Benoît Sibaud a écrit 8863 commentaires

> Pourquoi linuxfr ne poste jamais un news sur rtlinux?
LinuxFr n'est pas une agence de presse ou un journal. LinuxFr diffuse les nouvelles envoyées par ses lecteurs. Si tu veux voir plus de nouvelles sur rtlinux, envoies-en !

> Pourquoi jamais d'articles sur linux en système embarqué où il fait un carton (Je ne parle pas des PDA)?
Parce qu'il en existe peu, ou parce que personne n'en envoie.

> Lorsqu'un noyau sort, il y a toujours des bugfixes dans les 48 heures qui suivent. Pourquoi il n'y a jamais rien sur ces patchs "indispensables"?
Je ne t'ai jamais vu poster ne serait-ce qu'un commentaire sur le sujet dans l'annonce d'un nouveau noyau... Et encore moins une nouvelle.

Je cherche la 0.9.5 pour Woody (j'ai déjà vu la 0.9.4 sur "deb http://pandora.debian.org/~kitame/mozilla/(...) ./ " mais pas la 0.9.5). Quelqu'un aurait un lien svp ?

Pour les logiciels libres, les gros projets ont des gestionnaires de bogues, genre Bugzilla. Les petits projets gèrent ça "à la main", donc il serait plus difficile d'avoir des stats.

Pour les logiciels propriétaires, je doute que l'éditeur fournisse le nombre de bogues de chaque version de tous ses logiciels, et même s'il le faisait je n'aurais pas confiance : "euh il n'y a eu que 2 bogues dans notre logiciel, et encore des pas graves, ayez confiance".

Au final, l'étude statistique me paraît difficile.

Jusque là, cette news s'apparente à de la pub : on a seulement les références d'un bouquin. Même pas un petit résumé, un avis ou un sommaire (pour l'avis c'est pas idiot de ne le mettre que dans les commentaires cela dit)

Quelqu'un l'aurait lu par hasard ?

Ceci dit, il faut aussi contrôler les sémaphores (semget, cf ipcs), la mémoire partagée (shmget, cf ipcs), les ports ouverts (tu peux ouvrir tous ceux au-dessus de 1024 si ça t'amuse), les inodes des systèmes de fichiers, l'espace disque des systèmes de fichier, le nombre de sockets... (en gros éviter de saturer les tables de taille fixe du noyau ou du système)

> famblant neuve...
flambant

> lui meme
lui-même

> eviter
éviter

> ligth
light (voire léger)

> pres
près

> N'hesitez
N'hésitez

> apréciations
appréciations

Hop -1

$ cat titi.c
int _Z4totoi;

int main()
{
}
$ nm toto.o
00000000 T _Z4totoi
$ nm titi.o
00000000 B _Z4totoi
00000000 T main
$ g++-3.0 toto.o titi.o
titi.o(.bss+0x0): multiple definition of `toto(int)'
toto.o(.text+0x0): first defined here
/usr/bin/ld: Warning: size of symbol `toto(int)' changed from 5 to 4 in titi.o
/usr/bin/ld: Warning: type of symbol `toto(int)' changed from 2 to 1 in titi.o
collect2: ld returned 1 exit status

On va pas tarder à sortir de mon niveau de compétence et je fais faire un Core dumped :)

Sur la nouvelle ABI :
http://www.codesourcery.com/cxx-abi/(...)

Les symboles, c'est ce que tu vois quand tu fais un nm sur un .o ou un .a par exemple : les fonctions définies ou utilisées, les attributs définis ou utilisés, etc. Donc leur nom, leur taille, leur emplacement en mémoire, qui les définit, qui les utilise, etc.

Non pas vraiment. A la base, je veux faire corriger les pages invalides aux webmestres (et signaler les sites qui font des efforts). Le site montrerait ceux qui sont soucieux des standards et ceux qui réactifs. Bref pour simplifier à outrance, les bons et les mauvais élèves du net.

ça commence à m'agacer sévère les sites qui ne respectent pas les standards du web.... Evidemment il y a plusieurs catégories : ceux qui ne savent pas, ceux qui savent et qui ne veulent pas corriger, ceux qui savent et qui sont coincés pour telle ou telle raison, etc.

J'ai dans l'idée de mettre en place un site (valide :) testant la validité d'autres sites. Pour chaque site invalide, on envoie un mail au webmestre pour lui signaler, en lui disant que ce mail est aussi publié sur le site. Une sorte de kitetoa mais sur la validité au sens W3C. Du genre une url, un indicateur (vert, orange, rouge), éventuellement la date du mail envoyé pour signaler le problème.

(Ensuite on peut alerter les journalistes sur la question, pour démentir par exemple l'affirmation de validité de msn)

Si ça intéresse des gens, envoyez-moi un mail (je ne vois pas de grosses difficultés techniques, faut juste s'y mettre quoi).

(ça devrait aussi indirectement intéresser les associations de non- et mal-voyants, via les paramètres ALT des baslises <IMG> par exemple)

Une fois que tu as une glibc compilée qui va bien, le problème ne concerne plus que les bibliothèques C++, comme dit précédemment. Si tu veux utiliser une ou plusieurs bibliothèques C++ compilées avec un 2.95, tu utilises g++ 2.95. Pour une ou plusieurs biblio C++ compilées avec un 3.0, tu utilises un g++ 3.0. Par contre tu ne peux pas panacher. Mais bon le 3.0, c'est quand même autre chose au niveau C++ (respect des standards, STL, etc).

Je pense que c'est parce que la glibc est un cas un peu à part parmi les bibliothèques C. Elle est à la base de tout le système, et tous les programmes s'appuient sur elles. Y compris les binutils par exemple, qui permettent de produire et d'interprèter les objets, les bibliothèques dynamiques , etc. Bref la libc doit aussi avoir besoin de connaître/reconnaître certaines parties des symboles. Donc il faut une bonne version de gcc et une bonne version de la libc.

(Par exemple gcc 3.x ne compile pas sur une Patate Sparc, car il faut au moins une glibc 2.2.x et peut-être pas n'importe quel x en plus)

"Il ne bogue pas. C'est une fonctionnalité" (tm)
Le lien est correct mais seule une partie de l'URL est affichée pour éviter les URL à rallonge (genre clé de session 128 bits par exemple). Par contre un [...] serait du plus bel effet. Je tâcherai d'y jetter un oeil à mon moment.

Youpla -1

En gros, en C++, les bibliothèques (i.e le nommage et la structure des symboles, l'ABI (Application Binary Interface)) sont dépendantes du compilateur (ou plutôt de son ABI). Il y a eu un changement d'ABI entre gcc 2.95.x et gcc 3.x. Donc les bibliothèques compilées avec l'un ne sont pas utilisables avec l'autre.

Cela ne s'applique pas au C.

Il faut bien sûr lire "Remote Buffer Overflow", donc une faille des plus génantes.

Au passage, je rappelle que l'on peut installer son propre validateur en local. Les sources de celui du W3 sont dispos. http://validator.w3.org/source/(...)

Pratique pour valider son site avant de le mettre en ligne ou pour un site interne contenant des infos confidentielles (que l'on a pas envie de valider via le net).

Je ne sais pas si c'est du gruyère, mais en tout cas, ils ne sont pas rapides...

Sun Security Bulletin #00211
CERT Vulnerability Note VU#970472 is available from: http://www.kb.cert.org/vuls/id/970472(...)

Remove buffer overflow sur xntpd qui tourne sous root
Correctif chez Sun : 2001/10/23 (oui octobre)
Correctif chez NetBSD : 2001/04/05
Correctif chez FreeBSD : 2001/04/13
Correctif cher OpenBSD : 2001/04/06
Correctif chez Debian : 2001/04/10
Correctif chez Redhat : 2001/04/09
Correctif chez Mandrake : 2001/04/06
Correctif chez Slackware : 2001/04/09

le tout sur le même code dispo sur http://www.ntp.org(...) ...

Les licences libres impliquent quand même un certain nombre de choses (cf les 4 libertés, cf le copyleft pour les licences avec copyleft, etc). N'est-ce pas un peu dangereux de dire "libres de droits" ?

"En gros, c'est ENORME, qu'un serveur pris au hasard se fasse attaquer toutes les 3 mn..."

Sur Internet oui c'est rare. Mais sur un LAN c'est pas le trafic TCP/IP qui pose problème mais le trafic ARP.

CodeRed crée aussi un DoS sur les LAN (via une tempête ARP) : il attaque au hasard les machines du LAN, très rapidement, via leur IP ; du coup il fait énormèment de requêtes ARP. J'ai vu une machine représenter 90% du trafic du réseau, en faisant seulement de l'ARP. CodeRed surcharge énormèment les réseaux locaux.

Et un paquet de vers/virus surchargent les serveurs de mail.

Donc tu fais un fichier contenant tes sommes MD5, et tu le signes avec GPG. C'est utilisé pour les ISO par exemple.

Ce n'est pas ce que fait debsign ?
Cf http://packages.debian.org/testing/devel/devscripts.html(...)

Dans ce cas-là, il faudrait déjà préciser que c'est Code_Aster qui est dispo gratuitement et pas la licence...

La NSA produit sa propre version de Linux (la dernière vient de sortir récemment) : la NSA Security Enhanced Linux. Sachant que cette distrib corrige des failles de sécurité et implémente des sécurités plus importantes, quel est son statut vis-à-vis du DMCA ?

i.e. le gouvernement américain va-t-il s'autopoursuivre ?

Recherche dans les paquets Debian
http://packages.debian.org/stable/misc/ical.html(...)

Pas vu de traces en testing et en unstable (par contre dans korganizer y a un convertisseur pour ical apparemment)