>Ben je suis pas sense parler des raisons et >causes de trucs [non/pas encore] releases,
Bon je veux pas etre méchant, je suppose que vous avez des trucs importants a faire chez crosoft, mais ce bug ca fait des tas de mois qu'il est connu et que microsoft est prevenu alors
COMMENT CA SE FAIT QU'IL N'Y AIT TOUJOURS PAS DE PATCH BORDEL!
Tu vas pas me dire que c'est si dur a patcher que ca prend plus de six mois a corriger, d'autant qu'entre temps microsoft a corrigé des bugs découvert après.
Serieuxement y'a une raison particulière qui explique qu'un bug qui a plus de six mois n'a toujours pas de patch ?
>Ok, donc le jour où je trouve THE Buffer >Overflow qui permet de lancer un remote shell sur
>n'importe quels Linux ou *BSD, je l'annonce en >très gros sur LinuxFr.
Oui et même sur slashdot, comme ca tu sauras sur que le patch sera disponible en quelques heures.
>Yaura pas de patch, mais >c'est pas grave >puisque une règle DENY ALL >permet de contrer la >faille.
Ca permettra d'attendre le patch qui ne tardera pas a arriver.Envoyer la faille aux developpeurs et attendre ca ne fonctionne pas toujours, déja parceque les développeurs sont réduits et peuvent etre ailleurs (en vacances, malade, en cours..) qu'ils peuvent avoir autre chose a foutre (puisque tu n'as prevenu personne d'autre, le patch peut attendre...) et aussi parceque ce n'est pas parceque toi tu as trouvé la faille que personne d'autres de plus mal intentionné ne l'a trouvé. On a vu ca récement avec un bug dans php je crois : la faille etait connue dans les milieux "underground" mais personne ne s'etait presse pour prevenir les developpeurs.
Gueuler une bonne grosse faille sur le net c'est le meilleur moyen de forcer les developpeurs a se bouger...
Faut aussi dire que c'est tellement chiant de bosser sous windows 2000/XP sans etre admin que je comprends qu'on le fasse
Sous windows 2000 si tu veux installer un soft alors que tu n'est pas admin tu dois le renomer setup.exe pour qu'il accepte de t'afficher l'option "installer comme administrateur". Vachement logique. Si je veux faire une tache nécessitant d'etre admin (au hasard mettre à jour le windows) par défaut j'ai pas trouvé l'équivalent de su, je dois me délogguer et me reloguer en admin pour installer ce p# de patch. Vu le nombre de patch qui sortent en ce moment et les correctifs des patchs (y'a eu cinq version du bulletin MS02-006 vous vous pourriez vous relire...) on passerait son temps a se deloguer en admin.
Par pitié dis moi que je me trompe et que sous windows 2000 il existe l'équivalent d'un su quelque part dans le système.
Oui m'enfin bon le nombre de boites qui vont donner 100 000 $ doivent pas vraiment être élevé. Pour ce prix la, je comprends que ca fasse ch... de rien avoir de plus.
...que le petit va avoir son bac. Va falloir lui interdire de se servir du net et l'obliger a rester dans sa chambre pour reviser.Merci de ne pas l'encourager à la débauche en répondant à ces mails/posts/demande de recette.
>Tout ca pour dire que j'ai vraiment du mal à >croire que ce genre de gadget fera >miraculeusement augmenter le nombre de jeux sous >Linux.
Oui d'autant plus qu'on ne porte pas un jeu sur une plateforme donnée parcequ'on trouve ca facile a faire, mais parcequ'on pense qu'on va avoir assez de client pour l'acheter.
>Lors des pauses du midi, les salles NT étaient bondées, la salle VT100 vide (fallait pas rêver non plus) et la salle TX >occupée par 1-2 personnes. Qualle différence entre se logger sous NT pour lancer Netscape ou bien se logger sur le >kdm pour lancer le même soft ? Aucune. Alors pourquoi restent-ils sous NT ? C'est le
>mystère.
Dans le même genre durant mes études je m'occupais de la salle internet en libre accès. Les serveurs etaient (ils doivent l'etre toujours) sous FreeBSD mais les clients etaient sous Windows pour diverses raisons (dont nottament le fait que certains cours sur dreamweaver etait fait dans cette salle).
J'ai bien essayé de mettre quelques clients linux sur des postes en douce. Et bien il n'y avait quasiment que trois personnes (dont moi et un autre admin) qui utilisait la machine. J'ai même fait le test de mettre netscape en plein écran, on voyait même pas que c'etait un linux de loin, le gars avait juste a taper son URL comme avec IE, et bien non personne ne les utilisait. Ca devait sentir de loin, je comprends pas.
N'empeche qu'est-ce que j'ai regretté de pas avoir eu l'autorisation de tout migrer sous linux. Sans ces maudits cours de dreamweaver dans la salle....
C'est bien beau mais en pratique qui utilise plein de languages différents pour faire son projet ? On dit toujours qu'il faut utiliser un langage adapté a ce qu'on veut faire mais ce que je vois c'est que les gens utilisent le langage qu'ils connaissent le mieux. C'est bien beau de dire qu'il faut utiliser perl pour les chaines de caractères, Python pour l'interface et C++ pour mixer le tout, mais je connais peu de monde qui connaissent tres bien plusieurs langages et peu de chefs de projet qui veulent avoir plein de langage différents (bonjour la maintenabilité).
Ce que je vois surtout c'est qu'un mec super baleze en C++ va utiliser du C++ partout dans son projet. Peut etre qu'il aurait été plus vite avec un autre langage mais
1°) il aurait fallu qu'il connaissent les autres langages aussi bien que le C++ ce qui n'est pas dit. Il ira peut etre même bien plus vite en C++ qu'en perl juste parcequ'il connait mieux le C++
2°) il utilisera un framework pour faire le boulot chiant et aura déja une base qui marche pour tout écrire en C++
Bref, utiliser plein de langages différents dans un projet c'est bien beau mais je ne connais pas beaucoup de monde capable de faire ca correctement.
pour mac os x, dire que ca fonctionne comme un *nix, ca ne veut pas dire grand chose : même si on se restreint uniquement aux deux grandes familles (Systeme V et BSD) il y'a pas mal de différences.
Le noyau Mach utilisé par Mac OS X n'a rien de secret : Tannenbaum le décrit déja dans son bouquin en 1990.
pour la documentation apple, on peut aller chercher la : http://developer.apple.com/techpubs/(...)
Sauf que dans le cas d'un logiciel, le vendeur ne cède pas ses droits de propriété : il vend juste le droit d'utilisation (et parfois faut renouveler) c'est completement différent. A la limite on pourrait dire que dans le cas d'un logiciel "boite", on peut effectivement vendre le CD et la doc (hum), mais dans le cas d'un téléchargement on ne peut pas dire que le vendeur cède ses droits de propriétés a quelqu'un d'autre.
Oncle Bill est a Harvard dans le film. Mais bon, faut pas se leurrer entre Berkley et Harvard on peut pas dire que ce soit vraiment différend dans le principe : ce sont toutes les deux des grandes écoles. Berkley c'est plus le coté gaucho de l'amérique alors qu'Harvard ca forme plein de medecin et d'avocat :-)
> Concernant les couinements, qu'on appelle >généralement dans le IDS-BuzzWord(tm) des false >positives, c'est là où je vois tout l'intérêt >d'un IDS comme Snort, tunable à souhait ou pour >ceux qui aiment Big-Bucks(tm) Dragon.
Oui mais justement encore faut t'il savoir régler son IDS correctement et savoir interpreter les données. Combien de gens savent faire ca ? très peu comme tu semble le dire. Donc au final tu as un truc qui nécessite beaucoup de compétences pour tourner correctement et qui n'est qu'un "complément". C'est beaucoup je trouve et cette complexité joue contre l'IDS. C'est le même problème avec une PKI : c'est très bien sur le papier mais en pratique ca pose plus de problème que ca n'en résoud.
En fait le principal c'est justement de savoir monter son "architecture de sécurité" comme tu dis en fonction de ses besoins et pas en piochant dans les outils a la mode parcequ'ils peuvent toujours etre utile.
>Network Intrusion Detection, 2E et Intrusion >Signatures and Analysis
Ca fait pas mal de temps qu'on cause des IDS mais il me semblait que la mode etait passé. On dirait qu'elle revient. C'est rigolo mais dans la sécurité informatique la mode est perpetuelle
- Y'a trois ans c'etait les firewalls : t'avait pas ton firewall t'etais le dernier des cons.
- Y'a deux ans c'etait les IDS : t'avais pas ton IDS t'etais le dernier des cons.
- Y'a un an c'etait les VPN : t'avait pas ton VPN t'etais le dernier des cons.
- Cette année c'etait les PKI : t'avait pas ta PKI t'etais le dernier des cons.
Qu'est-ce qu'ils vont encore nous inventer l'année prochaine ? est-ce qu'on va revenir aux IDS ou au firewall et refaire un tour ?
Soyons clair : un IDS est de par sa conception un truc branlant. Quand on met un IDS pour écouter le vaste monde (Internet) soit il passe son temps a couiner au moindre paquet IP qui ne lui plait pas (et l'admin finit par en avoir marre et ne même plus prendre garde aux couinements) soit il laisse passer les trois quarts des trucs.
Comme me disait un collègue : les systèmes de detection d'intrusions qui marchent vraiment c'est les champs de mines.
En fait une facon d'utiliser un IDS serait de le mettre dans son propre réseau plutot que sur le net : ce qui interresse vraiment c'est les intrusions dans le reseau et pas les 300 tentatives de code red qui de toutes facons ne sont pas passés. Ceci dit l'IDS risque de ne pas servir souvent dans ce cas la.
Bref l'IDS je n'y crois pas trop. C'est mieux que rien mais ca ne suffit pas. Loin de la.
>Pour conserver les traces, il faut les stocker >sur un (voir des) autre serveur et les >transférer de manière sécurisée en employant des >méthodes d'encryption.
Le vrai problème que pose AMHA les logs ca n'est pas les logs en eux mêmes c'est qu'il faut les lires et savoir quoi logguer. Logguer plein de trucs ca permet certes de produire des beaux graphiques mais franchement combien de boites ont une politique efficace de verification des logs et savent s'organiser en cas de problème pour voir vraiment ce qui a été et ce qui n'a pas été ? Tres peu a mon avis.
Si un gus fait un troyen qui utilises des requetes basé sur les ports reservés au DNS pour passer le firewall (je crois que nameserver c'est le port 42 mais j'en suis plus sur du tout) il a peut de chance qu'on le voit : franchement qui regarde les logs d'un DNS ?
Bref le problème encore une fois de plus est humain, pour la sécurité des logs comme dit plus haut, il existe déja des solutions techniques.
>les couches bases du noyau (la fameuse modif >entre NT3.5 et NT4) , je trouve que c'est un >drole de bouzin...
En effet, vu les merdes que ca a occasionné, mettre une partie de la gestion graphique dans le noyau pour gagner des perfs n'a pas apporté que des avantages. En fait ca represente surtout la caractéristique de microsoft : on fait complexe. Ils ne savent pas se contenter d'un modèle simple il faut qu'ils rajoutent tout un tas de fonctionnalités. Forcément ils ne pouvaient pas utiliser un modèle monolithique c'etait trop simple.
> Effectivement si on inclus MacOSX et NT , >tannenbaum a raison, mais je ne vois aucun >avantage vraiment indeniable a ces OS vis a vis >d'un monolithique comme linux.
Effectivement, surtout que dans ces deux cas le modèle client serveur a été pensé pour etre optimisé sur une machine isolé et orienté performance ce qui fout en l'air une grande partie de l'avantage du modèle.
>Peut etre devrait-on penser que le model mk est >bien adapte a un style de dev "cathedrale" >propre a une societe commerciale. Et que seul un >dev "bazard" comme celui de linux permet de >realiser un monolithique correct ? Je ne sais >pas je pose la question.
Je ne pense pas (a propos il n'y a pas de modèle mk mais client-serveur. Le micro noyau est utilisé principalement utilisé dans le modèle client-serveur, c'est la nuance de la chose) dans le sens ou le développement en bazaar n'est pas basé sur une architecture technique particulière. Le modèle monolithique est plus simple c'est peut etre ce qui favorise son choix sur les os libres. Mais ca ne veut pas dire qu'on ne pourrait pas faire autre chose.
>En fait, la question est : ça sert à quoi un MK ?
Bonne question :-)
En fait au début (c'est a dire sur le papier) le MK proposait plusieurs avantages :
- une plus grande sécurité : comme l'idée c'est de mettre les serveurs et les drivers dans le userland, si un driver part en vrille, le système reste debout. L'autre avantage c'est que si tu trouves une faille dans un serveur tournant en userland (genre buffer overlfow ou machin du genre) tu n'obtiendras pas forcément l'accès sur la machine (en fait c'est ce qu'on reproche beaucoup au modèle monolithique, comme il y'a plein des choses dans le kerneland, un buffer overlfow dans sur un serveur et on peut passer maitre de la machine).L'inconvenient c'est la vitesse. Ca RAAAAMMME. D'ou l'idée de passer une partie des serveurs dans le kerneland. Le problème c'est que tu perds une partie de la sécurité au profit des performances. Autant rester sur un noyau monolithique si on veut aller vite.
- les émulateurs : comme un micro noyau gère très peu de choses : il est possible de mettre des serveurs au dessus pour émuler facilement des systèmes d'exploitation. Mac OS X le fait par exemple : il est capable de lancer deux systèmes d'exploitation en même temps (Mac OS X et Classic) ce qui permet d'utiliser les applis des deux mondes de manières transparentes. On pourrait également imaginer un système a MK sur x86 capable de faire tourner des programmes MS-DOS, Windows, Linux et FreeBSD de manière transparente. Le problème c'est que la loi sur la propriété intellectuel met un sale coup a ce projet(faudrait payer une licence pour chaque système commercial émulé) et qu'au fond ca n'interresse pas tant de gens que ca.
- Les sytèmes distribués. C'etait la grande marotte des micro noyaux : en effet si les serveurs ne sont pas dans le kerneland ils peuvent très bien etre sur une autre machine. A partir de la on peut écrire des systèmes permettant de gérer des clusters très facilement : on rajoute la machine et hop tout collabore de facon transparente. On peut faire ce genre de chose avec MOSIX sous linux mais il faut patcher son système. En fait le problème c'est qu'un système distribué n'a pas de bonne performances comme système isolé. Ca n'exige pas les mêmes choses. On a donc favorisé le developpement de systèmes d'exploitation plus orienté isolé (c'est a dire que tout tourne sur une seule machine) mais avec l'explosion des reseaux peut etre qu'on reviendra a des besoins de systèmes d'exploitations distribués. L'avenir le dira.
- La portabilité : on s'est rendu compte que c'etait une connerie. Un système monolithique peut également étre très portable.
L'idée donc c'est qu'un MK ca ne sert a rien pour un utilisateur lambda. C'est bien pour des applications bien précises (nottament les clusters) mais les systèmes actuels n'ont pas cette optique. On privilégie la vitesse avec un noyau monolithique ou en passant plein de trucs en kerneland, ce qui au fond, n'est pas forcément plus mal.
En fait Tannenbaum n'avait pas en tete uniquement les micro noyaux. Il faut lire son (en fait ses) bouquin sur les systèmes d'exploitation pour le comprendre. L'idée c'est que ce qui allait se développer c'est le modèle client-serveur (mais pas dans le sens machine, dans le sens système d'exploitation) au détriment du modèle monolithique. Ce qui fait le lien c'est que pour un modèle client-serveur le micro noyau est très adapté, nottament pour l'informatique distribué. D'ou l'erreur de tannenbaum : puisque c'est le modèle client-serveur qui va se développer, alors le micro-noyau va se développer aussi. Le problème c'est que le modèle client-serveur peut se passer d'un micro-noyau stricto senso
Dans un sens tannenbaum n'avait pas tort, il a simplement surestimé le temps d'évolution des systèmes d'exploitations : on se dirige de plus en plus vers des systèmes a capacités distribués, mais ca met un peu plus de temps.
D'ailleurs on l'oublie trop souvent mais windows NT (et la suite) fonctionne sur le modèle du client-serveur. Il n'y a pas de micro noyau stricto senso mais l'idée est la : ca n'est pas un modèle monolithique.
Pour mac os X c'est pareil : ca n'est pas un micro noyau stricto-senso, mais ca repose sur le modèle client-serveur.
Si on compte uniquement la basé installé (ce qui n'est pas un argument prouvant quoi que ce soit) alors tannenbaum a raison : le modèle monolithique n'est plus le plus utilisé puisque windows ne l'utilise pas et que windows éclate tout le monde en terme de part de marché.
histoire d'enculer les mouches et d'apporter quelques précisions sur une erreur souvent commise :
ISO ne signifie pas "International Standardisation Organisation" (ce qui d'ailleurs est de l'anglais incorrect, la version correcte etant "International Organization for Standardization") mais est un mot dérivé du grec et signifiant égal, ce qui tombe bien pour un organisme de normalisation et permet que le monde entier utilise le même nom.
D'autant qu'en plus les americains doivent pouvoir sortir le premier amendement qui leur permet de dire toutes les conneries qu'ils veulent. Même avec Frontpage...
Posté par Aza .
En réponse à la dépêche C# vs Java.
Évalué à 2.
Tu devrais quand même essayer le C#. Le C# possede un gros inconvenient : ca sort de chez microsoft (meme si c'est l'auteur de Turbo Pascal qui a fait le gros du boulot), mais il possede aussi des avantages par rapport a Java
- Il est en cours de normalisation. Ce qui n'est pas le cas de Java qui lui reste langage proprietaire de SUN.
- Certaines parties sont nettement mieux fichues. Pour info tu peux aller sur http://genamics.com/developer/csharp_comparative.htm(...) . Attention cependant a ne pas confondre .NET et C# : C# c'est le langage, .NET c'est le framework. D'ailleurs il va bientot y avoir une extension .NET pour Java.
> j'ai dit que je voulais pas d'une personne extrémiste >comme répresentant (voila la nuance ;)
C'est pourtant ce qui fait le succès de la chose : RMS doit etre extremiste parcequ'un modéré n'aurait aucune chance de se faire entendre comme lui. Il en fallait de la determination pour faire ce qu'il a fait, et quelqu'un de plus modere se serait contenté de bosser au MIT avec un super salaire.
Non il faut un representant fort en gueule, extremiste et charismatique sinon ca ne passera pas.
Il faut aussi des gens plus modere derrière afin d'expliquer les choses plus calmement aux gens en particulier...
Ah pardon, je me rappelle d'une exposition a la Vilette, sur l'informatique, ou le code source (imprime!!!) de Word 2 etait expose : c'est gros, y'en avait pour près d'un metre de papier...
Si ils exposaient le code de Word XP, je suppose que ca depasserait la tour eiffel....
[^] # Re: vieux
Posté par Aza . En réponse à la dépêche Comment planter NT et W2K avec 5 malheureuses lignes de code ?. Évalué à 5.
Bon je veux pas etre méchant, je suppose que vous avez des trucs importants a faire chez crosoft, mais ce bug ca fait des tas de mois qu'il est connu et que microsoft est prevenu alors
COMMENT CA SE FAIT QU'IL N'Y AIT TOUJOURS PAS DE PATCH BORDEL!
Tu vas pas me dire que c'est si dur a patcher que ca prend plus de six mois a corriger, d'autant qu'entre temps microsoft a corrigé des bugs découvert après.
Serieuxement y'a une raison particulière qui explique qu'un bug qui a plus de six mois n'a toujours pas de patch ?
[^] # Re: BugReport Scheduling
Posté par Aza . En réponse à la dépêche Faille importante sous UNIX. Évalué à 4.
>n'importe quels Linux ou *BSD, je l'annonce en >très gros sur LinuxFr.
Oui et même sur slashdot, comme ca tu sauras sur que le patch sera disponible en quelques heures.
>Yaura pas de patch, mais >c'est pas grave >puisque une règle DENY ALL >permet de contrer la >faille.
Ca permettra d'attendre le patch qui ne tardera pas a arriver.Envoyer la faille aux developpeurs et attendre ca ne fonctionne pas toujours, déja parceque les développeurs sont réduits et peuvent etre ailleurs (en vacances, malade, en cours..) qu'ils peuvent avoir autre chose a foutre (puisque tu n'as prevenu personne d'autre, le patch peut attendre...) et aussi parceque ce n'est pas parceque toi tu as trouvé la faille que personne d'autres de plus mal intentionné ne l'a trouvé. On a vu ca récement avec un bug dans php je crois : la faille etait connue dans les milieux "underground" mais personne ne s'etait presse pour prevenir les developpeurs.
Gueuler une bonne grosse faille sur le net c'est le meilleur moyen de forcer les developpeurs a se bouger...
[^] # Re: Rousse
Posté par Aza . En réponse à la dépêche Introduction à urpmi. Évalué à 1.
[^] # Re: ca y est!
Posté par Aza . En réponse à la dépêche Écriture de virus ELF pour Linux i386. Évalué à 9.
Sous windows 2000 si tu veux installer un soft alors que tu n'est pas admin tu dois le renomer setup.exe pour qu'il accepte de t'afficher l'option "installer comme administrateur". Vachement logique. Si je veux faire une tache nécessitant d'etre admin (au hasard mettre à jour le windows) par défaut j'ai pas trouvé l'équivalent de su, je dois me délogguer et me reloguer en admin pour installer ce p# de patch. Vu le nombre de patch qui sortent en ce moment et les correctifs des patchs (y'a eu cinq version du bulletin MS02-006 vous vous pourriez vous relire...) on passerait son temps a se deloguer en admin.
Par pitié dis moi que je me trompe et que sous windows 2000 il existe l'équivalent d'un su quelque part dans le système.
[^] # Re: Erreur
Posté par Aza . En réponse à la dépêche Mandrake lance ses "Clubs". Évalué à -7.
# C'est pas avec tout ca...
Posté par Aza . En réponse à la dépêche Comment faire un terminal X diskless avec un PC, de A a Z. Évalué à 1.
[^] # Re: Monstrueux.
Posté par Aza . En réponse à la dépêche Wrapper DirectX 8 -> OpenGL opensource. Évalué à 1.
Oui d'autant plus qu'on ne porte pas un jeu sur une plateforme donnée parcequ'on trouve ca facile a faire, mais parcequ'on pense qu'on va avoir assez de client pour l'acheter.
[^] # Re: Parlons en des etudiants en informatique !
Posté par Aza . En réponse à la dépêche Miguel DeIcaza et .NET. Évalué à 1.
>mystère.
Dans le même genre durant mes études je m'occupais de la salle internet en libre accès. Les serveurs etaient (ils doivent l'etre toujours) sous FreeBSD mais les clients etaient sous Windows pour diverses raisons (dont nottament le fait que certains cours sur dreamweaver etait fait dans cette salle).
J'ai bien essayé de mettre quelques clients linux sur des postes en douce. Et bien il n'y avait quasiment que trois personnes (dont moi et un autre admin) qui utilisait la machine. J'ai même fait le test de mettre netscape en plein écran, on voyait même pas que c'etait un linux de loin, le gars avait juste a taper son URL comme avec IE, et bien non personne ne les utilisait. Ca devait sentir de loin, je comprends pas.
N'empeche qu'est-ce que j'ai regretté de pas avoir eu l'autorisation de tout migrer sous linux. Sans ces maudits cours de dreamweaver dans la salle....
[^] # Re: super mais...
Posté par Aza . En réponse à la dépêche Miguel DeIcaza et .NET. Évalué à 2.
Ce que je vois surtout c'est qu'un mec super baleze en C++ va utiliser du C++ partout dans son projet. Peut etre qu'il aurait été plus vite avec un autre langage mais
1°) il aurait fallu qu'il connaissent les autres langages aussi bien que le C++ ce qui n'est pas dit. Il ira peut etre même bien plus vite en C++ qu'en perl juste parcequ'il connait mieux le C++
2°) il utilisera un framework pour faire le boulot chiant et aura déja une base qui marche pour tout écrire en C++
Bref, utiliser plein de langages différents dans un projet c'est bien beau mais je ne connais pas beaucoup de monde capable de faire ca correctement.
[^] # Re: linuuuuuuuuuuuuux
Posté par Aza . En réponse à la dépêche Quel OS pour le multiprocesseur ?. Évalué à 2.
[^] # Re: Réponse de l'auteur ...
Posté par Aza . En réponse à la dépêche Quel OS pour le multiprocesseur ?. Évalué à 1.
Le noyau Mach utilisé par Mac OS X n'a rien de secret : Tannenbaum le décrit déja dans son bouquin en 1990.
pour la documentation apple, on peut aller chercher la : http://developer.apple.com/techpubs/(...)
[^] # Re: Et les logiciels libres ?
Posté par Aza . En réponse à la dépêche Une loi sur la sécurité des logiciels. Évalué à 1.
[^] # Re: Conception du libre
Posté par Aza . En réponse à la dépêche Le monde libre sur Apple. Évalué à 1.
[^] # Re: Faut pas non plus croire au père Noël....
Posté par Aza . En réponse à la dépêche L'IDS à l'honneur. Évalué à 10.
Oui mais justement encore faut t'il savoir régler son IDS correctement et savoir interpreter les données. Combien de gens savent faire ca ? très peu comme tu semble le dire. Donc au final tu as un truc qui nécessite beaucoup de compétences pour tourner correctement et qui n'est qu'un "complément". C'est beaucoup je trouve et cette complexité joue contre l'IDS. C'est le même problème avec une PKI : c'est très bien sur le papier mais en pratique ca pose plus de problème que ca n'en résoud.
En fait le principal c'est justement de savoir monter son "architecture de sécurité" comme tu dis en fonction de ses besoins et pas en piochant dans les outils a la mode parcequ'ils peuvent toujours etre utile.
>Network Intrusion Detection, 2E et Intrusion >Signatures and Analysis
Tiens histoire de continuer a pousser ma gueulante (de bon matin ca fait du bien) contre les IDS voici quelques articles symathiques :
http://pulhas.org/phrack/54/P54-10.html(...)
http://www.all.net/journal/netsec/9712.html(...)
http://www.all.net/journal/ntb/index.html(...)
# Faut pas non plus croire au père Noël....
Posté par Aza . En réponse à la dépêche L'IDS à l'honneur. Évalué à 10.
- Y'a trois ans c'etait les firewalls : t'avait pas ton firewall t'etais le dernier des cons.
- Y'a deux ans c'etait les IDS : t'avais pas ton IDS t'etais le dernier des cons.
- Y'a un an c'etait les VPN : t'avait pas ton VPN t'etais le dernier des cons.
- Cette année c'etait les PKI : t'avait pas ta PKI t'etais le dernier des cons.
Qu'est-ce qu'ils vont encore nous inventer l'année prochaine ? est-ce qu'on va revenir aux IDS ou au firewall et refaire un tour ?
Soyons clair : un IDS est de par sa conception un truc branlant. Quand on met un IDS pour écouter le vaste monde (Internet) soit il passe son temps a couiner au moindre paquet IP qui ne lui plait pas (et l'admin finit par en avoir marre et ne même plus prendre garde aux couinements) soit il laisse passer les trois quarts des trucs.
Comme me disait un collègue : les systèmes de detection d'intrusions qui marchent vraiment c'est les champs de mines.
En fait une facon d'utiliser un IDS serait de le mettre dans son propre réseau plutot que sur le net : ce qui interresse vraiment c'est les intrusions dans le reseau et pas les 300 tentatives de code red qui de toutes facons ne sont pas passés. Ceci dit l'IDS risque de ne pas servir souvent dans ce cas la.
Bref l'IDS je n'y crois pas trop. C'est mieux que rien mais ca ne suffit pas. Loin de la.
[^] # Re: Les logs au départ c pas pour la sécurité a long terme
Posté par Aza . En réponse à la dépêche Vous fiez-vous à vos logs système ?. Évalué à 4.
Le vrai problème que pose AMHA les logs ca n'est pas les logs en eux mêmes c'est qu'il faut les lires et savoir quoi logguer. Logguer plein de trucs ca permet certes de produire des beaux graphiques mais franchement combien de boites ont une politique efficace de verification des logs et savent s'organiser en cas de problème pour voir vraiment ce qui a été et ce qui n'a pas été ? Tres peu a mon avis.
Si un gus fait un troyen qui utilises des requetes basé sur les ports reservés au DNS pour passer le firewall (je crois que nameserver c'est le port 42 mais j'en suis plus sur du tout) il a peut de chance qu'on le voit : franchement qui regarde les logs d'un DNS ?
Bref le problème encore une fois de plus est humain, pour la sécurité des logs comme dit plus haut, il existe déja des solutions techniques.
[^] # Re: Arf :)
Posté par Aza . En réponse à la dépêche Google Groups remonte aux années 80. Évalué à 4.
En effet, vu les merdes que ca a occasionné, mettre une partie de la gestion graphique dans le noyau pour gagner des perfs n'a pas apporté que des avantages. En fait ca represente surtout la caractéristique de microsoft : on fait complexe. Ils ne savent pas se contenter d'un modèle simple il faut qu'ils rajoutent tout un tas de fonctionnalités. Forcément ils ne pouvaient pas utiliser un modèle monolithique c'etait trop simple.
> Effectivement si on inclus MacOSX et NT , >tannenbaum a raison, mais je ne vois aucun >avantage vraiment indeniable a ces OS vis a vis >d'un monolithique comme linux.
Effectivement, surtout que dans ces deux cas le modèle client serveur a été pensé pour etre optimisé sur une machine isolé et orienté performance ce qui fout en l'air une grande partie de l'avantage du modèle.
>Peut etre devrait-on penser que le model mk est >bien adapte a un style de dev "cathedrale" >propre a une societe commerciale. Et que seul un >dev "bazard" comme celui de linux permet de >realiser un monolithique correct ? Je ne sais >pas je pose la question.
Je ne pense pas (a propos il n'y a pas de modèle mk mais client-serveur. Le micro noyau est utilisé principalement utilisé dans le modèle client-serveur, c'est la nuance de la chose) dans le sens ou le développement en bazaar n'est pas basé sur une architecture technique particulière. Le modèle monolithique est plus simple c'est peut etre ce qui favorise son choix sur les os libres. Mais ca ne veut pas dire qu'on ne pourrait pas faire autre chose.
[^] # Re: Arf :)
Posté par Aza . En réponse à la dépêche Google Groups remonte aux années 80. Évalué à 9.
Bonne question :-)
En fait au début (c'est a dire sur le papier) le MK proposait plusieurs avantages :
- une plus grande sécurité : comme l'idée c'est de mettre les serveurs et les drivers dans le userland, si un driver part en vrille, le système reste debout. L'autre avantage c'est que si tu trouves une faille dans un serveur tournant en userland (genre buffer overlfow ou machin du genre) tu n'obtiendras pas forcément l'accès sur la machine (en fait c'est ce qu'on reproche beaucoup au modèle monolithique, comme il y'a plein des choses dans le kerneland, un buffer overlfow dans sur un serveur et on peut passer maitre de la machine).L'inconvenient c'est la vitesse. Ca RAAAAMMME. D'ou l'idée de passer une partie des serveurs dans le kerneland. Le problème c'est que tu perds une partie de la sécurité au profit des performances. Autant rester sur un noyau monolithique si on veut aller vite.
- les émulateurs : comme un micro noyau gère très peu de choses : il est possible de mettre des serveurs au dessus pour émuler facilement des systèmes d'exploitation. Mac OS X le fait par exemple : il est capable de lancer deux systèmes d'exploitation en même temps (Mac OS X et Classic) ce qui permet d'utiliser les applis des deux mondes de manières transparentes. On pourrait également imaginer un système a MK sur x86 capable de faire tourner des programmes MS-DOS, Windows, Linux et FreeBSD de manière transparente. Le problème c'est que la loi sur la propriété intellectuel met un sale coup a ce projet(faudrait payer une licence pour chaque système commercial émulé) et qu'au fond ca n'interresse pas tant de gens que ca.
- Les sytèmes distribués. C'etait la grande marotte des micro noyaux : en effet si les serveurs ne sont pas dans le kerneland ils peuvent très bien etre sur une autre machine. A partir de la on peut écrire des systèmes permettant de gérer des clusters très facilement : on rajoute la machine et hop tout collabore de facon transparente. On peut faire ce genre de chose avec MOSIX sous linux mais il faut patcher son système. En fait le problème c'est qu'un système distribué n'a pas de bonne performances comme système isolé. Ca n'exige pas les mêmes choses. On a donc favorisé le developpement de systèmes d'exploitation plus orienté isolé (c'est a dire que tout tourne sur une seule machine) mais avec l'explosion des reseaux peut etre qu'on reviendra a des besoins de systèmes d'exploitations distribués. L'avenir le dira.
- La portabilité : on s'est rendu compte que c'etait une connerie. Un système monolithique peut également étre très portable.
L'idée donc c'est qu'un MK ca ne sert a rien pour un utilisateur lambda. C'est bien pour des applications bien précises (nottament les clusters) mais les systèmes actuels n'ont pas cette optique. On privilégie la vitesse avec un noyau monolithique ou en passant plein de trucs en kerneland, ce qui au fond, n'est pas forcément plus mal.
[^] # Re: Arf :)
Posté par Aza . En réponse à la dépêche Google Groups remonte aux années 80. Évalué à 10.
>j'en doute fort.
Quelques précisions sur cette histoire :
En fait Tannenbaum n'avait pas en tete uniquement les micro noyaux. Il faut lire son (en fait ses) bouquin sur les systèmes d'exploitation pour le comprendre. L'idée c'est que ce qui allait se développer c'est le modèle client-serveur (mais pas dans le sens machine, dans le sens système d'exploitation) au détriment du modèle monolithique. Ce qui fait le lien c'est que pour un modèle client-serveur le micro noyau est très adapté, nottament pour l'informatique distribué. D'ou l'erreur de tannenbaum : puisque c'est le modèle client-serveur qui va se développer, alors le micro-noyau va se développer aussi. Le problème c'est que le modèle client-serveur peut se passer d'un micro-noyau stricto senso
Dans un sens tannenbaum n'avait pas tort, il a simplement surestimé le temps d'évolution des systèmes d'exploitations : on se dirige de plus en plus vers des systèmes a capacités distribués, mais ca met un peu plus de temps.
D'ailleurs on l'oublie trop souvent mais windows NT (et la suite) fonctionne sur le modèle du client-serveur. Il n'y a pas de micro noyau stricto senso mais l'idée est la : ca n'est pas un modèle monolithique.
Pour mac os X c'est pareil : ca n'est pas un micro noyau stricto-senso, mais ca repose sur le modèle client-serveur.
Si on compte uniquement la basé installé (ce qui n'est pas un argument prouvant quoi que ce soit) alors tannenbaum a raison : le modèle monolithique n'est plus le plus utilisé puisque windows ne l'utilise pas et que windows éclate tout le monde en terme de part de marché.
[^] # Re: Mais quel interet...
Posté par Aza . En réponse à la dépêche Un autre compilateur Java générant du code natif x86. Évalué à 2.
ISO ne signifie pas "International Standardisation Organisation" (ce qui d'ailleurs est de l'anglais incorrect, la version correcte etant "International Organization for Standardization") mais est un mot dérivé du grec et signifiant égal, ce qui tombe bien pour un organisme de normalisation et permet que le monde entier utilise le même nom.
plus d'info sur http://www.iso.org/iso/fr/aboutiso/introduction/whatisISO.html(...)
voila voila...
[^] # Re: C'est du délire !
Posté par Aza . En réponse à la dépêche Microsoft.... censure et futur. Évalué à 4.
[^] # Re: Java est mieux !
Posté par Aza . En réponse à la dépêche C# vs Java. Évalué à 2.
- Il est en cours de normalisation. Ce qui n'est pas le cas de Java qui lui reste langage proprietaire de SUN.
- Certaines parties sont nettement mieux fichues. Pour info tu peux aller sur http://genamics.com/developer/csharp_comparative.htm(...) . Attention cependant a ne pas confondre .NET et C# : C# c'est le langage, .NET c'est le framework. D'ailleurs il va bientot y avoir une extension .NET pour Java.
[^] # Re: Pour rire
Posté par Aza . En réponse à la dépêche Asci/White Ibm. Évalué à 1.
[^] # Re: user1> aaah!! un extrémiste... user2> ou ca ????
Posté par Aza . En réponse à la dépêche Conférence par RMS. Évalué à 1.
C'est pourtant ce qui fait le succès de la chose : RMS doit etre extremiste parcequ'un modéré n'aurait aucune chance de se faire entendre comme lui. Il en fallait de la determination pour faire ce qu'il a fait, et quelqu'un de plus modere se serait contenté de bosser au MIT avec un super salaire.
Non il faut un representant fort en gueule, extremiste et charismatique sinon ca ne passera pas.
Il faut aussi des gens plus modere derrière afin d'expliquer les choses plus calmement aux gens en particulier...
[^] # Re: Microsoft donne le code source ????
Posté par Aza . En réponse à la dépêche Interview de Bill Gates. Évalué à 1.
Si ils exposaient le code de Word XP, je suppose que ca depasserait la tour eiffel....