une "pub pour l'INRIA"??? Il y a seulement deux exposés "INRIA" dont un sur Scilab, je vois mal comment cela peut être pris pour une pub pour l'INRIA.

Quant'à la glorification de la recherche française, je ne pense pas que ce soit le but de ce colloque.

Maintenant, je ne suis pas non plus convaincu que le public visé viendra, mais si déjà des industriels et des chercheurs peuvent discuter "calcul scientifique", je ne m'en plaindrai pas.

DaFrog

[ Répondre ]

N'étant pas utilisateur, je ne peux pas me prononcer sur la "réalité" de ces solutions, mais le Speech-Recognition-HOWTO recense pas mal de solutions basés sur la partie libre du ViaVoice d'IBM dont la qualité était assez bonne la dernière fois que j'ai regardé. DaFrog. http://www.tldp.org/HOWTO/Speech-Recognition-HOWTO/(...)

[ Répondre ]

pour lire, sans conteste, antiword (éventuellement pipé dans ton PAGER préféré).

--
DaFrog

[ Répondre ]

> Mozilla, ils se prennent un peu la tete parce qu'ils sont devenus trop marketing.

Le fait qu'ils aient du changer le nom de leur navigateur plusieurs fois suite à des procès ou des menaces de procès joue sans doute aussi un peu dans leur tendance à se "prendre la tête".

Maintenant que leur navigateur marche bien, ils n'aimeraient pas avoir à changer son nom en, chais pas moi, RedPanda (tm)...

Le monde du libre n'en a sans doute pas encore l'habitude, mais il faut savoir se protéger (c'est à ça que servent les licences (libres)), et d'autres l'ont fait avant eux.

Comme déjà noté dans d'autres commentaires, tout cela m'inquiète bien moins que le passage d'OOo à Java (tm).

DaFrog.

[ Répondre ]

Personnellement (je suis chercheur, payé à 100% par l'état) je ne souhaite absolument pas que mon travail aboutisse dans le domaine public!

Je suis par contre pour que mon employeur, qui co-détient le copyright avec moi, accepte la mise sous une licence libre.

Si je produis un logiciel, je préfère qu'il soit protégé par la GPL pour éviter que n'importe qui en fasse n'importe quoi, plutôt que de le mettre dans le domaine public.

Si l'état finance mon travail ce n'est pas pour que MiniMou le réutilise gratuitement et le fasse payer, si?

--
DaFrog.

[ Répondre ]

oui, a.out, mais cela ne permettait pas la mise en place du schéma W^X
(pages accessibles en écriture ou en execution, mais pas les deux).

cf: http://marc.theaimsgroup.com/?l=openbsd-misc&m=105056000801065&(...)

[ Répondre ]

Au fait, GNU-Go vient de terminer 6ème sur 18 du Gifu Contest 2003 avec 5 victoires sur 9.

c.f. http://mail.gnu.org/archive/html/gnugo-devel/2003-08/msg00030.html(...)

pas mal...

DaFrog.

[ Répondre ]

Juste un lien de plus, mais pas le moindre :
L'échelle des commentaires : http://gtl.jeudego.org(...)

Vous pouvez y donner vos parties à commenter et commenter celles de joueurs plus faibles. L'idéal pour progresser.

Amusez-vous bien,

DaFrog.

[ Répondre ]

> je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en
> commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin
> pirater ou faire toute autres choses malvaillantes

euh... aucun?

D'abord parce que c'est Mal(TM) et que les developpeurs de LL sont des gens Bien(TM).
Mais surtout car si tu as passe des heures/jours/mois à developper un projet LL, je pense que tu n'a vraiment pas intérêt a lui nuire en exploitant une de ses failles.

> Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il
> me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes
> chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant
> les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l
> appli buggée

Tiens, il y a une faille dans le noyau Linux, je vais arreter l'appli buggée... euh... ah ben c'est dommage...

Pouvoir maintenir une qualité de service certaine à ses utilisateurs nécessite de patcher au plus vite et de ne pas arreter quoi que ce soit (en tout cas autant que possible).

Je prefere prendre le risque d'un developpeur mal intentionné qui exploiterait une faille non-publique (chance quasi nulle) au risque d'un script-kiddie utilisant un exploit dispo sur le net, avant que j'aie les moyens de patcher...

Je ne dis pas qu'il faut attendre systématiquement un patch (on attendrait toujours Microsoft par exemple), mais au moins laisser un temps aux developpeurs bien intentionnés de mettre à jour leur LL (c'est juste le respect du à leur travail) avant de rendre publique une faille.

Mes deux Eurocents,

DaFrog.

[ Répondre ]

> Le problème c'est que à ce niveau les chercheurs sont égoistes et ne veulent pas
> partager leur logiciel avec d'autres. Pourquoi? ben parce que sinon il se font griller
> (envore plus vite) par la concurrence, donc adieu publications et renommée.

Si je puis me permettre, c'est à peu près n'importe quoi: au contraire, un chercheur se fait connaître par son logiciel. Prend les exemples de logiciels diffusés par l'INRIA et donnés dans un news d'il y a quelques semaines: la plupart sont libres et fournissent renommée et publi(cation)s à leurs auteurs (dans le domaine des langages CAML et Cie, GNU-prolog, etc... même les softs non-libres comme Scilab sont de bonnes alternatives aux standards plus fermés).

D'autre part les chercheurs programment aussi eux-même (et je suis bien placé pour le savoir), mais ils ont bien sur moins de temps à y consacrer que des doctorants ou des ingénieurs experts...

Par conséquent, le problème n'est pas si simple: les chercheurs aimeraient programmer plus de libre, mais il n'en ont pas toujours le loisir dans le cadre de contrats avec des industriels, alors...

DaFrog.

[ Répondre ]

Je ne connais pas bien le statut des fonctionnaires Européens, mais en France l'article 25 de la loi de 1983 sur les droits et obligations des fonctionnaires empêcherait ce genre de choses...

DaFrog.

[ Répondre ]

Sur la place de la news et du commentaire, je suis 100% d'accord avec Cyprien.

Sur le contenu, j'ai certes été un peu décu de la légèreté de l'article sur SMTP (y aura-t-il une suite un peu plus approfondie?), surtout quand ensuite j'ai passé rapidement les 3 (!!!) articles sur la 3D, mais bon...

C'est un numéro que j'ai lu un peu trop rapidement à mon gout pour que cela soit très bon signe, mais rien de dramatique...

DaFrog.

[ Répondre ]

> Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement.

C'est malheureusement le cas de la plupart des gens, or si tu ne sais pas ce qui se cache, par exemple dans "icmp_echo_ignore_broadcasts", tu peux être, à ton insu utilisé pour lancer une attaque smurf...

Moralité, la paranoïa est ton amie!

DaFrog

P.S. Pour ceux qui n'ont rien compris à mon blabla, lisez donc le paragraphe "icmp_echo_ignore_broadcasts" de l'url donnée en référence.

P.P.S. Une attaque smurf consiste en gros à usurper une adresse IP, puis à lancer des pings broadcast dont toutes les réponses vont surcharger la machine dont vous avez usurpé l'adresse...

[ Répondre ]

Juste un mot pour féliciter l'auteur de cette référence très pratique pour les utilisateurs d'un noyau 2.4 un peu soucieux de leur gestion IP (tout le monde?).

DaFrog

[ Répondre ]

Il est très facile de patcher le code source pour cela (c'est ce que je fais à chaque fois) (util/http.c de mémoire), et ajouter la partie nécessaire (2 lignes).

Dès que j'aurais le temps (hum hum) je rendrai mon patch exploitable (pour l'instant il authentifie même si cela n'est pas nécessaire, ce que certains proxys n'aiment pas, et prend le mot de passe sur la ligne de commande, beurk) et l'enverrai à leur équipe. D'ici là tu devrais essayer toi-même, surtout si l'on se fie à ton slogan: "Use the source, Luke"...

DaFrog.

[ Répondre ]

C'est OpenSSH 3.4 (et pas OpenBSD) qui est sorti; il règle quelques autres problèmes, donc devrait être utile à installer.

La ligne en question est à "no" dans pas mal de distrib (Mdk 8.2, RedHat 7.1, etc...) et ne devrait pas trop gener (qui utilise des SKey avec OpenSSH? sans parler de BSD_Auth sous Linux). Il est à noter que pour ceux que cette config dérange OpenSSH 3.3 avec Privilege Separation, ou encore mieux OpenSSH 3.4 sont une solution.

DaFrog.

[ Répondre ]

Le premier : http://www.balabit.hu/en/downloads/syslog-ng/(...) remplace syslog et permet de trier les logs avec des expressions régulières (et pas seulement par priorité comme pour syslog). On peut donc "facilement" regrouper tous les logs orientés sécurité dans un log à part...

Le second : http://cert.uni-stuttgart.de/projects/fwlogwatch/(...)
permet de filtrer les logs ipchains/iptables/ipfilter/snort et d'autres, de générer du HTML ou du texte brut, d'envoyer des e-mails, etc...

Même si c'est à l'admin de faire le boulot, il vaut mieux être bien équippé.

DaFrog.

[ Répondre ]

Pas tout à fait:
Stephanie est concu comme un ensemble de patchs du noyau OpenBSD destiné à intégrer la distrib par défaut, alors que MicroBSD est un fork, avec du code de Free et NetBSD; les sources de Stephanie sont dispo, ce qui n'est pas encore le cas de MicroBSD.

Ce sont des détails, mais personellement, je préfère largement la solution Stephanie: améliorer la sécurité d'OpenBSD plutot que de créer (encore) un fork supplémentaire...

D'autres différences: MicroBSD inclut un IDS et un certain nombre de serveurs par défaut; il est aussi concu pour tourner à partir d'un CD par exemple...

DaFrog.

[ Répondre ]

Je me permets de signaler ici l'existence de RING, un outil d'OS fingerprinting open-source développé par Intranode (http://www.intranode.com/site/techno/techno_articles.htm(...)).

Contrairement à iQ, RING reste basé sur des paquets TCP, mais seulement un SYN (et c'est tout!!!); il est donc très discret et a moins de chances d'être bloqué qu'iQ (qui chez moi ne donnerait pas grand chose...).

RING est très jeune aussi, mais il est accompagné d'un whitepaper intéressant et compile sans problèmes. Ca vaut la peine d'y jeter un oeil, tout en gardant à l'esprint que tous les outils d'OS-fingerprinting (nmap, x-probe, iQ, ring, etc.) doivent être considérés comme complémentaires plutôt que concurrents.

DaFrog

[ Répondre ]

> telnetd est toujours là mais n'est pas activé non plus. Je pense que la raison pour laquelle telnet est encore là, c'est qu'utilisé proprement (avec des OTP [One Time Password] par exemple) le protocole reste utilisable, et que malheureusement le nombre de machines sans client ssh reste important (ou plus drole: un client SSH1 seulement et un serveur SSH2 seulement)... DaFrog.

[ Répondre ]