Que certains puissent considérer qu'il méritait d'être punis est un peu fort de café
Mériter, non. Mais que la justice le punisse, oui, c'est juridiquement imparable.
se fera toper parce qu'il aura repris le bout d'un javascript
Oui, enfin gplviolations etc, c'est basé justement là-dessus, et la première défense des boites qui se font chopper la main dans le sac est de répondre: "on a repris qu'un petit bout de code qui est de toute façon public, pourquoi vous nous ennuyez avec cette histoire"
Je cite: "L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) "
Ce qui explique bien pourquoi l'anses n'a pas porté plainte, ils se sont vautrés dans la config d'apache, il est difficile de dire ensuite qu'on les a piraté.
"Lors de ses auditions, Monsieur Olivier L. reconnaissait avoir récupéré (…) l’ensemble des données accessibles sur le serveur extranet de l’Anses. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google."
et
"il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe)."
Pour un juge, lorsque Bluetouff dit: "je reconnais avoir constaté la présence de contrôle d'accès", le juge comprend bien qu'il est entré là ou c'est interdit sans qu'il y ait besoin d'évaluer la qualité ou l'efficience du contrôle d'accès et sans avoir besoin de sortir des arguments techniques.
Enfin, relisez l'article de Maitre Eolas, il est très clair.
Ensuite, l'affaire aurait du s'arrêter au retrait de la plainte de l'anses (et au retrait des documents sur reflets.info, ce qui est discutable). Si vous voulez râler, ne ralez pas sur l'indéfendable, ralez sur les raisons qui poussent le ministère public à continuer l'action contre bluetouff malgré le retrait de plainte. Et ça, c'est scandaleux, et ça laisse ouvert l'hypothèse d'une vengeance gratuite dans l'unique but d'ennuyer bluetouff: on ne sort jamais vraiment indemne d'un procès, même innocenté; c'est long, c'est fatiguant nerveusement et ça ne finit presque jamais.
Heeeeeeu, tu es en train de dire que tes sites sont vulnérables à des failles qui datent de 2012? Sérieusement? Et ils ne se sont pas fait pourrir avant 2015?
Nous sommes 60 millions, ils n'ont pas les épaules pour suivre. On peut tout a fait faire des plug-in firefox, facile à installer qui automatisent la chose et viralement vont exploser leurs machines.
Je crois que malheureusement tu te trompes. Même avec 60 millions de personnes, ils sauront écouter, lire et stocker l'info.
Par contre en lisant cet article, une question me vient immédiatement à l'esprit : comment ce site a-t-il obtenu un tel niveau d'informations ? (tracer l'ordi par lequel est entré le virus, obtenir le VBS). Autre point sur cet article, outre son ton atypique : le mélange suppositions et faits non-sourcés pour recréer le scénario me dérange un peu, surtout avec aussi peu de recul.
Pareil. J'ai beaucoup de mal à y croire, à cette histoire.
La frontière est quand même ténue. On te demande de coopérer tout le temps et en permanence avec la justice, c'est à dire de lui fournir en permanence toutes tes clés de chiffrement. La justice avisera ensuite de te poursuivre ou non selon ce qu'elle est susceptible de trouver dans tes données. Tu n'as pas à savoir qui utilises tes clés, tes données, ni ce qui est cherché, ni quand.
Un illustre inconnu a dit un jour sur internet: "Donnez moi l'historique de navigation de quelqu'un sur internet et j'y trouverai de quoi l'incriminer plusieurs fois."
Moi j'ai pas lu grand chose, j'ai pas vu de haine aveugle, la seule chose que j'ai vu c'est qu'un mec qui se pose des questions sur systemd se fait pourrir et ses posts arrivent aux fonds des abysses.
Je confirme. C'est vraiment étonnant. Je suis plutôt content de systemd, j'aime bien le pourrir comme je le fais avec beaucoup d'autres softs ou distros. Par exemple je vomis debian (alors que j'en suis un heureux utilisateur au quotidien), et je n'ai jamais vu de telles marques d'agressivité. On peut se rentrer dedans sur VLC vs mplayer, Gnome vs KDE vs tile manager, vi vs emacs, google vs bing, Voiture vs motard, linuxfr vs apple.com, mais dès qu'on commence à causer systemd, les gens se hérissent.
A preuve: le journal est à moins je ne sais pas combien! Moi, le poisson d'avril m'a fait hurler de rire et je ne vois que des commentaires de gens drapés dans leur sérieux morbide à dire que les anti systemd primaires ne sont que des cons injurieux qui se décrédibilisent à eux tout seul. Détendez vous les mecs, c'est le printemps, allez draguer un peu, buvez une bière fraîche et faites des risettes.
Sur ce, je vais aller faire imprimer un tee-shirt "Je suis systemd" sur fond noir.
Je pense que tu peux répondre "j'ai oublié le code". Mais le fait est que cette réponse est entendue par un juge. Et libre au juge de se faire une idée suite à ta réponse:
-il peut s'en foutre totalement
-il peut trouver que ta réponse est extrêmement suspicieuse
-il peut ajouter cette info à un faisceau de présomptions
N'oubliez pas que dans ce genre de situations vous êtes face à un être humain, et non pas à une machine qui raisonne en binaire. Tout dépend donc de la manière dont sont annoncées les choses:
Mr le juge, je n'ai pas fait du revenge porn avec ma copine car je n'ai jamais eu de photos d'elle, et vous pourrez jamais vérifier l'absence de photos d'elle sur mon PC car j'ai malheureusement oublié mon mot de passe.
Ou: Oui, suite à la perquisition chez Mr Voleur, on a retrouvé ce PC qui est le mien, mais depuis le temps, j'ai perdu mon mot de passe, mais c'est le mien je vous assure, rendez le moi.
Cet argument de redémarrage qui tend à "prouver" que systemd fait bien les choses est quand même étonnant.
init, le bon vieux binaire qui date du millénaire dernier sait redémarrer des démons qui se sont arrétés, man inittab pour les détails. Le fichier contient des lignes:
id:niveaux_exécution:action:processus
Avec l'action qui peut être respawn afin de redémarrer le processus après son arrêt (ou plein d'autres choses comme once, bootwait, etc..). Et init ne fait pas ça n'importe comment, si un démon se crash trop souvent, il arrête d'essayer de le redémarrer (vous n'avez jamais lu: "XXX is respawning too fast, disabled for 5mn" ?)
J'utilise systemd car j'utilise une distribution qui l'a mis par défaut, mais j'ai toujours autant de mal à comprendre les arguments des pro-systemd qui annoncent des fonctionnalités aussi anciennes comme étant une révolution dûe à la génialité de systemd. Un état d'esprit proche des apple fanboy? Je ne sais pas.
Ce bug n'est pas la fin du monde comme annoncé. On peut rire et se moquer du PR de Qualys, mais je pense qu'il faut saluer le boulot qu'ils ont fait.
Le rapport est fouillé, travaillé, ils donnent le code d'exploit et l'analyse du code source. Ils ont passé en revue un grand nombre de binaires système et indiquent dans quels cas ceux-ci peuvent être vulnérable ou non.
Mais surtout, alors que personne n'avait rien trouvé comme vecteur d'exploitation distant (ni le bug initial, ni sa redécouverte chez google), ils ont eu l'idée d'utiliser un header SMTP et ont trouvé un serveur vulnérable. L'exploit derrière est propre (ils indiquent comment contourner ASLR, NX etc..). Donc chapeau bas pour la qualité technique de l'article de Qualys, c'est pas un de cas vagues bug report qui dit: "une erreur non spécifiée peut provoquer un overflow et éventuellement exécuter du code, OMG OMG OMG!!!".
Il faut dire que l'état fournit un middleware opensource qui est directement compatible avec le standard PKCS11
rhaaaaaaah! Mais c'est Noël? Mais c'est énorme! C'est génial, il faudrait en faire un nourjal rien que pour ça? \o/ L'état qui file des sources, standard, mais juste rhaaaah lovely quoi. Et il y a même de la doc pour les gens sous nux, c'est le genre de truc qui fait plaisir pour commencer 2015 :)
Je salue bien bas la performance et les qualités de ce nouveau format d'image, mais comme dit plus haut, je ne sais pas si ça va percer.
On met en avant la qualité des images même en cas de compression élevée. OK. Mais aujourd'hui ou le moindre site est rempli de centaines de ko, voire Mo de javascript dans tous les sens + du flash + des pubs + des css délirantes, qui irait d'ennuyait à recomprimer des images pour passer de 50ko à 15ko?
Deux fichiers, ça fait un peu léger effectivement.
La source est de taille faible (qq octets), il serait intéressant d'avoir également des fichiers de grosse taille (qq Mo).
--> ca permet d'avoir une idée de la taille de l'enveloppe versus taille des données
-1Mo de 'A'
-1Mo de random (plusieurs fois) afin de voir s'il y a un changement de taille
--> Ca permettra déjà de voir s'il y a des fonctions genre "compression avant chiffrement"
-plusieurs fois les mêmes données
--> Ca permet de voir s'il y a du salt avant chiffrement
etc..
Ensuite, vu les deux fichiers, et vu qu'il n'y a rien en commun, il me parait difficile de le casser uniquement avec des fichiers de sortie.. Il faudra vraiment prendre le logiciel en main (le reverser)
Après, évaluer le temps à passer sur quelque choses alors que l'on ne bosse pas dessus a plein temps: c'est dur
OK. J'ai mal vu, et je croyais qu'il s'agissait de 3 devs kernels DragonFly qui parlaient estimation. Donc je comprends mieux le 1 mois du coup :)
Et effectivement, celui qui est dedans tout le temps comme Dillon, peux coder en 2h (enfin faut être doué quand même) un truc qui prendrait 2j à un autre.
« Cela me prendra 4 bonnes heures à écrire » avait-il dit, mais voilà que 2 heures plus tard, le code était poussé dans master. Pour la petite histoire, Markus Pfeiffer estimait la charge à environ 2 jours de travail pour lui, alors que Baptiste Daroussin pensait pouvoir implémenter cela en 1 mois !
Il n'y a que moi que cela choque?
Il est toujours difficile d'estimer le travail à faire. Mais entre 1 mois et 2j, ça sent l'enfumage quand même quelque part.
Ensuite, je veux bien croire que Dillon bosse vite, mais faire tout en 2h alors qu'on a estimé 2j il y a pas un problème? C'est juste un proof of concept (preuve de concept) codée à l'arrache sur un coin de table?
Il est tout à fait possible d'ouvrir une CVE, mais dont le contenu n'est pas public, et ne la révéler que quand elle est intégrée, et distribuée !
Le problème, si j'ai bien compris, ce n'est pas le numéro de CVE, c'est l'analysabilité de la chose. Donc si le correctif est distribué en open source, alors il est analysable, CVE ou pas…
L'avantage de l'open source se voit sur le global : il y a plus d'yeux, donc de chance de trouver et de corriger des failles de sécurités.
Sauf que dans les faits, personne ne le fait. Ecrire du code, ça plait à tout le monde. Relire le code des autres, c'est pénible. Et généralement, lorsqu'il faut faire des audits de code, c'est tellement chiant qu'il faut payer des gens pour le faire. Close source payant => du budget pour payer des relecteurs. Opensource sans sous, pas de relecteurs, on compte sur la bonne volonté. Lorsqu'openBSD forke openssl, il tombe sur je ne sais plus combien de bugs. Moralité: personne n'a lu sérieusement openssl. Et c'est un peu pareil pour tout les logiciels open source.
il se peut qu'une faille trouvée, exploitée, ne soit jamais corrigée en amont
Ca oui. Le logiciel libre te permet de patcher toi même le code, indépendemment d'un éditeur quelconque. Et ça, c'est vraiment un plus énorme!
liste de diffusion dont je viens de zapper le nom
"full disclosure", et non la fermeture et réouverture n'avait rien à voir avec le disclosure, mais avec l'attitude pénible de certains contributeurs.
Deux remarques:
Tout d'abord, il n'y a sans doute pas que des sites porno (dont la facilité d'identification peut faire débat) qui peuvent être ciblés par des personnes peu soucieuses de ta vie privée.
Ensuite, on peut assimiler cette amélioration à la défense en profondeur chère aux spécialistes en sécurité. On complique la vie des traqueurs c'est toujours ça de pris.
Le vrai débat, c'est:
est ce que cela sera transparent, facile d'accès, facile à implémenter et à débugger en cas de problème (sinon les admins le dégage)
est ce que cette barrière de défense de la vie privée amène réellement un plus?
Ce raisonnement, c'est comme si un vendeur t'agressait en entrant dans son magasin, alors que tu ne fais que regarder, et qu'en le repoussant il te crache que puisque tu n'achètes rien tu le fais couler.
Mais ça existe. J'ai vu ça chez un marchand de BD. Impossible de feuilleter plus d'une page sans avoir une remarque: "Il faut acheter pour lire la suite monsieur", et "Ce n'est pas une bibliothèque".
Je lui ai dit qu'il perdait une vente (j'étais venu acheter une BD précise), et un client.
C'est toujours étonnant ce comportement.
Du coup tu passes sur la défensive et tu demandes aux magasin de mettre un label "Vendeurs insultants, n'entrez que pour acheter sans avoir vu la marchandise".
bah ouais. C'est toujours curieux de se faire mettre dehors d'un magasin comme un malpropre.
J'ai deux PC (un desktop + un portable) , chacun avec un écran, chacun avec des écrans virtuels.
Et pour mixer le tout, j'utilise x11vnc pour avoir l'écran de l'un sur l'autre et vice-versa :)
Je voulais tout avoir sur le même écran, mais c'est finalement beaucoup plus pratique comme ça.
[^] # Re: Je suis ahuris...
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 5.
Mériter, non. Mais que la justice le punisse, oui, c'est juridiquement imparable.
Oui, enfin gplviolations etc, c'est basé justement là-dessus, et la première défense des boites qui se font chopper la main dans le sac est de répondre: "on a repris qu'un petit bout de code qui est de toute façon public, pourquoi vous nous ennuyez avec cette histoire"
Pouir revenir à Bluetouff et arrêter un peu la branlette intellectuelle des hypothèses farfelues, on se calme et on lit le doc:
http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3739
Je cite: "L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) "
Ce qui explique bien pourquoi l'anses n'a pas porté plainte, ils se sont vautrés dans la config d'apache, il est difficile de dire ensuite qu'on les a piraté.
"Lors de ses auditions, Monsieur Olivier L. reconnaissait avoir récupéré (…) l’ensemble des données accessibles sur le serveur extranet de l’Anses. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google."
et
"il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe)."
Pour un juge, lorsque Bluetouff dit: "je reconnais avoir constaté la présence de contrôle d'accès", le juge comprend bien qu'il est entré là ou c'est interdit sans qu'il y ait besoin d'évaluer la qualité ou l'efficience du contrôle d'accès et sans avoir besoin de sortir des arguments techniques.
Enfin, relisez l'article de Maitre Eolas, il est très clair.
Ensuite, l'affaire aurait du s'arrêter au retrait de la plainte de l'anses (et au retrait des documents sur reflets.info, ce qui est discutable). Si vous voulez râler, ne ralez pas sur l'indéfendable, ralez sur les raisons qui poussent le ministère public à continuer l'action contre bluetouff malgré le retrait de plainte. Et ça, c'est scandaleux, et ça laisse ouvert l'hypothèse d'une vengeance gratuite dans l'unique but d'ennuyer bluetouff: on ne sort jamais vraiment indemne d'un procès, même innocenté; c'est long, c'est fatiguant nerveusement et ça ne finit presque jamais.
[^] # Re: foreach (@king) { bronsanisate($_); }
Posté par octane . En réponse au journal BB King Bronsonisé. Évalué à 1.
J'ai peu souvent vu le terme bronsanisate sur ce site. Quelqu'un en connait l'origine?
[^] # Re: Intérêts économiques du pays
Posté par octane . En réponse au journal L'Armée Française et ses logiciels, bis repetita.... Évalué à 2.
Ca ne s'appelle pas un procureur.
Il te semble mal.
# http://www.cvedetails.com/cve/CVE-2012-1823 et ckeditor de 2012
Posté par octane . En réponse à la dépêche Remonter une attaque et trouver la faille avec les logs d'Apache2. Évalué à -2.
Heeeeeeu, tu es en train de dire que tes sites sont vulnérables à des failles qui datent de 2012? Sérieusement? Et ils ne se sont pas fait pourrir avant 2015?
A part ça, bon article, intéressant.
[^] # Re: La suite pour nous utilisateurs ?
Posté par octane . En réponse au journal La vie privé connectée disparait de France. Évalué à 2.
Je crois que malheureusement tu te trompes. Même avec 60 millions de personnes, ils sauront écouter, lire et stocker l'info.
[^] # Re: De la publication du mode opératoire
Posté par octane . En réponse au journal TV5 monde : Piratage et prise de controle totale. Évalué à 5.
Pareil. J'ai beaucoup de mal à y croire, à cette histoire.
[^] # Re: On chiffre comment, sinon ?
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 3.
Regarde du côté de TRESOR.
https://www1.cs.fau.de/filepool/projects/tresor/tresor.pdf
"TRESOR Runs Encryption Securely Outside RAM"
[^] # Re: Intervention police...
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 4.
La frontière est quand même ténue. On te demande de coopérer tout le temps et en permanence avec la justice, c'est à dire de lui fournir en permanence toutes tes clés de chiffrement. La justice avisera ensuite de te poursuivre ou non selon ce qu'elle est susceptible de trouver dans tes données. Tu n'as pas à savoir qui utilises tes clés, tes données, ni ce qui est cherché, ni quand.
Un illustre inconnu a dit un jour sur internet: "Donnez moi l'historique de navigation de quelqu'un sur internet et j'y trouverai de quoi l'incriminer plusieurs fois."
[^] # Re: Note aux anti-systemd
Posté par octane . En réponse au journal Ne dites plus GNU/linux, mais GNU/systemd. Évalué à 10.
Je confirme. C'est vraiment étonnant. Je suis plutôt content de systemd, j'aime bien le pourrir comme je le fais avec beaucoup d'autres softs ou distros. Par exemple je vomis debian (alors que j'en suis un heureux utilisateur au quotidien), et je n'ai jamais vu de telles marques d'agressivité. On peut se rentrer dedans sur VLC vs mplayer, Gnome vs KDE vs tile manager, vi vs emacs, google vs bing, Voiture vs motard, linuxfr vs apple.com, mais dès qu'on commence à causer systemd, les gens se hérissent.
A preuve: le journal est à moins je ne sais pas combien! Moi, le poisson d'avril m'a fait hurler de rire et je ne vois que des commentaires de gens drapés dans leur sérieux morbide à dire que les anti systemd primaires ne sont que des cons injurieux qui se décrédibilisent à eux tout seul. Détendez vous les mecs, c'est le printemps, allez draguer un peu, buvez une bière fraîche et faites des risettes.
Sur ce, je vais aller faire imprimer un tee-shirt "Je suis systemd" sur fond noir.
[^] # Re: Intervention police...
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 5.
Je pense que tu peux répondre "j'ai oublié le code". Mais le fait est que cette réponse est entendue par un juge. Et libre au juge de se faire une idée suite à ta réponse:
-il peut s'en foutre totalement
-il peut trouver que ta réponse est extrêmement suspicieuse
-il peut ajouter cette info à un faisceau de présomptions
N'oubliez pas que dans ce genre de situations vous êtes face à un être humain, et non pas à une machine qui raisonne en binaire. Tout dépend donc de la manière dont sont annoncées les choses:
Mr le juge, je n'ai pas fait du revenge porn avec ma copine car je n'ai jamais eu de photos d'elle, et vous pourrez jamais vérifier l'absence de photos d'elle sur mon PC car j'ai malheureusement oublié mon mot de passe.
Ou: Oui, suite à la perquisition chez Mr Voleur, on a retrouvé ce PC qui est le mien, mais depuis le temps, j'ai perdu mon mot de passe, mais c'est le mien je vous assure, rendez le moi.
[^] # Re: Adoption de systemd
Posté par octane . En réponse au journal KDE Plasma et systemd. Évalué à 10.
Cet argument de redémarrage qui tend à "prouver" que systemd fait bien les choses est quand même étonnant.
init, le bon vieux binaire qui date du millénaire dernier sait redémarrer des démons qui se sont arrétés, man inittab pour les détails. Le fichier contient des lignes:
id:niveaux_exécution:action:processus
Avec l'action qui peut être respawn afin de redémarrer le processus après son arrêt (ou plein d'autres choses comme once, bootwait, etc..). Et init ne fait pas ça n'importe comment, si un démon se crash trop souvent, il arrête d'essayer de le redémarrer (vous n'avez jamais lu: "XXX is respawning too fast, disabled for 5mn" ?)
J'utilise systemd car j'utilise une distribution qui l'a mis par défaut, mais j'ai toujours autant de mal à comprendre les arguments des pro-systemd qui annoncent des fonctionnalités aussi anciennes comme étant une révolution dûe à la génialité de systemd. Un état d'esprit proche des apple fanboy? Je ne sais pas.
[^] # Re: Sans le bullshit marketing
Posté par octane . En réponse au journal Faille de sécurité glibc. Évalué à 10.
Ce bug n'est pas la fin du monde comme annoncé. On peut rire et se moquer du PR de Qualys, mais je pense qu'il faut saluer le boulot qu'ils ont fait.
Le rapport est fouillé, travaillé, ils donnent le code d'exploit et l'analyse du code source. Ils ont passé en revue un grand nombre de binaires système et indiquent dans quels cas ceux-ci peuvent être vulnérable ou non.
Mais surtout, alors que personne n'avait rien trouvé comme vecteur d'exploitation distant (ni le bug initial, ni sa redécouverte chez google), ils ont eu l'idée d'utiliser un header SMTP et ont trouvé un serveur vulnérable. L'exploit derrière est propre (ils indiquent comment contourner ASLR, NX etc..). Donc chapeau bas pour la qualité technique de l'article de Qualys, c'est pas un de cas vagues bug report qui dit: "une erreur non spécifiée peut provoquer un overflow et éventuellement exécuter du code, OMG OMG OMG!!!".
[^] # Re: trop tôt
Posté par octane . En réponse au journal Faille de sécurité glibc. Évalué à 4.
export PS1=">_ "
'service
# Noël
Posté par octane . En réponse au journal Belgian Electronic Card. Évalué à 10.
rhaaaaaaah! Mais c'est Noël? Mais c'est énorme! C'est génial, il faudrait en faire un nourjal rien que pour ça? \o/ L'état qui file des sources, standard, mais juste rhaaaah lovely quoi. Et il y a même de la doc pour les gens sous nux, c'est le genre de truc qui fait plaisir pour commencer 2015 :)
[^] # Re: Impression de déjà vu
Posté par octane . En réponse au journal Virus ?. Évalué à 3.
Si tu as encore le binaire, je le veux bien.
# Aucune chance de percer (bis)
Posté par octane . En réponse au journal Nouveau format d'image BPG. Évalué à 3.
Je salue bien bas la performance et les qualités de ce nouveau format d'image, mais comme dit plus haut, je ne sais pas si ça va percer.
On met en avant la qualité des images même en cas de compression élevée. OK. Mais aujourd'hui ou le moindre site est rempli de centaines de ko, voire Mo de javascript dans tous les sens + du flash + des pubs + des css délirantes, qui irait d'ennuyait à recomprimer des images pour passer de 50ko à 15ko?
[^] # Re: Défi
Posté par octane . En réponse au journal Que faire des formats propriétaires qui n’aiment pas l’interopérabilité?. Évalué à 4.
Deux fichiers, ça fait un peu léger effectivement.
La source est de taille faible (qq octets), il serait intéressant d'avoir également des fichiers de grosse taille (qq Mo).
--> ca permet d'avoir une idée de la taille de l'enveloppe versus taille des données
-1Mo de 'A'
-1Mo de random (plusieurs fois) afin de voir s'il y a un changement de taille
--> Ca permettra déjà de voir s'il y a des fonctions genre "compression avant chiffrement"
-plusieurs fois les mêmes données
--> Ca permet de voir s'il y a du salt avant chiffrement
etc..
Ensuite, vu les deux fichiers, et vu qu'il n'y a rien en commun, il me parait difficile de le casser uniquement avec des fichiers de sortie.. Il faudra vraiment prendre le logiciel en main (le reverser)
[^] # Re: 2h???
Posté par octane . En réponse à la dépêche DragonFly BSD 4.0. Évalué à 4.
OK. J'ai mal vu, et je croyais qu'il s'agissait de 3 devs kernels DragonFly qui parlaient estimation. Donc je comprends mieux le 1 mois du coup :)
Et effectivement, celui qui est dedans tout le temps comme Dillon, peux coder en 2h (enfin faut être doué quand même) un truc qui prendrait 2j à un autre.
# 2h???
Posté par octane . En réponse à la dépêche DragonFly BSD 4.0. Évalué à 2.
Il n'y a que moi que cela choque?
Il est toujours difficile d'estimer le travail à faire. Mais entre 1 mois et 2j, ça sent l'enfumage quand même quelque part.
Ensuite, je veux bien croire que Dillon bosse vite, mais faire tout en 2h alors qu'on a estimé 2j il y a pas un problème? C'est juste un proof of concept (preuve de concept) codée à l'arrache sur un coin de table?
[^] # Re: Ne vas pas trop vite !
Posté par octane . En réponse au journal Sécurité de l'open source Vs closed source: MS14-066. Évalué à 10.
Le problème, si j'ai bien compris, ce n'est pas le numéro de CVE, c'est l'analysabilité de la chose. Donc si le correctif est distribué en open source, alors il est analysable, CVE ou pas…
Sauf que dans les faits, personne ne le fait. Ecrire du code, ça plait à tout le monde. Relire le code des autres, c'est pénible. Et généralement, lorsqu'il faut faire des audits de code, c'est tellement chiant qu'il faut payer des gens pour le faire. Close source payant => du budget pour payer des relecteurs. Opensource sans sous, pas de relecteurs, on compte sur la bonne volonté. Lorsqu'openBSD forke openssl, il tombe sur je ne sais plus combien de bugs. Moralité: personne n'a lu sérieusement openssl. Et c'est un peu pareil pour tout les logiciels open source.
Ca oui. Le logiciel libre te permet de patcher toi même le code, indépendemment d'un éditeur quelconque. Et ça, c'est vraiment un plus énorme!
"full disclosure", et non la fermeture et réouverture n'avait rien à voir avec le disclosure, mais avec l'attitude pénible de certains contributeurs.
[^] # Re: auto signé
Posté par octane . En réponse au sondage Comme autorité de certification pour linuxfr.org je préfèrerais.... Évalué à 2.
Il y a zerobin pour ce genre de choses, non?
http://sebsauvage.net/wiki/doku.php?id=php:zerobin
[^] # Re: linuxfr.xxx
Posté par octane . En réponse au journal Création du groupe de travail IETF sur « DNS et vie privée ». Évalué à 6.
Deux remarques:
Tout d'abord, il n'y a sans doute pas que des sites porno (dont la facilité d'identification peut faire débat) qui peuvent être ciblés par des personnes peu soucieuses de ta vie privée.
Ensuite, on peut assimiler cette amélioration à la défense en profondeur chère aux spécialistes en sécurité. On complique la vie des traqueurs c'est toujours ça de pris.
Le vrai débat, c'est:
[^] # Re: TCPWrapper
Posté par octane . En réponse à la dépêche 67 chaussettes pour OpenSSH. Évalué à 6.
L'auteur du nourjal donne un lien : http://lwn.net/Articles/615173/ qui dit en parler, et cette page dirige vers http://lists.mindrot.org/pipermail/openssh-unix-dev/2014-April/032497.html
En gros:
[^] # Re: Ça n'a pas de sens
Posté par octane . En réponse au journal Proposition (sans doute stupide) de filtrage du web.. Évalué à 6.
Mais ça existe. J'ai vu ça chez un marchand de BD. Impossible de feuilleter plus d'une page sans avoir une remarque: "Il faut acheter pour lire la suite monsieur", et "Ce n'est pas une bibliothèque".
Je lui ai dit qu'il perdait une vente (j'étais venu acheter une BD précise), et un client.
C'est toujours étonnant ce comportement.
bah ouais. C'est toujours curieux de se faire mettre dehors d'un magasin comme un malpropre.
# Deux PC
Posté par octane . En réponse au sondage Bureaux virtuels et multi-écrans, qu'avez-vous ?. Évalué à 2.
J'ai deux PC (un desktop + un portable) , chacun avec un écran, chacun avec des écrans virtuels.
Et pour mixer le tout, j'utilise x11vnc pour avoir l'écran de l'un sur l'autre et vice-versa :)
Je voulais tout avoir sur le même écran, mais c'est finalement beaucoup plus pratique comme ça.