"J'ai pas de preuve, mais c'est connu dans le milieu hein. Ah et ceux qui disent le contraire c'est des vendus". Tu parles d'une argumentation…
Ce n'est pas mon employeur (et je n'ai pas d'actions non plus ni de tatouage), mais chez moi quand on prétend affirmer quelquechose, on apporte des preuves, c'est un peu le raisonnement scientifique de base en fait. Sinon, on peut justifier l'existence de licornes roses sans aucun problème.
Vu ce que la NSA a été obligée de mettre en place (détournement des livraisons, patches sauvages des firmwares), j'aurais plutôt tendance à penser que Cisco est clean justement. Evidemment, c'est là tout l'intérêt d'avoir des sources ouvertes et libres.
Après, des failles de sécurité, il en existe dans tous les logiciels, y compris libres. Pourtant personne n'affirme que c'est le résultat de devs Linux, Apache, OpenSSL ou PHP qui travaillent pour la NSA.
Pour le terme diffamation, d'après Wikipédia: "En France, la diffamation est une infraction pénale découlant « l'allégation ou l'imputation d'un fait qui porte atteinte à l'honneur ou à la considération de la personne à laquelle le fait est imputé" (personne physique ou morale). Donc désolé mais tu es en plein dedans.
Cisco (connue pour ses backdoors dans ses routeurs).
Tu peux étayer cette affirmation par des preuves ?
Si tu parles de l'affaire avec la NSA, la NSA détournait des livraisons d'équipements Cisco à leur insu pour y implanter des backdoors.
Je ne suis pas spécialiste des blockchains mais j'avais compris que ça marchait de manière distribuée, tu verrais ça comment pour une utilisation en compta/logiciel de caisse ?
Et qu'est-ce qui prouve l'"origine" de ton hash ?
Si tu as une ligne dans ta base de données (genre rentrée de X€ à telle date) avec un hash calculé sur ces données, si tu changes les données et que tu recalcules correctement le hash, je ne vois pas comment tu vas détecter une quelconque fraude.
Pour que le procédé commence à être un peu pertinent, il faudrait signer le hash avec du RSA/DSA/ECDSA et s'arranger pour que l'utilisateur ne puisse pas facilement récupérer la clé, sachant que la partie privée de la clé est tout de même sur sa machine… La clé serait toujours récupérable par quelqu'un d'un peu bidouilleur (dump mémoire, désassemblage/modification du logiciel), le côté proprio comme garantie d'inaltérabilité/intégrité est évidemment illusoire.
Sinon j'imagine que tu as posté ce troll entre deux compilation maven ?
Vu qu'elles téléchargent la moitié du web à chaque fois, il est vrai que ça laisse tu temps libre.
Bel exemple de mauvaise foi crasse. Maven ne télécharge les artefacts (plugins et dépendances) que lorsqu'ils ne sont pas déjà présents dans le repository local.
La 1ère compilation d'un projet peut effectivement demander pas mal de téléchargements, mais sur les compilations suivantes il n'y aura plus nécessiter de télécharger quoi que ce soit.
Elle indique dans son article avoir reçu directement une mise en demeure et essayé de négocier à l'amiable, sans succès.
Qu'elle ait sciemment ignoré la mise en demeure, ça ne change pas le fond du problème, réclamer 20000€ de dédommagement à un particulier pour un préjudice inexistant (sérieusement, qui va confondre leur section "la parisienne" avec ce blog, surtout qu'il n'y rien de commercial dans le-dit blog ?) est honteux. J'espère qu'ils vont se prendre une bonne shitstorm pour leur apprendre le sens de la mesure.
Je pense que s'ils avaient géré le truc de manière raisonnable, c'est-à-dire en demandant simplement la récupération du nom de domaine à leurs frais, et sans dédommagements extravagants, ça se serait déjà mieux passé côté buzz.
Parler de rapport de force avec la menace d'un effet Streisand/Bad buzz alors que Le Parisien appartient au groupe Amaury et demande 20000€ de dédommagement à cette blogueuse qui elle va galérer pour payer les frais d'avocats, je trouve ça bien ridicule.
Sauf erreur de ma part, à moins de disposer de RAM ECC pour la mémoire (ce qui n'est généralement pas le cas sur des machines grand public), il n'y a pas de rattrapage possible dans ce genre de cas. Après l'erreur peut passer relativement inaperçue si la zone mémoire n'est pas utilisée.
Pour les CPU, s'il y a un défaut permanent sur un transistor ou sur une piste, il va être bon à jeter aussi.
Si je ne dis pas d'âneries, Netflow est orienté export d'informations sur les flux IP (les équipements maintiennent donc une table des flux actifs), alors que SFlow fait du packet sampling, ce qui n'est pas la même chose.
Pour ce qui est du "standard", Cisco a toujours publié les informations sur Netflow, Netflow v9 a même servi de base à l'élaboration d'IPFIX (RFC 7011) qui est un standard IETF. D'autres constructeurs pourtant compétiteurs directs (Juniper, Alcatel, etc) ont adopté Netflow, et quand on voit le nombre de collecteurs et d'exporteurs qu'ils soient open-source ou proprio, on voit que cette techno a largement été adoptée. D'ailleurs, Cisco développait son propre collecteur et ne l'a jamais vraiment poussé par rapport aux autres solutions, et ne lui a jamais donné un avantage sur les autres avec des fonctionnalités cachées dans le protocole. Bref, Netflow est devenu un standard de facto, quoi que tu en penses.
En fait Maven ne contient pas de base "40 millions" de features, il s'appuie sur un système de plugins qui viennent s'insérer dans le cycle de vie du build. Certains sont très couramment utilisés (maven-compiler-plugin, maven-jar-plugin, …), d'autres un peu moins souvent, mais c'est rare d'en utiliser un nombre démentiel pour un projet donné.
De toute façon, on ne regarde généralement la configuration d'un plugin que si on cherche à faire qqch qui n'est pas prévu par défaut.
Au pire, s'il n'y a pas ce qu'on cherche, c'est assez simple d'en écrire un soi-même, il y a une API pour ça, et on peut s'inspirer du code des plugins existants. Et le gros avantage, c'est que ça marche comme pour les artefacts: Maven les télécharge tout seul, donc si on a publié le plugin sur Central les autres développeurs peuvent en profiter.
Oui et bien je trouve que les POM Maven sont très abordables justement. Si on prend les concurrents, au hasard sbt ou gradle, il faut apprendre une nouvelle syntaxe (Scala ou Groovy respectivement).
Un truc qui commence à sévèrement me péter les noix, c'est justement les 42000 sortes de fichiers de configuration différents qu'on peut trouver sur nos systèmes. Ca me parait contre-productif de devoir apprendre une nouvelle syntaxe pour configurer un produit donné, au lieu de se concentrer uniquement sur la partie "fonctionnelle". Bon quand c'est un produit comme Apache ça va encore, par contre rsyslog je trouve le format complètement abscons (en fait c'est "à chier" qui m'est venu à l'esprit en premier).
Au début j'étais assez réticent aussi avec le XML pour les fichiers de configuration, et finalement… ça me parait pas si mal (même si c'est pas parfait). C'est parsable directement dans pas mal de langages, ça se génère assez facilement aussi, donc pour l'automatisation c'est largement un plus. C'est JBoss/Wildfly (serveur Java EE), qui se configure en XML, qui m'a vraiment fait changer d'avis. En fait, avec un éditeur qui fait de la coloration syntaxique, capable de réindenter et de faire un minimum de complétion (fermeture des balises), le problème de la verbosité disparaît (à mon sens).
Pour la remarque par rapport à Java EE: oui la tendance est à utiliser des annotations (ex: JPA, EJB), mais les fichiers XML peuvent s'avérer encore nécessaires dans certains cas bien spécifiques. Cela dit, ils ne sont pas très complexes non plus.
Effectivement, je n'ai pas percuté: ce sont des logs Netflow, et les routeurs renvoient port source et destination à 0
pour les paquets fragmentés.
J'ai retrouvé une des attaques en question, le port source était 161/udp (donc SNMP), et la taille (donc celle
du 1er paquet du flux) était à 1500, ce qui est cohérent avec le fait d'avoir de la fragmentation.
Exemple pour un attaquant X.X.X.X vers Y.Y.Y.Y
(timestamp | @IP source | @IP destination | protocol port source port dest | nb paquets du flux | taille total flux):
Je ferais la même remarque que l'intervenant plus haut (Big Pete): je ne pense pas que ça aide spécialement, je pense que personne ne s'amuse
à laisser ouvert 80/udp pour du HTTP.
Pour la petite histoire, précédemment j'ai aussi eu des attaques sur le port 0/udp en destination (mais ce n'était pas avec du NTP amplification).
En ce qui me concerne, j'ai effectivement un filtre à l'entrée qui droppe tout ce qui arrive sur le port 80/udp (parce
que j'ai régulièrement des attaques sur ce port).
Ca protège le reste de mon réseau, mais pas la liaison 10 Gb/s avec mon upstream (qui a quasiment été saturée).
Oui tout à fait, plus précisément:
- Heure de début: 11:26:12.563
- Heure de fin: 11:38:49.936
- Port source: 123, Port destination: 80
D'après les logs Netflow du routeur, cela fait 6800 adresses IP sources différentes, mais j'ai l'impression
que le routeur n'en a exporté qu'une petite partie (TCAM trop petite ?).
Témoignage concret: j'ai eu ce matin une attaque dirigée vers un site du réseau dont je m'occupe, pour un débit d'environ 8 Gb/s.
J'imagine que les scripts kiddies achètent de la capacité pour bombarder une cible de leur choix ? Si quelqu'un connait la manière dont ça se passe ça m'intéresse.
J'aurais tendance à dire que si le device se connecte au bus PCI Express, il peut faire du bus mastering et accéder à potentiellement tout ce qu'il veut.
Cela dit, on peut protéger avec un IOMMU, en ne donnant accès qu'à des plages d'adresses bien spécifiques.
J'ai utilisé dans un projet PBKDF-2 avec comme fonction HMAC-SHA1, 8192 itérations et une taille de salt 256 bits.
Le salt est généré aléatoirement pour chaque utilisateur.
A priori on dirait du niveau -0.5 dans la classification donnée par le journal.
Oui en effet c'est cette expression "logiciel privateur". Je ne vois pas en quoi l'utilisateur est privé de quelquechose entre avant son acquisition du logiciel et après ; la license du logiciel définit ce que tu as le droit (ou pas) de faire, ce n'est pas comme si l'utilisateur était pris en traitre (*).
Le logiciel fournit un service donné dans un cadre d'utilisation donné, si l'utilisateur trouve ça trop restrictif, personne ne le force à en faire l'acquisition si la license ne lui convient pas.
Après, pour ceux qui utilisent "privateur", on sait que ça concerne les libertés accordées par la GPL, mais les pro-license BSD pourraient très bien arguer qu'un soft sous GPL est privateur. Bah oui, on ne peut pas embarquer de code GPL dans un soft BSD et tout mettre sous BSD, ou embarquer du code GPL dans du soft proprio sans tout mettre sous GPL, on peut aussi considérer que c'est une privation de liberté dans ce cas là. Bref, juste pour dire que tout est question de référentiel.
Perso je préfère largement utiliser des logiciels libres, j'ai même publié des choses sous GPL, mais si un truc proprio fait le job et qu'il n'existe pas d'alternative crédible libre, désolé je vais utiliser le truc proprio. Dans le cadre d'IDA, ça m'est déjà arrivé de devoir l'utiliser (ponctuellement), non seulement c'est un bon produit, certes pas libre, mais je ne pense pas que j'aurais pu remplir mon besoin avec des outils libres.
Enfin, même en étant pro-libre, ça me hérisse le poil cette expression, alors j'imagine même pas l'image d'intégristes donnée à des quidam lambda.
"Logiciel propriétaire", ce n'est peut-être pas l'expression la plus optimale (bien que je n'ai pas de meilleure idée à proposer), mais au moins tout le monde la comprend et ce n'est pas du dénigrement gratuit.
(*) Je pourrais à la limite comprendre qu'on utilise le terme privateur dans le cadre de la vente liée.
Alors si je prends la définition de "sport" du Larousse:
Activité physique visant à améliorer sa condition physique.
Ensemble des exercices physiques se présentant sous forme de jeux individuels ou collectifs, donnant généralement lieu à compétition, pratiqués en observant certaines règles précises.
Pour la pêche au bord d'un canal ou d'un étang, désolé j'ai un peu de mal à voir où est l'activité physique.
Pour la chasse, il faut certes marcher, mais le but c'est surtout de dézinguer tout ce qui passe, que ce soit un cerf, un sanglier ou le gros Robert quand le tireur a un coup dans le nez. L'activité physique est loin d'être le but premier.
[^] # Re: Diffamation ?
Posté par galactikboulay . En réponse au journal À propos des certificats. Évalué à 3.
"J'ai pas de preuve, mais c'est connu dans le milieu hein. Ah et ceux qui disent le contraire c'est des vendus". Tu parles d'une argumentation…
Ce n'est pas mon employeur (et je n'ai pas d'actions non plus ni de tatouage), mais chez moi quand on prétend affirmer quelquechose, on apporte des preuves, c'est un peu le raisonnement scientifique de base en fait. Sinon, on peut justifier l'existence de licornes roses sans aucun problème.
Vu ce que la NSA a été obligée de mettre en place (détournement des livraisons, patches sauvages des firmwares), j'aurais plutôt tendance à penser que Cisco est clean justement. Evidemment, c'est là tout l'intérêt d'avoir des sources ouvertes et libres.
Après, des failles de sécurité, il en existe dans tous les logiciels, y compris libres. Pourtant personne n'affirme que c'est le résultat de devs Linux, Apache, OpenSSL ou PHP qui travaillent pour la NSA.
Pour le terme diffamation, d'après Wikipédia: "En France, la diffamation est une infraction pénale découlant « l'allégation ou l'imputation d'un fait qui porte atteinte à l'honneur ou à la considération de la personne à laquelle le fait est imputé" (personne physique ou morale). Donc désolé mais tu es en plein dedans.
# Diffamation ?
Posté par galactikboulay . En réponse au journal À propos des certificats. Évalué à 3.
Tu peux étayer cette affirmation par des preuves ?
Si tu parles de l'affaire avec la NSA, la NSA détournait des livraisons d'équipements Cisco à leur insu pour y implanter des backdoors.
[^] # Re: Blockchain et fonctions de hashage crypto
Posté par galactikboulay . En réponse à la dépêche Projet de loi de finances FR 2016 : interdiction des logiciels libres de comptabilité et de caisse. Évalué à 1.
Je ne suis pas spécialiste des blockchains mais j'avais compris que ça marchait de manière distribuée, tu verrais ça comment pour une utilisation en compta/logiciel de caisse ?
[^] # Re: Blockchain et fonctions de hashage crypto
Posté par galactikboulay . En réponse à la dépêche Projet de loi de finances FR 2016 : interdiction des logiciels libres de comptabilité et de caisse. Évalué à 3.
Et qu'est-ce qui prouve l'"origine" de ton hash ?
Si tu as une ligne dans ta base de données (genre rentrée de X€ à telle date) avec un hash calculé sur ces données, si tu changes les données et que tu recalcules correctement le hash, je ne vois pas comment tu vas détecter une quelconque fraude.
Pour que le procédé commence à être un peu pertinent, il faudrait signer le hash avec du RSA/DSA/ECDSA et s'arranger pour que l'utilisateur ne puisse pas facilement récupérer la clé, sachant que la partie privée de la clé est tout de même sur sa machine… La clé serait toujours récupérable par quelqu'un d'un peu bidouilleur (dump mémoire, désassemblage/modification du logiciel), le côté proprio comme garantie d'inaltérabilité/intégrité est évidemment illusoire.
[^] # Re: Yahou peut être enfin des jeux qui marchent !
Posté par galactikboulay . En réponse au journal Retour aux sources. Évalué à 8.
Bel exemple de mauvaise foi crasse. Maven ne télécharge les artefacts (plugins et dépendances) que lorsqu'ils ne sont pas déjà présents dans le repository local.
La 1ère compilation d'un projet peut effectivement demander pas mal de téléchargements, mais sur les compilations suivantes il n'y aura plus nécessiter de télécharger quoi que ce soit.
[^] # Re: Tu ferais quoi toi?
Posté par galactikboulay . En réponse au journal La France bientôt chassée du podium mondial des vendeurs d'armes ?. Évalué à 9.
Dans la mesure où un héliporteur c'est ça :
ça doit être faisable /o\
[^] # Re: Effet Streisand
Posté par galactikboulay . En réponse au journal Le Parisien attaque un blog pour contrefaçon, ou comment se tirer une balle dans le pied. Évalué à 10.
Elle indique dans son article avoir reçu directement une mise en demeure et essayé de négocier à l'amiable, sans succès.
Qu'elle ait sciemment ignoré la mise en demeure, ça ne change pas le fond du problème, réclamer 20000€ de dédommagement à un particulier pour un préjudice inexistant (sérieusement, qui va confondre leur section "la parisienne" avec ce blog, surtout qu'il n'y rien de commercial dans le-dit blog ?) est honteux. J'espère qu'ils vont se prendre une bonne shitstorm pour leur apprendre le sens de la mesure.
Je pense que s'ils avaient géré le truc de manière raisonnable, c'est-à-dire en demandant simplement la récupération du nom de domaine à leurs frais, et sans dédommagements extravagants, ça se serait déjà mieux passé côté buzz.
[^] # Re: Effet Streisand
Posté par galactikboulay . En réponse au journal Le Parisien attaque un blog pour contrefaçon, ou comment se tirer une balle dans le pied. Évalué à 10.
Parler de rapport de force avec la menace d'un effet Streisand/Bad buzz alors que Le Parisien appartient au groupe Amaury et demande 20000€ de dédommagement à cette blogueuse qui elle va galérer pour payer les frais d'avocats, je trouve ça bien ridicule.
[^] # Re: Salut
Posté par galactikboulay . En réponse au journal Pourquoi un PC ralentit-il ?. Évalué à 6.
Je pense qu'il veut parler d'électromigration
[^] # Re: Salut
Posté par galactikboulay . En réponse au journal Pourquoi un PC ralentit-il ?. Évalué à 4.
Sauf erreur de ma part, à moins de disposer de RAM ECC pour la mémoire (ce qui n'est généralement pas le cas sur des machines grand public), il n'y a pas de rattrapage possible dans ce genre de cas. Après l'erreur peut passer relativement inaperçue si la zone mémoire n'est pas utilisée.
Pour les CPU, s'il y a un défaut permanent sur un transistor ou sur une piste, il va être bon à jeter aussi.
# Vérification/Certification de la sandbox
Posté par galactikboulay . En réponse au journal Mozilla fait avancer le web et ajoute les DRM à Firefox. Évalué à 4.
"Le module sera encapsulé dans une sandbox, dont le code sera ouvert mais si on modifie ce code la boîte noire d'Adobe refusera de fonctionner."
Quelqu'un aurait une idée de comment ils comptent s'y prendre pour faire ça ?
En utilisant Intel TXT par exemple ?
[^] # Re: Standards ?
Posté par galactikboulay . En réponse à la dépêche Proxmox VE 3.2 est disponible. Évalué à 4.
Si je ne dis pas d'âneries, Netflow est orienté export d'informations sur les flux IP (les équipements maintiennent donc une table des flux actifs), alors que SFlow fait du packet sampling, ce qui n'est pas la même chose.
Pour ce qui est du "standard", Cisco a toujours publié les informations sur Netflow, Netflow v9 a même servi de base à l'élaboration d'IPFIX (RFC 7011) qui est un standard IETF. D'autres constructeurs pourtant compétiteurs directs (Juniper, Alcatel, etc) ont adopté Netflow, et quand on voit le nombre de collecteurs et d'exporteurs qu'ils soient open-source ou proprio, on voit que cette techno a largement été adoptée. D'ailleurs, Cisco développait son propre collecteur et ne l'a jamais vraiment poussé par rapport aux autres solutions, et ne lui a jamais donné un avantage sur les autres avec des fonctionnalités cachées dans le protocole. Bref, Netflow est devenu un standard de facto, quoi que tu en penses.
[^] # Re: XML n'a jamais été fait pour être compréhensible par l'homme
Posté par galactikboulay . En réponse au journal XML c'est de la daube!!!. Évalué à 5.
En fait Maven ne contient pas de base "40 millions" de features, il s'appuie sur un système de plugins qui viennent s'insérer dans le cycle de vie du build. Certains sont très couramment utilisés (maven-compiler-plugin, maven-jar-plugin, …), d'autres un peu moins souvent, mais c'est rare d'en utiliser un nombre démentiel pour un projet donné.
De toute façon, on ne regarde généralement la configuration d'un plugin que si on cherche à faire qqch qui n'est pas prévu par défaut.
Au pire, s'il n'y a pas ce qu'on cherche, c'est assez simple d'en écrire un soi-même, il y a une API pour ça, et on peut s'inspirer du code des plugins existants. Et le gros avantage, c'est que ça marche comme pour les artefacts: Maven les télécharge tout seul, donc si on a publié le plugin sur Central les autres développeurs peuvent en profiter.
[^] # Re: XML n'a jamais été fait pour être compréhensible par l'homme
Posté par galactikboulay . En réponse au journal XML c'est de la daube!!!. Évalué à 3.
Oui et bien je trouve que les POM Maven sont très abordables justement. Si on prend les concurrents, au hasard sbt ou gradle, il faut apprendre une nouvelle syntaxe (Scala ou Groovy respectivement).
[^] # Re: XML n'a jamais été fait pour être compréhensible par l'homme
Posté par galactikboulay . En réponse au journal XML c'est de la daube!!!. Évalué à 1.
Un truc qui commence à sévèrement me péter les noix, c'est justement les 42000 sortes de fichiers de configuration différents qu'on peut trouver sur nos systèmes. Ca me parait contre-productif de devoir apprendre une nouvelle syntaxe pour configurer un produit donné, au lieu de se concentrer uniquement sur la partie "fonctionnelle". Bon quand c'est un produit comme Apache ça va encore, par contre rsyslog je trouve le format complètement abscons (en fait c'est "à chier" qui m'est venu à l'esprit en premier).
Au début j'étais assez réticent aussi avec le XML pour les fichiers de configuration, et finalement… ça me parait pas si mal (même si c'est pas parfait). C'est parsable directement dans pas mal de langages, ça se génère assez facilement aussi, donc pour l'automatisation c'est largement un plus. C'est JBoss/Wildfly (serveur Java EE), qui se configure en XML, qui m'a vraiment fait changer d'avis. En fait, avec un éditeur qui fait de la coloration syntaxique, capable de réindenter et de faire un minimum de complétion (fermeture des balises), le problème de la verbosité disparaît (à mon sens).
Pour la remarque par rapport à Java EE: oui la tendance est à utiliser des annotations (ex: JPA, EJB), mais les fichiers XML peuvent s'avérer encore nécessaires dans certains cas bien spécifiques. Cela dit, ils ne sont pas très complexes non plus.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 3.
Effectivement, je n'ai pas percuté: ce sont des logs Netflow, et les routeurs renvoient port source et destination à 0
pour les paquets fragmentés.
J'ai retrouvé une des attaques en question, le port source était 161/udp (donc SNMP), et la taille (donc celle
du 1er paquet du flux) était à 1500, ce qui est cohérent avec le fait d'avoir de la fragmentation.
Exemple pour un attaquant X.X.X.X vers Y.Y.Y.Y
(timestamp | @IP source | @IP destination | protocol port source port dest | nb paquets du flux | taille total flux):
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 1.
Je ferais la même remarque que l'intervenant plus haut (Big Pete): je ne pense pas que ça aide spécialement, je pense que personne ne s'amuse
à laisser ouvert 80/udp pour du HTTP.
Pour la petite histoire, précédemment j'ai aussi eu des attaques sur le port 0/udp en destination (mais ce n'était pas avec du NTP amplification).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 2.
En ce qui me concerne, j'ai effectivement un filtre à l'entrée qui droppe tout ce qui arrive sur le port 80/udp (parce
que j'ai régulièrement des attaques sur ce port).
Ca protège le reste de mon réseau, mais pas la liaison 10 Gb/s avec mon upstream (qui a quasiment été saturée).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 3.
Oui tout à fait, plus précisément:
- Heure de début: 11:26:12.563
- Heure de fin: 11:38:49.936
- Port source: 123, Port destination: 80
D'après les logs Netflow du routeur, cela fait 6800 adresses IP sources différentes, mais j'ai l'impression
que le routeur n'en a exporté qu'une petite partie (TCAM trop petite ?).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 2.
Témoignage concret: j'ai eu ce matin une attaque dirigée vers un site du réseau dont je m'occupe, pour un débit d'environ 8 Gb/s.
J'imagine que les scripts kiddies achètent de la capacité pour bombarder une cible de leur choix ? Si quelqu'un connait la manière dont ça se passe ça m'intéresse.
[^] # Re: Sata 3.2
Posté par galactikboulay . En réponse au journal Toi aussi, amuses toi avec le FireWire. Évalué à 1.
J'aurais tendance à dire que si le device se connecte au bus PCI Express, il peut faire du bus mastering et accéder à potentiellement tout ce qu'il veut.
Cela dit, on peut protéger avec un IOMMU, en ne donnant accès qu'à des plages d'adresses bien spécifiques.
# PBKDF-2
Posté par galactikboulay . En réponse au journal L'art de stocker des mots de passe. Évalué à 2.
J'ai utilisé dans un projet PBKDF-2 avec comme fonction HMAC-SHA1, 8192 itérations et une taille de salt 256 bits.
Le salt est généré aléatoirement pour chaque utilisateur.
A priori on dirait du niveau -0.5 dans la classification donnée par le journal.
[^] # Re: Quand la religion bloque le progres...
Posté par galactikboulay . En réponse au journal Disséquer du binaire sous linux. Évalué à 3.
Oui en effet c'est cette expression "logiciel privateur". Je ne vois pas en quoi l'utilisateur est privé de quelquechose entre avant son acquisition du logiciel et après ; la license du logiciel définit ce que tu as le droit (ou pas) de faire, ce n'est pas comme si l'utilisateur était pris en traitre (*).
Le logiciel fournit un service donné dans un cadre d'utilisation donné, si l'utilisateur trouve ça trop restrictif, personne ne le force à en faire l'acquisition si la license ne lui convient pas.
Après, pour ceux qui utilisent "privateur", on sait que ça concerne les libertés accordées par la GPL, mais les pro-license BSD pourraient très bien arguer qu'un soft sous GPL est privateur. Bah oui, on ne peut pas embarquer de code GPL dans un soft BSD et tout mettre sous BSD, ou embarquer du code GPL dans du soft proprio sans tout mettre sous GPL, on peut aussi considérer que c'est une privation de liberté dans ce cas là. Bref, juste pour dire que tout est question de référentiel.
Perso je préfère largement utiliser des logiciels libres, j'ai même publié des choses sous GPL, mais si un truc proprio fait le job et qu'il n'existe pas d'alternative crédible libre, désolé je vais utiliser le truc proprio. Dans le cadre d'IDA, ça m'est déjà arrivé de devoir l'utiliser (ponctuellement), non seulement c'est un bon produit, certes pas libre, mais je ne pense pas que j'aurais pu remplir mon besoin avec des outils libres.
Enfin, même en étant pro-libre, ça me hérisse le poil cette expression, alors j'imagine même pas l'image d'intégristes donnée à des quidam lambda.
"Logiciel propriétaire", ce n'est peut-être pas l'expression la plus optimale (bien que je n'ai pas de meilleure idée à proposer), mais au moins tout le monde la comprend et ce n'est pas du dénigrement gratuit.
(*) Je pourrais à la limite comprendre qu'on utilise le terme privateur dans le cadre de la vente liée.
[^] # Re: Quand la religion bloque le progres...
Posté par galactikboulay . En réponse au journal Disséquer du binaire sous linux. Évalué à 2.
Ah tiens je croyais que c'était un peu passé de mode cette connerie de "logiciel privateur" mais il faut croire que non.
[^] # Re: Un expert de sécurité qui ne respecte pas la sécurité ?
Posté par galactikboulay . En réponse à la dépêche Décès de Cédric Blancher, chercheur en sécurité informatique. Évalué à 0. Dernière modification le 22 novembre 2013 à 16:06.
Alors si je prends la définition de "sport" du Larousse:
Pour la pêche au bord d'un canal ou d'un étang, désolé j'ai un peu de mal à voir où est l'activité physique.
Pour la chasse, il faut certes marcher, mais le but c'est surtout de dézinguer tout ce qui passe, que ce soit un cerf, un sanglier ou le gros Robert quand le tireur a un coup dans le nez. L'activité physique est loin d'être le but premier.