> le plus gros probleme de Solaris (a mon humble avis), c'est le manque de finitions de l'environnement de bureau (au sens large): le dernier Solaris que
> j'ai utilise devait etre un 8.xx, et bien franchement, meme a cote d'un Windows 98 buggue, ca ne faisait pas un effet extraordinaire:
Solaris 8 est sorti en 2000, il y a maintenant 5 ans alors il faudrait savoir de quoi on parle. Sinon c'est vrai que CDE n'a jamais vraiment été sexy et que toutes manières il n'a pas beaucoup évolué. Par contre, il y a maintenant JDS comme interface et si tu trouves kks screenshots sur le net tu verras que c'est plutôt joli.
Bon j'ai rien dit je viens de le trouver à midi. Mais il s'agit du numéro précédent et il a donc du arriver avec plusieurs semaines (mois) de retard ce qui n'était pourtant pas le cas des premières parution.
Il semblerait que MISC ne soit plus diffusé en Suisse depuis le numéro précédent: impossible de mettre la main sur un exemplaire. Quelqu'un peut-il confirmer ou est-ce que quelqu'un a remarqué la même chose en Belgique?
> un algo de hash a toujours des collisions (normal tu transforme n bits en m bits avec n >> m) , c'est juste qu'on ne doit pas pouvoir generer un fichier qui a un hash connu a l'avance qui est important...
Ce n'est pas exact. Si un algo de hash possède effectivement toujours des collisions ce n'est par contre pas normal de pouvoir en exhiber une. Pour les algorithmes de hachage cryptographiques, exhiber une collision ou connaître un algorithme qui permet d'en exhiber une en moins de 2^(t/2) opérations (où t est la longueur du haché), merci au birthday paradox, revient à casser l'algorithme.
Enfin pour la seconde partie de ta phrase, la propriété que tu mentionnes est la résistance à la préimage et elle est nécessaire mais pas suffisante pour qu'un algorithme de hachage soit considéré comme sûr.
> Le papier sur l'attaque de SHA-1 n'est pas encore sorti.
Le papier est sorti il y a déjà une ou deux semaines (chercher "Finding Collisions in the Full SHA-1").
> Je crois qu'il aurait été cependant plus judicieux de passer directement à SHA-256, par conversatisme.
Il faut aussi ajouter par rapport à la news qu'avec cette version 0.9.8 il y a enfin une implémentation (c'est pas trop tôt)
des versions de SHA-256, 384 et 512. (Cela faisait cependant des mois et des mois qu'elles étaient sur le CVS).
Je ne vous félicite pas pour ce coup-bas à Debian et Linux.
et Je dis juste que ce n'est pas trés malin et responsable de se réjouir du problème de mise à jour d'une distribution linux surtout si on prétend appartenir à cette communauté.
Moi, c'est ce genre d'attitude que je déplore.
Cette attitude nombriliste et hypocrite qui consiste à dire qu'on ne devrait passer que des news qui glorifient Linux et racontent ses haut faits, ainsi que les news qui montrent les concurrents de Linux avaler la poussière. Par contre, il faut bien sûr éviter d'évoquer tout problème que pourrait rencontrer Linux et surtout taire les initiatives louables et les bonnes idées des autres OS.
Le logiciel libre c'est aussi l'information libre et je pense pas que cacher la merde au chat soit une bonne solution pour aller de l'avant,.
Je pense que ce dont à besoin linux dans l'avenir, c'est de plus de solidarité et d'entraide entre les différentes distributions.
Je pense plutôt que le salut de Linux tient à une distribution unique et officielle. Par exemple une distribution Linux châpeautée par GNU (il y aurait enfin une légitimité à utiliser le mot GNU/Linux).
Cela aurait à mon avis plusieurs avantages: meilleure visibilité , moins d'efforts dispersés et des liens plus renforcés entre les développeurs du noyaux et ceux de la distribution. Mais cela permettrait surtout d'avoir une distribution libre et émanant une libre plus forte où chacun tirerait à la même corde et aurait une vision commune.
La situation actuelle avec plusieurs distributions qui pèsent (Red Hat, Debian, Mandriva etc.) n'est à mon sens pas un avantage et ce qu'elle apporte en diversité, on le perd ailleurs (antagonismes, doublons etc.).
Il semble que Debian souffre de disfonctionnement majeur, pénalisant aussi bien la sortie de version stable que l'entretien de cette distribution ...
Personnellement j'avais été un peu étonné qu'une dépêche d'OSnews de début juin sur "Debian ships with disabled security feature" ne soit pas passée sur DLFP (comprenez, que personne n'ait voulu l'écrire).
En gros, il était dit cela:
"New installs [of Debian 3.1 from CD and DVD]... will not get security updates by default," said Debian developer Colin Watson in an e-mail warning. Installations from floppy disks or network servers were not affected. Watson apologised and asked vendors to delay burning CDs or DVDs of Debian 3.1, adding an update would be available shortly.
Alors évidemment quand soit disant on prend tout son temps pour que quelque chose de bien sorte, un truc pareil de dernière minute semble invraisemblable.
Donc en parlant de dysfonctionnements, il semblairerait bien que ceux-ci sont multiples et que les problèmes sont chez Debian d'ordre structurels.
Je trouve vraiment l'initiative excellente. Il y a pas à dire Google asssure trop. Avec ce programme, ils aident non seulement plusieurs gros projets OpenSource mais aussi les étudiants qui cherchent un stage d'été ou ceux qui veulent s'occupper intelligemment.
Plus je vois leurs différentes actions, plus je me dis qu'ils vont dans la bonne direction. A mon avis c'est la différence d'avoir des dirigeants parmi le cénacle des financiers ou des gens issus de l'informatique. Google reste à mon sens une des dernières grandes boîtes informatique qui ait une âme.
rectification, ce n'était pas la faille de juin 2002 dans Apache (qui n'a pu être comptabilisé vu qu'Apache n'est pas activé par défaut), mais bien celle de ssh 1 mois plus tard qui les a conduit à changer leur slogan.
Pour mémoire, le fameux exploit de Gobbles s'appelait sshutup-theo :)
> C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement.
C'est plutôt emmerdant, parce que du coup il reste plus qu'apache par défaut, et évidemment le "Only one remote hole" se trouvait dans apache.
Franchement, ce slogan "Only one remote hole" est ridicule et ils feraient mieux de le virer.
Ce n'est pas du tout une nouvelle faille: le fait que si on désactive l'authentification avec IPSec, on peut casser complètement la sécurité avec une attaque active de type Man-In-The-Middle est connue depuis longtemps.
Le problème c'est que quelqu'un pose un advisory pour se faire de la pub et c'est repris par tous les journalistes qui ne connaissent rien de yahoo news à news.com, et enfin ça finit sur DLFP.
Steve M. Bellovin a écrit un article nommé "Problem areas for the IP Security Protocols" qui décrit ces problèmes SI ON DESACTIVE L'AUTHENTIFICATION DES PAQUETS et qui est paru déjà il y a quelques années .
Le fait que ce soit possible de désactiver l'auth n'implique pas qu'IPSec soit cassé, cela peut être intéressant lorsque l'on essaye de debugger lors d'un premier déploiement d'IPSec qui ne passe pas (oui ce n'est pas toujours évident), comme c'est le cas par exemple pour l'utilité des clés manuelles.
Ce sont des problèmes bien connus, pour plusieurs protocoles et si on ne les utilises pas dans les règles il faut s'attendre à de mauvaises surprises.
Pour ceux qui ne seraient pas d'accord avec cet avis: j'annonce ici avoir cassé le protocole SSH: si vous vous connectez à un serveur SSH sans avoir au préalable installé sa clé publique ou avoir vérifié son empreinte, vous cassez complètement le protocole avec un Man-In-The-Middle. Soit dit-en passant, c'est l'utilisation faite par 90% des gens et c'est complètement vulnérable.
Enfin, cela pour montrer qu'il n'y a pas à s'affoler, que cette news n'apporte rien de nouveau et que son seul mérite est de faire comprendre aux gens que désactiver l'auth c'est mal et que les développeurs de solutions IPSec devraient empêcher de désactiver l'auth comme cela est le cas par exemple pour OpenVPN.
Et alors ? Le plus important dans l'histoire, c'est qu'il ait un outil qui réponde à SES besoins. Le plus important, c'est de développer le noyau linux, pas de participer au développement d'un SCM existant qui ne répond pas à SES besoins.
Et alors? Alors y en a marre des caprices de Linus. Il n'est pas seul à développer le noyau et son attitude est exaspérante pour les autres développeurs qui s'impliquent pour la communauté du libre.
L'avis des autres développeurs devrait être entendu et une solution consensuelle choisie. Au lieu de cela, comme d'habitude il n'en fait qu'à sa tête. (Généralement, il demande aux gens de faire des propositions, répond par des "ça sux" et finalement décrète qu'il retient la solution X). Pas très démocratique tout cela...
OFB: There has been lots of talk about the upcoming General Public License (3.0) and how it will differ from the present version. What do you see as the key reasons people should adopt the new version?
RMS: Most programs will adopt it automatically, since they are released under "GPL version 2 or later";
euh je ne suis pas sûr d'avoir bien saisi, c'est quoi cette entourloupe? En mettant ton programme sous license GPL, tu signes automatiquement pour les futures versions de la dite lience dont tu en connais pas encore le contenu?
D'après les dernières discussions sur la lkml dans le thread "Kernel release numbering" de Linus, il s'agirait d'une version de développement. Ou du moins, les futures versions impaires 2.6.x seraient des versions de développement.
> Si les OpenBSDistes voulaient forker GCC, la glibc et les autres ça serait déjà fait.
faut pas rêver. Ils ont déjà de la peine avec le nombre de développeurs qu'ils ont de faire un SMP qui tienne la route alors, même s'ils le voulaient, forker gcc ils n'y pensent même pas.
[^] # Re: Cet article est un troll ...
Posté par ouah (site web personnel) . En réponse à la dépêche Solaris 10 : le point. Évalué à 7.
> j'ai utilise devait etre un 8.xx, et bien franchement, meme a cote d'un Windows 98 buggue, ca ne faisait pas un effet extraordinaire:
Solaris 8 est sorti en 2000, il y a maintenant 5 ans alors il faudrait savoir de quoi on parle. Sinon c'est vrai que CDE n'a jamais vraiment été sexy et que toutes manières il n'a pas beaucoup évolué. Par contre, il y a maintenant JDS comme interface et si tu trouves kks screenshots sur le net tu verras que c'est plutôt joli.
[^] # Re: MISC et pays francophones
Posté par ouah (site web personnel) . En réponse au journal Sortie de Misc n°20 (Juillet Août). Évalué à 2.
# MISC et pays francophones
Posté par ouah (site web personnel) . En réponse au journal Sortie de Misc n°20 (Juillet Août). Évalué à 1.
[^] # Re: MD5 vs SHA-1
Posté par ouah (site web personnel) . En réponse à la dépêche OpenSSL 0.9.8 est sorti. Évalué à 0.
Ce n'est pas exact. Si un algo de hash possède effectivement toujours des collisions ce n'est par contre pas normal de pouvoir en exhiber une. Pour les algorithmes de hachage cryptographiques, exhiber une collision ou connaître un algorithme qui permet d'en exhiber une en moins de 2^(t/2) opérations (où t est la longueur du haché), merci au birthday paradox, revient à casser l'algorithme.
Enfin pour la seconde partie de ta phrase, la propriété que tu mentionnes est la résistance à la préimage et elle est nécessaire mais pas suffisante pour qu'un algorithme de hachage soit considéré comme sûr.
[^] # Re: MD5 vs SHA-1
Posté par ouah (site web personnel) . En réponse à la dépêche OpenSSL 0.9.8 est sorti. Évalué à 0.
Le papier est sorti il y a déjà une ou deux semaines (chercher "Finding Collisions in the Full SHA-1").
> Je crois qu'il aurait été cependant plus judicieux de passer directement à SHA-256, par conversatisme.
Il faut aussi ajouter par rapport à la news qu'avec cette version 0.9.8 il y a enfin une implémentation (c'est pas trop tôt)
des versions de SHA-256, 384 et 512. (Cela faisait cependant des mois et des mois qu'elles étaient sur le CVS).
A ce propos (pub), si vous voulez une implémentation rapide de SHA-224, SHA-256, SHA-384 et SHA-512:
http://www.ouah.org/~ogay/sha2/(...)
[^] # Re: La sécurité, c'est important
Posté par ouah (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 8.
Je ne vous félicite pas pour ce coup-bas à Debian et Linux.
et
Je dis juste que ce n'est pas trés malin et responsable de se réjouir du problème de mise à jour d'une distribution linux surtout si on prétend appartenir à cette communauté.
Moi, c'est ce genre d'attitude que je déplore.
Cette attitude nombriliste et hypocrite qui consiste à dire qu'on ne devrait passer que des news qui glorifient Linux et racontent ses haut faits, ainsi que les news qui montrent les concurrents de Linux avaler la poussière. Par contre, il faut bien sûr éviter d'évoquer tout problème que pourrait rencontrer Linux et surtout taire les initiatives louables et les bonnes idées des autres OS.
Le logiciel libre c'est aussi l'information libre et je pense pas que cacher la merde au chat soit une bonne solution pour aller de l'avant,.
[^] # Re: Aie :)
Posté par ouah (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 4.
au même plan? certainement pas, Windows est assurément meilleur.
"Study Shows Windows Beats Linux on Security", 23 juin 2005, source Linuxlookup.com
http://www.linuxlookup.com/modules.php?op=modload&name=News&(...)
[^] # Re: Le futur de Debian
Posté par ouah (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 5.
Je pense plutôt que le salut de Linux tient à une distribution unique et officielle. Par exemple une distribution Linux châpeautée par GNU (il y aurait enfin une légitimité à utiliser le mot GNU/Linux).
Cela aurait à mon avis plusieurs avantages: meilleure visibilité , moins d'efforts dispersés et des liens plus renforcés entre les développeurs du noyaux et ceux de la distribution. Mais cela permettrait surtout d'avoir une distribution libre et émanant une libre plus forte où chacun tirerait à la même corde et aurait une vision commune.
La situation actuelle avec plusieurs distributions qui pèsent (Red Hat, Debian, Mandriva etc.) n'est à mon sens pas un avantage et ce qu'elle apporte en diversité, on le perd ailleurs (antagonismes, doublons etc.).
[^] # Re: Le futur de Debian
Posté par ouah (site web personnel) . En réponse à la dépêche Debian Sarge a des problèmes sérieux de gestion de la sécurité. Évalué à 4.
Personnellement j'avais été un peu étonné qu'une dépêche d'OSnews de début juin sur "Debian ships with disabled security feature" ne soit pas passée sur DLFP (comprenez, que personne n'ait voulu l'écrire).
En gros, il était dit cela:
"New installs [of Debian 3.1 from CD and DVD]... will not get security updates by default," said Debian developer Colin Watson in an e-mail warning. Installations from floppy disks or network servers were not affected. Watson apologised and asked vendors to delay burning CDs or DVDs of Debian 3.1, adding an update would be available shortly.
Alors évidemment quand soit disant on prend tout son temps pour que quelque chose de bien sorte, un truc pareil de dernière minute semble invraisemblable.
Donc en parlant de dysfonctionnements, il semblairerait bien que ceux-ci sont multiples et que les problèmes sont chez Debian d'ordre structurels.
[^] # Re: Eh beh!
Posté par ouah (site web personnel) . En réponse au sondage Que conseiller à Mandriva de racheter ?. Évalué à 3.
Capitalisation Microsoft: 275 377 892 K$
Capitalisation Mandriva: 000 038 035 KEUR
[^] # Re: Et pour etch ?
Posté par ouah (site web personnel) . En réponse à la dépêche Debian 3.1 ; nom de code : Sarge. Évalué à 2.
moi je vote Paris 2012
# Google assure
Posté par ouah (site web personnel) . En réponse à la dépêche Google finance le logiciel libre. Évalué à 7.
Plus je vois leurs différentes actions, plus je me dis qu'ils vont dans la bonne direction. A mon avis c'est la différence d'avoir des dirigeants parmi le cénacle des financiers ou des gens issus de l'informatique. Google reste à mon sens une des dernières grandes boîtes informatique qui ait une âme.
[^] # Re: Verrouillage
Posté par ouah (site web personnel) . En réponse à la dépêche Subversion 1.2. Évalué à 1.
Subversion 1.2 t'indique le user qui a locké le fichier.
Mais le lock c'est aussi un truc intéressant pour apprendre qu'une autre personne est en train de travailler sur le même fichier que toi.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par ouah (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 3.7. Évalué à 1.
Pour mémoire, le fameux exploit de Gobbles s'appelait sshutup-theo :)
[^] # Re: Sortie d'OpenBSD 3.7
Posté par ouah (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 3.7. Évalué à 0.
C'est plutôt emmerdant, parce que du coup il reste plus qu'apache par défaut, et évidemment le "Only one remote hole" se trouvait dans apache.
Franchement, ce slogan "Only one remote hole" est ridicule et ils feraient mieux de le virer.
[^] # Re: Qui modère les news postées sur DLFP?
Posté par ouah (site web personnel) . En réponse à la dépêche Faille de sécurité dans les protocoles IPSec. Évalué à 3.
# Qui modère les news postées sur DLFP?
Posté par ouah (site web personnel) . En réponse à la dépêche Faille de sécurité dans les protocoles IPSec. Évalué à 10.
Le problème c'est que quelqu'un pose un advisory pour se faire de la pub et c'est repris par tous les journalistes qui ne connaissent rien de yahoo news à news.com, et enfin ça finit sur DLFP.
Steve M. Bellovin a écrit un article nommé "Problem areas for the IP Security Protocols" qui décrit ces problèmes SI ON DESACTIVE L'AUTHENTIFICATION DES PAQUETS et qui est paru déjà il y a quelques années .
Le fait que ce soit possible de désactiver l'auth n'implique pas qu'IPSec soit cassé, cela peut être intéressant lorsque l'on essaye de debugger lors d'un premier déploiement d'IPSec qui ne passe pas (oui ce n'est pas toujours évident), comme c'est le cas par exemple pour l'utilité des clés manuelles.
Ce sont des problèmes bien connus, pour plusieurs protocoles et si on ne les utilises pas dans les règles il faut s'attendre à de mauvaises surprises.
Pour ceux qui ne seraient pas d'accord avec cet avis: j'annonce ici avoir cassé le protocole SSH: si vous vous connectez à un serveur SSH sans avoir au préalable installé sa clé publique ou avoir vérifié son empreinte, vous cassez complètement le protocole avec un Man-In-The-Middle. Soit dit-en passant, c'est l'utilisation faite par 90% des gens et c'est complètement vulnérable.
Enfin, cela pour montrer qu'il n'y a pas à s'affoler, que cette news n'apporte rien de nouveau et que son seul mérite est de faire comprendre aux gens que désactiver l'auth c'est mal et que les développeurs de solutions IPSec devraient empêcher de désactiver l'auth comme cela est le cas par exemple pour OpenVPN.
[^] # Re: Et subversion ??
Posté par ouah (site web personnel) . En réponse à la dépêche Linus développe un remplaçant original à BitKeeper. Évalué à 1.
[^] # Re: L'info sur kerneltrap
Posté par ouah (site web personnel) . En réponse à la dépêche Linus développe un remplaçant original à BitKeeper. Évalué à -4.
Et alors? Alors y en a marre des caprices de Linus. Il n'est pas seul à développer le noyau et son attitude est exaspérante pour les autres développeurs qui s'impliquent pour la communauté du libre.
L'avis des autres développeurs devrait être entendu et une solution consensuelle choisie. Au lieu de cela, comme d'habitude il n'en fait qu'à sa tête. (Généralement, il demande aux gens de faire des propositions, répond par des "ça sux" et finalement décrète qu'il retient la solution X). Pas très démocratique tout cela...
# bla
Posté par ouah (site web personnel) . En réponse à la dépêche Interview de Richard Stallman sur OfB.biz. Évalué à 3.
euh je ne suis pas sûr d'avoir bien saisi, c'est quoi cette entourloupe? En mettant ton programme sous license GPL, tu signes automatiquement pour les futures versions de la dite lience dont tu en connais pas encore le contenu?
# Lien
Posté par ouah (site web personnel) . En réponse à la dépêche Le projet PaX compromis. Évalué à 4.
http://pax.grsecurity.net/(...)
(c'est grsec qui host pax maintenant et plus pageexec.virtualave.net )
# Version de développement
Posté par ouah (site web personnel) . En réponse à la dépêche Sortie du noyau 2.6.11. Évalué à 5.
http://lkml.org/lkml/2005/3/2/247(...)
[^] # Re: La FSF se la joue très très fairplay...
Posté par ouah (site web personnel) . En réponse à la dépêche Theo de Raadt reçoit le FSF Award 2004. Évalué à 1.
faut pas rêver. Ils ont déjà de la peine avec le nombre de développeurs qu'ils ont de faire un SMP qui tienne la route alors, même s'ils le voulaient, forker gcc ils n'y pensent même pas.
# GPL SUX
Posté par ouah (site web personnel) . En réponse à la dépêche Theo de Raadt reçoit le FSF Award 2004. Évalué à -10.
# Marcelllo
Posté par ouah (site web personnel) . En réponse à la dépêche Mandrakesoft rachète Conectiva. Évalué à -1.
C'est décidé je passe au 2.6.