Comme tu as pu le lire, je n'ai pas parle de "la taille de l'espace des cles", mais juste du temps necessaire pour casser la cle. L'attaque de Fluhrer,
Mantin et Shamir n'est pas une attaque en force brute.
Il se trouve que plus on augmente la taille de la cle, et plus on dispose d'IV faibles. De fait, en quelque sorte, plus on augmente la taille de la cle, plus on a de matos pour la casser. De fait, le temps mis pour casser la cle n'augmente pas lineairement avec la taille de l'espace de cles.
> Est-ce que le protocole WEP a évolué depuis ou est-ce toujours une rigolade?
Sans commentaire...
Les efforts qui ont ete faits portent essentiellement sur la suppression des IV faibles, mais du coup, on diminue la taille de l'espace des cles, sans compter que l'algorithme de generation n'est plus aleatoire (il deviendrait meme tres previsible).
Sinon, on nous sort le WEP a 256 bits. Sympa, ca ne fait que doubler le temps pour le casser...
La disparition complete de Narsil, qu'Aragorn devrait avoir en sa possession depuis Rivendell (et qu'il n'a pas), c'est aussi un peu lourd de cafe, quand on voit l'importance symbolique que revet cette epee dans la suite du livre.
et pas de prosélytisme, ni de pub pour le produit 'firewall 2000' de chez truc...
C'est normal, tout le monde sait que Firewall 2000+ VPN Overkill Suite est une grosse merde, buggee, proprietaire, noyautee par la NSA, alors que Netfilter, c'est vachement mieux d'abord.
En effet, on a du mal à comprendre les inscriptions que les hommes des cavernes ont laissés dans leurs habitats. On a du mal à déchiffrer tous ces hiéroglyphes que les Egyptiens ont laissés derrière eux, etc...
Sauf que la, il ne s'agit pas de langue eteinte, mais d'une volonte clairement affirmee de rendre impossible cette relecture. On croit rever. Et quant au passage dans le domaine public de l'oeuvre, ce n'est meme pas la peine d'y compter, puisque meme si cet etat est atteint, on ne pourra plus lire le contenu. On devra donc faire des copies "preventives"... N'importe quoi...
bref,ecouter ton vieux vinyl represente un certain coup. Et pourtant personne ne se plaint vraiment
Personne ne se plaint vraiment amha parce que si tu as des vinyls chez toi, c'est qu'a la base, tu avais une platine et un ampli pour les lire. Or il se trouve que cette platine et cet ampli, tu peux encore les utiliser pour les lire (sauf panne de materiel) ou les dupliquer dans un format mieux adapte si tu veux faire evoluer ton materiel (sur CD par exemple).
Or dans le cas qui nous interesse, un document (un e-book) achete un jour et lisible sur un materiel donne (ton PDA sous PocketPC) pourra ne plus etre lisible dans 2 ans a l'aide des memes composants. Et c'est inacceptable a mon sens. Il est tout aussi inacceptable que la copie de ce document me soit interdite, dans le but par exemple de le lire sur un autre materiel (nouveau PDA, autre OS, etc.) ce qui est clairement un but de sauvegarde reconnu comme un droit de l'utilisateur par la loi.
je compte m'acheter un Zaurus sous peu de temps, pensez qu'il faille mieux que j'attende de voir si oui ou non il sorte le C700 en europe, et ce dans pas mal de mois je suppose -entre la décision et le fait-, ou que je me "rabatte" sur un 5500 (ou 5600 si il sort plus tot en europe, car evolution du 5500 deja en vente en europe).
Il semble que la distribution du 5600 ne soit pas prevue en Europe. De fait, il faudra attendre qu'un importateur se fasse connaitre pour pouvoir l'acheter chez nous, avec les surcouts qu'on connait evidemment. Il en va de meme pour le C700, et c'est dommage.
Il me semble que mod_eaccess (relais inverse pour Apache) sait aussi le faire (plus d'infos sur http://www.hsc.fr(...))
Le mod_eacces est un module de verification d'URL a base d'expressions regulieres. Il est utilise pour faire des relais inverse a base de Apache+mod_proxy qui verifent la syntaxe des URLs de maniere a ne pas laisser passer les saloperies du genre Nimda ou CodeRed, ou encore faire en sorte que n'importe qui ne balance pas n'importe quoi aux scripts. On pourra aussi realiser ceci en utilisant le mod_rewrite.
Pour en revenir au thread de base, Apache sait faire sans probleme :
HTTPS ---> Apache ---> HTTP
On utilise le mod_proxy et le mod_ssl. Combine avec stunnel, il pourra aussi faire :
HTTPS ---> Apache ---> HTTPS
Ce qui malgre l'apparence debile de la chose peut servir a d'une part faire de la verification d'URL et de contenu au niveau du proxy, et economiser des authentifications SSL (donc du RSA) en backend, tout en gardant une bonne confidentialite vis-a-vis du reseau.
Excellent Hors serie, dommage qu'rWeb ne soit pas cité.
Je te donne un indice : il faut filer son adresse de mail pour pouvoir le telecharger...
Ensuite, d'apres les fonctionnalites annoncees, j'ai du mal a cerner la difference entre ceci et un Apache+mod_proxy+mod_rewrite et mod_ssl pour le HTTPS).
Finit le cross site scripting et autre vilaineries!! :-)
En réfléchissant, quand tu fais du masquage, c'est un peu une fonction de proxy... au niveau des paquets.
Absolument pas, par essence. Ce n'est pas le resultat qui est interessant, mais la maniere dont il est obtenu. Hors un proxy traite des requetes applicative, et un systeme de traduction d'adresses des paquets. C'est fondamentalement different, et c'est justement la que se situent les avantages et faiblesses des chacun des deux systemes.
Je ne prendrais que l'exemple d'un proxy ARP. Un paquet ARP fragmenté, faut être carrément vicieux quand même ;)
Un proxy est un mandataire pour un protocole donne. On parlait de protocole applicatif de niveau 7, mais si tu veux entrer dans le detail, et la jouer tordu, on peut la jouer tordu. ARP est un protocole de niveau 3, qui ne supporte pas la fragmentation (concept de niveau 3) et qui concu pour tenir en entier dans la trame de niveau 2 sous-jacente. Ca me parait un peu deplace comme exemple, maibon ;) Si tu parles de proxy ARP, il faut l'opposer a la notion de bridge par exemple, pour avoir quelquechose de comparable a l'opposition filtre+NAT/proxy.
Si tu veux aller jusqu'a dire qu'un NAT est un proxy de niveau 4 (voire 5), pourquoi pas, on n'est plus a un abus de langage pres dans le monde de l'informatique, mais on prend bien garde a ne pas rapprocher ce concept de celui de proxy applicatif, de niveau 7.
Je maintiens que rajouter des filtres applicatifs sur un pare-feu, c'est rajouter des faiblesses.
Toujours, on est d'accord, mais ce n'etait pas l'objet de ma remarque. Malheureusement, tout le monde n'a pas les moyens/l'envie/la sagesse de creer une DMZ specialisee pour les proxies. C'est le marche qui veut ca, et c'est clairement a deplorer. Et la, on est d'accord. <--- c'est le but non ?
C'est juste le concept de "proxy au niveau paquet" qui me fait bondir ;)
et non de proxy travaillant au niveau des paquets
C'est interessant comme concept.
Un proxy est forcement "applicatif" et ne peut travailler au niveau des paquets, ne serait-ce que parce qu'une requete peut se trouver eclatee sur plusieurs paquets, voire fragments de paquets.
Ce qui fait la difference, c'est le contexte dans lequel on l'utilise, et donc son but. Un "firewall" (pour autant que se terme est encore un sens) peut mettre en oeuvre aussi bien du filtrage de paquets que des proxies pour faire du filtrage applicatif, du moment que c'est la pour securiser le truc.
FW1 a un belle collection de proxies, les PIX aussi, ca n'a l'air de faire bondir personne ;)
la licence est libre mais ne permet pas de modification si on a l'intention de redistribuer un binaire de l'application
Alors ce n'est pas libre.
Une licence n'est pas "libre mais ne permet pas de...", elle est libre, ou non, et dans le cas présent, c'est non.
D'apres l'AFUL, un logiciel libre, est défini par :
Sont considérés comme libres les logiciels disponibles sous forme de code source, librement re-distribuables et modifiables, selon des termes proches des licences "GPL", "Berkeley" ou "artistique" et plus généralement des recommandations du groupe "Open Source"
-1 si je pouvais, parce que ca feed bien le troll ;)
Euh, j'ai pas bien suivi, la: Palladium (tm) protègera de Linux, mais pas des virus ???
En effet, pas bien suivi.
Tel qu'il est presente a l'heure actuelle, Palladium est un mecanisme interne a Windows qui permettra au systeme d'exploitation et aux application qui tournent dessus de disposer de fonctionnalites de securite qu'on ne detaillera pas. Donc si l'OS Microsoft n'est pas boote, exit Palladium.
La tu confonds avec TCPA qui est un projet different, meme s'il repose sur des principes similaires, qui peut, lui, emepcher un OS de booter parce qu'il n'est pas "TCPA friendly" (donc Linux par exemple).
> Oui, mais il est difficile de documenter une telle fonctionalité.
Pas vraiment. Si tu commences par expliquer que la gestion d'etats est un concept plus general que TCP et ce que ca implique. Je suis en train de finir un article sur Netfilter, j'espere que ce sera clair ;)
> Plutôt que de dire que c'est un bug, je préfère dire que c'est une erreur de design.
Une erreur de design, non, pas plus qu'un bug d'ailleurs.
De mon point de vue, c'est une option dont la valeur par defaut serait mal positionnee. Je m'explique.
Le fait de pouvoir flaguer un paquet ACK en NEW est utile (pour moi en tout cas). Mais il est certain que le patch no-pickup devrait etre applique par defaut et que les utilisateurs devraient avoir a le desactiver pour passer au fonctionnement actuel. La dessus on est OK.
Sur l'erreur de design, que je comprends comme l'affirmation qu'un tel comportement ne devrait pas etre possible, je ne suis pas d'accord, dans la mesure ou il se justifie parfaitement, non pas par une histoire fumeuse de reboot, mais par le fait qu'un etat est un concept qui, pour etre applique a l'ensemble des flux qu'on peut etre amene a traite (TCP, UDP, GRE, ESP, etc.) doit amha etre dans une certaine mesure decorrelable du concept de connexion TCP. La encore je m'explique.
L'usage courant de la gestion des etats des connexions TCP est de suivre une connexion TCP dans son ensemble, du SYN/SYN-ACK/ACK au FIN/double FIN-ACK/ACK de fin. Mais on peut aussi vouloir traiter l'etat de flux _IP_, dont la charge serait des paquet TCP particuliers. Par exemple reperer un ACK scan en matchant justement les paquet TCP ACK en etat NEW.
Bref, il me semble une bonne chose de garder cette lattitude. Par contre, en faire le comportement par defaut, c'est autre chose. En tout cas, je te trouve bien severe avec Netfilter.
Sinon, j'ai lu ton papier, mais je te fais suivre mes commentaires/questions par email, ce n'est pas trop le lieu pour cela ;)
L'etat INVALID est affecte a tout paquet auquel Netfilter ne sait pas donner d'etat.
Ce qu'on rencontre le plus souvent, ce sont les ICMPs d'erreurs qui ne peuvent etre lies a une connexion en cours. Sinon, ensuite, ce sont des choses comme le manque de RAM ou la table des etats pleines.
Pour en revenir a la feature, elle est dangereuse quand elle n'est pas comprise, et il est vrai que le doc reste ambigue sur ce point. Maintenant, rien ne vous empeche d'ajouter un --syn avec toutes vos regles TCP en etat NEW.
Mais bon, si vous voulez de la doc precise sur Netfilter :
Tu le dis toi meme : Dans une entreprise, il y a la production, il y a la direction, et le personnel.. Et bien dans toutes les boites où j'ai travaillé, le manager informatique a un poste de dirigeant. Il manage (manager c'est son boulot) généralement une equipe auquel il délègue les tâches que lui confient ses supérieurs.
Et meme si il sait les bases du 'comment ca marche' bien souvent, il s'en remet à ses sous-fifre pour avoir des informations précises.
Et c'est la tout le talent d'un bon manager, a savoir s'entourer pour se faire prodiguer de bons conseils. Meme s'il n'est pas a meme de juger directement la pertinence des solutions et alternatives techniques pour des problemes donnes, il doit faire en sorte que les personnes qu'il manage lui fournissent les infos en question.
Et malgre tout ce qu'on peut dire sur les managers, les gens comme cela, ca existe.
Tous a fait d'autent plus que le WMA dispose déjà s'un large support hardware, alors que celui-ci est inexistant pour le Vorbis...
Pas tout a fait exact. Le systeme SliMP3 supporte le codec Ogg Vorbis. Le serveur (libre) effectue une conversion ogg->mp3 transparente a partir de lame et ogg123.
Ce n'est certes pas veritablement un lecteur _hardware_ qui supporte ce codec, mais quand meme un systeme qui le supporte.
> une boite utilise le code de quelqu'un dans un des ses produits sans lui demander l'autorisation,
> elle est en tort, même pas besoin de lire la gpl pour ça, il s'agit juste de la loi.
Sauf que la GPL autorise la reutilisation de ce code sans autorisation de l'auteur. La violation concerne la clause qui impose la mise sous GPL du code obtenu apres reutilisation.
> A propos de qualité: quelqu'un a-t-il fait un benchmark entre le driver libre d'une carte ATI
> sous Linux et le driver d'ATI sous Windows?
Ben malheureusement, je dirais qu'il n'y a pas trop photo...
Unreal Tournament : 32 bits, 1024x768, details moyens sous Windows, saccade en 800x600 32 bits details moyens sous Linux.
Return to Castle Wolfenstein : 32 bits, 800x600, details max sous Windows, injouable sous Linux en multiplayer (ralentissements, pas assez de FPS, couleurs mal rendues, etc.).
Je n'ai pas fait de benchs "chrono en main", mais la difference est flagrante.
C'est effectivement la raison qu'ils donnent, c'est dur... Je rapprochait cela de leur tuner TV pour lequel ils ont mis un temps fou a sortir des specs (pourtant, pas de probleme de Macrovision la).
Je prendrais par exemple le cas des Webcams Philips. L'auteur du driver a signe un NDA, s'est fait sponsorise par la societe (3 webcams) et a finallement sorti du driver dont la majeure partie du code est sous GPL, excepte un binaire pour les fonctions qu'ils voulaient proteger.
On attend encore qu'ATI fasse de meme...
Ahhhh les copyright, les protections et tutti quanti ! ;)
> Comme beaucoup ici le savent, les drivers de ces cartes sont propriétaires, et les autres
> constructeurs (ati et matrox) sembleraient commencer a faire de mème. (bien sur, pour
> l'instant nous disposons encore de drivers libres pour les cartes de ces constructeurs)
C'est d'autant plus pervers que ces constructeurs fournissent leurs specifiations ce qui permet d'avoir des drivers libres de qualite. On oublie, je trouve, un peu trop souvent de le dire.
Par contre, il est dommage que certains d'entre eux ne le fassent que partiellement, comme ATI qui ne veut pas fournir les specifications de ses sorties TV. Du coup, on se retrouve avec des drivers qui supportent en partie les fonctionnalites des cartes. Du coup, on se retrouve d'un cote avec des cartes completement supportees sous Linux, mais avec un driver proprietaires, et de l'autre avec des cartes partiellement supportees par un driver libre.
Je comprends donc que certains utilisateurs se posent la question (je me la pose moi-meme de temps a autre) du materiel a choisir... La carte NVidia qui supporte la 3D qui va vite, tres vite, qui a une sortie TV qui marche, qui fait du twin display sur un portable, ou la carte ATI dont la sortie TV ne marche que par des drivers alpha issu d'un reverse massif, dont la 3D va moins vite... Bref, le choix entre un truc qui marche et un truc qui marchotte.
C'est dur comme choix, et sur ce cas la, je me demande qui de NVidia ou de ATI est le plus a blamer...
PS : c'est fou comme ta signature est bien adaptee a ma reponse ;)
Wallfire est nettement plus ambitieux, puisqu'il s'agit non pas d'un simple generateur de scripts de configuration, mais d'un framework de configuration complet pour des firewalls heterogenes.
Il ajoute donc a fwbuilder tout un systeme de mise en place effective des regles.
[^] # Re: A propos du WEP
Posté par Cédric Blancher . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 2.
Mantin et Shamir n'est pas une attaque en force brute.
Il se trouve que plus on augmente la taille de la cle, et plus on dispose d'IV faibles. De fait, en quelque sorte, plus on augmente la taille de la cle, plus on a de matos pour la casser. De fait, le temps mis pour casser la cle n'augmente pas lineairement avec la taille de l'espace de cles.
[^] # Re: A propos du WEP
Posté par Cédric Blancher . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 3.
Sans commentaire...
Les efforts qui ont ete faits portent essentiellement sur la suppression des IV faibles, mais du coup, on diminue la taille de l'espace des cles, sans compter que l'algorithme de generation n'est plus aleatoire (il deviendrait meme tres previsible).
Sinon, on nous sort le WEP a 256 bits. Sympa, ca ne fait que doubler le temps pour le casser...
Donc on va pencher pour la rigolade ;)
[^] # Re: Des milliers de personnages virtuels pour la bataille d'Helm
Posté par Cédric Blancher . En réponse à la dépêche Des milliers de personnages virtuels pour la bataille d'Helm. Évalué à 1.
Mais bon...
[^] # Re: merci :-]
Posté par Cédric Blancher . En réponse à la dépêche Sortie du HS de linux mag spécial Firewall act 2. Évalué à 3.
C'est normal, tout le monde sait que Firewall 2000+ VPN Overkill Suite est une grosse merde, buggee, proprietaire, noyautee par la NSA, alors que Netfilter, c'est vachement mieux d'abord.
-1 et je sors ;)
[^] # Re: Relecture de documents ...
Posté par Cédric Blancher . En réponse à la dépêche DRM : le format e-book de Microsoft contourné. Évalué à 3.
Sauf que la, il ne s'agit pas de langue eteinte, mais d'une volonte clairement affirmee de rendre impossible cette relecture. On croit rever. Et quant au passage dans le domaine public de l'oeuvre, ce n'est meme pas la peine d'y compter, puisque meme si cet etat est atteint, on ne pourra plus lire le contenu. On devra donc faire des copies "preventives"... N'importe quoi...
[^] # Re: Relecture de documents ...
Posté par Cédric Blancher . En réponse à la dépêche DRM : le format e-book de Microsoft contourné. Évalué à 4.
Personne ne se plaint vraiment amha parce que si tu as des vinyls chez toi, c'est qu'a la base, tu avais une platine et un ampli pour les lire. Or il se trouve que cette platine et cet ampli, tu peux encore les utiliser pour les lire (sauf panne de materiel) ou les dupliquer dans un format mieux adapte si tu veux faire evoluer ton materiel (sur CD par exemple).
Or dans le cas qui nous interesse, un document (un e-book) achete un jour et lisible sur un materiel donne (ton PDA sous PocketPC) pourra ne plus etre lisible dans 2 ans a l'aide des memes composants. Et c'est inacceptable a mon sens. Il est tout aussi inacceptable que la copie de ce document me soit interdite, dans le but par exemple de le lire sur un autre materiel (nouveau PDA, autre OS, etc.) ce qui est clairement un but de sauvegarde reconnu comme un droit de l'utilisateur par la loi.
My 2 cents of euro...
[^] # Re: Zaurus SL-C700 en Europe !
Posté par Cédric Blancher . En réponse à la dépêche Zaurus SL-C700 en Europe !. Évalué à 1.
Il semble que la distribution du 5600 ne soit pas prevue en Europe. De fait, il faudra attendre qu'un importateur se fasse connaitre pour pouvoir l'acheter chez nous, avec les surcouts qu'on connait evidemment. Il en va de meme pour le C700, et c'est dommage.
[^] # Re: Delegate : Translation de protocole & proxy
Posté par Cédric Blancher . En réponse à la dépêche Delegate : Translation de protocole & proxy. Évalué à 4.
Le mod_eacces est un module de verification d'URL a base d'expressions regulieres. Il est utilise pour faire des relais inverse a base de Apache+mod_proxy qui verifent la syntaxe des URLs de maniere a ne pas laisser passer les saloperies du genre Nimda ou CodeRed, ou encore faire en sorte que n'importe qui ne balance pas n'importe quoi aux scripts. On pourra aussi realiser ceci en utilisant le mod_rewrite.
Pour en revenir au thread de base, Apache sait faire sans probleme :
HTTPS ---> Apache ---> HTTP
On utilise le mod_proxy et le mod_ssl. Combine avec stunnel, il pourra aussi faire :
HTTPS ---> Apache ---> HTTPS
Ce qui malgre l'apparence debile de la chose peut servir a d'une part faire de la verification d'URL et de contenu au niveau du proxy, et economiser des authentifications SSL (donc du RSA) en backend, tout en gardant une bonne confidentialite vis-a-vis du reseau.
[^] # Re: Filtrage Applicatif
Posté par Cédric Blancher . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 1.
Je te donne un indice : il faut filer son adresse de mail pour pouvoir le telecharger...
Ensuite, d'apres les fonctionnalites annoncees, j'ai du mal a cerner la difference entre ceci et un Apache+mod_proxy+mod_rewrite et mod_ssl pour le HTTPS).
Finit le cross site scripting et autre vilaineries!! :-)
Y'a un pas que je ne franchirai pas la ;)))
Et puis, c'est libre comme truc ?
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Cédric Blancher . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 4.
[^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi
Posté par Cédric Blancher . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 3.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Cédric Blancher . En réponse à la dépêche Nouvelle vulnérabilité dans BIND. Évalué à 3.
Alors ce n'est pas libre.
Une licence n'est pas "libre mais ne permet pas de...", elle est libre, ou non, et dans le cas présent, c'est non.
D'apres l'AFUL, un logiciel libre, est défini par :
Sont considérés comme libres les logiciels disponibles sous forme de code source, librement re-distribuables et modifiables, selon des termes proches des licences "GPL", "Berkeley" ou "artistique" et plus généralement des recommandations du groupe "Open Source"
-1 si je pouvais, parce que ca feed bien le troll ;)
[^] # Re: total contrôle
Posté par Cédric Blancher . En réponse à la dépêche le futur du virus : Curious Yellow. Évalué à 1.
En effet, pas bien suivi.
Tel qu'il est presente a l'heure actuelle, Palladium est un mecanisme interne a Windows qui permettra au systeme d'exploitation et aux application qui tournent dessus de disposer de fonctionnalites de securite qu'on ne detaillera pas. Donc si l'OS Microsoft n'est pas boote, exit Palladium.
La tu confonds avec TCPA qui est un projet different, meme s'il repose sur des principes similaires, qui peut, lui, emepcher un OS de booter parce qu'il n'est pas "TCPA friendly" (donc Linux par exemple).
[^] # Re: Les couleurs
Posté par Cédric Blancher . En réponse à la dépêche Résumé GNOME 13-19 octobre 2002. Évalué à 1.
Bah XP, ca me fait surtout penser a un MacOS X multicolore (avec du vert, du rouge, etc., et pas seulement du bleu.
[^] # Re: --state NEW et Syn
Posté par Cédric Blancher . En réponse à la dépêche La sécurité en Open Source. Évalué à 2.
Pas vraiment. Si tu commences par expliquer que la gestion d'etats est un concept plus general que TCP et ce que ca implique. Je suis en train de finir un article sur Netfilter, j'espere que ce sera clair ;)
> Plutôt que de dire que c'est un bug, je préfère dire que c'est une erreur de design.
Une erreur de design, non, pas plus qu'un bug d'ailleurs.
De mon point de vue, c'est une option dont la valeur par defaut serait mal positionnee. Je m'explique.
Le fait de pouvoir flaguer un paquet ACK en NEW est utile (pour moi en tout cas). Mais il est certain que le patch no-pickup devrait etre applique par defaut et que les utilisateurs devraient avoir a le desactiver pour passer au fonctionnement actuel. La dessus on est OK.
Sur l'erreur de design, que je comprends comme l'affirmation qu'un tel comportement ne devrait pas etre possible, je ne suis pas d'accord, dans la mesure ou il se justifie parfaitement, non pas par une histoire fumeuse de reboot, mais par le fait qu'un etat est un concept qui, pour etre applique a l'ensemble des flux qu'on peut etre amene a traite (TCP, UDP, GRE, ESP, etc.) doit amha etre dans une certaine mesure decorrelable du concept de connexion TCP. La encore je m'explique.
L'usage courant de la gestion des etats des connexions TCP est de suivre une connexion TCP dans son ensemble, du SYN/SYN-ACK/ACK au FIN/double FIN-ACK/ACK de fin. Mais on peut aussi vouloir traiter l'etat de flux _IP_, dont la charge serait des paquet TCP particuliers. Par exemple reperer un ACK scan en matchant justement les paquet TCP ACK en etat NEW.
Bref, il me semble une bonne chose de garder cette lattitude. Par contre, en faire le comportement par defaut, c'est autre chose. En tout cas, je te trouve bien severe avec Netfilter.
Sinon, j'ai lu ton papier, mais je te fais suivre mes commentaires/questions par email, ce n'est pas trop le lieu pour cela ;)
[^] # Re: --state NEW et Syn
Posté par Cédric Blancher . En réponse à la dépêche La sécurité en Open Source. Évalué à 2.
Ce qu'on rencontre le plus souvent, ce sont les ICMPs d'erreurs qui ne peuvent etre lies a une connexion en cours. Sinon, ensuite, ce sont des choses comme le manque de RAM ou la table des etats pleines.
Pour en revenir a la feature, elle est dangereuse quand elle n'est pas comprise, et il est vrai que le doc reste ambigue sur ce point. Maintenant, rien ne vous empeche d'ajouter un --syn avec toutes vos regles TCP en etat NEW.
Mais bon, si vous voulez de la doc precise sur Netfilter :
http://iptables-tutorial.frozentux.net/(...)
Un excellent document qui presente aussi bien l'architecture que l'outil iptables.
[^] # Re: 6 sixième.
Posté par Cédric Blancher . En réponse à la dépêche La journalisation XFS intégrée au noyau 2.5.*. Évalué à 1.
Sauf que dans les 2.2, en pratique, ca ne marche pas (ou alors suffisament rarement pour que j'ai pu loupe les cas ou ca passe ;).
# Capillotraction
Posté par Cédric Blancher . En réponse à la dépêche Cappuccino GNU/Linux. Évalué à 8.
Evidemment, tout le contenu de cette distribution sera totalement Gratuit et Opensource
Elle ne sera pas libre ?
Allez hop, -1 parce que bon.
[^] # Re: Quelques remarques sur la news
Posté par Cédric Blancher . En réponse à la dépêche Etude comparative TCO Linux / Windows. Évalué à 10.
Et c'est la tout le talent d'un bon manager, a savoir s'entourer pour se faire prodiguer de bons conseils. Meme s'il n'est pas a meme de juger directement la pertinence des solutions et alternatives techniques pour des problemes donnes, il doit faire en sorte que les personnes qu'il manage lui fournissent les infos en question.
Et malgre tout ce qu'on peut dire sur les managers, les gens comme cela, ca existe.
[^] # Re: Bien pr ogg/vorbis
Posté par Cédric Blancher . En réponse à la dépêche Le format MP3 devient payant!. Évalué à 4.
Pas tout a fait exact. Le systeme SliMP3 supporte le codec Ogg Vorbis. Le serveur (libre) effectue une conversion ogg->mp3 transparente a partir de lame et ogg123.
Ce n'est certes pas veritablement un lecteur _hardware_ qui supporte ce codec, mais quand meme un systeme qui le supporte.
cf http://www.slimdevices.com(...)
[^] # Re: 1er test grandeur nature
Posté par Cédric Blancher . En réponse à la dépêche Arrêt du développement de XviD. Évalué à 10.
> elle est en tort, même pas besoin de lire la gpl pour ça, il s'agit juste de la loi.
Sauf que la GPL autorise la reutilisation de ce code sans autorisation de l'auteur. La violation concerne la clause qui impose la mise sous GPL du code obtenu apres reutilisation.
[^] # Re: Driver libre de qualité?
Posté par Cédric Blancher . En réponse à la dépêche Liste de drivers pour linux. Évalué à 2.
> sous Linux et le driver d'ATI sous Windows?
Ben malheureusement, je dirais qu'il n'y a pas trop photo...
Unreal Tournament : 32 bits, 1024x768, details moyens sous Windows, saccade en 800x600 32 bits details moyens sous Linux.
Return to Castle Wolfenstein : 32 bits, 800x600, details max sous Windows, injouable sous Linux en multiplayer (ralentissements, pas assez de FPS, couleurs mal rendues, etc.).
Je n'ai pas fait de benchs "chrono en main", mais la difference est flagrante.
[^] # Re: ATI et sortie TV
Posté par Cédric Blancher . En réponse à la dépêche Liste de drivers pour linux. Évalué à 8.
Je prendrais par exemple le cas des Webcams Philips. L'auteur du driver a signe un NDA, s'est fait sponsorise par la societe (3 webcams) et a finallement sorti du driver dont la majeure partie du code est sous GPL, excepte un binaire pour les fonctions qu'ils voulaient proteger.
On attend encore qu'ATI fasse de meme...
Ahhhh les copyright, les protections et tutti quanti ! ;)
[^] # Re: effet pervers........
Posté par Cédric Blancher . En réponse à la dépêche Liste de drivers pour linux. Évalué à 10.
> constructeurs (ati et matrox) sembleraient commencer a faire de mème. (bien sur, pour
> l'instant nous disposons encore de drivers libres pour les cartes de ces constructeurs)
C'est d'autant plus pervers que ces constructeurs fournissent leurs specifiations ce qui permet d'avoir des drivers libres de qualite. On oublie, je trouve, un peu trop souvent de le dire.
Par contre, il est dommage que certains d'entre eux ne le fassent que partiellement, comme ATI qui ne veut pas fournir les specifications de ses sorties TV. Du coup, on se retrouve avec des drivers qui supportent en partie les fonctionnalites des cartes. Du coup, on se retrouve d'un cote avec des cartes completement supportees sous Linux, mais avec un driver proprietaires, et de l'autre avec des cartes partiellement supportees par un driver libre.
Je comprends donc que certains utilisateurs se posent la question (je me la pose moi-meme de temps a autre) du materiel a choisir... La carte NVidia qui supporte la 3D qui va vite, tres vite, qui a une sortie TV qui marche, qui fait du twin display sur un portable, ou la carte ATI dont la sortie TV ne marche que par des drivers alpha issu d'un reverse massif, dont la 3D va moins vite... Bref, le choix entre un truc qui marche et un truc qui marchotte.
C'est dur comme choix, et sur ce cas la, je me demande qui de NVidia ou de ATI est le plus a blamer...
PS : c'est fou comme ta signature est bien adaptee a ma reponse ;)
[^] # Re: un autre projet de ce type
Posté par Cédric Blancher . En réponse à la dépêche FirewallBuilder : Le GUI qui vous manquait. Évalué à 3.
Wallfire est nettement plus ambitieux, puisqu'il s'agit non pas d'un simple generateur de scripts de configuration, mais d'un framework de configuration complet pour des firewalls heterogenes.
Il ajoute donc a fwbuilder tout un systeme de mise en place effective des regles.