Salut,

je viens de me rendre compte que l'appli canal+ sur connect tv fonctionne enfin comme une appli "mycanal" classique ( et non plus comme une box historique avec le besoin de faire activer les droits en appelant canal+ ) 

C'est marrant, SFR aurait re-re-fait machine arrière sur ce point ?
- au début, sur Connect TV, l'appli MyCanal se comportant comme sur périphérique mobile (par exemple Android)
- puis en 2023, subitement SFR et Canal+ se sont mis d'accord pour changer la donner et passer par un CAID sur décodeur Connect TV comme tout décodeur https://assistance.canalplus.com/questions/3203130-tv-connect-demande-code-caid-continuer-regarder-decodeur-sfr-tv-connect
- et donc d'après toi ils auraient re- changé d'avis, et seraient revenus à un mode sans CAID sur Connect TV en 2024 ?
à+

Pour ma part je trouve l'approche trust and ignore risks trop candide.

L'utilisation de password à forte entropie incite à l'utilisation d'un password manager... probablement?
Cela reste une bonne pratique de sécurité, cependant, tu négliges le risque faisant que tous les users n'utiliseront pas forcément un manager, le stockeront de manière insécurisé, ou feront un copier coller de leur mot de passe - sans même penser au risque associé -, c'est un fait, et qui s'observe quotidiennement.

Il n'est pas nécessaire d'être une cible spécifique pour être victime d'attaques.
Tu vois un attaquant en particulier là où actuellement, ce sont les bots qui prédominent. Les attaques sont effectuées généralement en masse, mais oui, il est possible également d'être une cible spécifique quand il y a matière à être cibler ou encore pour réaliser de la collecte d'information.

Tu supposes également que toutes les applications et tous les sites utilisent correctement le salting/hashing.
Malheureusement, ce n'est pas toujours le cas, les fuites de données peuvent parfois inclure des password en clair, insecurely hashed, et de manière générale, si le site est compromis, les salts le sont bien souvent également.
Aussi, un mot de passe long peut être une passphrase longue et ré-utilisée souvent, forcer un password à forte entropie n'oblige en rien l'utilisation d'un générateur, d'un password manager, il réduit l'usage de la bad practice, mais elle sera toujours présente et possible, c'est un idéalisme de croire l'inverse, pas une réalité.

Il suffit d'observer les leaks qui se font sur le darknet pour voir à quel point il est courant de voir des mots de passe en clair.
Baser une stratégie de sécurité sur des suppositions revient à ignorer les risques.

Il m'a semblé avoir lu symétrique tout à l'heure dans ta réponse, saches que les deux sont possible, mais l’asymétrique est bien plus répandu.

J'ai également insisté sur l'aspect de priorisation des comptes privilégiés, ce que tu n'as pas retenu. Mais même en tant que simple membre, je n'aimerai quand même pas que quelqu'un accède à mes MPs par exemple.

A mon sens, et dans le cas présent, le 2FA est une couche supplémentaire de sécurité, une protection effective demandant une preuve de la possession d'un deuxième facteur, même si le mot de passe est compromis, ce qui n'est pas le cas d'un mot de passe seul, peu importe sa complexité.

Je ne vais pas m'étendre plus sur le sujet, ce n'est qu'une divergence de point de vue à ce niveau. (;

@turold, pour les raisons suscitées dans mes précédents messages et ta conclusion.

@alain_p, j'imagine que @vivien et son équipe ont déjà dû faire face à ce genre de problématique! Néanmoins, proposer du multi-facteurs en optionnel pour les membres ne pose à mon sens aucune complication.

Why not?
Discord le fait parfaitement.

l'énorme problème du 2FA, c'est qu'à 99% il dépend d'un appareil mobile. et que tout le monde n'en a/veut pas.
yavait le 1% qui pouvait se faire par email, comme chez frandroid (je crois), mais c'est très marginal.
personnellement, hors une banque, hors de question que je relie quelque service à l'appareil le plus volatile du quotidien, juste derrière les clés : cela n'arrivera pas (et fut une des raisons du divorce à couteaux tirés de certains gafam, google en tete de gondole)

Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.

Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.

l'intéret de faire un DDOS sur lafibre?

- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.

c'est marginal ici..

- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.

le monde est fait pour etre imparfait

Comment faites vous ? Peut-être une télécommande universelle ?

Celle du Firestick et pis c'est tout, qui allume la télé, pilote son son et gère le reste des applis.

Une seule, petite, légère, simple et pas fragile.

L'AV1 est en passe de devenir au fur et à mesure le standard de-facto,

Peut-être. Mais en ce qui concerne la télédiffusion en France, c'est mal parti :

- Malgré l'absence d'édition de label pour les Téléviseurs obligatoire par le législateur, c'est le duopole HEVC/ DVBT2 qui s'est imposée pour la TNT UHD.
- L'AV1 ne semble pas être beaucoup repris dans les tuners intégrée des TV.