J'ai pour ma part 23 ans, et je ne vois pas pourquoi je n'aurais pas un meilleur niveau que d'autres qui en auraient 20 de plus que moi(encore que je ne me qualifie pas d'expert).
C'est bien là le problème tu es lucide, compétent et modeste, ce qui n'est absolument pas le cas des prétendus experts qui ont 20 ans de plus que toi !
ATTENTION
Il ne faut pas conserver l'espace entre le "http" et la suite, le "://www.microsoft.com/default.ida". Mais si je ne le mets pas, daCode interpète ceci comme un lien.
On trouve plusieurs doncument sur le site de la communauté européenne. En particulier, les réponses.
IBM : l'harmonisation doit être fondée sur la pratique actuelle de l'Office Européen des Brevets (OEB)
BSA : est pour une apllication rigoureuse ;) Ils précisent que le brevet doit porter sur l'invention et non le code (ndlr : j'y vois là un bon moyen pour BSA de dire que les brevets n'empêchent donc pas l'open-source d'exister)
Bull : la présentation incroyable du document m'a rebuté :(
syntec (en fr) : en intro, ils disent qu'ils ne sont ni pour, ni contre ... idem en conclusion mais ils posent une bonne question : "les brevets sont-ils conforment à l'intérêt général" (ndlr : des passages, en particulier dans la conclusion, laisse toutefois penser qu'ils sont contre)
labri (labo de recherche en info de bordeaux) : "1/ Les brevets entravent la recherche et l'innovation"
France Telecom :(en fr) favorable à la bravabilité sous condition qu''un brevet apporte une innovation
Jean-Paul Smets : chaque page de son document contient http://www.pro-innovation.org/(...) (en toute rigueur, la dernière ne le contient pas ... elle fait 3 lignes ;)
et de nombreux particuliers
Bref, vous feriez mieux d'aller vous faire votre propre opinion en lisant tout ça par vous même ;)
Apparamment, le terme produit lorsqu'il s'agit "d'invention programmée" pose des problèmes car j'ai vu plusieurs documents en discuter. Malheureusement, ce genre de considérations dépasse largement les nombreux contributeurs particuliers pour ou contre les brevets. Ces points de vue sont très intéressants ... mais je ressent quand même que les pro-brevet sont plus afutés dans leur argumentation.
Si tu as une pièce "truquée" qui tombe dan 75% des cas sur face et dans 25% des cas restant sur pile (on néglige la proba de tombe sur la tranche ;), quand tu tires à pile-ou-face, c'est aléatoire, i.e. tu ne peux pas prédire avec certitude le côté sur lequel tombera la pièce ... même si tu sens intuitivement que 3 fois sur 4, elle tombera sur face.
Regarde plutôt la notion "d'entropie" pour comprendre l'importance des biais dans les générateurs pseudo-aléatoire.
Diffuser un exploit tel quel avec juste à compiler et lancer le programme ne me semble pas très sain (pb des scripts kiddies).
Ne rien diffuser me semble pire car les failles ne seront alors jamais réparer.
Une solution intermédiaire s'impose. Laquelle ? Par exemple, diffuser un "proof of concept". C'est par exemple le cas dans ce message de zen-parsec sur bugtraq http://www.securityfocus.com/archive/1/193657(...)
Cette solution me semble l'idéal. Le problème, c'est que ce n'est pas toujours possible. Il existe pleins de buffer overflows, mais tous ne sont pas pour autant exploitables.
Maintenant, coder des exploits n'est pas à la portée de tout le monde. Et les exploits servent :
- à apprendre
- à tester ses machines
Peut-être qu'une sorte de bdd d'exploits accessibles à qui est capable d'en coder serait la solution ?
Hélas, je n'ai pas trouvé l'article sur leur site. Je ne sais pas quelle est la politique de l'Equipe par rapport au net et aux articles qu'ils publient.
Tu risque d'être déçu mais dans le hors-série, en ce qui concerne la crypto, il n'y a qu'une intro (avec notamment une explication d'AES, le successeur de DES et une gros topo sur la crypto asymétrique) et pas vraiment de pratique. Il y aussi un article sur ssh ... mais c'est tout concernant la crypto.
Tout ça pour dire que le HS concerne la sécurité en général et pas linux (et tel ou tel outil) en particulier.
Fred "Pappy" Raynal - Rédacteur en chef de ce hors-série
pour avoir écrit pas mal d'articles dans LMF, je serai plutot d'accord avec toi : je fais bcp de fautes d'orthographe (et encore, [i/a]spell m'aide). La grammaire, je n'en parle pas ... Tu n'imagines pas comme j'ai hinte parfois quand je me relis. Mais bon, je ne m'étendrai pas plus là-deusss.
Qu'on soit d'accord ou pas avec toi, tes critiques ont au moins l'avantage d'être constructives.
Quant au crétin précédent que tu insultes, je n'ai rien à ajouter ;)
Maintenant, je trouve incroyable de faire un thread aussi long sur ce thème : ok, il y a des efforts à faire de ce point de vue, mais est-ce tout ce qu'il y a à retenir du mag (je ne l'ai pas encore lu) ?
Pour ce qui est des formats, je trouve dommage que les "contributeurs" qui livrent un projet ne le fassent que dans un seul format cloisonné. S'ils ne veulent pas s'embêter à faire une archive, un .tgz contentera tout le monde. Maintenant, si le projet n'est dispo qie dans un format (que ce soit .deb ou .rpm, là n'est pas la question), ça limite bcp sa portée.
Je ne sais plus qui dans quelle news hier disait qu'il trouvait débile les guerres "inter-distro" (je résume sa pensée) : je suis entièrement d'accord ! Le commentaire que j'ai mis n'était pas une provocation, juste un constat comme quoi j'aurai aimé avoir ce package rigolo sur ma machine, mais que je ne pouvais pas. Par la suite, si des crétins (et je reste poli) transforment ça en querelle .deb vs .rpm puis debian vs RH/MDK, je trouve ça affligeant :
"les cons, ça ose tout, c'est même à ça qu'on les reconnaît !"
Extrait des tontons flinguers
Dialogues de Michel Audiard
Enfin, pour terminer, je m'adresse au(x) créateur(s) de ce package : ce que j'ai dit précédemment ne s'adresse bien sûr pas à vous personnellement. Au contraire, je trouve votre initiative bien sympatique et je lui souhaite longue vie ...
Vivement que je puisse consulter les recettes sur ma RH (c'est mon choix et mon dernier mot :)
Ce que veut dire l'auteur de la news (et qui me semble une bonne question), c'est comment convaincre une boîte A (pour laquelle tu as développé un soft qu'elle a payé plus ou moins cher) que ce pour quoi elle a payé, une boîte B pourra le récupérer gratos puisque les sources sont disponibles ?
Je suis d'accord ! Et tu en oublies !!!
La poubelle apparaît maintenant sur les desktop gnome/kde. Ils ont pompé ça à Bilou, qui l'a lui-même pompé aux mac ...
Ce qui me plaît le plus là-dedans, c'est que les différents challenges ont été cassé grâce aux brevets :)))
Les types ont trouvé la structure général de l'algo, puis sont allés regarder les brevets déposés et ont trouvé ceux correspondants. Du coup, ils avaient toutes les informations nécessaires pour casser le marquage.
Moralité:
Kerchoff prouve encore une fois qu'il a raison : la solidité d'un algo doit résider dans "la clé" et non dans la non-divulgation de celui-ci.
Si tu veux leur répondre, tu leur parles du "bug unicode" et tu fais une recherche avec alatavista sur la chaîne suivante : "Welcome to IIS", ce qui te donneras beaucoup de réponses, et beaucoup de serveurs vulnérables.
Le problème dans ls 2 cas est le même : une partie du boulot d'admin est de mettre à jour ses machines ... sauf que l'utilisateur moyen :
1. il n'est pas admin
2. il s'en fout d'avoir un type qui vient lui piquer ses photos de vacances sur don disque dur
La distribution n'a rien à voir avec la faille. Celle-ci provient de la version du noyau que tu utilises.
Je l'ai testée sur un noyau 2.2.18, sans et avec le patch d'openwall, et je passe root sans les mains ;-)
Je suppose que tu as mal fait un truc ou que tu as bidouillé ton kernel (genre tu as changé les syscalls via un modules ... enfin, toi ou un rootkit fondés sur les modules ;-)
Tiens, qq'un a ssayé cet exploit avec un noyau "rootkité" (adore, knark ou autre ...), je serai curieux de savoir ce que ça donne :) Pour ceux qui ont testé, mailer moi directement svp (frederic.raynal@inria.fr)
# augmentation des commentaires
Posté par pappy (site web personnel) . En réponse à la dépêche DaNews: bonne rentrée! :). Évalué à 1.
Je me demande si c'est dû à la rentrée ou aux XPs..
[^] # Re: votes et commentaires
Posté par pappy (site web personnel) . En réponse à la dépêche DaNews: bonne rentrée! :). Évalué à 1.
Autant considéré que je n'ai rien dit...
# votes et commentaires
Posté par pappy (site web personnel) . En réponse à la dépêche DaNews: bonne rentrée! :). Évalué à -3. Dernière modification le 14 février 2020 à 18:03.
Juste 2 petites remarques :
Enfin, je dis ça, mais je n'ai pas testé si c'était possible ou pas. Comme je n'airien vu là-dessus dans la doc…
[^] # Re: Heu, expert à 25 ans...
Posté par pappy (site web personnel) . En réponse à la dépêche Experts du Logiciel Libre. Évalué à 1.
C'est bien là le problème tu es lucide, compétent et modeste, ce qui n'est absolument pas le cas des prétendus experts qui ont 20 ans de plus que toi !
Au fait, tu te présentes ;)
[^] # Re: Redirirection de CR chez Microsoft :)))
Posté par pappy (site web personnel) . En réponse à la dépêche Si j'avais fait confiance à MS .... Évalué à 1.
Le ;) signifie que c'est de l'HUMOUR
Bref, désolé pour ce bide :(
# Redirirection de CR chez Microsoft :)))
Posté par pappy (site web personnel) . En réponse à la dépêche Si j'avais fait confiance à MS .... Évalué à 1.
comme Code Red est destiné à M$, je redirige ce pauvre ver là où il faut ;)
Dans httpd.conf :
ATTENTION
Il ne faut pas conserver l'espace entre le "http" et la suite, le "://www.microsoft.com/default.ida". Mais si je ne le mets pas, daCode interpète ceci comme un lien.
# les contributions
Posté par pappy (site web personnel) . En réponse à la dépêche Les brevets logiciels arrivent à grand pas. Évalué à 1.
On trouve plusieurs doncument sur le site de la communauté européenne. En particulier, les réponses.
Bref, vous feriez mieux d'aller vous faire votre propre opinion en lisant tout ça par vous même ;)
Apparamment, le terme produit lorsqu'il s'agit "d'invention programmée" pose des problèmes car j'ai vu plusieurs documents en discuter. Malheureusement, ce genre de considérations dépasse largement les nombreux contributeurs particuliers pour ou contre les brevets. Ces points de vue sont très intéressants ... mais je ressent quand même que les pro-brevet sont plus afutés dans leur argumentation.
http://europa.eu.int/comm/internal_market/fr/indprop/(...)
http://europa.eu.int/comm/internal_market/fr/indprop/softpatanalyse(...)
http://europa.eu.int/comm/internal_market/fr/indprop/softreplies.ht(...)
(les réponses sont essentiellement en Anglais)
http://www.forum.europa.eu.int/Public/irc/markt/softpat/newsgroups?(...)
[^] # Re: Aléatoire!
Posté par pappy (site web personnel) . En réponse à la dépêche Générateur pseudo-aléatoire d'openSSL pas si aléatoire.... Évalué à 1.
Si tu as une pièce "truquée" qui tombe dan 75% des cas sur face et dans 25% des cas restant sur pile (on néglige la proba de tombe sur la tranche ;), quand tu tires à pile-ou-face, c'est aléatoire, i.e. tu ne peux pas prédire avec certitude le côté sur lequel tombera la pièce ... même si tu sens intuitivement que 3 fois sur 4, elle tombera sur face.
Regarde plutôt la notion "d'entropie" pour comprendre l'importance des biais dans les générateurs pseudo-aléatoire.
# compromis ?
Posté par pappy (site web personnel) . En réponse à la dépêche L'open source sécurité en question. Évalué à 1.
Ne rien diffuser me semble pire car les failles ne seront alors jamais réparer.
Une solution intermédiaire s'impose. Laquelle ? Par exemple, diffuser un "proof of concept". C'est par exemple le cas dans ce message de zen-parsec sur bugtraq http://www.securityfocus.com/archive/1/193657(...)
Cette solution me semble l'idéal. Le problème, c'est que ce n'est pas toujours possible. Il existe pleins de buffer overflows, mais tous ne sont pas pour autant exploitables.
Maintenant, coder des exploits n'est pas à la portée de tout le monde. Et les exploits servent :
- à apprendre
- à tester ses machines
Peut-être qu'une sorte de bdd d'exploits accessibles à qui est capable d'en coder serait la solution ?
[^] # Re: C'est sur le site ?
Posté par pappy (site web personnel) . En réponse à la dépêche "Y a-t-il un pirate en F1 ?". Évalué à 1.
[^] # Re: Encore un excellent numéro -> hmmm ça reste à voir
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine France d'été. Évalué à 2.
Tout ça pour dire que le HS concerne la sécurité en général et pas linux (et tel ou tel outil) en particulier.
Fred "Pappy" Raynal - Rédacteur en chef de ce hors-série
[^] # Re: Lamentable...
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine France d'été. Évalué à 1.
Qu'on soit d'accord ou pas avec toi, tes critiques ont au moins l'avantage d'être constructives.
Quant au crétin précédent que tu insultes, je n'ai rien à ajouter ;)
Maintenant, je trouve incroyable de faire un thread aussi long sur ce thème : ok, il y a des efforts à faire de ce point de vue, mais est-ce tout ce qu'il y a à retenir du mag (je ne l'ai pas encore lu) ?
# bravo !
Posté par pappy (site web personnel) . En réponse à la dépêche Linux au lycée. Évalué à 1.
[^] # Re: pirate != hacker
Posté par pappy (site web personnel) . En réponse à la dépêche rassemblement de hackerz en hollande. Évalué à 1.
[^] # Re: format
Posté par pappy (site web personnel) . En réponse à la dépêche Guide du Linuxien Cuistot. Évalué à 1.
(ainsi qu'aux autres "porteurs")
Si tu as pris mes messages comme indiquant que tu étais pro-X ou pro-Y, excuse moi, ce n'était pas du tout le cas.
J'ai bien vu que la version était encore basse et l'appel à contribution, d'où les "" autour du mot projet.
en tout cas, bonne continuation
[^] # Re: format - Halte à la connerie !
Posté par pappy (site web personnel) . En réponse à la dépêche Guide du Linuxien Cuistot. Évalué à 1.
[^] # Re: format
Posté par pappy (site web personnel) . En réponse à la dépêche Guide du Linuxien Cuistot. Évalué à 1.
Pour ce qui est des formats, je trouve dommage que les "contributeurs" qui livrent un projet ne le fassent que dans un seul format cloisonné. S'ils ne veulent pas s'embêter à faire une archive, un .tgz contentera tout le monde. Maintenant, si le projet n'est dispo qie dans un format (que ce soit .deb ou .rpm, là n'est pas la question), ça limite bcp sa portée.
Je ne sais plus qui dans quelle news hier disait qu'il trouvait débile les guerres "inter-distro" (je résume sa pensée) : je suis entièrement d'accord ! Le commentaire que j'ai mis n'était pas une provocation, juste un constat comme quoi j'aurai aimé avoir ce package rigolo sur ma machine, mais que je ne pouvais pas. Par la suite, si des crétins (et je reste poli) transforment ça en querelle .deb vs .rpm puis debian vs RH/MDK, je trouve ça affligeant :
"les cons, ça ose tout, c'est même à ça qu'on les reconnaît !"
Extrait des tontons flinguers
Dialogues de Michel Audiard
Enfin, pour terminer, je m'adresse au(x) créateur(s) de ce package : ce que j'ai dit précédemment ne s'adresse bien sûr pas à vous personnellement. Au contraire, je trouve votre initiative bien sympatique et je lui souhaite longue vie ...
Vivement que je puisse consulter les recettes sur ma RH (c'est mon choix et mon dernier mot :)
# format
Posté par pappy (site web personnel) . En réponse à la dépêche Guide du Linuxien Cuistot. Évalué à 1.
[^] # Re: programmeur independant.
Posté par pappy (site web personnel) . En réponse à la dépêche Programmeur independant et GPL. Évalué à 1.
Ce que veut dire l'auteur de la news (et qui me semble une bonne question), c'est comment convaincre une boîte A (pour laquelle tu as développé un soft qu'elle a payé plus ou moins cher) que ce pour quoi elle a payé, une boîte B pourra le récupérer gratos puisque les sources sont disponibles ?
Enfin, si j'ai bien compris ...
[^] # Re: euh
Posté par pappy (site web personnel) . En réponse à la dépêche Guide pour la programmation réseaux de Beej's en francais.. Évalué à 1.
[^] # Re: nul !
Posté par pappy (site web personnel) . En réponse à la dépêche Le Window Maker nouveau est arrivé. Évalué à -1.
La poubelle apparaît maintenant sur les desktop gnome/kde. Ils ont pompé ça à Bilou, qui l'a lui-même pompé aux mac ...
Sale temps !
# Loi de Kerchoff
Posté par pappy (site web personnel) . En réponse à la dépêche Encore une tentative de cacher les failles. Évalué à 1.
Les types ont trouvé la structure général de l'algo, puis sont allés regarder les brevets déposés et ont trouvé ceux correspondants. Du coup, ils avaient toutes les informations nécessaires pour casser le marquage.
Moralité:
Kerchoff prouve encore une fois qu'il a raison : la solidité d'un algo doit résider dans "la clé" et non dans la non-divulgation de celui-ci.
[^] # Re: Wazaaaaaa!
Posté par pappy (site web personnel) . En réponse à la dépêche Faille de Sécurité Linux. Évalué à 1.
Le problème dans ls 2 cas est le même : une partie du boulot d'admin est de mettre à jour ses machines ... sauf que l'utilisateur moyen :
1. il n'est pas admin
2. il s'en fout d'avoir un type qui vient lui piquer ses photos de vacances sur don disque dur
[^] # Re: Euh...
Posté par pappy (site web personnel) . En réponse à la dépêche Faille de Sécurité Linux. Évalué à 1.
Je l'ai testée sur un noyau 2.2.18, sans et avec le patch d'openwall, et je passe root sans les mains ;-)
Je suppose que tu as mal fait un truc ou que tu as bidouillé ton kernel (genre tu as changé les syscalls via un modules ... enfin, toi ou un rootkit fondés sur les modules ;-)
Tiens, qq'un a ssayé cet exploit avec un noyau "rootkité" (adore, knark ou autre ...), je serai curieux de savoir ce que ça donne :) Pour ceux qui ont testé, mailer moi directement svp (frederic.raynal@inria.fr)
# adore
Posté par pappy (site web personnel) . En réponse à la dépêche Le Monde parle de Linux. Évalué à 1.
http://www.sans.org/y2k/adore.htm(...)