Ca devait être du filtrage par port, donc pas vraiment de violation des correspondances. Ca l'aurait été si ils avaient filtré au niveau 7+1 pour voir si dans les données utilisateur HTTP il n'y avait pas du SSH.
Dans le même style que stow, il y aussi les "alternatives" chez debian. Par contre, la solution dont parle le journal propose une autre friture : la portée de la modification opérée par dsc a l'air limitée au processus invoqué (et à ses enfants, probablement). C'est bien pour, par exemple, tester un truc avec perl 42 pendant que le reste du système continue d'utiliser perl "dernière version stable".
Truc à savoir d'ailleurs : maintenant certains modèles de disques durs embarqués dans les boitiers vendus en pack (maï passport de western digital?) sont spéciaux : ils embarquent le pont SATA vers USB directement sur le PCB du disque et non sur une carte dans le boîtier. Du coup, la sortie du disque est direct en USB. C'est moins cher à fabriquer pour les constructeurs, mais ça empêche de changer le disque (on ne trouve pas ces disques hors de ce contexte) et on ne peut pas les coller dans un portable (pas de connectique sata).
La redevance est propre au volume, pas au prix de l'objet et ne concerne pas les disques durs nus. Sinon pour 1To, http://www.chere-copie-privee.org/ indique 23 roros.
Euuuuuh, en terme de solidité, comme dire ... lol ? On projettera jamais un machin comme ça sur théatre et encore moins sur le terrain. Sans compter que puisqu'il n'a pas été disaïné pour, il doit rayonner salement (on a des précédents marrants avec les écrans tactiles).
Le paradigme d'interface avec les "cartes", le multitâche sont très sympa. Après le développement/patch d'appli a l'air d'être assez simple avec du html/javascript (mais je n'ai pas pratiqué). C'est dommage que ce soit un peu poussif sur le touchpad car même si ca s'améliore au fil des versions, ça fait toujours pale figure niveau réactivité face à un ipad.
un site web est un site web et ne doit pas être taillé pour un périphérique particulier
Justement, je ne suis pas sûr que ce "dogme" soit toujours d'actualité. Si le contenu est le même il faut quand même que la forme soit adaptée au support : particularités liées au pilotage au doigt (ex: pas de mouseover), très petite taille d'écran (ex : sur linuxfr depuis un smartphone la sidebar bouffe de la place sans grande plus value), etc. On ne peut pas dire que si un site est fait pour marcher correctement sur des écrans 14-22 pouces pilotés au clavier/souris, ça marchera tout pareil sur un smartphone.
Je ne dis pas qu'il faut que le site soit différent, mais qu'au moins ces contraintes soient prises en compte à la conception de la CSS. Le double tap pour zoomer, etc, ce n'est qu'un palliatif, pas une vrai solution.
QubeOS est (en gros) un habillage un peu sexy autour de la virtualisation d'un système invité en utilisant Xen. Le domaine 0 fait tourner X et un window manager restreint. Les applis sont groupées par des labels propres au niveau de confiance que leur accorde l'utilisateur (bank, work, internet, whatever). Chaque label se traduit par une instance d'un OS linux (une fedora) dans lequel on fait tourner lesdites applis. Ca n'utilise pas de label à proprement parler au sens SELinux ou Solaris TX. X11(et/ou le wm?) est patché pour afficher autour de la fenêtre un bandeau de couleur pour indiquer le label dont la fenêtre de l'appli dispose. Le copier/coller est patché pour péter un avertissement lorsque l'on tente de copier coller d'un label à l'autre.
Toute la sécurité repose sur le fait que l'on cloisonne l'accès aux données par la virtualisation. Si une appli est vérolée elle ne peut accéder qu'aux données qu'on veut bien donner à la VM qui la fait tourner, elle et les autres applis du même 'label'.
C'est fondamentalement différent de la technique de sandboxing au niveau appli via setcomp qui est beaucoup plus fin et évoluer mais beaucoup plus complexe à auditer (QubeOS nécessite d'auditer les fonctions de cloisonnement de Xen via VT-x, setcomp, en gros tout le noyau linux). En outre seccomp nécessite la collaboration du développeur de l'appli qui doit dire ce que fait son appli (au sens appel système) et ce qu'elle ne doit pas faire.
Perdu.
Siri c'est sur le 4S et c'est effectivement interprété par le cloud. Ce n'est pas le cas sur les 3GS et 4, où c'est fait en local et beaaaucoup plus limité.
Hum, y a aussi la reconnaissance vocale (le truc qu'a remplacé Siri sur les 4S) interdite aux 3G (officiellement pour une raison de taille de mémoire cache sur le Soc) et les MMS sur les 2G (la, c'était vraiment du foutage de gueule).
C'est un peu la même finalité en fait : offrir un contrôle d'accès durci aux données, mais pas les même moyens.
sepsql via SELinux va imposer via les mécanismes du noyau un contrôle d'accès MAC très fin aux données.
cryptdb lui, va cloisonner les données par de la crypto.
L'un repose sur la robustesse du noyau, l'autre sur le fait que les clefs restent secrètes.
La solution crypto est plus robuste, mais je pense qu'elle est moins souple sur ce qui est protégé (ex: OPE pour les relations d'ordres ne me semble marcher que si toute la colonne est protégée). Je n'ai pas regardé donc je ne sais pas comment est géré le multiutilisateur dans une table ... Ca suppose aussi que la machine ne soit pas complètement corrompue, car si c'est le cas, l'admin pourra récupérer la clef des opérations crypto faites en local.
sepsql est plus souple mais n'offre de cloisonnemnt crypto au cas ou il serait bypassé (m'enfin à ce niveau, on doit être déjà marron ;) ). Et comme il marche dans la bdd, il ne faut pas oublier de mettre des acl selinux sur les fichiers physiques pour éviter que l'admin parte avec :)
edit: je ne connaissais pas sepsql, j'ai regardé la doc développeur, j'aime bien :)
OPE a l'air d'être capable de préserver les relations d'ordre. Je pense que ça doit aider (mais les bases de données c'est pas mon métier - et je les vomis).
[...] Ainsi que RND (Random), DET (Deterministic), OPE (order preserving encryption) & Join, HOM (Homomorphic encryption). CryptDB est en mesure de basculer à la volée entre divers systèmes de chiffrement en fonction des opérations... Donc de travailler sur des données dont le chiffrement est de type "oignons" (chiffrement sur chiffrement)
Si tu ne précises pas que le système en question est capable d'empiler les mécanismes précités (je n'ai pas vérifié), le "donc" est hardi : ce n'est pas parce qu'il est capable d’utiliser au choix une brique pour accéder à une donnée qu'il est capable de les empiler.
Une garantie de sureté même lorsque la totalité de la chaîne de gestion a été compromise (accès aux serveurs, failles dans les applications).
Euuuh je ne vois qui rien qui protège contre une divulgation de la clef, ce qui va arriver si toute la chaîne est compromise (auquel cas tu es coincé) ! D'ailleurs j'aimerais bien savoir ce qu'a la DARPA derrière la tête...
Enfin, il fait cela en quelques secondes lorsque les systèmes actuels demanderaient plusieurs milliers d'années.
Tu peux expliquer ? Même dans le contexte du paragraphe, ça n'a aucun sens !
Et donc, grâce à la magie des "t'es plus souvent" et des "90%", on passe de "sous linuxpresque tout est fichier/descripteur" (ma position) à "tout est fichier/descripteur" ?
Je pinaille, certes, mais je ne suis pas le seul !
[^] # Re: Quelques détails...
Posté par oinkoink_daotter . En réponse au journal Free condamné pour avoir menti à ses clients !. Évalué à 6.
Ca devait être du filtrage par port, donc pas vraiment de violation des correspondances. Ca l'aurait été si ils avaient filtré au niveau 7+1 pour voir si dans les données utilisateur HTTP il n'y avait pas du SSH.
[^] # Re: Aie confianccccccccce.
Posté par oinkoink_daotter . En réponse au journal Linux 3.2.5 devrait être moins gourmand. Évalué à 2.
Saikoi le rapport entre ça et l'ACPI, puisque BIOS et EFI l'offrent (l'ACPI) ?
[^] # Re: stow
Posté par oinkoink_daotter . En réponse au journal Dynamic Software Collection. Évalué à 3.
Dans le même style que stow, il y aussi les "alternatives" chez debian. Par contre, la solution dont parle le journal propose une autre friture : la portée de la modification opérée par dsc a l'air limitée au processus invoqué (et à ses enfants, probablement). C'est bien pour, par exemple, tester un truc avec perl 42 pendant que le reste du système continue d'utiliser perl "dernière version stable".
[^] # Re: Caractères absurdes
Posté par oinkoink_daotter . En réponse à la dépêche Nouvelle version d'Unicode : la 6.1.0. Évalué à 5.
Mhhhh, je dirais que c'est directement tiré des emoji japonais qui à vue de nez doivent être antérieurs à unicode (ou à sa démocratisation).
[^] # Re: Et virtualbox?
Posté par oinkoink_daotter . En réponse au journal Comparaison des performances de machines virtuelles. Évalué à 2.
En même temps, faire un benchmark sur ce genre de use cases avec VMware Workstation, c'est ptet pas non plus choisir le soft le plus adapté...
[^] # Re: critique
Posté par oinkoink_daotter . En réponse au journal Les sites de question / réponse. Évalué à 2.
Expert exch... FTW \o/ !
[^] # Re: Taxe pour sauver les journaux papiers
Posté par oinkoink_daotter . En réponse au journal Fermeture de la tribune. Évalué à 3.
Truc à savoir d'ailleurs : maintenant certains modèles de disques durs embarqués dans les boitiers vendus en pack (maï passport de western digital?) sont spéciaux : ils embarquent le pont SATA vers USB directement sur le PCB du disque et non sur une carte dans le boîtier. Du coup, la sortie du disque est direct en USB. C'est moins cher à fabriquer pour les constructeurs, mais ça empêche de changer le disque (on ne trouve pas ces disques hors de ce contexte) et on ne peut pas les coller dans un portable (pas de connectique sata).
[^] # Re: Taxe pour sauver les journaux papiers
Posté par oinkoink_daotter . En réponse au journal Fermeture de la tribune. Évalué à 1.
La redevance est propre au volume, pas au prix de l'objet et ne concerne pas les disques durs nus. Sinon pour 1To, http://www.chere-copie-privee.org/ indique 23 roros.
[^] # Re: Questions
Posté par oinkoink_daotter . En réponse au journal OLPC XO 3 en approche. Évalué à 1.
Euuuuuh, en terme de solidité, comme dire ... lol ? On projettera jamais un machin comme ça sur théatre et encore moins sur le terrain. Sans compter que puisqu'il n'a pas été disaïné pour, il doit rayonner salement (on a des précédents marrants avec les écrans tactiles).
[^] # Re: comparaison avec Android?
Posté par oinkoink_daotter . En réponse à la dépêche webOS devient réellement opensource. Évalué à 3.
Le paradigme d'interface avec les "cartes", le multitâche sont très sympa. Après le développement/patch d'appli a l'air d'être assez simple avec du html/javascript (mais je n'ai pas pratiqué). C'est dommage que ce soit un peu poussif sur le touchpad car même si ca s'améliore au fil des versions, ça fait toujours pale figure niveau réactivité face à un ipad.
[^] # Re: Pas d'accord
Posté par oinkoink_daotter . En réponse à la dépêche Ubuntu sur les terminaux mobiles et les tablettes. Évalué à 1.
Justement, je ne suis pas sûr que ce "dogme" soit toujours d'actualité. Si le contenu est le même il faut quand même que la forme soit adaptée au support : particularités liées au pilotage au doigt (ex: pas de mouseover), très petite taille d'écran (ex : sur linuxfr depuis un smartphone la sidebar bouffe de la place sans grande plus value), etc. On ne peut pas dire que si un site est fait pour marcher correctement sur des écrans 14-22 pouces pilotés au clavier/souris, ça marchera tout pareil sur un smartphone.
Je ne dis pas qu'il faut que le site soit différent, mais qu'au moins ces contraintes soient prises en compte à la conception de la CSS. Le double tap pour zoomer, etc, ce n'est qu'un palliatif, pas une vrai solution.
[^] # Re: euh je ne suis pas certain d'avoir compris
Posté par oinkoink_daotter . En réponse à la dépêche Sandboxing fin dans le noyau linux : la saga des filtres seccomp. Évalué à 3.
QubeOS est (en gros) un habillage un peu sexy autour de la virtualisation d'un système invité en utilisant Xen. Le domaine 0 fait tourner X et un window manager restreint. Les applis sont groupées par des labels propres au niveau de confiance que leur accorde l'utilisateur (bank, work, internet, whatever). Chaque label se traduit par une instance d'un OS linux (une fedora) dans lequel on fait tourner lesdites applis. Ca n'utilise pas de label à proprement parler au sens SELinux ou Solaris TX. X11(et/ou le wm?) est patché pour afficher autour de la fenêtre un bandeau de couleur pour indiquer le label dont la fenêtre de l'appli dispose. Le copier/coller est patché pour péter un avertissement lorsque l'on tente de copier coller d'un label à l'autre.
Toute la sécurité repose sur le fait que l'on cloisonne l'accès aux données par la virtualisation. Si une appli est vérolée elle ne peut accéder qu'aux données qu'on veut bien donner à la VM qui la fait tourner, elle et les autres applis du même 'label'.
C'est fondamentalement différent de la technique de sandboxing au niveau appli via setcomp qui est beaucoup plus fin et évoluer mais beaucoup plus complexe à auditer (QubeOS nécessite d'auditer les fonctions de cloisonnement de Xen via VT-x, setcomp, en gros tout le noyau linux). En outre seccomp nécessite la collaboration du développeur de l'appli qui doit dire ce que fait son appli (au sens appel système) et ce qu'elle ne doit pas faire.
Je ne sais pas si je suis tres clair ...
[^] # Re: Comme avec Linux
Posté par oinkoink_daotter . En réponse au journal L'univers android ?. Évalué à 1.
Ben, moi, par exemple :)
[^] # Re: Comme avec Linux
Posté par oinkoink_daotter . En réponse au journal L'univers android ?. Évalué à 1.
Perdu.
Siri c'est sur le 4S et c'est effectivement interprété par le cloud. Ce n'est pas le cas sur les 3GS et 4, où c'est fait en local et beaaaucoup plus limité.
[^] # Re: Fuck Google (sur ce coup là)
Posté par oinkoink_daotter . En réponse au journal Google en 2012 deviendra encore plus intrusif. Évalué à 3.
Y a aussi ton "déliqua" qui pique un peu les nyeux :)
[^] # Re: Comme avec Linux
Posté par oinkoink_daotter . En réponse au journal L'univers android ?. Évalué à 1.
Hum, y a aussi la reconnaissance vocale (le truc qu'a remplacé Siri sur les 4S) interdite aux 3G (officiellement pour une raison de taille de mémoire cache sur le Soc) et les MMS sur les 2G (la, c'était vraiment du foutage de gueule).
[^] # Re: HTML5, le nouveau buzzword
Posté par oinkoink_daotter . En réponse au journal Benchmark HTML5. Évalué à 2.
Dès que je vois ce logo, ça me fait penser à ça : http://theoatmeal.com/pl/state_web_winter/html5 :-)
[^] # Re: SELinux
Posté par oinkoink_daotter . En réponse au journal CryptDB : un bond en avant pour la sécurité des base de données. Évalué à 2. Dernière modification le 20 décembre 2011 à 22:15.
C'est un peu la même finalité en fait : offrir un contrôle d'accès durci aux données, mais pas les même moyens.
sepsql via SELinux va imposer via les mécanismes du noyau un contrôle d'accès MAC très fin aux données.
cryptdb lui, va cloisonner les données par de la crypto.
L'un repose sur la robustesse du noyau, l'autre sur le fait que les clefs restent secrètes.
La solution crypto est plus robuste, mais je pense qu'elle est moins souple sur ce qui est protégé (ex: OPE pour les relations d'ordres ne me semble marcher que si toute la colonne est protégée). Je n'ai pas regardé donc je ne sais pas comment est géré le multiutilisateur dans une table ... Ca suppose aussi que la machine ne soit pas complètement corrompue, car si c'est le cas, l'admin pourra récupérer la clef des opérations crypto faites en local.
sepsql est plus souple mais n'offre de cloisonnemnt crypto au cas ou il serait bypassé (m'enfin à ce niveau, on doit être déjà marron ;) ). Et comme il marche dans la bdd, il ne faut pas oublier de mettre des acl selinux sur les fichiers physiques pour éviter que l'admin parte avec :)
edit: je ne connaissais pas sepsql, j'ai regardé la doc développeur, j'aime bien :)
[^] # Re: Et les indexes ?
Posté par oinkoink_daotter . En réponse au journal CryptDB : un bond en avant pour la sécurité des base de données. Évalué à 3.
OPE a l'air d'être capable de préserver les relations d'ordre. Je pense que ça doit aider (mais les bases de données c'est pas mon métier - et je les vomis).
# huh ?
Posté par oinkoink_daotter . En réponse au journal CryptDB : un bond en avant pour la sécurité des base de données. Évalué à 4.
Si tu ne précises pas que le système en question est capable d'empiler les mécanismes précités (je n'ai pas vérifié), le "donc" est hardi : ce n'est pas parce qu'il est capable d’utiliser au choix une brique pour accéder à une donnée qu'il est capable de les empiler.
Euuuh je ne vois qui rien qui protège contre une divulgation de la clef, ce qui va arriver si toute la chaîne est compromise (auquel cas tu es coincé) ! D'ailleurs j'aimerais bien savoir ce qu'a la DARPA derrière la tête...
Tu peux expliquer ? Même dans le contexte du paragraphe, ça n'a aucun sens !
[^] # Re: Sans aucun rapport ...
Posté par oinkoink_daotter . En réponse à la dépêche Sortie de Newton Adventure 1.1. Évalué à 1.
Hhhhannnn, tu devrais savoir, toi qui est un pilier de la 3Bune™ !
# Sans aucun rapport ...
Posté par oinkoink_daotter . En réponse à la dépêche Sortie de Newton Adventure 1.1. Évalué à 6. Dernière modification le 18 décembre 2011 à 11:20.
Le mouledottage actuel montre bien la limite de l'autohébergement sur ligne adsl...
[^] # Re: Demande similaire
Posté par oinkoink_daotter . En réponse à l’entrée du suivi Affichage des commentaires dans la boite utilisateur. Évalué à 1 (+0/-0).
Ok !
[^] # Re: Suis-je médisant ?
Posté par oinkoink_daotter . En réponse à la dépêche LLVM 3.0. Évalué à 1.
Environ 4 lettres \o/
[^] # Re: Syndrome de la compatibilité ascendante
Posté par oinkoink_daotter . En réponse au journal Que faut-il penser de Lennart qui casse tout ?. Évalué à 1.
Et donc, grâce à la magie des "t'es plus souvent" et des "90%", on passe de "sous linux presque tout est fichier/descripteur" (ma position) à "tout est fichier/descripteur" ?
Je pinaille, certes, mais je ne suis pas le seul !