galactikboulay a écrit 620 commentaires

De ce que j'ai lu, ça serait ça: avoir le composant qui s'insère entre le BMC et sa flash (en SPI) pour en altérer le firmware.
Causer en SPI ne demande pas beaucoup de broches, et s'il s'agit de patcher au vol quelques octets bien spécifiques, ça semble relativement plausible.

Juste 2 remarques:

• HPKP va être abandonné par Google pour Chrome: https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/he9tr7p3rZ8/eNMwKPmUBAAJ , à voir si les autres navigateurs vont suivre le même chemin.

• HSTS indique juste au navigateur client qu'il doit utiliser la version HTTPS du site, pour une certaine durée, il n'y a pas d'information de clé.

J'ai peut-être mal regardé mais je ne vois pas pour l'instant la possibilité d'acheter des serveurs équipés de ces CPU.

CloudFlare a eu accès à des prototypes j'imagine, quelqu'un sait quand la diffusion sera moins restreinte ?

Ce qui est quand même hallucinant, c'est que les gus de NPM n'ont a priori même pas pris la peine de voir ce qui se fait ailleurs: côté Java avec Maven, la suppression ou la modification d'un artifact de production (pas marqué SNAPSHOT) ne sont normalement pas autorisées, justement pour éviter ce genre de situations.
Si quelqu'un pousse un artifact bogué sur Central, la seule solution est de pousser une nouvelle version.

Merci, ça m'a convaincu de rester sur VueJS.

Ici on comparait Amazon / Google et autres par rapport à la collecte et à l'exploitation des données personnelles, vu que c'est un peu difficile de comparer Amazon avec les autres sur la partie entrepôts/commerce/manutention (*). La partie "conditions de travail", j'ai précisé un peu plus loin que c'était pour moi rédhibitoire.

En ce qui concerne les supermarchés/hypermarchés qui se plaignent, je trouve ça quand même ironique, je n'ai pas l'impression que ça leur ait causé de gros cas de conscience quand ils ont tué une bonne partie des petits commerces…

(*) Eventuellement avec Apple et ses sous-traitants.

Merci de me prendre pour un débile, évidemment que je suis au courant qu'ils établissent des profils clients, tous les sites d'e-commerce le font. Il suffit de voir leurs suggestions où c'est en gros "parce que vous avez aimé ceci, vous aimerez sans doute cela", ils ne s'en cachent même pas (et d'ailleurs leur système est plutôt pertinent dans ses suggestions).
Le but d'Amazon ici c'est de chercher à fourguer d'autres trucs, quel scoop…
Quant à Google, justement, on ne sait pas comment sont utilisées les requêtes sur le moteur de recherche, et quels sont les recoupements faits avec les autres services de l'entreprise. C'est pour ça que je trouve ça bien plus problématique qu'Amazon.

Je n'ai aucun doute sur le fait que les développeurs soient choyés chez Amazon. Ce qui me dérangerait, c'est de travailler dans une boite où la considération des employés est à 2 vitesses…

Après, je ne sais pas si la situation des employés dans les entrepôts décrite dans les articles de presse est une généralité ou s'il s'agit de cas de management dévoyé propres à ces sites.

C'est évidemment une appréciation subjective de ma part, mais là où Amazon est essentiellement un site de commerce et un fournisseur de services Cloud (dont on peut se passer pour les 2 usages), Google dispose d'une foultitude de données collectées à partir de son moteur de recherche, de son service de publicité en ligne, des mails hébergés sous Gmail, des vidéos youtube consultées et de tout un tas d'autres services. L'usage qui est fait de ces données est complètement opaque, et ça me gêne qu'un acteur quasiment incontournable dispose d'une telle masse de données sans presque aucun contrôle.

Google, Facebook, Apple et Microsoft, clairement non pour raisons éthiques.

Amazon, j'adorerais bosser sur la partie technique derrière AWS. Par contre l'aspect managérial / conditions de travail dont on entend régulièrement parler notamment dans les entrepôts fait que je n'ai pas une image très positive de cette entreprise…

Dans le cas particulier d'un CSR 1000V qui est un routeur tournant sur une infra de virtualisation, on peut "bootstrapper" la configuration initiale, comme décrit ici pour KVM:

http://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html#d36360e1673a1635

En ce qui concerne la licence de ce produit, il y a un mode d'évaluation qui permet d'avoir l'ensemble des fonctionnalités à débit réduit (100 Kb/s de mémoire), mais c'est limité à 60 jours. Après, il faut installer une licence payante, qui dépend des fonctionnalités et du débit souhaité.

Non absolument pas, à partir du moment où les drivers nécessaires (notamment disque et filesystems) sont compilés dans le noyau, il n'y a aucune raison que ça ne marche pas.
Le journal ne présente aucun intérêt en tant que tel :)

Pour ceux comme moi qui n'ont pas suivi, il est arrivé quoi ?

Est-ce que l'ID de la montre n'aurait pas été tout simplement affecté 2 fois par erreur ?

Il te reprenait sur l'orthographe: c'est un algorithme (pas de "y").

Bon ça tombe bien, je suis en train de me documenter sur DNSSEC, c'est donc un bon exercice pour voir si j'ai bien compris.

Au niveau de la zone opendnssec.org:

• Les enregistrements A et AAAA sont censés être signés par la clé ZSK (Zone Signing Key) 51168 qui a priori n'existe pas/plus, ou n'est pas signée par au moins l'une des 2 KSK (Key Signing Key) en bleu.
• Il existe une ZSK (la 7294) correctement signée par les 2 KSK, on peut supposer que les enregistrements auraient du être re-signés avec cette clé (je suppose que c'est la nouvelle, qui remplace la 51168). Quelle est la cause exacte ? Problème de resignature des enregistrements ou de la ZSK elle-même ?

Le truc au niveau du rollover sur lequel je m'interroge, c'est la fréquence de rollover conseillée pour les KSK, à savoir 1 an. Est-ce que tout le monde respecte vraiment ça ? La publication d'une nouvelle KSK demande d'envoyer le hash de celle-ci au gérant de la zone parente pour qu'il créée un enregistrement DS avec le hash (avec la signature associée). Quand on a des dizaines de domaines ça peut vite devenir une plaie, comment ça se passe en pratique ?
(Pour les ZSK, le rollover conseillé est tous les 3 mois, mais contrairement aux KSK, le gérant de la zone est autonome pour cette gestion, donc ça ne pose pas de problème).

Je rejoins aussi cet avis, cette trilogie (qui contient Silo, Silo Generations et Silo Origines, le dernier commençant comme un prequel) est vraiment excellente.

Et c'est quoi le rapport avec le n° du PID dis-moi ? Est-ce j'ai dit que systemd est un seul gros blob tournant sous la forme d'un seul process ?

Je me demande bien dans mon post où j'ai parlé d'interdire quoi que ce soit (déjà je ne vois pas par quel miracle j'aurais ce pouvoir).
Ecrire un client NTP ou un resolver DNS, c'est casse-gueule et ce n'est pas le "coeur de métier" de systemd. Si les développeurs systemd avaient un besoin spécifique, ça me paraissait effectivement plus logique d'aller discuter avec des projets existants que de réinventer la roue. L'ont ils fait et/ou ont ils d'autres arguments je ne sais pas non plus, mais ce genre de discussion n'est pas forcément publique ou facile à retrouver.
Après, même remarque que celle que j'ai faite plus bas: en quoi un client NTP ou un resolver DNS devraient-ils être spécifiques systemd ?

Effectivement, déléguer cette résolution de nom à un programme tiers dédié parait être la bonne approche. Maintenant, pourquoi intégrer ce morceau obligatoirement dans systemd alors que celui-ci n'est pas portable ? Avoir un resolver capable de gérer du DNS, du mDNS, du /etc/hosts, du WINS, etc. ça peut intéresser d'autres systèmes, je ne vois pas pourquoi ça devrait être spécifique systemd. Ca rejoint un peu la problématique "udev" déjà évoquée par le passé.

Le point de vue "systemd veut faire trop de choses" est à mon sens pertinent: en quoi est-ce le rôle de systemd de faire resolver DNS (et en plus c'est mal fait apparemment) ou client NTP ? Il y a des projets qui travaillent sur ces points depuis des années, pourquoi vouloir les bypasser ?

Tu es au courant qu'en dehors de Paris/Lyon/Marseille/… il existe aussi des villes de 40-50 khab avec écoles/collèges/restos/hôpitaux/fibre/aéroport ?
On se demande effectivement pourquoi tout hyper-concentrer sur quelques très grosses agglomérations alors que des villes de taille moyenne feraient largement l'affaire.
L'hyper-centralisation avec Paris est vraiment un problème en France.

Ok je pensais que ça ne concernait que la partie purement "firmware" et que si tu n'utilisais pas de chipset Intel, c'était un peu caduque du coup (sachant que si tu veux en utiliser un, de toute façon, sans les firmwares signés, ça ne marche pas ou pas longtemps). Intel empêche donc l'utilisation de chipsets tiers dans ses conditions mais est-ce qu'on connait dans le détail l'ensemble de ces conditions ? J'imagine que les fabricants de cartes mères doivent signer un NDA ?

La question est certainement stupide, mais vu qu'il est difficile de se passer des CPU x86, n'est-il pas plutôt envisageable de remplacer la partie Intel PCH par quelque chose de compatible sans la partie vérole Intel ME ?
Si je comprends bien, le PCH gère le SATA, l'USB, le PCI-Express, …, Intel n'est pas le seul à faire ça non ?
En tout cas merci pour l'article, c'est très instructif.

Oui, et l'implémentation de CALEA chez Cisco s'appelle Lawful Intercept:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/lawful/intercept/book/65LIch1.html

"After acquiring a court order or warrant to perform surveillance, the LEA delivers a surveillance request to the target's service provider. Service provider personnel use an administration function that runs on the mediation device to configure a lawful intercept to monitor the target's electronic traffic for a specific period of time (as defined in the court order)."

Donc rien à voir avec une backdoor, c'est une fonction de capture du trafic documentée et prévue pour cet usage et le service provider doit explicitement configurer son équipement pour permettre cet accès pour être en conformité avec la législation.