"Par exemple, Firefox ne supportera jamais les codecs H264, Mpeg4, MP3 ou AAC pour la simple et bonne raison qu’ils ne sont pas libres.
D’ailleurs, ceux-ci ne font pas du tout partie de HTML5.
Et pourtant, à cause de ça, Firefox est pénalisé au niveau de la notation."
"The following tests go beyond the requirements of the HTML5 specification and are not counted towards the total score. If a browser supports one or more audio codecs, one bonus point is awarded for each codec. "
Super le test. Jvais mettre +1 pour activex aussi pas de raison de laisser IE à la traine!
ceci dit instant bird par ex sous OSX est interessant pour moi. pidgin sous osx est tres mal integré et les alternatives type adium ne me plaisent pas trop (c'est assez buggé / loupe des messages etc surtout connecté depuis plusieur places)
bref, un projet sympa, mais il va falloir quils bossent pas mal pour integrer des plugins sympa et les fonctions les plus attendues cad transfer de fichier et video/voice
"Ne téléchargez aucun logiciel sur internet sauf s'il s'agit de logiciels diffusés sous licence Libre ou sous licence Open Source et à partir d'un site de confiance."
Apres ca j'ai arrete de lire ;)
C'est stupide comme recommandation. Le fait qu'il soit indiquer qu'il sagisse d'un logiciel libre n'indique en aucun cas:
que le logiciel est vraiment libre
que le code source si il est vraiment lie corresponde au soft binaire
que le soft soit mieux programme ou fixable plus facilement qu'un autre si n'y a pas de programmeur dans la boite pour s'en occuper
bref le doc est plein d'inepsies du genre qui n'aident en rien a part a guider dans le mur.
On en dira ce qu'on voudra, moi je pense que c'est ce genre de plaie qui renforce les pbs de securite info. Vous voulez un truc securise au jour d'aujourd'hui? Embauchez un ingenieur specialise ou formez vous.
ca reste du patchwork, le design de seccomp étant de stopper la possibilitée de faire des appels système
donc ca "jail" le programme. Super mais il peut plus rien faire le programme. Bref, c'est compliqué, c'est pas clean, c'est pour palier à un système mal conçu à la base: patchwork.
1/ 80% des exploits proviennent de failles bidons (genre "jai laissé ma clée ssh trainer avec un pass bidon")
2/ qui sont transformé en "full exploit" via une faille kernel (100% des kernels ont des failes "instant root")
Singularity palie à ca et au manque de rigueur du code (qui est impossible en C).
Si ca parce que c'est Microsoft, il y a d'autre OS du même type, simplement moins connus.
Singularity contrôle aussi les accès mémoire des applis et appels système.
Pour le contrôle des appels les appels système sous Linux il y a RSBAC/SeLinux/...
Cryptage c'est vraiment moche. Autant encryption je cromprend, même si ca n'est pas correct, mais faut pas pousser :)
Chiffrement sinon c'est effectivement correct
J'aurais posé les questions moi même j'aurais posé les mêmes.
Ben dit donc, ca m'arrive pas souvent de dire ca. Ca fait assez plaisir comme interview.
Je suis plutôt d'accord avec Linus sur le coté cirque de la sécurité, qui est plutôt nauseabon (voir les tweet de vupen en France par exemple)
Par contre je pense qu'il sous-estime le problème général, et l'intérêt de Singularity (et autres). En effet les systèmes actuels sont bien trop faibles niveau sécurité et on ne peut pavoir aucune vrai confiance dans son PC. Ca n'est pas normal ni perein. Singularity (et autres) changent la donne.
Tout à fait. HSTS est une "solution" intermédiaire vu qu'on ne peut pas ré-écrire HTTP.
C'est mieux que sans, de très très loin mais c'est pas parfait non plus. En general on utilisarais le DNS pour specifier que le site est HTTPS-only en fourrant ca dans un champs à la con style TXT ou un tout neuf (comme SSH ;-) avec sa fingerprint pour faire un "meilleur patch", mais c'est compliqué a implementer pour les admins (pas pour les dévs) donc ca serait très peut utilisé.
D'ou HSTS en compromis.
il est vrai qu'apache utilise plus de ram pour la même tâche en prefork en tout cas, j'ai pas fait attention s'il y avait une different en event, pour la raison qu'en event, apache est pas tres loin de nginx en statique ou php/fcgi (mais dans ce cas la autant utiliser nginx..) et en mod_php, c'est stable uniquement sur certain sites qui n'utilisent pas de lib non thread-safe (c'est pas la faute de apache, et c'est pour ca que y a pas de "modphp nginx" mais bon ca change rien au resultat)
A noter quand même que bien que nginx soit plus rapide que par ex Apache en fichiers statiques, il est plus lent que apache prefork+mod_php (nginx+fcgi+php-fpm) et encore plus que apache event+mod_php/thread safe (pas super stable ca par contre)
c'est pour ca que en general ca fini en apache prefork+mod_php avec nginx en reverse caching proxy devant chez les gens "serieux" niveau perf
moi ce que je veut c un wm "normal" qui fait aussi "tiling" quand je veut.
Alors par ex, KDE4 a une option tiling. Bon, l'intention est bonne, mais leur tiling marche pas bien du tout ;-)
Mais bref, un desktop style KDE, Gnome ou XFCE avec un mode tiling configurable (on/off / par desktop etc) ca serait le plus utilisable selon moi. Ca evite aussi d'avoir des pbs avec les programmes type Gimp, on les fait tourner dans un desktop non-tiling pi vala..
A noter que RSBAC (rsbac.org) permet d'assigner ou non ces capabilities (capsicum, android ou "stock linux") par programe, role, utilisateur plutot que de modifier dans l'appli.
Evidement c'est legerement moins flexible puisque tout toute l'appli perd la capability par exemple, mais c'et aussi beaucoup plus simple à utiliser en tant qu'utilisateur et non programmeur.
Il y a aussi rsbac_jail qui permet de faire le même genre de choses sans capsicum, cad sans les capabilities additionelles, mais on peut preciser si on veut que l'app qui tourne ai accès au reseau ou non, au sockets unix, syslog, etc etc.
Typique:
rsbac_jail <-flag pour socket unix -flag pour ipv4 -flag pour avoir le droit de binder sur telle ip, -flag pour telle capability -flag pour tel autre droit, ... > monservice
Petites precisions diverses et variées:
- chroot n'est pas considéré comme un élement de sécurité même s'il est souvent utilisé pour ca...
- SELinux ne "ralenti" les perfs que de 7% ou moins (mais 10+7 ca fait 17% d'un coup, ca fait beaucoup)
- Il est possible d'écrire du code SELinux pour les applications sans recoder grand chose évidement
- C'est aussi possible via d'autres mecanismes "MAC" par ex RSBAC (rsbac.org) ou AppArmor (et sans doute d'autres)
- RSBAC permet même d'appeler les programmes via rsbac_jail (via le code ou externe) pour réaliser ce type même de sandboxes
En même temps une image de fond pour taper du texte, c'est rigolo mais c'est pas pratique... j'aime bien voir ce que j'écris. Je comprend que ca ne soit pas très haut sur leur liste de choses à ajouter ;-)
D'ailleurs, je met VIM en plein écran et ca ressemble à FocusWriter finalement. Je pense que FocusWriter est un peu trop épuré. Il serait plus interessant d'avoir un openoffice.. pardon libreoffice super-light (l'application "word" de la suite évidement)
Et donc de toujours pouvoir faire des tables, ajouter des images, sauver en ODF, avoir des feuilles de style.. bref des trucs qu'on peut pas faire en VIM (ou autre editeur text-only)
Sauf que c'est pas une question de vitesse, a priori ca copie aussi vite en python
C'est une question d'être léger et tourner partout, une vraie contribution quoi, pas un outil qui sera perdu et oublié aussi vite qu'il à été crée :(
Linux ne tourne pas que sur des desktop ubuntu typiques hein. En fait c'est même pas la majoritée. Et python ca prend de la place et de la ram mine de rien. Bref.
ouais vivement un server web modulaire en php ! ;)
moi je pense que c'est surtout les gens qui ne savent pas trop coder en C et qui privilegient les languages haut niveau pour tout et n'importe quoi. La nouvelle génération quoi :p
Comme on dit c'est juste la question de choisir le bon outil pour la tâche, pas d'utiliser le language qui à l'air le plus cool à un moment donné (ou autre raison superficielle du même type)
# Test HTML5 vs libre
Posté par bilboa . En réponse à la dépêche Navigateurs Web : tests Acid 3 et HTML 5 test. Évalué à 10.
"Par exemple, Firefox ne supportera jamais les codecs H264, Mpeg4, MP3 ou AAC pour la simple et bonne raison qu’ils ne sont pas libres.
D’ailleurs, ceux-ci ne font pas du tout partie de HTML5.
Et pourtant, à cause de ça, Firefox est pénalisé au niveau de la notation."
"The following tests go beyond the requirements of the HTML5 specification and are not counted towards the total score. If a browser supports one or more audio codecs, one bonus point is awarded for each codec. "
Super le test. Jvais mettre +1 pour activex aussi pas de raison de laisser IE à la traine!
# git grep
Posté par bilboa . En réponse à la dépêche ack 1.96 — mieux que grep. Évalué à 1.
git grep > ack > grep
grep pour le grep "generique" vu que ack fait comme git grep et .. heu..ben git grep étant inclus dans git, voila, voila
# beaucoup de nouveautés assez complexes
Posté par bilboa . En réponse à la dépêche OpenSSH 5.9 est disponible. Évalué à 10.
"beaucoup de nouveautés assez complexes"
heu.. merci ;-)
[^] # Re: Cle ssh corrompu ?
Posté par bilboa . En réponse à la dépêche Les serveurs de kernel.org ont été compromis. Évalué à 2.
Sauf que l'attaquant va modifier une des branches que Linus pull, pas linux.git, et une fois dans le code de Linus, ca sera push sur linux.git
C'est quand même pas sorcier.
[^] # Re: Pidgin
Posté par bilboa . En réponse à la dépêche Sortie d’Instantbird 1.0. Évalué à 4.
moi j'aime bien le gtk en C :)
ceci dit instant bird par ex sous OSX est interessant pour moi. pidgin sous osx est tres mal integré et les alternatives type adium ne me plaisent pas trop (c'est assez buggé / loupe des messages etc surtout connecté depuis plusieur places)
bref, un projet sympa, mais il va falloir quils bossent pas mal pour integrer des plugins sympa et les fonctions les plus attendues cad transfer de fichier et video/voice
# inepsies
Posté par bilboa . En réponse à la dépêche Conseils pour la mise en place d'une politique de sécurité informatique dans les PME/PMI. Évalué à 10.
"Ne téléchargez aucun logiciel sur internet sauf s'il s'agit de logiciels diffusés sous licence Libre ou sous licence Open Source et à partir d'un site de confiance."
Apres ca j'ai arrete de lire ;)
C'est stupide comme recommandation. Le fait qu'il soit indiquer qu'il sagisse d'un logiciel libre n'indique en aucun cas:
bref le doc est plein d'inepsies du genre qui n'aident en rien a part a guider dans le mur.
On en dira ce qu'on voudra, moi je pense que c'est ce genre de plaie qui renforce les pbs de securite info. Vous voulez un truc securise au jour d'aujourd'hui? Embauchez un ingenieur specialise ou formez vous.
[^] # Re: Bonne interview
Posté par bilboa . En réponse à la dépêche Linus Torvalds : l’interview anniversaire des 20 ans du noyau. Évalué à 0.
ca reste du patchwork, le design de seccomp étant de stopper la possibilitée de faire des appels système
donc ca "jail" le programme. Super mais il peut plus rien faire le programme. Bref, c'est compliqué, c'est pas clean, c'est pour palier à un système mal conçu à la base: patchwork.
[^] # Re: Bonne interview
Posté par bilboa . En réponse à la dépêche Linus Torvalds : l’interview anniversaire des 20 ans du noyau. Évalué à 2.
Ben avant de dire n'importe quoi.. :)
1/ 80% des exploits proviennent de failles bidons (genre "jai laissé ma clée ssh trainer avec un pass bidon")
2/ qui sont transformé en "full exploit" via une faille kernel (100% des kernels ont des failes "instant root")
Singularity palie à ca et au manque de rigueur du code (qui est impossible en C).
Si ca parce que c'est Microsoft, il y a d'autre OS du même type, simplement moins connus.
Singularity contrôle aussi les accès mémoire des applis et appels système.
Pour le contrôle des appels les appels système sous Linux il y a RSBAC/SeLinux/...
[^] # Re: Correction
Posté par bilboa . En réponse à la dépêche Install Party Marseille : Natty et chiffrement de données le 14 mai 2011. Évalué à -3.
Cryptage c'est vraiment moche. Autant encryption je cromprend, même si ca n'est pas correct, mais faut pas pousser :)
Chiffrement sinon c'est effectivement correct
C'est LinuxFR pas Voici quand même
# Bonne interview
Posté par bilboa . En réponse à la dépêche Linus Torvalds : l’interview anniversaire des 20 ans du noyau. Évalué à 3.
J'aurais posé les questions moi même j'aurais posé les mêmes.
Ben dit donc, ca m'arrive pas souvent de dire ca. Ca fait assez plaisir comme interview.
Je suis plutôt d'accord avec Linus sur le coté cirque de la sécurité, qui est plutôt nauseabon (voir les tweet de vupen en France par exemple)
Par contre je pense qu'il sous-estime le problème général, et l'intérêt de Singularity (et autres). En effet les systèmes actuels sont bien trop faibles niveau sécurité et on ne peut pavoir aucune vrai confiance dans son PC. Ca n'est pas normal ni perein. Singularity (et autres) changent la donne.
[^] # Re: Un truc que je ne comprends pas ...
Posté par bilboa . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 0.
ben ca reste compat, si tu choppe pas le bon message dns parce-que t'y a pas accès ben pas de sécurité
enfin bref, au final tout ca ca reste du patchwork
# HSTS c'est facile a implémenter
Posté par bilboa . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 1.
Malgrès ses petits défaults il y a un gros bonus à HSTS, ca s'implémente en 2 minutes.
Par exemple pour Wordpress:
/**
* @package HSTS
* @version 1.0
/
/
Plugin Name: HSTS - HTTP Strict Transport Security enforcement plugin
Author: kang@insecure.ws
Version: 1.0
Author URI: https://www.insecure.ws
*/
function hsts_header()
{
isset($_SERVER['HTTPS']) && header('Strict-Transport-Security: max-age=15768000; includeSubDomains');
}
add_action( 'send_headers', 'hsts_header' );
?>
Source: https://www.insecure.ws/2011/04/13/http-strict-transport-security-hsts-for-wp
[^] # Re: Un truc que je ne comprends pas ...
Posté par bilboa . En réponse à la dépêche HTTP Strict Transport Security. Évalué à -1.
Tout à fait. HSTS est une "solution" intermédiaire vu qu'on ne peut pas ré-écrire HTTP.
C'est mieux que sans, de très très loin mais c'est pas parfait non plus. En general on utilisarais le DNS pour specifier que le site est HTTPS-only en fourrant ca dans un champs à la con style TXT ou un tout neuf (comme SSH ;-) avec sa fingerprint pour faire un "meilleur patch", mais c'est compliqué a implementer pour les admins (pas pour les dévs) donc ca serait très peut utilisé.
D'ou HSTS en compromis.
[^] # Re: Et la fermeture du port 80 ?
Posté par bilboa . En réponse à la dépêche HTTP Strict Transport Security. Évalué à -1.
Reponse simple et claire: Non, ca change rien.
Le seul moyen est en fait HSTS
[^] # Re: nginx vs the rest
Posté par bilboa . En réponse à la dépêche On est parti ! nginx 1.0.0 est sorti. Évalué à 2.
il est vrai qu'apache utilise plus de ram pour la même tâche en prefork en tout cas, j'ai pas fait attention s'il y avait une different en event, pour la raison qu'en event, apache est pas tres loin de nginx en statique ou php/fcgi (mais dans ce cas la autant utiliser nginx..) et en mod_php, c'est stable uniquement sur certain sites qui n'utilisent pas de lib non thread-safe (c'est pas la faute de apache, et c'est pour ca que y a pas de "modphp nginx" mais bon ca change rien au resultat)
# nginx vs the rest
Posté par bilboa . En réponse à la dépêche On est parti ! nginx 1.0.0 est sorti. Évalué à 4.
A noter quand même que bien que nginx soit plus rapide que par ex Apache en fichiers statiques, il est plus lent que apache prefork+mod_php (nginx+fcgi+php-fpm) et encore plus que apache event+mod_php/thread safe (pas super stable ca par contre)
c'est pour ca que en general ca fini en apache prefork+mod_php avec nginx en reverse caching proxy devant chez les gens "serieux" niveau perf
# kde+tiling, etc
Posté par bilboa . En réponse à la dépêche WMFS, Window Manager From Scratch. Évalué à 0.
moi ce que je veut c un wm "normal" qui fait aussi "tiling" quand je veut.
Alors par ex, KDE4 a une option tiling. Bon, l'intention est bonne, mais leur tiling marche pas bien du tout ;-)
Mais bref, un desktop style KDE, Gnome ou XFCE avec un mode tiling configurable (on/off / par desktop etc) ca serait le plus utilisable selon moi. Ca evite aussi d'avoir des pbs avec les programmes type Gimp, on les fait tourner dans un desktop non-tiling pi vala..
[^] # Re: 01/04
Posté par bilboa . En réponse à la dépêche Android abandonne le noyau Linux. Évalué à 2.
idem. et en plus tu sais jamais quand c'est une vrai news (enfin celle la ca va je sais ;)
[^] # Re: Restreindre les droits utilisateurs ou avoir un utilisateur avec certains droits admins?
Posté par bilboa . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à 0.
A noter que RSBAC (rsbac.org) permet d'assigner ou non ces capabilities (capsicum, android ou "stock linux") par programe, role, utilisateur plutot que de modifier dans l'appli.
Evidement c'est legerement moins flexible puisque tout toute l'appli perd la capability par exemple, mais c'et aussi beaucoup plus simple à utiliser en tant qu'utilisateur et non programmeur.
Il y a aussi rsbac_jail qui permet de faire le même genre de choses sans capsicum, cad sans les capabilities additionelles, mais on peut preciser si on veut que l'app qui tourne ai accès au reseau ou non, au sockets unix, syslog, etc etc.
Typique:
rsbac_jail <-flag pour socket unix -flag pour ipv4 -flag pour avoir le droit de binder sur telle ip, -flag pour telle capability -flag pour tel autre droit, ... > monservice
[^] # Re: Relativisons
Posté par bilboa . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à 2.
# Relativisont
Posté par bilboa . En réponse à la dépêche Capsicum, une séparation fine des privilèges pour UNIX. Évalué à 3.
Petites precisions diverses et variées: - chroot n'est pas considéré comme un élement de sécurité même s'il est souvent utilisé pour ca... - SELinux ne "ralenti" les perfs que de 7% ou moins (mais 10+7 ca fait 17% d'un coup, ca fait beaucoup) - Il est possible d'écrire du code SELinux pour les applications sans recoder grand chose évidement - C'est aussi possible via d'autres mecanismes "MAC" par ex RSBAC (rsbac.org) ou AppArmor (et sans doute d'autres) - RSBAC permet même d'appeler les programmes via rsbac_jail (via le code ou externe) pour réaliser ce type même de sandboxes
[^] # Re: Saibo
Posté par bilboa . En réponse à la dépêche Focuswriter, un éditeur de texte sans distractions. Évalué à 1.
D'ailleurs, je met VIM en plein écran et ca ressemble à FocusWriter finalement. Je pense que FocusWriter est un peu trop épuré. Il serait plus interessant d'avoir un openoffice.. pardon libreoffice super-light (l'application "word" de la suite évidement)
Et donc de toujours pouvoir faire des tables, ajouter des images, sauver en ODF, avoir des feuilles de style.. bref des trucs qu'on peut pas faire en VIM (ou autre editeur text-only)
[^] # Re: Meego/Android
Posté par bilboa . En réponse à la dépêche Patch pour le noyau Linux améliorant l'interactivité entre les applications console et Xorg. Évalué à 2.
[^] # Re: rahhhh
Posté par bilboa . En réponse à la dépêche gcp: un outil de copie à la cp. Évalué à 1.
C'est une question d'être léger et tourner partout, une vraie contribution quoi, pas un outil qui sera perdu et oublié aussi vite qu'il à été crée :(
Linux ne tourne pas que sur des desktop ubuntu typiques hein. En fait c'est même pas la majoritée. Et python ca prend de la place et de la ram mine de rien. Bref.
[^] # Re: J'y crois pas.
Posté par bilboa . En réponse à la dépêche Un nouveau serveur httpd : Ashd, A Sane HTTP Daemon. Évalué à 2.
moi je pense que c'est surtout les gens qui ne savent pas trop coder en C et qui privilegient les languages haut niveau pour tout et n'importe quoi. La nouvelle génération quoi :p
Comme on dit c'est juste la question de choisir le bon outil pour la tâche, pas d'utiliser le language qui à l'air le plus cool à un moment donné (ou autre raison superficielle du même type)