ouah a écrit 152 commentaires

Ca fait des années et des années qu'on en entend parler, que des rumeurs courent sur une hypothétique faille dans la pile TCP/IP qui serait exploitable à distance. On aura donc fini par l'avoir!

Le comble du comble, c'est quand même que ce soit sur OpenBSD.

> Libre à tout le monde de déposer de brevets, d'avoir des EULA à la con, etc.

Oui libre. Dans ma boîte, avec certains produits hardware on distribue aussi les sources des drivers et des outils qui vont avec. On distribue ces sources en license BSD. Comme ça les gens qui ont payés le produit peuvent modifier le code, réutiliser une partie de nos routines etc. Pour les clients, je trouve normal qu'ils puissent le faire avec notre code sans avoir des restrictions et des interdictions à tout va. Bien sûr rien ne nous oblige à le faire, on aurait très bien pu poser une license GPL ou même garder les sources fermés avec une license bien proprio. Mais voilà, moi je trouve cela plus cool.

> Microsoft veut un maximum de liberté (donc MS adore la BSD).
Microsoft n'utilise pas la license BSD pour ses produits. Et si Microsoft veut intégrer du code BSD dans ses produits, tant mieux pour eux. Si cela te dérange, tu peux ajouter à la license une clause spéciale d'exception pour Microsoft.

C'est quand même fou avec fous avec ces histoire de licenses le nombre de philosophes de comptoir qu'on peut trouver!

> Je ne sais pas si l'usage du SSE est posible dans le noyau
> Linux. Dans le temps, on ne pouvait pas utiliser la FPU dans le
> noyau. Ça pourrait simplifier la question.

L'usage du SSE comme du FPU sont disablés à la compilation du kernel pour éviter l'overhead dû au sauvage des registres. Maintenant on peut utiliser du code assembleur SSE dans le code du noyau en prenant les mesures de précaution adéquates comme par exemple en n'oubliant pas de désactiver
la préemption lorsque le code SSE est exécuté.

En Irak, en dehors de la lutte contre l'occupation, ya aussi une quasi guerre civile, où des groupes sunnites se font sauter dans des mosquées chiites...

A propos de l'utilisation du mot "quasi" ici. Il y a eu un article intéressant dans un Newsweek du mois de novembre sur la politisation du terme "guerre civile". Après réflexion plusieurs grand quotidiens américains ont récemment pris la décision de qualifier la situation en Irak de guerre civile et les autres ne devraient pas tarder à suivre. Il y en a un à qui cela ne plaît pas et qui récuse toujours le terme, vous l'aurait deviné, c'est Deubeulyou.

Why media avoided 'civil war' term :
http://www.msnbc.msn.com/id/15937798/site/newsweek/

Tu critiques que l'API des linux bougent mais ca gene qui? Uniquement les trucs dont les sources ne sont pas dispos et donc a l'ouest de la philosophie linux donc franchement pas du tout important

Il y a beaucoup de drivers opensource et GPL qui ne sont pas dans le main kernel tree. Pour ceux-là dès qu'une nouvelle release du kernel sort, c'est l'angoisse, ça compile plus et il faut ajouter un xième #ifdef dans le code du driver. C'est super épuisant car il faut suivre en permanence le développement des derniers kernels (et oui le client a le droit d'utiliser un noyau récent) et patcher en conséquence en fonction des humeurs et des expérimentations des développeurs du kernel Linux. De plus, c'est typiquement le genre de choses qui favorise l'apparition de bugs dans les drivers.

Moi je l'ai lu il y a environ 2 ans. Le livre est plutôt intéressant et assez accessible (pas technique du tout). Il y a toute une partie historique sur la cryptographie. Dans son genre, je lui ai préféré le Code Book de Singh mais le style est très différent. Ca reste quand meme LE livre francais (non technique) sur la cryptographie et rien que pour cela il est incontournable;)

> Et comme disait Sarge :
> Aux armes Etchætera...

Le vieux Jean-Paul Sarge disait ça?

> Tu veux dire que les machines utilisées par les étudiants (pas seulement ceux en info) étaient presque toute toutes des suns ?

De mon expérience, à l'époque pour les ordinateurs desktops:

En sciences humaines, il y avait majoritairement des Macs.
Dans les branches scientifiques, il y avait des un parc composé essentiellement de Sun et Mac: peu de Microsoft et quasiment aucun Linux.

>> "Microsoft a déjà aquis le controle total de l'informatique dans l'éducation suisse"

> Sérieux je sais pas. Mais ancien, oui: 1998 "

A fortiori. En 1998, l'éducation suisse avait encore des contrats blindés avec Sun et dans les universités la présence
d'OS microsoft était presque inexistante.

Selon le mail sur debian-devel-announce, la raison officielle invoquée est directement le passage à la license CDDL pour certaines partie des programmes de la suite et de son incompatibilité avec la GPL. Et non l'incompatiblité d'humeur entre Joerg Schilling et les devs Debian.

> - existe t-il une façon simple de faire un cut avec puthon comme
> on le fait en shell (ex: cat /etc/passwd |cut -d ":" -f3). J'y arrive,
> mais 40 lignes python contre 1 en bash, je suis, AMHA, à côté
> de la plaque.

#! /usr/bin/python

file = open('/etc/passwd', 'r')
lines = file.readlines()

for i in lines:
print i.split(':')[2]

file.close()

Je te conseille de lire le tutorial python sur http://docs.python.org .

> Par contre je ne suis pas d'accord sur le fait que la GPL est un cancer, tout simplement parce que la GPL est dite contaminante alors que le cancer lui ne l'est pas...

L'analogie du cancer à la contamination s'entend pour le cancer comme contamination de cellule à cellule et non d'individu à individu...

Par contre à l'épithète contaminant pour la license GPL, je lui préfère encore celui de viral.

> Bon, plus qu'à écrire tout son code en Alexandrins :-)

En demi-alexandrins, Théophile Gautier nous a gratifié du poème du codeur:

<< Sculpte, lime, cisèle;
Que ton rêve flottant
    Se scelle
Dans le bloc résistant! >>

"événement" est admis mais la graphie recommandée est "évènement".

Voir l'explication de l'Académie française dans les Questions
courantes:

http://www.academie-francaise.fr/langue/questions.html

Au contraire, c'est grâce à Waterloo que la France et l'Europe ont pu se libérer du joug de celui qui fut le plus grand sanguinaire de l'Histoire après Pol Pot et Hitler.

A propos du terme cryptage, le document "Mécanismes cryptographiques – Règles et recommandations « standard » – Version 1.02 du 19/11/2004 48/62"

(disponible ici: http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecan(...) )

stipule:

"Le seul terme admis en français est celui de « chiffrement ». On entend cependant souvent parler de « cryptage », voir de « chiffrage », mais ces mots sont incorrects. L’opération inverse du chiffrement est le « déchiffrement ». Il est cependant admis de désigner par « décryptage », ou « décryptement », un déchiffrement effectué de manière illicite par un attaquant, typiquement sans disposer de la clé secrète mais après avoir trouvé une faille dans l’algorithme de chiffrement."

> J'ai précisemment échangé plusieurs mails avec Tomas Pornin à
> l'époque pour en avoir le coeur net et il m'avait confirmé que le
> fait de crypter un texte clair avec AES puis de crypter le chiffré
> résultant avec Blowfish ne pouvait pas comprometre la
> sécurité. Les deux algos n'interagissent pas ensemble et donc
> ne peuvent s'affaiblir l'un l'autre.

En même temps cela paraît assez logique. En admettant qu'on utilise deux clés indépendantes pour chacun des algos, si chiffrer avec Blowfish sur AES affaiblit la sécurité d'AES alors on casse AES grâce au nouvel algorithme cryptanalytique qu'est Blowfish:)

Bon maintenant toute modification à un cryptosystème est synonyme d'erreur potentielle et on sait que le gros problème de la cryptographie c'est les gens chargés de l'implémenter.

moi j'aime pas trop le Coca light

Oui y a pas dire, certains journaux c'est vraiment du n'importe quoi, du grand-guignolesque même. Chabine Chabin je crois surtout que tu devrais éviter de regarder MTV France, ça te ferait le plus grand bien.

...trop lourd à porter

> Ce qui confirme, personnellement, l'idée que j'avais du
> personnage et de ses attaques: il ne se prend pas au sérieux,
> il ne voit juste pas la moindre raison de se forcer à utiliser sa
> langue de bois. Quand il a une opinion, il la dit pleinement,
> sans se soucier des vaguelettes totalement sans importances > que sa pourrait soulever.
> Moi, j'aime bien.

Par contre quand c'est Theo de Raadt qui traitent les linuxiens de losers, c'est marrant mais ça plaît tout de suite moins.

Vu que personne n'en a encore parlé, il y a aussi la commande chattr, disponible avec plusieurs fs, qui fait l'affaire.

> Ça me paraît assez plausible, parce que c'est vraiment pas
> prévu pour enchaîner des millions de hash, et on doit perdre un
> temps fou entre l'appel de openssl et le démarrage réel du
> calcul.

Oui et non. Avec OpenSSL, tu peux accèder aux algos via leur engine mais tu peux aussi accèder aux algos de bas niveaux. Par contre ce qui est sûr c'est qu'OpenSSL n'est certainement pas l'implémentation la plus rapide de MD5 pour un processeur donné.

> En dehors des cas les plus simples, il n'est pas tellement
> envisageable de précalculer une table de hashes

avec les Rainbow tables, ils utilisent un compromis temps-mémoire, ils ne précalculent pas tous les hashs.

> J'ai l'habitude de dire que les licences BSD sont des "licences vaseline" car elle permette de donner sans instituer l'échange.

C'est la définition de mot donner, quand on donne on le fait sans condition et sans intérêt. Et c'est quand le même concept qui est le plus proche de l'idée du logiciel libre.

> Bref avec la GPL, on instaure un échange, un partage. On est gagnant-gagnant

Et pourtant ca empêche pas aussi les leaders de bon nombres de projets GPL de se plaindre d'être peu soutenus.