X_Cli @x_cli@infosec.exchange

TIL: `wc -l` does NOT count lines. It counts **new** lines.

```
echo -n "toto" | wc -l
0
echo -ne "toto\ntiti" | wc -l
1
```

I've used this command incorrectly for 19 years. Sad face.

Les timeline algorithmiques, c'est le mal. Deux instances en pas longtemps :

https://telegra.ph/Comment-lalgorithme-de-Facebook-%C3%A9chappe-au-contr%C3%B4le-de-ses-cr%C3%A9ateurs-10-26

https://www.numerama.com/tech/749728-twitter-admet-quil-amplifie-plus-la-droite-francaise-que-la-gauche.html

La même question pourrait et devrait être posée pour les résultats des moteurs de recherche triés algorithmiquement...

Plainte auprès du Conseil d'Etat contre la décision de la #cnil concernant la cloture d'une plainte contre le #PassSanitaire et plus spécifiquement les informations sensibles qu'il contient et qui sont sans rapport avec la finalité : https://drive.google.com/file/d/1ynApJV-8Ub-LAsOWpotGzXlljH9NaTqj/view?usp=sharing

#PasseSanitaire

A diffuser largement, pour faire opposition à l'agence de comm' qu'est devenu le gouvernement !

Cafepress (https://twitter.com/cafepress) database was leaked. I just received a spam on an email address dedicated to their website.

Looking for a vulnerability management software in which you can import a list of Debian packages, Python packages, Go modules, etc, and that will keep track of the vulnerabilities and alert me. Do you have any recommendation? Bonus point if it is libre.

I just deleted my Twitter account. Twitter has been unbearable for a while, but the censorship in France has dramatically increased over the past few months, with arbitrary account suspensions, soft-ban of some accounts and finally Twitter support condoning straight up insults and defamatory content.
I had it coming, staying on that platform. Twitter, never again.

Some reading about the use of reflect.Select : https://cyolo.io/blog/how-we-enabled-dynamic-channel-selection-at-scale-in-go/

I developed a daemon in #Go. I used an event loop approach, with a select and many recv channels for various events (including a context.Done). Some of them are dynamically added, as the program executes. For this, I was forced to use reflect.Select instead of the builtin select keywords. I started wondering if I was not implementing smth that is not typical in Go?
Did you already implemented a daemon that way in Go? What is your feedback about this approach? What is your preferred approach?

Si tu veux te documenter sur le #PassSanitaire d'un point de vue technique, on en a parlé pendant 4h30 (!!) hier soir : https://www.youtube.com/watch?v=1pZir1BPDH0

Il y en a des choses à en dire, pour un truc qui existe depuis si peu de temps. La vidéo offre une vision d'ensemble.

Did I mention the -s option ?

> file only attempts to read and determine the type of argument files which stat(2) reports are ordinary files.

Ordinary, not "regular". Yeah, because the file type "symlink" is "ordinary".

```bash
$ file -s truc
truc: symbolic link to go.sum
$ file -sL truc
truc: ASCII text
```

Who designed this CLI? And why?

The file command from libmagic has two options:
* -h, --no-dereference
* -L, --dereference

They control whether file follows symlinks.
Demonstration :

```bash
$ file -h
<prints help, because missing filename, not because --help>
$ file -h truc
truc: symbolic link to go.sum
$f file -L truc
truc: ASCII text
$ file -Lh truc
truc: symbolic link to go.sum
$ file -hL truc
truc: ASCII text
```

More than 6 years after standardization, the Go HTTP/2 implementation is STILL missing the client code for Server Push... https://github.com/golang/go/issues/18594
Oh sure, the server impl can push. But you cannot use it from the client side... (disabled with an hardcoded value).

And I am talking about Go because most Python server implementations (including Flask and Django) do NOT even support server push at all. They rely on the HTTP server to do it (Link response header).

HTTP/2 really is a train wreck.

À noter qu'ils ont par ailleurs publié une étude très détaillée des analytics, et de leur impact significatif sur la vie privée, que je recommande fortement de lire !
https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/issues/79

Ce thread n'aurait pas été possible sans le travail inestimable de @JohanD_0@twitter.com, @gilbsgilbs@twitter.com et @cryptosaurus6@twitter.com et des membres du salon matrix #pass-sanitaire:matrix.piotr.paris
Merci à eux.

Alors pourquoi ?
En toute bonne foi, je ne vois que deux réponses possibles : 
* les statistiques sont trop faussées pour être exploitables, ou collectées pour faire joli ;
* les chiffres d'utilisation de l'application sont mauvais.
Chacun se fera un avis.

Chaque activité est horodatée, et certaines sont associées à un identifiant unique généré lors de l'installation.
Les statistiques communiquées par le gouvernement auraient donc pu être basées sur le nombre d'identifiants uniques sur une période d'observation. 

Il se trouve que @TousAntiCovid dispose de statistiques très détaillées (21 événements différents) qui sont envoyées à un serveur, et qui indiquent ce que fait l'utilisateur sur l'application : affichage de certaines pages, utilisation de certaines fonctions, etc.