Anonyme a écrit 62265 commentaires

Non mais tu comprends, les RPM c'est naze, les DEB trop compliqués, systemd c'est Lennart et Init trop vieux, les patcheurs fous ne sont pas fous de la même façon, d'autres ont pas envie de faire des branches et d'autres font presque un git sur les paquets. /etc/sysconfig c'est pour les noobs, faut utiliser /etc/monbouzinsplitté.d, mais moi j'utilise /etc/{conf upstream} parce que j'emmerde le monde…

Les distribs GNU/Linux, c'est un troll à échelle humanogeek.

J’ai un kernel GRSec de Nazi, l’exploit se fait démonter la gueule :

May 17 08:13:48 xxxx kernel: [2906887.474305] grsec: From 178.23.33.193: denied untrusted exec (due to not being in trusted group and file in non-root-owned directory) of /home/arcaik/a.out by /home/arcaik/a.out[zsh:2727] uid/euid:1000/1000 gid/egid:1000/1000, parent /bin/zsh4[zsh:2717] uid/euid:1000/1000 gid/egid:1000/100

La "faille" non du noyau, mais du système, c'est que le trou de sécurité n'a pas été rapporté en tant que tel, mais en tant que bug. Et apparemment, c'est souvent le cas.

C'est souvent le cas, par ce qu'il n'est pas forcement evident en corrigeant un bug que c'est une faille de sécurité exploitable.

Alors, moi je ne suis pas développeur ni admin sys, mais j'aurais envie de poser la question: est-ce qu'il ne vaut pas mieux rapporter en tant que faille de sécurité tout bug que le développeur pense être exploitable comme faille?

Le truc c'est que dans le kernel, 90% des bugs sont peu etre exploitables, et il n'est pas souvent simple de dire si oui ou non ca l'est. Alors rapporter tous les bugs en tant que faille, je ne suis pas sur que ca change grand chose, ca va juste rendre invisibles les vraies failles qui sont annoncées comme tel.

Nous parlons aussi du comportement de l'équipe de dev de linux, qui pour toi n'ont rien fait d'irresponsable alors qu'ils ont aussi l'obligation "morale" de prévenir lorsqu'un bug qu'ils ont réparé était exploitable, selon tes critères.

Ils n'ont pas réparé un bug qu'ils savaient exploitable. Ils ont réparé un bug, qui comme des milliers d'autres est peu etre exploitable, ou peu etre pas. Pour le savoir, il faut passer du temps à essaier de l'exploiter.

Boah. Je vais faire le client pas content.

En tout cas, c'est envoyé.

De même, ou très peu occasionnellement et pas très longtemps (il est rare que j'en écoute plus de 30 minutes d'affilé), et par chance mon entourage ne souffre pas de la tare qui consiste à croire que tout le monde autour de soi a envie d'entendre les déjections sonores que l'on écoute. Quand j'en écoute, c'est souvent sous forme de clip (par exemple), car je suis beaucoup plus « visuel ».

J'aime énormément le silence, c'est un luxe aujourd'hui.

J'aimerais bien mais il est où le bouton « contacter » quand on est pas inscrit ?

Manque plus que Capsicum :p

Très instructif, merci.

Je ne suis pas le seul à avoir sauté au plafond en voyant les fautes immondes de la présentation de l'objet par GrosBill n'est-ce pas ?

Et pas que d'orthographe ou grammaire… des fautes de français carrément…

La vache si c'est ça… thunderbird oskour…

je disconvient, apparemment d'après le rapport le personnel administratif en sur-sur-effectif ne sait pas ouvrir une enveloppe, a moins qu'en attendant suffisamment longtemps elle s'ouvre toutes seule.

ce qui me rend un peu triste c'est que c'est OSM est nécessaire car l'IGN ce sont des bras cassé :(, je justifie bras cassé par le document 7-ign.pdf de la cours des comptes. A ne pas lire si vous êtes sensibles, il est assez cours et très lisible.

A titre informatif l'IGN à un budget de 150 millions d'euros. dont 70 donné par l’état. Bon il arrive pas trop mal a monnayé leurs donné, mais bon. une licence un peu libre pour nos données payé a 50% serait intéressant.

Ton schéma est meilleur, mais tu mets au même niveau ALSA, PulseAudio et Jack. ALSA est plutôt au niveau d’OSS (ce sont les drivers) en dessous de Pulse et de Jack.

J’ai l’impression que ça ne change pas grand chose.

J’ai créé un dépôt mercurial sur Bitbucket.org, si ça intéresse quelqu’un.

Comme la source semble avoir disparue, je me suis amusé à refaire cette image. Je ne sais pas comment fonctionne le droit d’auteur dans le cas présent¹ mais si les droits sur la source ci-dessous m’appartiennent alors j’autorise tout le monde à l’utiliser comme il le souhaite. J’ai aussi mis le rendu en ligne.

digraph LinuxAudio
{
        graph [bgcolor=white];
        node [shape=box,color=grey,style=filled];

        OpenAL;

        Allegro;
        GStreamer;
        libao;
        SDL;

        PulseAudio;
        aRts;

        Jack;
        NAS;

        PortAudio;
        ESD;

        ALSA[color=cyan];
        ClanLib;

        FFAD0[color=blue];
        OSS[color=green];

        ActualAudioDevice[color=lawngreen,label="Actual Audio Output Device"];

        ALSA -> ActualAudioDevice;
        OSS -> ActualAudioDevice;

        OpenAL -> SDL;
        OpenAL -> aRts;
        OpenAL -> ESD;
        OpenAL -> ALSA;
        OpenAL -> OSS;

        Allegro -> Jack;
        Allegro -> ESD;
        Allegro -> ALSA; 
        Allegro -> OSS;

        GStreamer -> Jack;
        GStreamer -> ESD;
        GStreamer -> PulseAudio;
        GStreamer -> aRts;
        GStreamer -> ALSA;
        GStreamer -> OSS;

        libao -> PulseAudio;
        libao -> ESD;
        libao -> aRts;
        libao -> ALSA;
        libao -> OSS;

        SDL -> aRts;
        SDL -> NAS;
        SDL -> ALSA;
        SDL -> OSS;

        PulseAudio -> Jack;
        PulseAudio -> ESD;
        PulseAudio -> ALSA;
        PulseAudio -> OSS;

        Jack -> PortAudio;
        Jack -> FFAD0;
        Jack -> ALSA;
        Jack -> OSS;

        NAS -> ESD;
        NAS -> OSS;

        PortAudio -> Jack;
        PortAudio -> ALSA;
        PortAudio -> OSS;

        ESD -> OSS;
        ALSA -> ActualAudioDevice;
        ALSA -> OSS;

        ClanLib -> OSS;

        FFAD0 -> ActualAudioDevice;

        OSS -> ALSA;
}

---

¹ Est-ce que je copie une œuvre ou est-ce une œuvre original ? Comment prouver que je n’ai jamais eu accès à la source ? etc.

Je viens de trouver un exemple un peu plus parlant.

En considérant le mot de passe « -_ifdkkdfi_- » voilà ce que j’obtiens :

• « -_ » → instantané ;
• « _- » → instantané ;
• « ifdkkdfi » » → 17 heures ;
• « -_ifdk » → 10 heures ;
• « kdfi_- » → 15 heures ;
• « -_ifdkkdfi_- » → centuries.

Y a juste un truc que je ne comprends pas : si on considère le mot de passe « -_1234554321_- », le script considère qu’il faut trois jours pour le casser (le mot de passe est faible, mais c’est un simple exemple). La démarche est la suivante :

• « -_ » → bruteforce ;
• « 12345 » → dictionaire de mot de passe ;
• « 54321 » → suite de chiffre décroissante ;
• « _- » → bruteforce.

Pourquoi la « symétrie » n’est pas testé ? C’est courant de voir des effets du genre « -=texte=- », je pense que ça doit apparaître souvent dans des mots de passe.

Il vient de donner le résultats de l’équivalent moderne de netstat, ça ne te suffit pas ?

Pourrait-on converser par mail ? C'est le même que mon JID ;)

Est-ce que ta sortie nmap est correcte (il y a surement une erreur entre UDP et TCP) ? Dans le cas où c’est une erreur de copier/coller, est-ce que le service écoute correctement sur le serveur ? Dans le cas où le service écoute bien sur 25/tcp, est-ce que tu ne serais pas chez Orange par hasard ?

Chez moi, sur une connexion Orange, j’ai ça comme sortie (le port 123/udp pour comparer entre TCP et UDP) :

(root) |> ~ <| nmap -sU -sT -p 123,25 xxx                                                                                             

Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-11 15:07 CEST
Nmap scan report for xxx (xxx)
Host is up (0.062s latency).
PORT    STATE    SERVICE
25/tcp  filtered smtp
123/tcp closed   ntp
25/udp  closed   smtp
123/udp open     ntp

Nmap done: 1 IP address (1 host up) scanned in 0.46 seconds

Alors qu’avec une connexion propre (le FAI chez qui je travail) :

(root) |> ~ <| nmap -sU -sT -p 123,25 xxx            

Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-11 15:25 CEST
Nmap scan report for xxx (xxx)
Host is up (0.16s latency).
PORT    STATE  SERVICE
25/tcp  open   smtp
123/tcp closed ntp
25/udp  closed smtp
123/udp open   ntp

Nmap done: 1 IP address (1 host up) scanned in 1.50 seconds

Et sur le serveur :

(root@xxx) |> ~ <| ss -4lutpn | grep -E ':25|:123'
udp    UNCONN     0      0          xxx:123                   *:*      users:(("ntpd",2709,6))
tcp    LISTEN     0      100        xxx:25                    *:*      users:(("master",3604,13))

Plop,

C'était plus pour blaguer que je disais ça, ton jeu est très bien (la flemme de démarrer sous Windows ou de build SFML2 en 32bit sur ma Fedodo 64… du coup Wine, impeccable) :)

Pour le paquetage DEB je n'en sais rien par contre pour ce qui est d'un RPM je peux m'en occuper ;) J'ai d'ailleurs un spec RPM pour la SFML2

Si quelqu'un sait comment faire du « cross arch building » son aide est la bienvenue :)

(NdM: commentaire réédité lors de l'anonymisation)

Si les gens veulent un truc mou ils peuvent toujours jouer à Chromium B.S.U… du coup c'est dommage, je me disais que pour une fois je jouerais à un vrai choutezemeup, que j'allais casser mon bureau à la première minute et quoi ? On me spoil que non… dommage :'(

Sinon on pourrait avoir une version 64bit ? Et un tar.xz :)

Ma banque (le Crédit Mutuel) ne tolère pas les mots de passes dépassant 8 caractères et l'identifiant est une valeur super difficile à obtenir : le n° du compte courant.

Il semblerait qu'avec le paquet libpam-cracklib et en mettant les lignes suivantes dans /etc/pam.d/common-password pam test la force du mot de passe lors de l'appel à passwd :

password        requisite                       pam_cracklib.so retry=3 minlen=8 difok=3
password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512

Ça donne une sortie du genre :

# passwd arcaik
Nouveau mot de passe : #Koin
MOT DE PASSE INCORRECT : trop court
MOT DE PASSE INCORRECT : est trop simple

Je dis « il semblerait » parce que c'est présent sur une Debian au taff, mais j'ai jamais utilisé en perso. Il faudrait essayer de l'adapter pour correspondre à ta demande.

Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?

Je pense qu'actuellement, le seul risque que j'ai, c'est que ma KDB soit corrompue ou effacer.

Je la partage entre mes machines via Ubuntu One (parce que, faut pas déconner, une KDB qui n'est pas synchroniser entre tes machines, c'est inutile). Donc, même si un « attaquant » a accès aux données qui sont sur Ubuntu One, il lui faut encore la première parie du mot de passe (que je connais), plus la seconde partie, stocké dans sur ma Yubikey pour déverrouiller la base.