DaFrog a écrit 28 commentaires

  • [^] # Re: Intéressant

    Posté par  . En réponse à la dépêche Colloque Calcul Scientifique (et les logiciels libres). Évalué à 2.

    une "pub pour l'INRIA"??? Il y a seulement deux exposés "INRIA" dont un sur Scilab, je vois mal comment cela peut être pris pour une pub pour l'INRIA.

    Quant'à la glorification de la recherche française, je ne pense pas que ce soit le but de ce colloque.

    Maintenant, je ne suis pas non plus convaincu que le public visé viendra, mais si déjà des industriels et des chercheurs peuvent discuter "calcul scientifique", je ne m'en plaindrai pas.

    DaFrog
  • [^] # Re: Et la reconnaissance vocale ?

    Posté par  . En réponse à la dépêche Souricom : ou comment rendre l'ordinateur accessible aux grands handicapés physiques.. Évalué à 1.

    N'étant pas utilisateur, je ne peux pas me prononcer sur la "réalité" de ces solutions, mais le Speech-Recognition-HOWTO recense pas mal de solutions basés sur la partie libre du ViaVoice d'IBM dont la qualité était assez bonne la dernière fois que j'ai regardé. DaFrog. http://www.tldp.org/HOWTO/Speech-Recognition-HOWTO/(...)
  • [^] # Re: Lire MS Office document

    Posté par  . En réponse à la dépêche Sortie de KOffice 1.4. Évalué à 3.

    pour lire, sans conteste, antiword (éventuellement pipé dans ton PAGER préféré).

    --
    DaFrog
  • [^] # Re: finalité ?

    Posté par  . En réponse à la dépêche Mozilla définit la politique d'utilisation de ses marques.. Évalué à 6.

    > Mozilla, ils se prennent un peu la tete parce qu'ils sont devenus trop marketing.

    Le fait qu'ils aient du changer le nom de leur navigateur plusieurs fois suite à des procès ou des menaces de procès joue sans doute aussi un peu dans leur tendance à se "prendre la tête".

    Maintenant que leur navigateur marche bien, ils n'aimeraient pas avoir à changer son nom en, chais pas moi, RedPanda (tm)...

    Le monde du libre n'en a sans doute pas encore l'habitude, mais il faut savoir se protéger (c'est à ça que servent les licences (libres)), et d'autres l'ont fait avant eux.

    Comme déjà noté dans d'autres commentaires, tout cela m'inquiète bien moins que le passage d'OOo à Java (tm).

    DaFrog.
  • [^] # Re: Recherche

    Posté par  . En réponse à la dépêche Italie : subventions publiques = domaine public. Évalué à 4.

    Personnellement (je suis chercheur, payé à 100% par l'état) je ne souhaite absolument pas que mon travail aboutisse dans le domaine public!

    Je suis par contre pour que mon employeur, qui co-détient le copyright avec moi, accepte la mise sous une licence libre.

    Si je produis un logiciel, je préfère qu'il soit protégé par la GPL pour éviter que n'importe qui en fasse n'importe quoi, plutôt que de le mettre dans le domaine public.

    Si l'état finance mon travail ce n'est pas pour que MiniMou le réutilise gratuitement et le fasse payer, si?

    --
    DaFrog.
  • [^] # Re: Format des binaires ?

    Posté par  . En réponse à la dépêche OpenBSD 3.4 bientôt dans les bacs. Évalué à 5.

    oui, a.out, mais cela ne permettait pas la mise en place du schéma W^X
    (pages accessibles en écriture ou en execution, mais pas les deux).

    cf: http://marc.theaimsgroup.com/?l=openbsd-misc&m=105056000801065&(...)
  • # Re: Sortie de GNU Go 3.4

    Posté par  . En réponse à la dépêche Sortie de GNU Go 3.4. Évalué à 1.

    Au fait, GNU-Go vient de terminer 6ème sur 18 du Gifu Contest 2003 avec 5 victoires sur 9.

    c.f. http://mail.gnu.org/archive/html/gnugo-devel/2003-08/msg00030.html(...)

    pas mal...

    DaFrog.
  • [^] # Re: Sortie de GNU Go 3.4

    Posté par  . En réponse à la dépêche Sortie de GNU Go 3.4. Évalué à 2.

    Juste un lien de plus, mais pas le moindre :
    L'échelle des commentaires : http://gtl.jeudego.org(...)

    Vous pouvez y donner vos parties à commenter et commenter celles de joueurs plus faibles. L'idéal pour progresser.

    Amusez-vous bien,

    DaFrog.
  • [^] # Re: Pourquoi ne pas tout dire ?

    Posté par  . En réponse à la dépêche Encore des fuites de vulnérabilités ?. Évalué à 3.

    > je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en
    > commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin
    > pirater ou faire toute autres choses malvaillantes

    euh... aucun?

    D'abord parce que c'est Mal(TM) et que les developpeurs de LL sont des gens Bien(TM).
    Mais surtout car si tu as passe des heures/jours/mois à developper un projet LL, je pense que tu n'a vraiment pas intérêt a lui nuire en exploitant une de ses failles.

    > Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il
    > me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes
    > chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant
    > les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l
    > appli buggée

    Tiens, il y a une faille dans le noyau Linux, je vais arreter l'appli buggée... euh... ah ben c'est dommage...

    Pouvoir maintenir une qualité de service certaine à ses utilisateurs nécessite de patcher au plus vite et de ne pas arreter quoi que ce soit (en tout cas autant que possible).

    Je prefere prendre le risque d'un developpeur mal intentionné qui exploiterait une faille non-publique (chance quasi nulle) au risque d'un script-kiddie utilisant un exploit dispo sur le net, avant que j'aie les moyens de patcher...

    Je ne dis pas qu'il faut attendre systématiquement un patch (on attendrait toujours Microsoft par exemple), mais au moins laisser un temps aux developpeurs bien intentionnés de mettre à jour leur LL (c'est juste le respect du à leur travail) avant de rendre publique une faille.

    Mes deux Eurocents,

    DaFrog.
  • [^] # Re: Le problème est très simple

    Posté par  . En réponse à la dépêche Le gouvernement incite les chercheurs à tenter de breveter les logiciels. Évalué à 4.

    > Le problème c'est que à ce niveau les chercheurs sont égoistes et ne veulent pas
    > partager leur logiciel avec d'autres. Pourquoi? ben parce que sinon il se font griller
    > (envore plus vite) par la concurrence, donc adieu publications et renommée.

    Si je puis me permettre, c'est à peu près n'importe quoi: au contraire, un chercheur se fait connaître par son logiciel. Prend les exemples de logiciels diffusés par l'INRIA et donnés dans un news d'il y a quelques semaines: la plupart sont libres et fournissent renommée et publi(cation)s à leurs auteurs (dans le domaine des langages CAML et Cie, GNU-prolog, etc... même les softs non-libres comme Scilab sont de bonnes alternatives aux standards plus fermés).

    D'autre part les chercheurs programment aussi eux-même (et je suis bien placé pour le savoir), mais ils ont bien sur moins de temps à y consacrer que des doctorants ou des ingénieurs experts...

    Par conséquent, le problème n'est pas si simple: les chercheurs aimeraient programmer plus de libre, mais il n'en ont pas toujours le loisir dans le cadre de contrats avec des industriels, alors...

    DaFrog.
  • [^] # Re: Microsoft recherche hauts-fonctionnaires...

    Posté par  . En réponse à la dépêche Microsoft recherche hauts-fonctionnaires.... Évalué à 2.

    Je ne connais pas bien le statut des fonctionnaires Européens, mais en France l'article 25 de la loi de 1983 sur les droits et obligations des fonctionnaires empêcherait ce genre de choses...

    DaFrog.
  • [^] # Re: GNU/Hurd & Linux Magazine France No 45

    Posté par  . En réponse à la dépêche GNU/Hurd & Linux Magazine France No 45. Évalué à 1.

    Sur la place de la news et du commentaire, je suis 100% d'accord avec Cyprien.

    Sur le contenu, j'ai certes été un peu décu de la légèreté de l'article sur SMTP (y aura-t-il une suite un peu plus approfondie?), surtout quand ensuite j'ai passé rapidement les 3 (!!!) articles sur la 3D, mais bon...

    C'est un numéro que j'ai lu un peu trop rapidement à mon gout pour que cela soit très bon signe, mais rien de dramatique...

    DaFrog.
  • [^] # Re: Bravo!

    Posté par  . En réponse à la dépêche Documentation de sysctl (partie IP) sous Linux. Évalué à 10.

    > Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement.

    C'est malheureusement le cas de la plupart des gens, or si tu ne sais pas ce qui se cache, par exemple dans "icmp_echo_ignore_broadcasts", tu peux être, à ton insu utilisé pour lancer une attaque smurf...

    Moralité, la paranoïa est ton amie!

    DaFrog

    P.S. Pour ceux qui n'ont rien compris à mon blabla, lisez donc le paragraphe "icmp_echo_ignore_broadcasts" de l'url donnée en référence.

    P.P.S. Une attaque smurf consiste en gros à usurper une adresse IP, puis à lancer des pings broadcast dont toutes les réponses vont surcharger la machine dont vous avez usurpé l'adresse...
  • # Bravo!

    Posté par  . En réponse à la dépêche Documentation de sysctl (partie IP) sous Linux. Évalué à 7.

    Juste un mot pour féliciter l'auteur de cette référence très pratique pour les utilisateurs d'un noyau 2.4 un peu soucieux de leur gestion IP (tout le monde?).

    DaFrog
  • [^] # Re: serveur de clefs

    Posté par  . En réponse à la dépêche GnuPG 1.2. Évalué à 5.

    Il est très facile de patcher le code source pour cela (c'est ce que je fais à chaque fois) (util/http.c de mémoire), et ajouter la partie nécessaire (2 lignes).

    Dès que j'aurais le temps (hum hum) je rendrai mon patch exploitable (pour l'instant il authentifie même si cela n'est pas nécessaire, ce que certains proxys n'aiment pas, et prend le mot de passe sur la ligne de commande, beurk) et l'enverrai à leur équipe. D'ici là tu devrais essayer toi-même, surtout si l'on se fie à ton slogan: "Use the source, Luke"...

    DaFrog.
  • # Quelques remarques

    Posté par  . En réponse à la dépêche Les détails de la faille d'OpenSSH. Évalué à 10.

    C'est OpenSSH 3.4 (et pas OpenBSD) qui est sorti; il règle quelques autres problèmes, donc devrait être utile à installer.

    La ligne en question est à "no" dans pas mal de distrib (Mdk 8.2, RedHat 7.1, etc...) et ne devrait pas trop gener (qui utilise des SKey avec OpenSSH? sans parler de BSD_Auth sous Linux). Il est à noter que pour ceux que cette config dérange OpenSSH 3.3 avec Privilege Separation, ou encore mieux OpenSSH 3.4 sont une solution.

    DaFrog.
  • # Ne pas oublier syslog-ng et fwlogwatch...

    Posté par  . En réponse à la dépêche Supervision de pare-feu avec firelogd. Évalué à 10.

    Le premier : http://www.balabit.hu/en/downloads/syslog-ng/(...) remplace syslog et permet de trier les logs avec des expressions régulières (et pas seulement par priorité comme pour syslog). On peut donc "facilement" regrouper tous les logs orientés sécurité dans un log à part...

    Le second : http://cert.uni-stuttgart.de/projects/fwlogwatch/(...)
    permet de filtrer les logs ipchains/iptables/ipfilter/snort et d'autres, de générer du HTML ou du texte brut, d'envoyer des e-mails, etc...

    Même si c'est à l'admin de faire le boulot, il vaut mieux être bien équippé.

    DaFrog.
  • [^] # Re: pour résumer

    Posté par  . En réponse à la dépêche Fork d'OpenBSD. Évalué à 10.

    Pas tout à fait:
    Stephanie est concu comme un ensemble de patchs du noyau OpenBSD destiné à intégrer la distrib par défaut, alors que MicroBSD est un fork, avec du code de Free et NetBSD; les sources de Stephanie sont dispo, ce qui n'est pas encore le cas de MicroBSD.

    Ce sont des détails, mais personellement, je préfère largement la solution Stephanie: améliorer la sécurité d'OpenBSD plutot que de créer (encore) un fork supplémentaire...

    D'autres différences: MicroBSD inclut un IDS et un certain nombre de serveurs par défaut; il est aussi concu pour tourner à partir d'un CD par exemple...

    DaFrog.
  • # RING

    Posté par  . En réponse à la dépêche OS fingerprinting : du nouveau.. Évalué à 10.

    Je me permets de signaler ici l'existence de RING, un outil d'OS fingerprinting open-source développé par Intranode (http://www.intranode.com/site/techno/techno_articles.htm(...)).

    Contrairement à iQ, RING reste basé sur des paquets TCP, mais seulement un SYN (et c'est tout!!!); il est donc très discret et a moins de chances d'être bloqué qu'iQ (qui chez moi ne donnerait pas grand chose...).

    RING est très jeune aussi, mais il est accompagné d'un whitepaper intéressant et compile sans problèmes. Ca vaut la peine d'y jeter un oeil, tout en gardant à l'esprint que tous les outils d'OS-fingerprinting (nmap, x-probe, iQ, ring, etc.) doivent être considérés comme complémentaires plutôt que concurrents.

    DaFrog
  • [^] # Re: Secure by default

    Posté par  . En réponse à la dépêche Les r-serveurs disparaissent d'OpenBSD. Évalué à 8.

    > telnetd est toujours là mais n'est pas activé non plus. Je pense que la raison pour laquelle telnet est encore là, c'est qu'utilisé proprement (avec des OTP [One Time Password] par exemple) le protocole reste utilisable, et que malheureusement le nombre de machines sans client ssh reste important (ou plus drole: un client SSH1 seulement et un serveur SSH2 seulement)... DaFrog.
  • [^] # Re: Pire que MS ?

    Posté par  . En réponse à la dépêche OpenBSD 2.9 is dead. Évalué à 2.

    C'est plus simple que ça: le projet de Darren Reed "OpenBSD 3.0 + ipfilter" te fournit tout ce qu'il faut:

    http://openbsd30.ipfilter.org/(...)
  • [^] # Re: j'ai teste pour vous sous linux

    Posté par  . En réponse à la dépêche Faille dans certains noyaux : détournement de stdio/stderr. Évalué à 6.

    > sur ma version de linux il y a bien le probleme.

    Et c'est quoi comme "version" (distrib? noyau?)?

    Au fait, si tu fais juste "make doit" ça marche car "root_owned_file" est a toi et pas a root! ;)

    "touch root_owned_file" doit etre éxecuté par root (qui devrait avoir un umask tel que le fichier ne soit pas accessible en ecriture pour les autres utilisateurs), alors que "./exploit compromised" doit etre éxecuté par un utilisateur non-privilégié...

    DaFrog.

    P.S. Chez moi ça ne marche nulle part (diverses Mandrake, Debian et OpenBSD).
  • [^] # Re: Un peu décevant.

    Posté par  . En réponse à la dépêche Reconnaissance de la parole: HOWTO. Évalué à 2.

    Quelques remarques: Il n'est pas nécessaire de franchir toutes ces étapes pour "reconnaître la parole", en tout cas au sens de ce HOWTO: par exemple il n'est pas nécessaire de lever les doutes grammaticaux et sémantiques pour transcrire automatiquement de la parole (cf. les systèmes statistiques dont parle le HOWTO). Pour ce qui est de comprendre la parole, c'est peut-être un autre problème, mais il est à noter que des systèmes de dialogue fonctionnent très bien sans avoir un sens aigü de la grammaire! (ils ont juste une grammaire et un vocabulaire plus réduits que les notres). Moralité, on peut facilement parler à son ordinateur, cf. les commandes vocales désormais incluses dans KDE... Sur le problèmes des ressources libres, il y a certes un effort important à faire, mais on peut constater que les choses bougent et que la France n'est pas si nulle que ça (voir les travaux de l'AUPELF/UREF) pour ratrapper son retard sur les US. Le dictionnaire Hachette/AUPELF http://www.francophonie.hachette-livre.fr/ n'est pas libre mais pourrait le devenir... Les projets de l'ARTFL fournissent grammaire et dictionnaire sur le web. Bref, on n'est pas si loin que ça d'une situation pas si mal que ça... DaFrog.
  • [^] # Re: Etat des lieux ?

    Posté par  . En réponse à la dépêche Reconnaissance de la parole: HOWTO. Évalué à 2.

    Pour être précis, il faudrait définir ce que tu entends par reconnaissance vocale et par fiable. Comme expliqué dans le HOWTO, il y a plein de tâches différentes, avec des difficultés variables et des moyens divers de mesurer la fiabilité. Si on parle de "grand vocabulaire" (disons 65000 mots), d'indépendance du locuteur, et de fiabilité (disons moins de 20% de taux d'erreur de mot [mot inséré, élidé ou changé]), il reste encore à définir plein de choses: Un ou plusieurs locuteurs? Parole lue ou spontanée? Bruitée ou pas? Actuellement les meilleurs systèmes (dont l'un est français, d'un labo CNRS) arrivent à être fiables (20%) sur du grand vocabulaire (65000) pour de la parole type radio/télé (plusieurs locuteurs, mais parole pas vraiment spontanée et peu bruitée) et ceci avec un temps de traitement très long (plusieurs dizaines de fois le temps-réel). Par contre sur des vocabulaires plus restreints, ou dans des conditions plus faciles (un seul locuteur, peu de bruit, etc.), il existe des systèmes fiables en temps réel (ceux de dictée vocale par exemple, qui ont de moins en moins besoin de s'adapter au locuteur). Bref, on regrette en effet un état des lieux, mais les références biblio devraient combler ce manque... DaFrog.
  • [^] # Re: GNU/Linux aussi

    Posté par  . En réponse à la dépêche Un trou dans le logiciel mail sous OpenBSD. Évalué à 4.

    Si ta machine a au moins un port ouvert, alors tu es admin d'un serveur, que tu le veuilles ou non... Si une faille dans ton serveur [remplacer par ce qui tourne chez toi: web/mail/cups/ssh/...] permet a "nobody" de lancer "/bin/sh", tu viens de donner un shell a un utilisateur mal intentionne. :(

    Moralite, si un package connu pour etre vulnerable est sur ta machine: upgrade le ou vire le!

    DaFrog.