Stéphane Bortzmeyer a écrit 655 commentaires

Non, article "content-free" et complètement pipeau. Les "several cybersecurity experts" se réduisent à uniquement ce cinglé de McAffee.

Exact, c'est bien ça. Merci.

Rhaaa, je suis nul en maths. Il fallait évidemment lire « 1/48 des résolveurs » et pas 1/48 % !

« Pour toucher la totalité des clients ne faudrait-t-il pas que l'attaque dure autant de temps que le TTL de l'enregistrement DNS » Non. Prenons l'exemple de .fr. Le TTL de l'ensemble d'enregistrements NS est de 48 h. Mais les requêtes arrivent en permanence. Si la racine est en panne et que, par malchance, votre résolveur avait mis en cache l'information il y a 47 h et 59 m, vous allez avoir un problème.

En cas de panne de la racine, si elle dure une heure, 1/48 % des résolveurs auront un problème avec .fr. Si la panne dure trois heures, ce sera 3/48 %.

Et c'est pire pour les TLD rares et peu utilisés, qui ne sont pas souvent dans le cache.

« Des attaques DDOS sur les serveurs DNS d'un service sont-t-elles réellement courantes ? » Non. Mais pas forcément parce qu'elles sont inefficaces. Les attaquants ne sont pas des dieux et n'utilisent pas forcément toutes les méthodes.

Il y a des dizaines d'ingénieurs très pointus qui travaillent sur les serveurs racine et je ne sais pas combien de millions de dollars sont dépensés, alors qu'il suffisait de lire LinuxFr, où on apprend que « c'est tellement simple de limiter la casse » :-)

Autrement, l'algorithme est mauvais, pour les raisons expliquées par Gérald.

Non, par un SERVFAIL. NXDOMAIN est seulement quand on a reçu une réponse de la racine (« ce TLD n'existe pas »). La différence est d'autant plus importante que NXDOMAIN, lui, est gardé dans le cache.

Argh, tout à fait exact. Mais pourquoi on ne peut pas corriger ses propres contenus, sur LinuxFr ? :-(

Euh, non, ce n'est pas limité aux personnels de l'enseignement et de la recherche, je suis dans le privé depuis pas mal de temps et j'y vais.

« Gratuitement et de manière ouverte » ? CAcert fait juste cela depuis des années…

Pur FUD et baratin journalistique habituel. Le nom république-numérique.fr a été réservé bien après le lancement de la consultation.

La différence vient d'une mauvaise transformation par LinuxFr, on dirait http://linuxfr.org/news/les-premiers-noms-de-domaine-de-la-nouvelle-serie-sont-actifs#comment-1495759

Euh, il ne faut pas se limiter au point de vue franco-français : les noms de domaine en Unicode sont utilisés depuis dix ans par des tas de chinois ou d'arabes et les bogues ont donc eu le temps d'être trouvées. Même en France, pour une récente campagne de promotion, l'AFNIC avait un site réussir-en.fr, seul le nom Unicode avait été publié et personne n'a signalé de problème.

Je savais bien que sur LinuxFr, on aurait des remarques constructives et de haut niveau :-)

Beaucoup de gens ont trouvé que Marianne en haut d'un immeuble à regarder la rue, ça faisait plutôt penser à Assassin's Creeds.

Au passage, les données des contrats ne sont pas dans la blockchain, avec Ethereum.

L'exemple le plus évident est celui d'un système d'enregistrement de noms unique (pour remplacer les fournisseur d'identité centralisés comme Twitter, ou pour remplacer les noms de domaine).

Oui, mais ce n'est pas trop grave en pratique car on ne va pas exécuter du calcul de vidéo 3D sur Ethereum. La plupart des contrats sont algorithmiquement très simples (il le faut, pour qu'on puisse les auditer avant d'interagir avec eux), genre "stocke ce nom et récupère le à la demande" (un Namecoin-like en Ethereum).

La seule solution (à part auditer, non pas le source du contrat, mais son code machine, solution réservée aux allumés vraiment chauds) est de compiler soi-même et de comparer avec le code dans la blockchain. Délicat car un changement de version du compilateur peut faire échouer la vérification.

Je ne surprendrais pas les lecteurs de LinuxFr (que je suppose acquis aux principes du logiciel libre) en leur disant que, personnellement, je n'enverrais pas d'ethers à un contrat dont le source n'est pas disponible.

Tout à fait.

C'est au contraire le grand nombre de mineurs qui est la garantie. S'il n'y en avait que deux ou trois, ils pourraient s'arranger entre eux pour tricher sur le résultat (une version proche de celle de l'attaque des 51 %).

Un salaud, en tout cas.

Je suppose qu'il faisait allusion à ce problème.

« Le Bt utilise des failles législatives, mais elles risquent d'être comblées rapidement. » Ça, c'est la légende de « l'Internet, zone de non-droit ». C'est une énormité juridique puisque, dans un état de droit, il n'y a jamais de vide juridique : tout ce qui n'est pas interdit est autorisé. Le Bitcoin est donc autorisé. Évidemment, comme il dérange pas mal l'État, les politiciens classiques férus de contrôle et les banques, il sera peut-être interdit un jour mais ce n'est pas le cas actuellement. (Même la Banque de France, dans son communiqué de FUD sur Bitcoin, n'a pas osé dire qu'il était illégal.)

Quand à la fascination qu'il suscite (et Ethereum, sujet de ce journal, est encore plus intéressant), j'y vois deux raisons :

1. Une raison technique. Bitcoin résoud de manière élégante un problème que beaucoup de gens considéraient insoluble (le consensus réparti). Tous les passionnés d'informatique sont donc intéressés par le Bitcoin.
2. Une raison plus politique. Si on pense que les politiciens professionnels sont honnêtes, sincères, et agissent pour le bien commun, si on pense que les banques sont des organismes charitables qui agissent toujours pour le bien de l'humanité, alors, effectivement, on n'a pas de raison de s'intéresser aux alternatives. Mais si on est sceptique sur ces deux points, alors on regarde les technologies qui permettraient de mettre en œuvre d'autres politiques et, là, un mécanisme de monnaie pair-à-pair (Bitcoin), ou a fortiori un mécanisme général de consensus réparti (Ethereum) sont certainement des outils intéressants.

Non, l'exécution du code se fait sur tous les mineurs. Ils ne pourraient pas signer le résultat sinon, puisqu'ils ne pourraient pas garantir qu'il s'agit d'un résultat de ce contrat.

Non, on ne connait pas. Évidemment, si j'installe un Raspberry Pi chez ma maman, que je m'y connecte en SSH et que je lance gcc, j'exécute du code à distance. Mais cela reste centralisé : une entité (moi) gère tout et le reste du monde ne peut rien vérifier.

Ethereum est une plate-forme d'exécution répartie. Le calcul est fait sur tous les mineurs et les résultats sont visibles. Avant Ethereum, il n'existait aucun système équivalent.