Après le 21 avril, Saez a sorti une chanson sur le pen au deuxième tour.
Cette chanson était librement téléchargeable sur internet.
Pour la musique, chercher fils de france sur google ou un réseau de p2p quelconque.
Voila une version modifiée (sans accord...) au cas où le 30 juin, le pire arrive :
J'ai vu, les larmes au yeux,
les nouvelles ce matin,
un brevet pour l'horreur
un brevet pour la peur
ivre d'inconscience
tous baisés par l'europe
Au pays des lumières
Erreurs suicidaires
/*refrain*/
Nous sommes, nous sommes
la nation du code libre
Nous sommes, nous sommes
la nation des standards
Nous sommes, nous sommes
la nation des lumières
Nous sommes, nous sommes
à l'heure de la résistance
/* fin refrain*/
Pour le code qu'on a fait
pour celui qu'on fera
Pour l'exception qu'on a levé
pour celle qu'on lévera
Pour un idéal, pour une utopie
Allons marchons ensemble
enfants du logiciel libre
fils du libre
Ca pour rester impassible
ha oui, ça t'aime bien les minutes de glandouille
fils du libre
C'était à peine codé que déjà tu brandis le drapeau du brevet,
fils du libre
Nous n'oublierons jamais que nous sommes et serons
des enfants de stallman,
fils de libre.
Au royaume des brevets, tu sais bien ce qu'on dit
le pognon est le roi.
Y'a ces con(sultants) derrière nous,
y'a ces brevets brandis
Y'a ces menaces qui flottent
et du pognon par là dessus
Et puis y'a toi le codeur
y'a toi qui n'y a pas cru
Et puis y'a notre code
et notre cause perdue
Honte à notre fratrie
honte à notre patrie
Honte à nous les codeurs
honte à toi le gnu
Honte à nous les codeurs
revoila l'ennemi
Allons marchons ensemble
enfant du logiciel libre
/*refrain bis*/
Pour que cette chanson ne deviennent pas réalité, écrivez ! mobilisez vous !
S'il faut se bouger, c'est maintenant.
Parce que, après nous, on pensait bétement qu'on serait moins con que les ricains. Mais si cette loi passe, on prouvera juste qu'on est leur digne esclave.
Tu fais des connexions de local à local comme le montre le dump. Si le noyau est assez malin pour ne pas utiliser ta carte réseau pour ce genre de trafic et basculer sur lo, tant mieux :)
> Comme ça a été déjà dit, ton problème ressemble à un problème de framebuffer (option non activé dans le kernel, alors que lilo cherche à démarrer linux avec un mode graphique).
Voir aussi le post du dessus à propos des input devices. J'ai aussi eu ce problème.
> Sinon, pour les autres qui débarquent comme moi, le format des modules a apparemment changé, et il faut donc installer de nouveau insmod, rmmod, .... afin de pouvoir continuer à manipuler les modules.
Note : les nouveaux modutils assurent la compatibilité descendante avec les anciens modules 2.4 donc il est possible d'avoir un 2.4 pour le boulot et un 2.5 pour les tests en même temps. Le nouveau modutils appelant l'ancien s'il détecte un "format 2.4".
> je me demande comment est définie la charge d'une machine. Quelle en est la définition?
la charge (load average) est un calcul de la théorie des files d'attente.
Si tu supposes que la charge de ta machine est un processus de Poisson, le load average d'une machine tournant à X% de ses capacités est :
(X/100)/(1-X/100) soit X=100*charge/(1+charge) et donc un load de 0.8 par exemple indique que ta machine tourne à 100*0.8/(1+0.8) = 44,5% de sa capacité.
Si tu fais tendre la charge vers +infini, charge/(1+charge) -> 1 donc la capacité tend vers 100%. Inversement, si charge = 0, ta machine tourne à 0% de ses capacités, elle est offline quoi :-)
J'espère avoir répondu à ta question.
Pour ton réseau local, la solution gw avec une 2ème carte réseau avec un hub derrière est séduisante, surtout que tu pourras ainsi monter un serveur dhcp sur l'if interne de la gw, ce qui simplifiera peut être ton admin du portable (évite de switcher entre plusieurs confs).
Ce produit agit comme un proxy http et est capable de filtrer très très finement. Tu peux bien sur l'interfacer avec un anti virus tel que F-Secure avec son plugin pour WebSweeper. Mais tu peux également filtrer le code offensif (activeX, ..), définir des catégories de sites par différents mécanismes et filtrer les accès à ces sites. Tu peux interdire le téléchargement de certains fichiers (divx, mp3, etc). etc, etc. C'est un produit très riche.
Maintenant, venons en à l'architecture éventuelle. Vu que tu disposes d'une batterie de machine, une possibilitée est de mettre une machine sous Gnu/Linux en frontal, derrière ton firewall qui agira comme passerelle sera reliée à un switch sur lequel sera connecté plusieurs machines WebSweeper. Ces mêmes machines seront reliées sur une 2ème interface à une autre machine coté entreprise qui fera du partage de charge et du health check via des mécanismes comme le round robin et vrrp. Cette machine disposera d'un squid et c'est celle ci que les clients indiqueront en proxy.
Un petit schéma expliquera peut être mieux :
(faut décaler les branches du dessus et du dessous d'environ 3 cm vers la droite, les espaces que j'y ai mis se font bouffer qd je clique sur vérifier :"( )
X : firewall
Y : passerelle
Z : proxy WebSweeper
T : squid avec proxy chaining (cascade de proxy) / health check / partage de charge
S : switch entreprise où sont connecté les clients
Une requête http aura donc le cheminement suivant :
-proxy(squid) sur T.
-T choisit une des machines Z parmi celles dispo (health check) et en faisant attention à la répartition (load balancing) et squid envoie la requête au Z choisi.
-Z se charge de vérifier que la requête est valide et si oui, envoie directement la requête au serveur distant (je suppose que tu nat en sortie du firewall).
-La réponse revient, le Z kivabien récupère le résultat, l'analyse, passe l'antivirus si nécessaire, etc et renvoie à T, qui renvoie au client.
Bon, c'est un peu l'architecture de fou, mais si tu peux te permettre quelques milliers d'euros dans websweeper, tu devrais pouvoir faire un truc sympa.
Bonjour,
fraichement sorti d'une école d'ingénieur, j'ai constaté que pour notre promo, ça tourne autour de 31/32 k, avec des pics à 36 k (pour les guignols des options banques et marchés financiers) et des chutes à 28 k pour les plus malchanceux.
Une partie de la promo est encore au chomâge et je n'ai pas eu les chiffres pour tout le monde, donc ce n'est peut être pas pertinent.
Sinon, un autre critère important est ton école d'origine car souvent les sociétés ont des grilles de salaire pour les débutants basés sur l'école. Essaye de te renseigner discrétement là dessus auprès de la société qui veut t'embaucher.
--
AlphA
Les RAO (réponses à appel d'offre) indiquant des machines sous windows pour certaines machines, il faut manipuler du windows. Et le poste de travail est standardisé : w2k/NT.
Parce qu'après une première découverte en salle info pendant ma prépa (tp de maple et de caml, le tout sous nux en 96) et une installation quasi foirée de slackware sur mon 486, je me suis retrouvé un beau matin avec une station alpha, achetée d'occaze, au pied du sapin.
Un collégue de mon père y avait installé une RH 5.2 récupérée dans le mag dream (pré-login). C'était installé n'importe comment, X plantait, etc. Bref le carnage. A coté de cette station, un bouquin Linux de chez campus press. M'y suis collé, et j'ai pris mon pied. Pas de x86, donc pas de tentation de jouer (sauf à xbill :p) ou de perdre mon temps.
J'étais en résidence cablée en 10 Mbps avec un accès daubé au net, mais ça suffisait. Et ça a été l'avalanche. Admin système, sécurité, programmation, etc, etc. Tentative d'installer un LFS sur cette meme alpha, etc. J'étais amoureux de ce système (et de ma copine aussi :p ).
La suite est logique : nux, nux, stage unix, nux, stage développement noyau, etc.
Ok, merci pour les infos.
Donc effectivement, on en a pas entendu causer. Shame on me.
> prefix/prefast ca trouve des bugs qui sont evidents, et d'autres qui le sont bcp moins, c'est assez baleze comme soft.
Là, tu m'intéresses. Si tu pouvais nous en dire en peu plus please, (*) (ou en privé par mail). La sécurité de fonctionnement et la preuve automatisée de fonctionnement, c'est passionant, mais *vraiment* chaud. La détection de code mort, la vérification du typage, le suivi des allocations/désallocations, c'est un truc de fou.
Certains langages type OCaml par exemple peuvent aider à produire quelque chose d'utile mais c'est pas encore ça. Et faire un outil non intrusif (qui ne modifie ni le code, ni le binaire, ni le fonctionnement) c'est encore pire.
> C'est un audit de code qu'on a fait en tout cas sur certaines parties du code avant de sortir l'OS
tu parles de trucs comme PREfix / PREfast ?
Parce que si j'ai bien compris, de l'aveux meme de gens de chez MS, c'était plutot là pour pointer des bugs vraiment évidents. Donc si faire un audit, c'est apprendre aux codeurs que un char[16], ça rentre pas dans un char[8], excuse moi, mais on fait mieux comme audit ;-)
Si par contre, il y a eu un vrai audit proactif, avec revue du code PENDANT son écriture et pas 3 jours avant de sortir le produit, là, ça le fait. Windows 2k3 sera (ou pas) la preuve que MS a correctement pris en compte le problème de la sécurité. Wait & see
> tu nous a vu faire de la pub la-dessus ?
Sur l'amélioration de la sécurité, les audits, etc ? Pourtant, il me semble que y'a un mec qui s'appelle Mike Nash qui est payé pour justement dire aux gens qui se moquent de la sécurité version microsoft que non, non, non, c'est plus comme avant, etc. Bon, en fait, il me semble que c'est le gars en charge du projet "Trusted Computing" de MS. Et ça, on en a entendu causer. Arret du développement pour audit, mail de Billou, formation, etc. Et des grandes annonces sur windows 2003 : "regardez, quand windows vient de s'installer, y'a plus 18 services inutiles qui se lancent ! pas de serveur web automatiquement installé et lancé ! pas de disque C automatiquement partagé sous C$ ! C'est révolutionnaire !"
En plus, je vois meme pas pourquoi MS devrait faire de la pub sur l'amélioration de la sécurité de ses produits, vu que normalement ça coule de source ("Trusted Computing", souvenez vous). Ou alors se serait parce que meme MS se rend bien compte qu'ils ne sont pas si sécurisés que ça et qu'ils ont trop déconner avec ça et se permettrait de faire de la pub là dessus pour essayer de convaincre quelques décideurs : "regardez la plus value ! pour 3000 $ de plus, on vous offre un OS sé-cu-ri-sé ! non, non, ça ne va pas de soit, la preuve, vos windows précédents, vous les avez payé cher et ils étaient pas clean pour autant. Donc faut acheter !"
Longhorn, le prochain win, devrait intégrer un truc comme ça. Avec la possibilitée d'utiliser un serveur central. Un sql server pour stocker toutes les données sensibles d'une société, le pied ! :-)
Super stable, ultra secure. Le rève.
J'ai été amené à l'utiliser en stage, ça marche très bien.
Tu peux utiliser le style natif et dans cas, tu as le copier coller "unix" en prime sous windows :-)
Malheureusement payant mais une version d'évaluation est disponible.
La vérification d'integrité, c'est marrant et tout, blablabla, etc mais c'est pas fiable.
J'explique :
La sécurité du niveau n d'un système dépend de la sécurité des niveaux 0 à (n-1).
Donc avec mon brave vérificateur d'intégrité, je fais quoi :
open(monfichier)
->vérifie_intégrité(monfichier)
->opérations diverses et variées
close(monfichier)
Vous voyez la faille ? Je fais quoi si je ne peux pas être sur de mon open, que se soit celui de la glibc ou celui du noyau (techniques de hooking) ? C'est à dire : que vaut le contrôle d'intégrité si les appels qu'il fait aux systèmes en dessous ne sont plus sûrs ? pas grand chose...
Donc à partir du moment où il y a compromission, le contrôle d'intégrité est mort. Le mieux c'est encore de faire une analyse offline à partir d'une autre machine, en utilisant des binaires compilés statiquement et c'est pas encore la panacée : interruption de services, copie des fichiers, etc.
> Un truc qui m'agace franchement concerne l'hypocrisie des entreprise qui abusent plus ou moins ouvertement d'outils libres.
Imho, c'est peut être pour ça que arnaud Deraison s'est barré aux US pour faire partie de teenable network inc et produire du closed source. Il est considéré là bas et utilise maintenant l'argument "y'a du nessus partout" pour vendre lightning (http://www.tenablesecurity.com/proxy.html(...)) qui est un fédérateur permettant de centraliser les logs de plusieurs serveurs nessus et de corréler cela avec les logs des IDS. C'est payant (pas forcément très cher vu les services rendus et closed sources).
En bref : vos techos utilisent déjà nessus, voila la couche du dessus qui permet de faire des jolis rapports pour les décideurs pressés.
La dernière fois que j'ai rencontré arnaud Deraison, il vendait donc son lightning avec son joli portable sous mac os X, et il avait pas l'air de s'en porter plus mal que ça. Avec l'argumentaire y'a nessus qui est free et y'a lightning pour les sociétés qui s'en servent et qui veulent un environnement fédérateur plus facilement utilisable.
Tout à fait ! silvio cesare a publié un article très célèbre à ce sujet.
Malgré tout, sauf si l'infection est réalisée en uid 0, cela reste confiné aux fichiers auquels l'utilisateurs a accès en écriture. Ce qui revient au même avec les droits (comptes admin/system) et les mesures de sécurité locale de windows NT/2k/XP/2k3 etc, si ma mémoire est bonne, lorsque les droits sont configurés correctement.
Mon post n'était aucunement une critique à sens unique des systèmes windows, juste une réponse à ta remarque. Donc à ne pas prendre comme un troll/flame/FUD ou je ne sais quoi.
La guéguerre win/linux/bsd/autre, c'est plus de mon âge :)
Les deux systèmes me permettent de gagner ma paye à la fin du mois.
> Windows a une caracteristique technique qui le rend plus permeable aux virus que Linux (j'ai pourtant demande ce que c'etait, toujours pas de reponse)
Le format des exécutables (PE) permet de stocker très facilement du code étranger dans l'exécutable, via le format utilisé : pages de 4ko, iirc présentant de la "fragmentation" avec donc des interstices pour stocker ce qu'on veut.
Dans les anciens windows, un facteur viral important était le peu de rigueur dans la gestion des droits. Même sur un NT, le fait que msgina.dll (*) était en rw pour tout le monde tenait de l'hérésie.
(*) la dll contenant le code pour le login ..
Windows a toujours permis l'accès à des zones mémoires particulières sans trop de contrôle : mémoire vidéo, port série, etc. Héritage du dos. Mais danger lorsque l'on a aussi accès au boot sector.
Les failles, les failles, les failles. Simplifier la vie de l'utilisateur, ok. Mais les contrôles nécessaires derrière n'y étaient/sont pas.
Sans faire de pub (enfin si un peu :p) O'reilly a publié 2 excellents bouquins sur le noyau Linux. L'un portant sur le fonctionnement interne du noyau, malheureusement axé sur le 2.2 et un deuxième sur les pilotes de périphériques.
Si la lecture des URL citées dans la news vous donnent envie d'aller plus loin, je vous conseille fortement le deuxième livre qui est une bible pour ce genre de travail. N.B. : attention, le nouveau format de module du futur 2.6 rendra surement une partie de ce livre obsolète (nouvelles macros, etc).
Sinon, il est dispo sur le web sous license FDL mais j'ai plus l'url sous la main donc faut chercher un peu.
Notez bien que la programmation de pilote de périphérique ne requière pas d'être un guru du C. Il suffit de faire attention et de ne pas chercher à faire le porky sans être sur que ça ne finira pas en oops/kernel panic. Sinon, ça reste "assez" simple. Une bonne base de départ est tout simplement les autres drivers existants. On y trouvera les API à utiliser, les structures, etc.
Petit conseil : l'utilisation d'un vmware (c'est pas mal) ou d'un UML (c'est mieux) est recommandé, histoire de pas crasher son poste de développement au cas où.
--
AlphA <qui a codé un driver de carte réseau wireless>
Voici quelques urls utiles lorsque l'on veut déployer ou tester la tenue en charge de snort, ou tout simplement en savoir un peu plus sur le fonctionnement d'un IDS :
- snop : http://www.stolenshoes.net/sniph/index.html
Un utilitaire prenant en entrée une base de signatures snort permettant de rejouer ces attaques. Pratique pour la tenue en charge et la validation du moteur de snort
- la mailing list focus-ids et la faq associée : http://www.packetnexus.com/idsfaq/
Une excellente mailing list avec des bons gourous (dug song, etc).
- arachnids : http://www.whitehats.com/ids/
Un ensemble de signatures compatible snort.
- la documentation sur les techniques utilisées par whisker pour échapper aux ids : http://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html
Pratique pour tester rapidement le comportement de snort face aux technique communes d'évasion d'ids : unicode, rejeu, fragmentation, etc.
- une base documentaire impressionnante sur les ids : http://www.sans.org/rr/intrusion/
- un "concurrent" : http://www.prelude-ids.org/
Prelude, un ids orienté serveur et réseau, capable d'utiliser les signatures de snort
Puis les classiques : fragrouter, nessus, etc.
# Re: Mc Carthy accélère la procédure : vote le 30 juin !
Posté par AlphA . En réponse à la dépêche Mc Carthy accélère la procédure : vote le 30 juin 2003 !. Évalué à 3.
Cette chanson était librement téléchargeable sur internet.
Pour la musique, chercher fils de france sur google ou un réseau de p2p quelconque.
Voila une version modifiée (sans accord...) au cas où le 30 juin, le pire arrive :
J'ai vu, les larmes au yeux,
les nouvelles ce matin,
un brevet pour l'horreur
un brevet pour la peur
ivre d'inconscience
tous baisés par l'europe
Au pays des lumières
Erreurs suicidaires
/*refrain*/
Nous sommes, nous sommes
la nation du code libre
Nous sommes, nous sommes
la nation des standards
Nous sommes, nous sommes
la nation des lumières
Nous sommes, nous sommes
à l'heure de la résistance
/* fin refrain*/
Pour le code qu'on a fait
pour celui qu'on fera
Pour l'exception qu'on a levé
pour celle qu'on lévera
Pour un idéal, pour une utopie
Allons marchons ensemble
enfants du logiciel libre
fils du libre
Ca pour rester impassible
ha oui, ça t'aime bien les minutes de glandouille
fils du libre
C'était à peine codé que déjà tu brandis le drapeau du brevet,
fils du libre
Nous n'oublierons jamais que nous sommes et serons
des enfants de stallman,
fils de libre.
Au royaume des brevets, tu sais bien ce qu'on dit
le pognon est le roi.
Y'a ces con(sultants) derrière nous,
y'a ces brevets brandis
Y'a ces menaces qui flottent
et du pognon par là dessus
Et puis y'a toi le codeur
y'a toi qui n'y a pas cru
Et puis y'a notre code
et notre cause perdue
Honte à notre fratrie
honte à notre patrie
Honte à nous les codeurs
honte à toi le gnu
Honte à nous les codeurs
revoila l'ennemi
Allons marchons ensemble
enfant du logiciel libre
/*refrain bis*/
Pour que cette chanson ne deviennent pas réalité, écrivez ! mobilisez vous !
S'il faut se bouger, c'est maintenant.
Parce que, après nous, on pensait bétement qu'on serait moins con que les ricains. Mais si cette loi passe, on prouvera juste qu'on est leur digne esclave.
--
AlphA <join us now and share the software>
# Re: probleme avec le kernel 2.4.2x ??
Posté par AlphA . En réponse au journal probleme avec le kernel 2.4.2x ??. Évalué à 1.
Je vois pas où est le problème en fait.
--
AlphA
[^] # Re: kernel 2.5.70
Posté par AlphA . En réponse au journal kernel 2.5.70. Évalué à 2.
Voir aussi le post du dessus à propos des input devices. J'ai aussi eu ce problème.
> Sinon, pour les autres qui débarquent comme moi, le format des modules a apparemment changé, et il faut donc installer de nouveau insmod, rmmod, .... afin de pouvoir continuer à manipuler les modules.
Oui. Sous deb, il y a un paquet qui va bien, sinon, se référer à :http://www.codemonkey.org.uk/post-halloween-2.5.txt(...) pour les prérequis nécessaires à un 2.5 récent.
Note : les nouveaux modutils assurent la compatibilité descendante avec les anciens modules 2.4 donc il est possible d'avoir un 2.4 pour le boulot et un 2.5 pour les tests en même temps. Le nouveau modutils appelant l'ancien s'il détecte un "format 2.4".
--
AlphA
# Re: réseau à la maison
Posté par AlphA . En réponse au journal réseau à la maison. Évalué à 6.
> je me demande comment est définie la charge d'une machine. Quelle en est la définition?
la charge (load average) est un calcul de la théorie des files d'attente.
Si tu supposes que la charge de ta machine est un processus de Poisson, le load average d'une machine tournant à X% de ses capacités est :
(X/100)/(1-X/100) soit X=100*charge/(1+charge) et donc un load de 0.8 par exemple indique que ta machine tourne à 100*0.8/(1+0.8) = 44,5% de sa capacité.
Si tu fais tendre la charge vers +infini, charge/(1+charge) -> 1 donc la capacité tend vers 100%. Inversement, si charge = 0, ta machine tourne à 0% de ses capacités, elle est offline quoi :-)
J'espère avoir répondu à ta question.
Pour ton réseau local, la solution gw avec une 2ème carte réseau avec un hub derrière est séduisante, surtout que tu pourras ainsi monter un serveur dhcp sur l'if interne de la gw, ce qui simplifiera peut être ton admin du portable (évite de switcher entre plusieurs confs).
--
AlphA
# Re: Passerelle Antivirus
Posté par AlphA . En réponse au journal Passerelle Antivirus. Évalué à 7.
je ne sais pas si tu as un budget restreint ou pas.
J'aurai éventuellement une solution à proposer mais c'est cher et faut du win2k. Avec la possibilitée de réutiliser tes celerons.
Sur un projet, j'ai déployé WebSweeper de ClearSwift/Baltimore, tu trouveras une présentation détaillée ici : http://mimesweeper.baltimore.com/products/msw/websweeper/default.as(...)
Ce produit agit comme un proxy http et est capable de filtrer très très finement. Tu peux bien sur l'interfacer avec un anti virus tel que F-Secure avec son plugin pour WebSweeper. Mais tu peux également filtrer le code offensif (activeX, ..), définir des catégories de sites par différents mécanismes et filtrer les accès à ces sites. Tu peux interdire le téléchargement de certains fichiers (divx, mp3, etc). etc, etc. C'est un produit très riche.
Maintenant, venons en à l'architecture éventuelle. Vu que tu disposes d'une batterie de machine, une possibilitée est de mettre une machine sous Gnu/Linux en frontal, derrière ton firewall qui agira comme passerelle sera reliée à un switch sur lequel sera connecté plusieurs machines WebSweeper. Ces mêmes machines seront reliées sur une 2ème interface à une autre machine coté entreprise qui fera du partage de charge et du health check via des mécanismes comme le round robin et vrrp. Cette machine disposera d'un squid et c'est celle ci que les clients indiqueront en proxy.
Un petit schéma expliquera peut être mieux :
(faut décaler les branches du dessus et du dessous d'environ 3 cm vers la droite, les espaces que j'y ai mis se font bouffer qd je clique sur vérifier :"( )
- /-----Z---\
---X------------Y---------Z-----T-----S
- \___Z----/
X : firewall
Y : passerelle
Z : proxy WebSweeper
T : squid avec proxy chaining (cascade de proxy) / health check / partage de charge
S : switch entreprise où sont connecté les clients
Une requête http aura donc le cheminement suivant :
-proxy(squid) sur T.
-T choisit une des machines Z parmi celles dispo (health check) et en faisant attention à la répartition (load balancing) et squid envoie la requête au Z choisi.
-Z se charge de vérifier que la requête est valide et si oui, envoie directement la requête au serveur distant (je suppose que tu nat en sortie du firewall).
-La réponse revient, le Z kivabien récupère le résultat, l'analyse, passe l'antivirus si nécessaire, etc et renvoie à T, qui renvoie au client.
Bon, c'est un peu l'architecture de fou, mais si tu peux te permettre quelques milliers d'euros dans websweeper, tu devrais pouvoir faire un truc sympa.
--
AlphA
# Re: salaire moyen d'un ingénieur débutant
Posté par AlphA . En réponse au journal salaire moyen d'un ingénieur débutant. Évalué à 3.
# Re: Pourquoi utilisez-vous _encore_ Windows ?
Posté par AlphA . En réponse au journal Pourquoi utilisez-vous _encore_ Windows ?. Évalué à 1.
Les RAO (réponses à appel d'offre) indiquant des machines sous windows pour certaines machines, il faut manipuler du windows. Et le poste de travail est standardisé : w2k/NT.
# Re: Pourquoi utilisez-vous Linux?
Posté par AlphA . En réponse au journal Pourquoi utilisez-vous Linux?. Évalué à 1.
Un collégue de mon père y avait installé une RH 5.2 récupérée dans le mag dream (pré-login). C'était installé n'importe comment, X plantait, etc. Bref le carnage. A coté de cette station, un bouquin Linux de chez campus press. M'y suis collé, et j'ai pris mon pied. Pas de x86, donc pas de tentation de jouer (sauf à xbill :p) ou de perdre mon temps.
J'étais en résidence cablée en 10 Mbps avec un accès daubé au net, mais ça suffisait. Et ça a été l'avalanche. Admin système, sécurité, programmation, etc, etc. Tentative d'installer un LFS sur cette meme alpha, etc. J'étais amoureux de ce système (et de ma copine aussi :p ).
La suite est logique : nux, nux, stage unix, nux, stage développement noyau, etc.
--
AlphA
# Re: Tail et X11
Posté par AlphA . En réponse au journal Tail et X11. Évalué à 2.
http://www.goof.com/pcg/marc/root-tail.html(...)
petit, léger, efficace et sexy :-)
Pourquoi s'embéter avec une appli qui prendra de la place lorsque l'on peut directement utiliser le fond d'écran ?
Au programme : dimension personnalisable, coloration selon le fichier et selon des mot clefs personnalisables.
Puis, ça le fait de voir les lignes défiler sur le fond du bureau :-)
N.B. : ne marche pas avec kde. Pour gnome, j'en sais rien.
--
AlphA
[^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant
Posté par AlphA . En réponse à la dépêche Des vulnérabilités des Linux 2.4 permettent un DoS distant. Évalué à 1.
Donc effectivement, on en a pas entendu causer. Shame on me.
> prefix/prefast ca trouve des bugs qui sont evidents, et d'autres qui le sont bcp moins, c'est assez baleze comme soft.
Là, tu m'intéresses. Si tu pouvais nous en dire en peu plus please, (*) (ou en privé par mail). La sécurité de fonctionnement et la preuve automatisée de fonctionnement, c'est passionant, mais *vraiment* chaud. La détection de code mort, la vérification du typage, le suivi des allocations/désallocations, c'est un truc de fou.
Certains langages type OCaml par exemple peuvent aider à produire quelque chose d'utile mais c'est pas encore ça. Et faire un outil non intrusif (qui ne modifie ni le code, ni le binaire, ni le fonctionnement) c'est encore pire.
(*) les sources sont pas dispos je suppose :p
--
AlphA
[^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant
Posté par AlphA . En réponse à la dépêche Des vulnérabilités des Linux 2.4 permettent un DoS distant. Évalué à 1.
tu parles de trucs comme PREfix / PREfast ?
Parce que si j'ai bien compris, de l'aveux meme de gens de chez MS, c'était plutot là pour pointer des bugs vraiment évidents. Donc si faire un audit, c'est apprendre aux codeurs que un char[16], ça rentre pas dans un char[8], excuse moi, mais on fait mieux comme audit ;-)
Si par contre, il y a eu un vrai audit proactif, avec revue du code PENDANT son écriture et pas 3 jours avant de sortir le produit, là, ça le fait. Windows 2k3 sera (ou pas) la preuve que MS a correctement pris en compte le problème de la sécurité. Wait & see
> tu nous a vu faire de la pub la-dessus ?
Sur l'amélioration de la sécurité, les audits, etc ? Pourtant, il me semble que y'a un mec qui s'appelle Mike Nash qui est payé pour justement dire aux gens qui se moquent de la sécurité version microsoft que non, non, non, c'est plus comme avant, etc. Bon, en fait, il me semble que c'est le gars en charge du projet "Trusted Computing" de MS. Et ça, on en a entendu causer. Arret du développement pour audit, mail de Billou, formation, etc. Et des grandes annonces sur windows 2003 : "regardez, quand windows vient de s'installer, y'a plus 18 services inutiles qui se lancent ! pas de serveur web automatiquement installé et lancé ! pas de disque C automatiquement partagé sous C$ ! C'est révolutionnaire !"
En plus, je vois meme pas pourquoi MS devrait faire de la pub sur l'amélioration de la sécurité de ses produits, vu que normalement ça coule de source ("Trusted Computing", souvenez vous). Ou alors se serait parce que meme MS se rend bien compte qu'ils ne sont pas si sécurisés que ça et qu'ils ont trop déconner avec ça et se permettrait de faire de la pub là dessus pour essayer de convaincre quelques décideurs : "regardez la plus value ! pour 3000 $ de plus, on vous offre un OS sé-cu-ri-sé ! non, non, ça ne va pas de soit, la preuve, vos windows précédents, vous les avez payé cher et ils étaient pas clean pour autant. Donc faut acheter !"
Ce poste n'est qu'un immense flame-bait.
--
AlphA
# Re: vive le grub
Posté par AlphA . En réponse au journal vive le grub. Évalué à 7.
# grub
grub> root (hd0,0) <- partition de boot sur /dev/hda1
grub> setup(hd0) <- où installer le boot record, ici sur /dev/hda
grub> quit
Parce que là, ça ressemble fortement à un mbr version lilo avec lilo incapable de trouver le stage2, d'où le LI et pas le LO.
--
Francis
[^] # Re: MARRE !
Posté par AlphA . En réponse au journal MARRE !. Évalué à 5.
Best viewed with telnet 80 !
( http://sartre.dgate.org/~brg/bvtelnet80/(...) )
--
AlphA < GET HTTP/1.1 / >
# Re: Recherche un ancien journal
Posté par AlphA . En réponse au journal Recherche un ancien journal. Évalué à 0.
[^] # Re: TUX => kernel modules accelerateur de HTTP ?!?
Posté par AlphA . En réponse au journal TUX => kernel modules accelerateur de HTTP ?!?. Évalué à 1.
Cf : http://citeseer.nj.nec.com/555144.html(...) par exemple.
Longhorn, le prochain win, devrait intégrer un truc comme ça. Avec la possibilitée d'utiliser un serveur central. Un sql server pour stocker toutes les données sensibles d'une société, le pied ! :-)
Super stable, ultra secure. Le rève.
# Re: Support du X11 sous M$-Windows
Posté par AlphA . En réponse au journal Support du X11 sous M$-Windows. Évalué à 1.
Tu peux regarder du coté de exceed :
http://www.hummingbird.com/products/nc/exceed/(...)
J'ai été amené à l'utiliser en stage, ça marche très bien.
Tu peux utiliser le style natif et dans cas, tu as le copier coller "unix" en prime sous windows :-)
Malheureusement payant mais une version d'évaluation est disponible.
# Re: Proverbes !
Posté par AlphA . En réponse au journal Proverbes !. Évalué à 4.
Other should provide an X.509 certificate.
# Re: Bilan de la nuit Blender
Posté par AlphA . En réponse à la dépêche Bilan de la nuit Blender. Évalué à 2.
C'est simple, c'est sympa et ça fait plaisir à lire :)
[^] # Re: Le top 75 des outils sécurité
Posté par AlphA . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 6.
La vérification d'integrité, c'est marrant et tout, blablabla, etc mais c'est pas fiable.
J'explique :
La sécurité du niveau n d'un système dépend de la sécurité des niveaux 0 à (n-1).
Donc avec mon brave vérificateur d'intégrité, je fais quoi :
open(monfichier)
->vérifie_intégrité(monfichier)
->opérations diverses et variées
close(monfichier)
Vous voyez la faille ? Je fais quoi si je ne peux pas être sur de mon open, que se soit celui de la glibc ou celui du noyau (techniques de hooking) ? C'est à dire : que vaut le contrôle d'intégrité si les appels qu'il fait aux systèmes en dessous ne sont plus sûrs ? pas grand chose...
Donc à partir du moment où il y a compromission, le contrôle d'intégrité est mort. Le mieux c'est encore de faire une analyse offline à partir d'une autre machine, en utilisant des binaires compilés statiquement et c'est pas encore la panacée : interruption de services, copie des fichiers, etc.
Un petit proof of concept écrit par un ami : http://www.iiens.net/pilon/muriel/index.php(...)
Un bête lkm qui fist tripwire.
Le plus simple, c'est encore de s'assurer que les fichiers qui n'ont pas à être modifiés ne peuvent pas l'être tout court : partition en ro, etc.
[^] # Re: Nessus et le financement des outils libres
Posté par AlphA . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 1.
[^] # Re: Nessus et le financement des outils libres
Posté par AlphA . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 10.
Imho, c'est peut être pour ça que arnaud Deraison s'est barré aux US pour faire partie de teenable network inc et produire du closed source. Il est considéré là bas et utilise maintenant l'argument "y'a du nessus partout" pour vendre lightning (http://www.tenablesecurity.com/proxy.html(...)) qui est un fédérateur permettant de centraliser les logs de plusieurs serveurs nessus et de corréler cela avec les logs des IDS. C'est payant (pas forcément très cher vu les services rendus et closed sources).
En bref : vos techos utilisent déjà nessus, voila la couche du dessus qui permet de faire des jolis rapports pour les décideurs pressés.
La dernière fois que j'ai rencontré arnaud Deraison, il vendait donc son lightning avec son joli portable sous mac os X, et il avait pas l'air de s'en porter plus mal que ça. Avec l'argumentaire y'a nessus qui est free et y'a lightning pour les sociétés qui s'en servent et qui veulent un environnement fédérateur plus facilement utilisable.
[^] # Re: Interview de Steve Ballmer
Posté par AlphA . En réponse à la dépêche Interview de Steve Ballmer. Évalué à 1.
Tout à fait ! silvio cesare a publié un article très célèbre à ce sujet.
Malgré tout, sauf si l'infection est réalisée en uid 0, cela reste confiné aux fichiers auquels l'utilisateurs a accès en écriture. Ce qui revient au même avec les droits (comptes admin/system) et les mesures de sécurité locale de windows NT/2k/XP/2k3 etc, si ma mémoire est bonne, lorsque les droits sont configurés correctement.
Mon post n'était aucunement une critique à sens unique des systèmes windows, juste une réponse à ta remarque. Donc à ne pas prendre comme un troll/flame/FUD ou je ne sais quoi.
La guéguerre win/linux/bsd/autre, c'est plus de mon âge :)
Les deux systèmes me permettent de gagner ma paye à la fin du mois.
--
AlphA
[^] # Re: Interview de Steve Ballmer
Posté par AlphA . En réponse à la dépêche Interview de Steve Ballmer. Évalué à 2.
Le format des exécutables (PE) permet de stocker très facilement du code étranger dans l'exécutable, via le format utilisé : pages de 4ko, iirc présentant de la "fragmentation" avec donc des interstices pour stocker ce qu'on veut.
Dans les anciens windows, un facteur viral important était le peu de rigueur dans la gestion des droits. Même sur un NT, le fait que msgina.dll (*) était en rw pour tout le monde tenait de l'hérésie.
(*) la dll contenant le code pour le login ..
Windows a toujours permis l'accès à des zones mémoires particulières sans trop de contrôle : mémoire vidéo, port série, etc. Héritage du dos. Mais danger lorsque l'on a aussi accès au boot sector.
Les failles, les failles, les failles. Simplifier la vie de l'utilisateur, ok. Mais les contrôles nécessaires derrière n'y étaient/sont pas.
AlphA
[^] # Re: conseils pour l'ecriture de pilotes pour Linux
Posté par AlphA . En réponse à la dépêche conseils pour l'ecriture de pilotes pour Linux. Évalué à 5.
Si la lecture des URL citées dans la news vous donnent envie d'aller plus loin, je vous conseille fortement le deuxième livre qui est une bible pour ce genre de travail. N.B. : attention, le nouveau format de module du futur 2.6 rendra surement une partie de ce livre obsolète (nouvelles macros, etc).
Sinon, il est dispo sur le web sous license FDL mais j'ai plus l'url sous la main donc faut chercher un peu.
Et sinon, y'a ça : http://www.linuxhq.com/lkprogram.html(...)
Un point d'entrée pour de nombreuses docs.
Notez bien que la programmation de pilote de périphérique ne requière pas d'être un guru du C. Il suffit de faire attention et de ne pas chercher à faire le porky sans être sur que ça ne finira pas en oops/kernel panic. Sinon, ça reste "assez" simple. Une bonne base de départ est tout simplement les autres drivers existants. On y trouvera les API à utiliser, les structures, etc.
Petit conseil : l'utilisation d'un vmware (c'est pas mal) ou d'un UML (c'est mieux) est recommandé, histoire de pas crasher son poste de développement au cas où.
--
AlphA <qui a codé un driver de carte réseau wireless>
# Quelques url utiles
Posté par AlphA . En réponse à la dépêche Sortie de Snort 2.0. Évalué à 10.