J'ai du mal à comprendre pourquoi je ferais confiance à une machine que je ne contrôle pas pour gérer mon matériel cryptographique. L'argument de faire tourner le code coté client est idiot, car il est téléchargé depuis le serveur; il a beau être open-source, je ne vais pas m'amuser à le lire à chaque ouverture de page.
Bref, encore un service mal fait qui surf sur la vague de la protection de la vie privée.
Tor ne supporte pas les VPN : donc déjà ça fouette,
Tu peux très bien faire passer tout ce que tu veux par Tor, tant que c'est en TCP, y compris ton VPN si tu en as envie.
Surtout qu'utiliser un VPN derrière Tor fait souvent plus de mal que de bien.
Tor a des failles,
C'est un peu le principe d'un logiciel en fait. C'est plutôt positif que Tor soit scruté et audité par plein de monde,
qui remonte des failles, plutôt que d'avoir un logiciel dont tout le monde se fiche, troué de partout, mais sans failles publiques.
Tor a certains nœuds de sortie et d'entrée qui sont compromis, si par malheur vous passez par un nœuds NSA friendly … bye bye l’anonymisation ! (entry, middle, exit node)
Pas du tout, c'est le principe de Tor. Par exemple, si ton exit-node est "compromis", il peut espionner le trafic sortant, mais c'est tout, tu restes anonyme.
I2P semble bien plus robuste.
Pourquoi ?
Parce qu'il n'a pas été audité ? Ou parce que personne ne tente de l'attaquer ?
Moi aussi je peux troller sur i2p ;)
Radare2 utilise ESIL pour l'émulation, qui est agnostique de toutes plate-formes, vu qu'il utilise uniquement les opcodes : Il n'est donc évidement pas possible de descendre dans les API.
Ça va vous demandez pas mal de boulot. Bon courage, pour encadrer du beau monde sur tous ces projets.
On est préparé :)
Vous estimez que ça demande combien de temps par jours pour un mentor ?
Ça dépend de l'étudiant
Vous pensez que ça demande combien de temps par jours pour un stagiaire ?
Pour un participant, autant que nécessaire pour accomplir ses objectifs.
Combien de stagiaires par projet ?
Il est possible de diviser les tâches s'il y a plusieurs personnes intéressées.
Autant lire des papiers, des livres en anglais / informatiques, ça va, autant rédiger proprement en anglais, c'est une autre paire de manche. Du coup, quel est le niveau de langue demandé ?
La plupart des contributeurs n'ont pas l'anglais comme première langue, ça ne pose pas de soucis de ne pas être super fluent. En revanche, il faut être capable d'exprimer ses idées et de papoter :)
Vous pensez demander un autre rendu que le projet même ?
Non
Une sorte de rapport ou journal de bord. Ça peut être intéressant, si vous souhaitez reconduire l'expérience l'année suivante.
On espère garder les contributeur après le RSoC. Libre à eux de tenir un journal. Les mentors feront bien entendu un compte-rendu. Nous aimons la transparence :)
Anonyme, du coup pas de dossier à monter : lettre de motivation + cv ?
Un petit mail avec ce que tu veux faire, et pourquoi tu penses que tu es la bonne personne pour faire ça.
Est-ce un bon moyen de mettre un pied dans la rétro-ingénierie si on y porte de l'intérêt ou bien, c'est vraiment mort si on n'en n'a pas les bases?
C'est un bon moyen :)
Il y a plusieurs façon de faire du C; comme on l'apprend à l'école pour découvrir la programmation et faire au cours de notre scolarité deux trois programmes entre minables, inutiles et divertisants et faire du vrai C de manière pro (bref, comme pour tous les langages). Vous allez prendre un peu de temps pour enseigner à travers les projets des bases sereines en C.
Si tu ne sais pas faire de C, ça risque d'être compliqué. Mais si tu n'es pas un expert avec 10 ans de C derrière toi, ça n'est pas très grave :)
Je trouve votre projet fantastique.
C'est très gentil.
Je m'étais pris le bouquin reversing pour mettre un pied dedans, mais je n'ai pas encore trouvé le temps de m'y mettre sérieusement.
N'hésite pas à venir nous voir si tu peux en parler :)
Voilà, une belle occasion. Je suis de concours mercredi, jeudi, mais du coup, j'essayerai de passer sur irc pour en apprendre un peu plus la semaine prochaine.
Tu peux tenter mon blog, j'essaye de publier régulièrement des writeup avec radare2.
Dans radare2, il est possible d'obtenir de l'aide avec la commande "?".
Plus sérieusement, ce sont de proches cousins, mais radare2 supporte plus de choses (architectures, OS) et a plus de fonctionnalités. Par contre, metasm a metabot !
En quoi le fait que Warsow ne possède pas de licence libre sur ses assets en fait un jeu non-libre ?
Ce genre de raccourcis amènerai à pouvoir dire que Red Hat n'est pas une distribution libre parce que son logo est déposé, comme pour VLC, la plupart des distributions GNU/Linux, …
# Meh.
Posté par jvoisin (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 5.
J'ai du mal à comprendre pourquoi je ferais confiance à une machine que je ne contrôle pas pour gérer mon matériel cryptographique. L'argument de faire tourner le code coté client est idiot, car il est téléchargé depuis le serveur; il a beau être open-source, je ne vais pas m'amuser à le lire à chaque ouverture de page.
Bref, encore un service mal fait qui surf sur la vague de la protection de la vie privée.
[^] # Re: i2p
Posté par jvoisin (site web personnel) . En réponse à la dépêche "Nos oignons" fournit 500 Mbits/s en plus pour le réseau Tor. Évalué à 10.
Tu peux très bien faire passer tout ce que tu veux par Tor, tant que c'est en TCP, y compris ton VPN si tu en as envie.
Surtout qu'utiliser un VPN derrière Tor fait souvent plus de mal que de bien.
C'est un peu le principe d'un logiciel en fait. C'est plutôt positif que Tor soit scruté et audité par plein de monde,
qui remonte des failles, plutôt que d'avoir un logiciel dont tout le monde se fiche, troué de partout, mais sans failles publiques.
Pas du tout, c'est le principe de Tor. Par exemple, si ton exit-node est "compromis", il peut espionner le trafic sortant, mais c'est tout, tu restes anonyme.
Pourquoi ?
Parce qu'il n'a pas été audité ? Ou parce que personne ne tente de l'attaquer ?
Moi aussi je peux troller sur i2p ;)
Chouette, il y a un threat model, et les faiblesses sont documentées. Où est le soucis ?
[^] # Re: IDA
Posté par jvoisin (site web personnel) . En réponse à la dépêche Sortie de radare 0.9.8. Évalué à 3.
Radare2 utilise ESIL pour l'émulation, qui est agnostique de toutes plate-formes, vu qu'il utilise uniquement les opcodes : Il n'est donc évidement pas possible de descendre dans les API.
[^] # Re: RSoC
Posté par jvoisin (site web personnel) . En réponse à la dépêche Sortie de radare 0.9.8. Évalué à 3.
De manière un peu chaotique, mais il a finalement été productif.
Il y a un billet de blog qui vient de sortir résumant tout ça.
[^] # Re: IDA
Posté par jvoisin (site web personnel) . En réponse à la dépêche Sortie de radare 0.9.8. Évalué à 3.
# Retours
Posté par jvoisin (site web personnel) . En réponse à la dépêche Joignez-vous à nous pour la HackFest 2014 de Tails ! 5 et 6 juillet 2014 -- Paris, France. Évalué à 1.
J'y étais, et c'était vraiment super-chouette.
# Analyse technique
Posté par jvoisin (site web personnel) . En réponse à la dépêche Nouvelle faille importante dans GnuTLS. Évalué à 2.
Le lead dev de radare2 a publié une chouette analyse de la faille.
[^] # Re: Superbe initiative
Posté par jvoisin (site web personnel) . En réponse à la dépêche Radare2 lance son Radare Summer of Code. Évalué à 5.
On est préparé :)
Ça dépend de l'étudiant
Pour un participant, autant que nécessaire pour accomplir ses objectifs.
Il est possible de diviser les tâches s'il y a plusieurs personnes intéressées.
La plupart des contributeurs n'ont pas l'anglais comme première langue, ça ne pose pas de soucis de ne pas être super fluent. En revanche, il faut être capable d'exprimer ses idées et de papoter :)
Non
On espère garder les contributeur après le RSoC. Libre à eux de tenir un journal. Les mentors feront bien entendu un compte-rendu. Nous aimons la transparence :)
Un petit mail avec ce que tu veux faire, et pourquoi tu penses que tu es la bonne personne pour faire ça.
C'est un bon moyen :)
Si tu ne sais pas faire de C, ça risque d'être compliqué. Mais si tu n'es pas un expert avec 10 ans de C derrière toi, ça n'est pas très grave :)
C'est très gentil.
N'hésite pas à venir nous voir si tu peux en parler :)
On t'attend :)
# Ghostery et ABP
Posté par jvoisin (site web personnel) . En réponse au journal Ghostery toujours pas open source, on fait quoi ?... Disconnect !. Évalué à 1.
Il semblerait qu'AdBlockPlus soit aussi efficace que Ghostery.
[^] # Re: Documentation
Posté par jvoisin (site web personnel) . En réponse à la dépêche Sortie de radare2 0.9.6. Évalué à 3.
Tu peux tenter mon blog, j'essaye de publier régulièrement des writeup avec radare2.
Dans radare2, il est possible d'obtenir de l'aide avec la commande "?".
[^] # Re: comparaison
Posté par jvoisin (site web personnel) . En réponse à la dépêche Sortie de radare2 0.9.6. Évalué à 2. Dernière modification le 12 novembre 2013 à 16:26.
Radare2 est maintenu ;)
Plus sérieusement, ce sont de proches cousins, mais radare2 supporte plus de choses (architectures, OS) et a plus de fonctionnalités. Par contre, metasm a metabot !
# Libre ?
Posté par jvoisin (site web personnel) . En réponse à la dépêche War§ow 1.0 est sorti !. Évalué à -3.
En quoi le fait que Warsow ne possède pas de licence libre sur ses assets en fait un jeu non-libre ?
Ce genre de raccourcis amènerai à pouvoir dire que Red Hat n'est pas une distribution libre parce que son logo est déposé, comme pour VLC, la plupart des distributions GNU/Linux, …
Ne confondons pas assets et code.
[^] # Re: Moi bête
Posté par jvoisin (site web personnel) . En réponse à la dépêche OpenMW, un jeu de rôle libre. Évalué à 2.
On utilise les données originales du jeu. OpenMW, c'est le moteur qui fait tourner le jeu, pas son contenu.