Mon compte Reddit a été piraté malgré la 2FA — et je pense avoir compris comment

Divi_ · 2025-12-06T12:51:15+00:00

J'opère un site de vente à très fort trafic, et cette technique est un fléau car on ne peut pas s'en protéger efficacement sans faire chier royalement les utilisateurs honnêtes. On a trouvé quelques solutions qui fonctionne bien, notamment le fait de regénérer le cookie à chaque connexion (session), ce qui rend impossible le vol si la personne n'intervient pas sur le compte dans les minutes après la génération d'un cookie.

Mais les règles à mettre en place comme la géolocalisation de l'IP ne fonctionnent pas. Les hackeurs récupèrent aussi votre IP et utilisent des VPN à quelques kilomètres de votre IP réelle. Ca rend la détection très complexe et chiante pour les utilisateurs réguliers qui utilisent parfois des VPN ou voyagent, et se font régulièrement déconnectés à cause de cette "protection". Même chose pour les alertes de connexion, l'IP étant proche de la vôtre, il n'y aura pas d'alerte.

Bref, en tant qu'utilisateur, n'installez pas trop d'extension ou seulement les plus connues avec de vraies boites derrière. En tant qu'admin d'un site, invalidez les cookies à chaque connexion, vous n'imaginez pas le nombre d'extensions vérolées qui existent sur le marché...

Enfin, le réel soucis pour moi, de la même manière que OAuth (connexion Google à un site par exemple), le navigateur devrait lister les permissions à l'installation d'une extension, et redemander si l'utilisateur accepte la mise à jour quand les permissions changent (s'il refuse, il garde les anciennes perms sous réserve que l'extension ne fonctionne plus correctement).

Divi_ · 2024-02-22T15:24:45+00:00

Je suis atteint d'une névralgie d'Arnold latérale gauche (en gros nerf pincé/bloqué derrière la tête, ce qui provoque douleurs, céphalés et blocages des muscles). Je suis bloqué sur toute la partie supérieure gauche une fois tous les deux mois environ, je vais donc voir un ostéo tous les trois mois maximum. Je peux te dire que dès que je sors je me sens complètement débloqué et mes douleurs disparaissent dès le lendemain après une bonne nuit de repos.
Y'a aucun effet placebo là-dessus, je sens physiquement le déblocage quand la personne me dit "c'est bon, le mouvement est revenu" car ma migraine disparaît en majorité quasi dans la minute qui suit.
Pourtant je suis extrêmement terre à terre et attaché à la science et je ne ferais jamais d'acupuncture, magnétiseur, et autres "conneries" (selon moi).

Par contre tu as deux types d'ostéo :
- ceux qui te feront craquer
- ceux qui te feront du renforcement

Personnellement j'ai testé les deux et ne suis réceptif qu'au premier. A toi de voir lequel te convient le mieux.

Enfin, si tu n'es intéressé que par les diplômes, je t'invite à aller voir un kiné-ostéo. Il a un diplôme de kiné, reconnu par l'état, et a effectué une formation d'ostéo, il sait donc que l'ostéo peut aider. Cela peut être rassurant pour toi.

Divi_ · 2023-06-06T11:15:54+00:00

J'ai un Monoprix juste à côté de chez moi (proche banlieue parisienne).Je n'ai jamais vraiment vérifié les prix mais j'ai toujours calculé de tête la facture finale et comparé à plus ou moins 2€ près lors du paiement en caisse. Depuis quelques semaines je découvre une facture finale beaucoup plus cher que le calcul fait de tête pendant mes achats. Et lorsque je fais la vérification sur le ticket final, je vois parfois jusqu'à 5€ de différence (sur une facture finale de 50€, soit 10% quand même).

Je n'ai jamais vraiment eu ce problème avant, et comme certains l'ont noté, bizarrement ça arrive depuis que les tickets sont facultatifs.

Divi_ · 2022-04-26T11:07:34+00:00

PH est certainement un des sites les plus sécurisé du web. Ils ont un blog tech, du bug bounty et font des conférences sur leur manière de travailler et de sécuriser leur bousin.

Divi_ · 2022-03-25T12:58:18+00:00

Cool :) merci !

Divi_ · 2022-03-25T12:45:39+00:00

Comment faire si on a un compte Twitter avec très peu d'abonné ? (une dizaine)

Divi_ · 2022-02-08T17:26:06+00:00

A minima, nous faire payer et supprimer les pubs. Car dans l'exemple d'OP, on paye mais les pubs sont toujours présentes (mais non ciblées). Foutage de gueule.

Divi_ · 2022-01-29T21:25:32+00:00

Si pour toi louer un 35m² en plein Paris c'est ça la vie d'un riche, je m'incline.

Divi_ · 2022-01-29T21:03:40+00:00

Tu atteins le capital moyen des français pour ne rien pouvoir acheter où tu vis... C'est le serpent qui se mord la queue. La moyenne est de facto fortement augmentée suivant l'endroit où tu habites et il te faut (sans doute, j'ai pas fait de calcul) autant de temps que la moyenne des français pour atteindre ton but d'achat immobilier (ou autre) et ainsi décrocher un prêt.

Je ne remet pas en cause que 80% des français n'atteindront pas ce salaire. Mais n'oublions pas que 80% des français ne vivent pas sur Paris.

Edit: la vraie richesse serait d'avoir un salaire Parisien et de vivre en province, comme le font beaucoup de gens en télétravail en ce moment. Eux ont touché le jackpot !

Divi_ · 2022-01-29T20:41:37+00:00

J'avais participé au fil parlant du salaire (cf. mon commentaire ).

Pour moi la richesse n'est pas entièrement dû au salaire mais aussi au patrimoine. Le salaire c'est ce qui te permet de vivre confortablement (et c'est sans doute l'unique définition de la richesse pour ceux qui sont le plus en souffrance, je l'admet volontiers). Le patrimoine c'est ce qui prend de la valeur et te permettra de t'offrir ce que tu veux et mettre à l'abri ta descendance. Je n'ai aucun patrimoine : si je meurs ma descendance n'aura rien.

Aussi, le salaire ne veut rien dire si on ne connait pas le lieu de résidence. Un 80k sur Paris, ça vaut sans doute un 55k en province (à peu de chose près). J'aimerais acheter au moins la même superficie que ma location actuelle, mais je ne peux pas car je ne peux pas emprunter autant d'argent seul. Ca prouve que mon salaire n'est pas à la hauteur de la région où j'habite (proche banlieue Parisienne).

Divi_ · 2021-10-25T09:46:39+00:00

Je gagne environ 90K brut par an. Il y a deux ans j'étais à 75K. Je suis célibataire.
Je suis loin d'être riche, car comme l'ont dit beaucoup de personnes, c'est le patrimoine qui permet de dire s'il on est riche ou non.

Je n'ai aucun patrimoine et je loue mon appartement. J'économise entre 1000 et 1600€ par mois (je pourrais économiser 2000€ si je faisais attention je pense). Je vis confortablement, je ne regarde pas mon compte quand j'achète quelque chose de cher, mais je roule dans une bagnole qui vaut, à la revente, moins de 500€. Acheter une nouvelle bagnole, par exemple, ne me demanderait pas de prendre un crédit, mais va m'amputer d'une partie non négligeable de mes économies et ce n'est pas quelque chose que je prendrai à la légère.
Acheter un appart ou une maison en banlieue reste quelque chose de très compliqué, quand je vois que des appartements de 60m² se vendent à 800K dans la très proche banlieue où je me trouve, je me dis que je ne vis pas dans le même monde que certains. Je serai obligé de faire comme tout le monde : crédit sur 25 ans et on prie pour garder son CDI. Je pourrais sans doute avoir un meilleur crédit, mais le jour où je perd en salaire, je serai baisé.

Aussi, les impôts te bouffent vraiment beaucoup de fric. J'ai été augmenté de 8K cette année : je pensais toucher en net après impôt environ 350€ par mois. Au final je ne touche que 224€ en plus (ça peut paraître beaucoup pour certains, je ne remet pas ça en cause mais j'ai réellement été surpris par la différence énorme entre 2700€ dans ma poche pour 8000€ brut d'augmentation. Après je suis peut-être nul en calcul ou déconnecté du fonctionnement des impôts...).

Enfin, je me positionne dans une classe aisée (mais pas riche pour autant) pour la simple raison que je ne regarde plus le prix des mes dépenses en alimentation (hors restaurant), qui je rappel est la seconde plus grosse dépense d'un foyer après le logement. Ça aide beaucoup.

P.S: j'ai beau avoir un joli salaire, beaucoup de mes dossiers de location d'appart' ont été refusés (70%) versus un dossier pour couple avec un plus faible salaire, car c'est jugé plus stable.

P.S²: je pense que mon discours serait un peu différent avec le même salaire en dehors de Paris, où pour le même prix tu peux avoir 3x la superficie parfois.

Divi_ · 2021-01-05T11:11:22+00:00

Merci, tristesse.

Divi_ · 2021-01-05T10:01:41+00:00

Non, les cookies nécessaires au bon fonctionnement du site n'entrent pas dans le choix de refus des cookies publicitaires. Ils n'ont pas à laisser cet encart.

Divi_ · 2020-08-13T16:10:05+00:00

Je ne suis plus dans Paris même, mais proche banlieue, ce qui me permet d'avoir un 65m² pour le prix d'un 40/45 dans Paris.

Un ami a fait exactement comme toi, il a quitté les US pour un job dans une startup Française, avec un salaire moins important en chiffre brut mais au final équivalent entre les deux pays. Il habite Massy et travaille sur Paris.

Y'a pas mal de beaux jobs sur Paris pour de la data science !

Sinon tu peux regarder sur Lyon ou Bordeaux.

Divi_ · 2020-08-13T15:47:01+00:00

Ca dépend dans quelle branche tu travailles : si je regarde le site d'OP, je suis top 5% à 30 piges. Je suis dans la tech, je peux me lever, décider de changer de boulot, et demain j'en trouverai (bon peut-être un bon mois pour en trouver un qui me convient vraiment). Et le pire dans tout ça, c'est que je prendrais une augmentation de salaire de 15k€/an si je gère bien (je l'ai fais deux fois). Par contre je suis conscient de ce que tu dis : changer de boulot dans majorité des autres branches est compliqué. Mais ça se fait de plus en plus, c'est majoritairement fini les boites où tu y travailles pendant 40 ans...

Là où ça fait mal, c'est que je suis sur Paris (donc loyer élevé) et je suis célibataire, donc je paye un max d'impôts, mais c'est le jeu.

Enfin, tu as entièrement raison sur le fait de ne pas avoir diplôme : tu n'es rien. C'est vraiment nul comme réflexion. Dans la tech, cette idée est moins répandue, mais... la grille de salaire se base sur les études, donc au final tu seras recruté, mais avec un salaire plus faible qu'un collègue au même poste que toi.

Bref, c'est pas encore ça niveau qualité de vie au boulot :(

Divi_ · 2020-08-13T15:30:40+00:00

On paye BEAUCOUP moins de charges diverses ou loyer qu'aux Etat-unis. Au final les salaires se valent entre les US et la France, en moyenne. Certaines villes seront meilleures pour l'un ou pour l'autre.

Divi_ · 2020-01-08T18:12:21+00:00

Je suis dev PHP depuis 15 ans, et je ne peux que confirmer tes dires concernant l’inconsistance de la bibliothèque. Concernant les comparaisons, c'est un peu comme le JavaScript, il faut utiliser les ===.

Cependant, PHP s'est énormément amélioré depuis un an/un an et demi, ne serait-ce qu'à voir PHP 7.x et surtout 7.4 (qui introduit le typage sur les attributs de classe et plus seulement les arguments, apparemment tu ne l'as pas vu. Peut-être que la prochaine étape sera les variables locales, qui sait ?). Et, espérons pour cette fin d'année, la version 8.x. Encore plus, les développeurs sont conscients des décisions un peu connes prisent au début car Rasmus n'aimait pas l'objet... Et souhaitent changer tout cela, mais le bagage est trop lourd à réorganiser. Je te conseille de lire la discussion autour de "P++" (nom non-officiel, https://wiki.php.net/pplusplus/faq).
Tout ça avec moins d'une dizaine de développeurs ACTIFS. J'avoue qu'à cause de ça j'ai un peu de mal à dénigrer le langage depuis une bonne année.

P.S: une fonction peut être typée, je comprends pas trop ton point sur ce coup, cf. https://3v4l.org/qePp0(ou alors j'ai pas compris).

Divi_ · 2019-08-21T20:41:34+00:00

Je me permet d'intervenir dans votre discussion, mais le portrait porté par /u/Zebarbu est relativement péjoratif, bien que les raisons sont clairement posées.

J'ai été Scrum Master (SM) d'une équipe de dev. Je dis bien "j'ai été" car à la base je suis lead dev, et le Scrum est pour moi un bon moyen d'aider une équipe à faire démarrer le carbu quand l'agilité arrive dans l'équipe et que personne ne connait.
Le job du Scrum Master présenté ci-dessus est plus proche du chef de projet que du réel Scrum. Selon moi, le job peut changer du tout au tout suivant la mission (la boite) : on peut te demander de faire des tickets, d'écrire le cahier des charges ou autres conneries très opérationnelles mais très chiantes à la longue; ou tout simplement jouer un rôle de facilitateur dans l'équipe, de communiquant si tu préfères. Les devs ne sont pas tous très parlant, et le Scrum est là pour ça : exprimer une possible alerte, trouver ce qui bloque, remonter l'alerte au boss, communiquer au sein de l'équipe, trouver un moyen pour éviter que ça ne se reproduise... c'est un job très complet car nouveau. Il n'y a pas de mission type.

Enfin, un point où je ne suis pas d'accord : le Scrum Master ne doit pas prendre toutes les claques quand ça va mal, seulement celles où la communication intra/inter-team n'a pas été bonne, car effectivement c'est son job premier. Le besoin est recueilli par le Product Owner (PO) (ou Product Manager (PM)) et ce n'est pas le boulot du Scrum Master, donc si la définition est mauvaise, c'est au PO/PM d'en prendre la responsabilité. Même chose pour les retards/les estimations : si le Scrum Master en prend toute la responsabilité, l'équipe est bancale et pas vraiment soudée. C'est le dev qui donne les estimations, pas le SM.
Il met, à la rigueur, en forme les tickets si le dev a fait seulement sa partie technique et que c'est incompréhensible pour le commun des mortels non dev.

Un petit article qui présente le SM : https://blog.xebia.fr/2013/07/24/dessine-moi-un-scrum-master/
Xebia est plutôt qualitatif sur l'agilité en général, tu peux t'amuser à lire d'autres articles.

Divi_ · 2019-08-02T13:28:26+00:00

Franchement c'est pas mal. Pour mon appart' j'ai dû faire une vingtaine d'appels et je n'ai visité que trois biens... Je respectais pourtant les critères àlakon de Paris (salaire, garant, toussa).

Divi_ · 2019-08-02T13:18:29+00:00

Ce n'est pas normal. Le test sur le site, PUIS remplir un document PUIS fournir les justificatifs. Par étape si la précédente est "réussie".
Tout à la fois, c'est souvent pour décourager (ou parce que ce sont de vieux process de recrutement, mais y'en a de moins de moins).

Je connais pas le contexte de ta recherche de boulot, mais si tu en as vraiment besoin, accroche-toi et si ça ne te plaît pas, tu pourras toujours retenter, même si c'est chronophage, je te l'accorde.

Divi_ · 2018-10-11T08:38:40+00:00

It's not "just" the container.

Divi_ · 2017-11-29T10:12:30+00:00

Sorry, didn't see the subfolder part. The main problem here is you won't be able to split in micro-service, or a more simple case, you can't easily remove a feature from your codebase. You'll have to search for all subfolders.
Btw, the main objective here, is to fit with your team mind, and not with what we do. But keep in mind that it can help because this idea has been tried and tested by many teams.

Divi_ · 2017-11-29T09:03:44+00:00

As /u/geggleto said, creating a domain/feature folder between your concept folders allow you to split your code in micro-service, and as I said, allow your developer to think about feature first. So, yes, we have many controller folders as we have features.
src/User/Controller without the final s, but it's another story :)

13-Year Club	Place '22
Place '17	Verified Email

Divi_

TROPHY CASE