• Démarrer le gestionnaire de sessions anbox : snap run anbox session-manager. Il s'agit d'un processus utilisateur, pas système. Attention : cette commande ne rend pas la main, donc on peut la lancer en fond (nohup snap run anbox session-manager &) si l'on le souhaite, mais je préfère ne pas le faire afin de pouvoir la tuer avec un ctrl+c puis la relancer avec un flèche_haut+entrée ;
  
  
• Sans Google Play, l'installation d'applications se fait avec la commande adb. Il faut donc récupérer le fichier apk kiVaBien ;
  
  
• Installer adb : sudo apt install adb ;
  
  
• Installer l'application dans le conteneur : adb install <appli>.apk ;
  
  
• Se rendre dans le menu des applications mobiles installées : snap run anbox launch --package=org.anbox.appmgr --component=org.anbox.appmgr.AppViewActivity ;
  
  
• Lancer l'application mobile. \o/

Commandes utiles :

• Redémarrer le démon système qui gère le conteneur Android : sudo snap restart anbox.container-manager. Cela permet parfois de terrasser un bug genre une application mobile qui ne démarre pas ou le réseau à l'intérieur du conteneur qui n'est pas configuré au démarrage du système hôte ;
  
  
• Lister toutes les applications mobiles installées : adb shell su 0 pm list packages ;
  
  
• Désinstaller une application mobile : adb uninstall <nom_unique>. Pour connaître le nom unique d'une application, on peut lister l'ensemble des applications installées (voir point précédent). Si l'on ne la trouve pas dans la liste, on peut exécuter la commande adb shell su 0 ps pendant que l'application est en cours d'exécution afin de tenter de l'identifier ;

Notes utiles :

• Modifier la date / heure à l'intérieur du conteneur Android, depuis le menu des paramètres ou avec adb shell + la commande date, ne fonctionne pas, même en désactivant la synchronisation par le réseau. C'est normal : il s'agit d'un conteneur LXC. ;) Solution : changer la date / heure sur le système hôte ;
  
  
• Le trafic réseau du conteneur Android arrive sur l'hôte via l'interface réseau anbox0. Le transfert IPv4 est activé par défaut. Rien de plus. Si tu filtres tes accès sortant, il faut donc ajouter une règle Netfilter genre sudo nft add rule inet filter FORWARD iifname "anbox0" counter accept.