alors rien du tout.
Je rappelais juste que les gens qui répondait "ca n'apporte rien" ce n'était pas forcément par pure méchanceté ou parce qu'ils refusent le changement, mais à cause d'une certaine (mauvaise?) expérience.
Ce genre de commentaire "à chaud" est quasi systématique.
enfin en même temps, pour 1 innovation, il y a 50 recopie de ce qu'on peut effectivement déjà faire avec l'existant sans travail supplémentaire.
Donc à la fin, pour certains, ça devient une habitude de répondre ça ;)
Qui a parle de calculette jettable?
Oh je sais pas, c'était juste le fil.
Comme par exemple
Posté par thedude (envoyer un message privé) le 11/02/2009 à 00:03. (lien). Évalué à 1.
Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.
(début du threads...)
Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).
No comment...
Bon le reste de tes commentaires étant du GROS n'importe quoi .
Je répondrais toutefois à Désolé je ne l'ai pas vu.
...
Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit: http://linuxfr.org/comments/1006933.html#1006933
Donc tu peux m'indiquer où dans je te cite vu que tu me traite comme une merde en affirmant que tu m'a dis que les clients avait accés aux sources
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Alors , monsieur qui sait tout, se permet de traiter les autres comme de la merde, de jamais lire leur commentaires, de les accuser de tout et n'importe quoi, et surtout de rien de concret Où est indiqué que les clients ont accés aux sources
Ah oui, nulle part. Merci d'avoir joué. Maintenant retourne à ton bac à sable et apprend à discuter et argumenter.
Oui j'en ai marre d'avoir une discussion qui sert à rien, qui emmerde tout le monde, avec une personne qui crois tout savoir, et se permet des remarques insultantes, tout simplement parce que elle(la personne) es trop con (oui je le dis) pour reconnaître ses erreurs!
Désolé mais tant de mauvaise foi, ca sert à rien de rester poli, vu que 1°) toi tu ne l'es pas resté, 2°) de toute façon tu comprend pas les propos des autres., 3°) tu sais pas lire le français, 4°) tu déforme les propos des autres (à rapprocher avec 3).
Bref , comme tu dis Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro... [le coup du c'est fiable parce que le client rale pas, je vois difficilement comment on peut l'appeler autrement]
Tu es siderant.
Hautain, pedant, imbu.
Ou est ce que j'ai dit que c'etait nouvellement concu?
Oh je sais pas, on indiquait qu'on parlait de calculette jetable qu'on pouvait distribuer aux client (pas qu'on aurait pu il y a 15 ans)
tu as dis Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
(tu constateras que tu as employé le présent et pas le passé...)
La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
Et en 15 ans, ils ont jamais fait de nouveau produit ?
Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
et qu'il a été promu AES en 2002 (donc il y a 6-7 ans). Comment ca tu savais pas?
Je peux pas deviner si tu t'amuse à mettre en erreur les gens (quand on parle de "calculette jetable" pour des clients actuels, on parle pas de produits vieux d'il y a 15 ans).
De plus j'ai indiqué que je pouvais très bien comprendre la réutilisation de bloc déjà prouvé, mais comme tu n'en as pas parlé...
Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.
Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.
uelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.
Que des gens compétents travaillent sur ce produit je n'en doute pas un seul instant.
Qu'il soient totalement indépendants de l'équipe de dev, pour l'instant je n'ai pas vu passé l'information.
Qu'ils aient appliqués des procédures connues et reconnues non plus.
Qu'ils aient eu le temps nécessaire pour effectuer l'ensemble des vérifications non plus.
Tu veux donner aucune information et te la jouer "grand maitre qui sait", t'étonnes pas derrière qu'on considère que tu n'en donne pas assez.
Non je vais pas te filer tous les documents parce que je les ait pas.
On(je) demande pas forcément des documents, mais des faits plus concrets que "des gens compétents ce sont penchés dessus" et "les clients ont pas ralé" pour jaugé de la fiabilité d'une solution, désolé.
Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?
Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca,
Tu l'as déjà dit où ?
Parce que désolé je ne l'ai pas vu. Alors ça peut être une erreur de ma part, mais toujours est il que je n'ai pas vu ça.
tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.
C'est sur que si tu es perdu dès que j'ose mettre plus que deux idées techniques dans un post, normal que tu crois que c'est pour faire bien.
Parce que toi t'es un super expert,
Non, et d'ailleurs je l'ai jamais dis ou laissé entendre
Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
Et pour ça, désolé, pas besoin d'être un super expert pour savoir qu'une preuve de sécurité comme ça est RISIBLE!
tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.
Je ne recherche pas ce genre de postes (parce que je n'ai pas du tout les qualifs), et on ne m'en propose pas plus.
Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes.
Si tu aime donc rappeler mon CV, il faut etre correct et TOUT rappeler, je finis dans une boite de merde pour faire une THESE sur de la VIDEO. La boite étant de merde, ne me laisse pas faire ma thèse (ni mon directeur de thèse) dans de bonne conditions.
En ce qui concerne le prudh'omme, c'est une affaire entre mon employeur et moi, et je vois pas trop en quoi ça a voir avec mes qualification professionnels ou encore mes capacités de raisonnement.
Etonnant pour quelqu'un de ton niveau d'expertise, non?
Le niveau d'expertise, quel qu'il soit, empêche d'être naïf et de croire que quand on professeur d'université propose à quelqu'un une bourse CIFRE et une thèse, c'était effectivement pour faire une thèse ?
Oui, c'est ad hominem, bas et petit,
Oh ca ne me change pas vraiment, après le "imbue pédant hautain",... mais faut pas etaler ta vie privee sur internet
Ca serait plutot ma vie professionnel, mais passons. Tu constateras que je suis "beau joueur", et que j'accepte la responsabilité d'avoir dis ça publiquement. et tres honnetement, tu l'as cherche.
tout ceci est très subjectif, vu que tu as énormément de mal à comprendre mon point de vue (je dirais meme que tu ne veux pas le comprendre).
Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).
Ce que tu n'as pas compris c'est que je ne descend pas les produits en flammes.
ce que je descends en flamme c'est ton argumentation sur leur fiabilité
Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
Par contre je peux parler sur ce que TOI tu en as dis!
Si tu estime que j'en ai dis des conneries à partir de TES informations, pose toi plutot la question de "pourquoi il a pas compris ce que je voulais dire".
Je t'ai dit trois fois que le produit avait ete valide par des gens competents
Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
- des gens compétens
- indépendants
- avec le budget nécessaire
- ainsi que le temps
- suivant une procédure connue et reconnue
ont validé le produit.
je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent,
Désolé je ne l'ai pas vu.
Tout ce que j'ai vu à propos des clients c'est que c'était des banques.
Ensuite errare humanum est, j'ai peut etre pas vu... ou alors tu as peut etre oublié de le mettre (comme je viens de dire errare humanum est).
mais comme t'as visiblement pas etale assez de confiture,
Ca par contre c'est une ad hominem, qui a défaut d'etre pertinent, est fausse.
Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
C'est difficilement de la confiture cela!
bla bla bla, moi je sais moi je sais, moi j'aime me lire sur lfr meme quand j'ai pas la moindre idee de ce dont je parle.
Tu commentes tes propres commentaires ?
tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
Visiblement c'est bien ça.
Ps j'ai pas de problème pour reconnaitre mes erreurs, quand erreur il y a. Mais tu avoueras que dire "tu sais pas. Tu es pédant, suffisant, imbu", niveau argumentation ca s'arrête là.
Je t'indiquerais aussi tes arguments "techniques" dans tous leurs détails.:
- On a fait un 3DES fiable
- C'est fiable parce que le client a pas ralé.
- On a rajouté des trucs proprio sur la chaine, mais la sécurité de la chaine a pas été modifié.
- J'ai travaillé la bas, donc je sais.
- J'ai pas d'arguments donc j'arrête de parler et d'abord tu as tort, Nah! (ah désolé, c'est as technique ça).
Répond moi si j'en ai oublié, et si tu considère donc que c'est "moi" qui sais pas de quoi je parle, ou peut être toi qui t'es mal exprimé (contrairement à toi, je suis poli et laisse le doute. Difficile pour un pédant hautain et imbu, tu le reconnaitras).
Apres tout, j'ai juste bosse la bas sur certains des produits en question.
Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.
Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.
Si les seuls arguments sur la sécurité d'une solution, c'est essayer (de façon maladroite) de faire croire que son interlocuteur ne connais pas, ça renseigne bien sur la sécurité de ladite solution, mais pas d'une façon positive.
T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
Certe je n'ai pas la moindre idée de ce que fait ton produit. Toutefois tu es bien pédant et apporte aucun argument concret. Je me suis donc permis de te rappeler de la position de 3DES dans les algos symétriques actuels. Et le fait que j'ose te rappeler que l'état de l'art tend plutôt à délaisser 3DES (qui n'était qu'une solution de pis aller pour ne pas briser la compatibilité avec les précédents solutions utilisant DES) sur une solution "nouvellement concu" (j'avoue que je vois pas très bien l'intéret de la compatibilité DES sur ta solution, mais tu peux avoir des blocs déja prouvé, ce que je pourrais comprendre, si tu argumentait un minimum).
comme tu dis "Quelle suffisance...".
Tu n'argumente pas. Tu affirmes des choses sans rien derrière (ah si tu le dis, si tu le dis, c'est forcément vrai...).
Et dès qu'on ose te contredire d'un point de vue au moins théorique, tu ne le supporte pas et il faut que tu attaques ton interlocuteur (bien maladroitement).
Mais si au moins c'était avec des arguments concrets comme "l'implémentation a eu la qualif FIPS bidule" ou "un laboratoire indépendant a testé la puce et a trouvé aucune attaque exploitable" .
La non, tu dis "le client nous a rien dis. C'est ma preuve de sécurité".
Et quand on rentre un peu dans le lard, tu dis "de toute façon toi t'y connais rien".
C'est ce type de comportement qu'on appelle de la suffisance! (croire qu'on est supérieur aux autres, et refusé d'argumenter un minimum).
C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier,
Ben vu que "Dieu" dis que c'est valide sans montrer en quoi c'est valide, ca permet aux autres de vérifier ses dires.
Si ensuite tu as plus de choses (labo de certif indépendant, etc...) c'est pas franchement la meme chose (chose que j'avais déjà dites).
Mais si tu étais si sur de ton algo et de sa fiabilité, tu n'aurais pas de problème à le filer au monde entier, vu que tu serais sur qu'il ne risquerais rien.
Alors, les clients en question, c'est des banques.
Ce qui en soit ne veut rien dire.
Je peux te citer une anecdote d'une banque pour générer des clés de CB, qui
avait une procédure très lourde de sécurité physique pour accéder au terminal qui générait la clé, et qui générait des clé de 40 bits sur le terminal parce que quand ils générait lés clés de 700 bits "ça plantait" (le temps d'attente était tellement long qu'ils pensaient que ça plantaient).
Alors certe, la situation à, je l'espère, changé. Mais le role d'un client, même si c'est une banque, ce n'est pas de vérifier la fiabilité/pertinence d'une solution vu qu'ils l'achètent! (et vu les retours que j'ai sur une grosse banque au niveau mondial, ca je peux l'affirmer).
Si le process d'authent' est en cause, devines quoi?
Avant de tomber lors de l'audit sur le process d'authent ca mettre un certain temps. Et les marketeux pourraient très bien dire que non leur produit marche très bien mais que c'est l'intégration qui a pu causer un bug (c'est la faute du client) ou tout autre connerie.
Ne t'inquiète pas, si tu crois que le risque empêche les gens de jouer, tu es vraiment mal renseigné.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
On que l'audit n'a pas trouvé ça comme faille, ou que la banque a utiliser ton processus d'auth en COMPLEMENT d'autres systemes, et que ces systemes soient fiables, ou que l'ensemble des systemes de sécu est fiable.
Enfin ta preuve de sécurité me fait froid dans le dos "le client à pas raler, c'est donc que c'est fiable".
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
Si les infos qu'ils ont ils ne peuvent rien en faire, ce n'est pas complètement con
1°) tu permet à ton client de choisir ta solution en informant que
- il peut auditer lui meme la solution si il en ressent le besoin
- il pourra, si il le souhaite, changer de fournisseur tout en conservant un systeme compatible.
2°) vu que tu affirme que ton système est fiable, les attaquants possibles ne pourront rien trouver.
3°) La communauté des cryptologues et/ou des agences gouvernementales pourront considérer votre implémentation comme une "best practice", vous faisant une pub importante par conséquent/
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
Les sarcasme de quelqu'un qui considère qu'une preuve de sécurité c'est que son client n'as pas encore eu d'attaques sur le produit/ne l'a pas détecté, me font ni froid ni chaud.
t'es lourd a rabacher tes grandes idees theoriques, franchement.
Désolé, mais ces grace à ces théories que tu peux dire que quelque chose est "fiable" ou justement "pas fiable".
L'implem' 3des est fiable. Period.
Dieu nous le dit donc c'est vrai...
puis si tu veux qu'on parte "moins théorique" , ca me gêne pas.
L'implem d'un algo qui a déjà une attaque par le milieu , et qui est moins intéressant point de vue technique qu'un algo conçu from scratch pour utiliser des clés > 60 bits, y'a pas a dire ca à l'air vachement fiable et pérenne ... surtout au niveau des choix de conceptions!
c'est une solution crypto, evite les comparaisons a 2 francs.
la comparaison entre les verifs formels d'un ALGORITHME DE DECOMPRESSION et d'un ALGORITHME DE CHIFFREMENT me semblent pertinentes.
Dans les deux cas, on veux que ca fasse exactement ce que dis l'algorithme, et qu'il n'y ait pas d'effets de bords.
Ensuite si on compare le sérieux, on peut voir que deep life effectue des tests, se met à la conformités de 3 normes (sévères, conditionnant des systèmes de support de vie) dans un systeme mécanique ET éléctronique (redondances des opérations) ET software (notation Z, ...).
Et malgré tous les "risques" (reprise par un concurrent ou autre) donne les éléments sur leur sites.
De l'autre on a une implémentation qu'un Dieu (du nom de thedude par exemple) nous affirme être fiable, sans éléments, sans indications des tests passés, sous prétexte que si il ose donner des éléments, alors ca va aider les méchants (alors que si c'était fiable, donc prouvé, tu aurais du 0-knowledge).
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp.
Donc la façon de transformer le 3DES en OTP ne fait pas partie du processus cryptographique ?
Encore heureux que vous savez faire un algo 3DES "fiable".
Mais tu sais une faille de RSA était par exemple de ne pas regarder la taille du message à chiffrer. Pour certaines tailles (données en entrée . Et oui, ca joue) , les opérations modulaire n'était plus modulaire, et donc on pouvait donner du knowledge.
Comme le dis les fameuses "grande idées théoriques" : "la sécurité d'une chaine cryptographique est la sécurité de son plus faible maillon".
Jusqu'à présent, tout ce que tu as dis c'est "on a un maillon fiable, notre implem de 3DES. Bien entendu on ne donne aucun moyen de vérifier, notre implem est forcément fiable".
Quid des autres maillons ? Inconnu.
Quid de la façon de prouver la fiabilité ? "Je n'ai pas connaissance que ca a été cassé".
Tu m'excuseras, mais ca manque VRAIMENT de sérieux.
L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
Tu as des organismes de vérification indépendant, qui permettent justement d'attribuer un degré de sécurité à des implémentations hard.
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Ca me rapelle windows, qui peu après la sortie de vista disait "c'est fiable, pas de faille publiques". Ils oubliaient juste de dire que les chercheurs de kapersky/norton avait vu des failles pour vista contre 20000$ sur le marché noir.
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Ou les gens qui en ont besoin.
Allez exemple con, dans un tout autre domaine. http://www.deeplife.co.uk/or_models.php
Oh tiens ca alors, ils donnent leurs references pour que ceux qui plongent avec leur matos puisse vérifier, et aient confiance ! Ben tu vois, quand je passerais au rebreather, j'irais chez eux, bizarre hein. Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
autant c'est pas une raison suffisante pour filer toutes les sources aux mechants.
J'ai pas dis toutes les sources non plus ;)
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL. Alors on pourrait dire "quand on vois la qualité des experts, tu me permettras de mettre en doute la qualité d'une quelconque expertise".
auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme
Sauf que le "sel d'obscurité" peut leur faciliter la tache justement.
Comment vérifier l'implémentation si tu la cache ? Tu es sur que les relecteurs que tu as choisis ont eu aucune faille ?
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans, faille qui sera sans nulle doute trouvée par quelqu'un de déterminé disposant d'important moyen (et crois moi, pour attaquer les banques, les mafias ont d'important moyens).
a ce que je sais (je peux me tromper)
les banques sont assuré par exemple lors d'un hold up. Il ne serait pas complètement absurde qu'elles soient aussi assurés par rapport aux fraudes divers et variés dont elles n'y peuvent rien.
Il est sur que si chacune des deux parties ne veulent pas se mettre d'accord, ça se finira de toute façon au tribunal, avec les problèmes que tu as évoqué.
Ensuite le fait qu'une cours de cassation ait établis une jurisprudence peut être tout a fait suffisant lors d'une discussion à l'amiable avec la banque afin de te faire rembourser.
Comme je viens de l'écrire juste au-dessus, un territoire se protège. Et il ne s'agirait pas que son peuple devienne "impur".
La c'est carrément un procés d'intention.
Oui il y a bien du sang dans cette devise. Ou alors "quelques" morts t'auront échappé.
Moi ce qui m'a échappé c'est que TOUS Les pays ont fait des morts. La france bien après la seconde, avec des actes de barbarie d'ailleurs (algérie). Actes que la france a toujours pas assumé complètement, et a beaucoup de mal à assumer ses Harkis.
Mais la devise "liberté, égalité, fraternité" ne te rappelles pas du tout ça pourtant.
Une mémoire sélective...
Et en quoi le fait que ce soit terminé change quoique ce soit ?
Peut être que les choses n'existent plus par définition, si elles sont terminées.
Non il n'y a plus de régime nazi en Allemagne! (je dis pas qu'il n'y a plus de racistes (où que ce soit dans le monde), ca serait bien, mais doucement utopique).
1- La signature évoque la doctrine nazie, pas autre chose.
Oui mais tu trouves que elle évoque le sang etc... Tu oublie toutes les autres idéologies, tels que le communisme (partage des richesses, et donc des connaissances), que l'on retrouve en tant idéologie dans le LLqui peuvent tout autant évoquer le sang d'après ton raisonnement.
Toi tu trouve que c'est d'un gout malsain d'utiliser et de modifier une devise du nazisme, moi je trouve que c'est d'un gout malsain de monter au créneau QUE pour le nazisme, et oublier et ne rien faire pour tous les autres génocides.
Ça la showa on en a entendu parler, reparler, rereparler. Des qu'un juif se fait aggresser on (le gouvernement) agite le spectre de l'antisémitisme.
Mais qu'on parle un peu des autres aussi, merde!
Tu veux qu'on reprenne l'ensemble des propos sur linuxfr et voir ceux qui pourraient se rapprocher d'autres (pseudo)-idéologies (ou ayant sevi de prétexte) fasciste ayant entrainé des morts (dont entre le partage des richesses) ?
que la banque affirme qu'il est suffisamment sur pour que la présomption soit renversée
Il ne suffit pas que la banque l'affirme, il faut qu'elle le prouve!
C'est donc à la banque de prouver qu'il est extremement difficile de faire un paiement frauduleux avec ses méthodes.
ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.
Comme tu dis, ça se débat. Pour l'instant elle reste abusive (vu que contraire à la jurisprudence) et devra donc être testé devant le tribunal ;) (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).
c'est pas tant les context switch qui permettent d'améliorer les perfs (même si ca joue) mais les effets de caches.
Si toutes les données tiennent dans le cache L1 avec un X/4 , alors qu'elles ne tennaient pas avec un X, tu "risque" de passer en super scalaire (que l'augmentation perfs de ton soft par rapport à si il tournait sur un seul core soit supérieur au nombre de cores).
Sauf que, la mienne, de banque, est d'une crétinerie franche, dans l'application de 3D Secure : le code en plus est ma date de naissance... ce que je ne qualifierais pas vraiment d'information personnelle secrète (grave au contraire !)...
Oui la "société géniale" comme tu dis utilise la ddn. MAIS : 1°) ca fait toujours une information personelle à connaitre, 2°) ils ne demandent (jusqu'à présent) pas de signer quoi que ce soit, 3°) c'est beaucoup moins perdu qu'un OTP ou autre.
oui mais le monsieur dis que la jurisprudence considère que c'est pas à l'acheteur d'apporter la preuve, donc qu'il s'agit selon toute vraisemblance d'une clause abusive.
À sa réaction, il m'a semblé que les signatures ne sont pas vérifiées… Donc il faut vraiment pas se faire voler un chèque ou pire, un chèquier.
Oui, jusqu'a un certain plafond les signatures ne sont pas vérifiées (problème tout simplement de volume).
Toutefois, si on te vole ton chéquier et qu'on fait des chèques frauduleux, tu demande simplement copie du chèque (ils sont tenus de le conservé), et tu montres que la signature n'est pas la tienne (sauf si un bon faussaire, dans ce cas). Donc la c'est la banque qui n'a pas fait son travail et tu es intégralement remboursé (et tu peux même essayer un petit geste commercial).
je suis d'accord que c'est suffisant pour emmerder quelqu'un, mais il faut savoir qu'une simple (et fausse) dénonciation anonyme est suffisante pour emmerder quelqu'un!
ah moi je trouve pas.
Je connaissais pas cette expression, j'ai fait un coup de google, j'ai compris, et sa signature m'a bien fait marrer.
Ensuite elle est "explicitement" nazie dans le seul cas qu'elle a été utilisé par les nazie comme devise de leur état. Elle n'implique en soit aucune domination d'aucune sorte.
Ensuite le fait de remplacer fuhrer par penguin montre juste le coté humoristique. Bref, si tu préfère, amha, tu peux lire "Le pengouin dominera le monde! MUWAHAHAHA [rire sadique]"
L'usage de notions qui évoquent la domination,
Un peuple, un empire, un pingouin ca évoque la domination ??? la territorialité,
le terme "France" évoque aussi la territorialité. la nation ou le royaume,
Idem que plus haut
le sang et la descendance fermée est toujours délicat à manier, c'est limite.
La par contre je vois pas du tout ou tu as réussi à voir ça!
Y'a pas de sang, y'a pas de descendance fermé dans cette devise.
Pour terminée, ca fait plus d'un demi siècle que la seconde est terminé. Il serait peut être temps de prendre du recul!
(et puis c'est drole, quand on parle du communisme qui a fait bien plus de mort, de nombreux généocides (cambodge, rwanda pour ne citer que les plus connus)tout le monde s'en fout, mais dés que c'est hitler, ahlalala non faut surtout pas prendre du recul etc...).
C'est je pense suffisant comme preuve,
Quand un radar automatique détecte une activité illégale sur ta *voiture* avec ta *plaque*, et ben je t'assure que d'un point de vue pénal, la preuve n'est absolument pas suffisante.
Je sais pas pour vous, mais je suis impatient de regarder comment marche ce truc!
Ca risque d'etre un foutu merdier si tu dois récupérer toutes les applications sans démarrer (saut dans le temps, ...)
Mais sinon ça existe déjà pour des calculs intensifs : chaque thread de calcul est sauvegardé (sa pile, sa stack, ses registres) en mémoire non volatile. Quand tu as des calculs qui durent 15 semaines, c'est utile de ne pas avoir à recommencer au tout début parce que tu as eu un problème quelconque ;)
[^] # Re: plop
Posté par briaeros007 . En réponse au journal La virtualisation en production. Évalué à 2.
[^] # Re: Tant pis pour les décourageurs...
Posté par briaeros007 . En réponse à la dépêche Autojump : une manière plus rapide de naviguer dans le système de fichiers avec la ligne de commande. Évalué à 2.
Je rappelais juste que les gens qui répondait "ca n'apporte rien" ce n'était pas forcément par pure méchanceté ou parce qu'ils refusent le changement, mais à cause d'une certaine (mauvaise?) expérience.
[^] # Re: Tant pis pour les décourageurs...
Posté par briaeros007 . En réponse à la dépêche Autojump : une manière plus rapide de naviguer dans le système de fichiers avec la ligne de commande. Évalué à 1.
enfin en même temps, pour 1 innovation, il y a 50 recopie de ce qu'on peut effectivement déjà faire avec l'existant sans travail supplémentaire.
Donc à la fin, pour certains, ça devient une habitude de répondre ça ;)
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 4.
Oh je sais pas, c'était juste le fil.
Comme par exemple
Posté par thedude (envoyer un message privé) le 11/02/2009 à 00:03. (lien). Évalué à 1.
Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.
(début du threads...)
Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).
No comment...
Bon le reste de tes commentaires étant du GROS n'importe quoi .
Je répondrais toutefois à
Désolé je ne l'ai pas vu....
Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit:
http://linuxfr.org/comments/1006933.html#1006933
Donc tu peux m'indiquer où dans je te cite vu que tu me traite comme une merde en affirmant que tu m'a dis que les clients avait accés aux sources
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Alors , monsieur qui sait tout, se permet de traiter les autres comme de la merde, de jamais lire leur commentaires, de les accuser de tout et n'importe quoi, et surtout de rien de concret
Où est indiqué que les clients ont accés aux sources
Ah oui, nulle part. Merci d'avoir joué. Maintenant retourne à ton bac à sable et apprend à discuter et argumenter.
Oui j'en ai marre d'avoir une discussion qui sert à rien, qui emmerde tout le monde, avec une personne qui crois tout savoir, et se permet des remarques insultantes, tout simplement parce que elle(la personne) es trop con (oui je le dis) pour reconnaître ses erreurs!
Désolé mais tant de mauvaise foi, ca sert à rien de rester poli, vu que 1°) toi tu ne l'es pas resté, 2°) de toute façon tu comprend pas les propos des autres., 3°) tu sais pas lire le français, 4°) tu déforme les propos des autres (à rapprocher avec 3).
Bref , comme tu dis
Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro... [le coup du c'est fiable parce que le client rale pas, je vois difficilement comment on peut l'appeler autrement]Tu es siderant.
Hautain, pedant, imbu.
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 5.
Oh je sais pas, on indiquait qu'on parlait de calculette jetable qu'on pouvait distribuer aux client (pas qu'on aurait pu il y a 15 ans)
tu as dis
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
(tu constateras que tu as employé le présent et pas le passé...)
La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
Et en 15 ans, ils ont jamais fait de nouveau produit ?
Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
et qu'il a été promu AES en 2002 (donc il y a 6-7 ans).
Comment ca tu savais pas?
Je peux pas deviner si tu t'amuse à mettre en erreur les gens (quand on parle de "calculette jetable" pour des clients actuels, on parle pas de produits vieux d'il y a 15 ans).
De plus j'ai indiqué que je pouvais très bien comprendre la réutilisation de bloc déjà prouvé, mais comme tu n'en as pas parlé...
Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.
Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.
uelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.
Que des gens compétents travaillent sur ce produit je n'en doute pas un seul instant.
Qu'il soient totalement indépendants de l'équipe de dev, pour l'instant je n'ai pas vu passé l'information.
Qu'ils aient appliqués des procédures connues et reconnues non plus.
Qu'ils aient eu le temps nécessaire pour effectuer l'ensemble des vérifications non plus.
Tu veux donner aucune information et te la jouer "grand maitre qui sait", t'étonnes pas derrière qu'on considère que tu n'en donne pas assez.
Non je vais pas te filer tous les documents parce que je les ait pas.
On(je) demande pas forcément des documents, mais des faits plus concrets que "des gens compétents ce sont penchés dessus" et "les clients ont pas ralé" pour jaugé de la fiabilité d'une solution, désolé.
Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?
Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca,
Tu l'as déjà dit où ?
Parce que désolé je ne l'ai pas vu. Alors ça peut être une erreur de ma part, mais toujours est il que je n'ai pas vu ça.
tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.
C'est sur que si tu es perdu dès que j'ose mettre plus que deux idées techniques dans un post, normal que tu crois que c'est pour faire bien.
Parce que toi t'es un super expert,
Non, et d'ailleurs je l'ai jamais dis ou laissé entendre
Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
Et pour ça, désolé, pas besoin d'être un super expert pour savoir qu'une preuve de sécurité comme ça est RISIBLE!
tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.
Je ne recherche pas ce genre de postes (parce que je n'ai pas du tout les qualifs), et on ne m'en propose pas plus.
Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes.
Si tu aime donc rappeler mon CV, il faut etre correct et TOUT rappeler, je finis dans une boite de merde pour faire une THESE sur de la VIDEO. La boite étant de merde, ne me laisse pas faire ma thèse (ni mon directeur de thèse) dans de bonne conditions.
En ce qui concerne le prudh'omme, c'est une affaire entre mon employeur et moi, et je vois pas trop en quoi ça a voir avec mes qualification professionnels ou encore mes capacités de raisonnement.
Etonnant pour quelqu'un de ton niveau d'expertise, non?
Le niveau d'expertise, quel qu'il soit, empêche d'être naïf et de croire que quand on professeur d'université propose à quelqu'un une bourse CIFRE et une thèse, c'était effectivement pour faire une thèse ?
Oui, c'est ad hominem, bas et petit,
Oh ca ne me change pas vraiment, après le "imbue pédant hautain",...
mais faut pas etaler ta vie privee sur internet
Ca serait plutot ma vie professionnel, mais passons. Tu constateras que je suis "beau joueur", et que j'accepte la responsabilité d'avoir dis ça publiquement.
et tres honnetement, tu l'as cherche.
tout ceci est très subjectif, vu que tu as énormément de mal à comprendre mon point de vue (je dirais meme que tu ne veux pas le comprendre).
Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).
Ce que tu n'as pas compris c'est que je ne descend pas les produits en flammes.
ce que je descends en flamme c'est ton argumentation sur leur fiabilité
Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
Par contre je peux parler sur ce que TOI tu en as dis!
Si tu estime que j'en ai dis des conneries à partir de TES informations, pose toi plutot la question de "pourquoi il a pas compris ce que je voulais dire".
Je t'ai dit trois fois que le produit avait ete valide par des gens competents
Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
- des gens compétens
- indépendants
- avec le budget nécessaire
- ainsi que le temps
- suivant une procédure connue et reconnue
ont validé le produit.
je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent,
Désolé je ne l'ai pas vu.
Tout ce que j'ai vu à propos des clients c'est que c'était des banques.
Ensuite errare humanum est, j'ai peut etre pas vu... ou alors tu as peut etre oublié de le mettre (comme je viens de dire errare humanum est).
mais comme t'as visiblement pas etale assez de confiture,
Ca par contre c'est une ad hominem, qui a défaut d'etre pertinent, est fausse.
Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
C'est difficilement de la confiture cela!
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
Tu commentes tes propres commentaires ?
tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
Visiblement c'est bien ça.
Ps j'ai pas de problème pour reconnaitre mes erreurs, quand erreur il y a. Mais tu avoueras que dire "tu sais pas. Tu es pédant, suffisant, imbu", niveau argumentation ca s'arrête là.
Je t'indiquerais aussi tes arguments "techniques" dans tous leurs détails.:
- On a fait un 3DES fiable
- C'est fiable parce que le client a pas ralé.
- On a rajouté des trucs proprio sur la chaine, mais la sécurité de la chaine a pas été modifié.
- J'ai travaillé la bas, donc je sais.
- J'ai pas d'arguments donc j'arrête de parler et d'abord tu as tort, Nah! (ah désolé, c'est as technique ça).
Répond moi si j'en ai oublié, et si tu considère donc que c'est "moi" qui sais pas de quoi je parle, ou peut être toi qui t'es mal exprimé (contrairement à toi, je suis poli et laisse le doute. Difficile pour un pédant hautain et imbu, tu le reconnaitras).
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.
Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.
Si les seuls arguments sur la sécurité d'une solution, c'est essayer (de façon maladroite) de faire croire que son interlocuteur ne connais pas, ça renseigne bien sur la sécurité de ladite solution, mais pas d'une façon positive.
T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
Certe je n'ai pas la moindre idée de ce que fait ton produit. Toutefois tu es bien pédant et apporte aucun argument concret. Je me suis donc permis de te rappeler de la position de 3DES dans les algos symétriques actuels. Et le fait que j'ose te rappeler que l'état de l'art tend plutôt à délaisser 3DES (qui n'était qu'une solution de pis aller pour ne pas briser la compatibilité avec les précédents solutions utilisant DES) sur une solution "nouvellement concu" (j'avoue que je vois pas très bien l'intéret de la compatibilité DES sur ta solution, mais tu peux avoir des blocs déja prouvé, ce que je pourrais comprendre, si tu argumentait un minimum).
comme tu dis "Quelle suffisance...".
Tu n'argumente pas. Tu affirmes des choses sans rien derrière (ah si tu le dis, si tu le dis, c'est forcément vrai...).
Et dès qu'on ose te contredire d'un point de vue au moins théorique, tu ne le supporte pas et il faut que tu attaques ton interlocuteur (bien maladroitement).
Mais si au moins c'était avec des arguments concrets comme "l'implémentation a eu la qualif FIPS bidule" ou "un laboratoire indépendant a testé la puce et a trouvé aucune attaque exploitable" .
La non, tu dis "le client nous a rien dis. C'est ma preuve de sécurité".
Et quand on rentre un peu dans le lard, tu dis "de toute façon toi t'y connais rien".
C'est ce type de comportement qu'on appelle de la suffisance! (croire qu'on est supérieur aux autres, et refusé d'argumenter un minimum).
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
Ben vu que "Dieu" dis que c'est valide sans montrer en quoi c'est valide, ca permet aux autres de vérifier ses dires.
Si ensuite tu as plus de choses (labo de certif indépendant, etc...) c'est pas franchement la meme chose (chose que j'avais déjà dites).
Mais si tu étais si sur de ton algo et de sa fiabilité, tu n'aurais pas de problème à le filer au monde entier, vu que tu serais sur qu'il ne risquerais rien.
Alors, les clients en question, c'est des banques.
Ce qui en soit ne veut rien dire.
Je peux te citer une anecdote d'une banque pour générer des clés de CB, qui
avait une procédure très lourde de sécurité physique pour accéder au terminal qui générait la clé, et qui générait des clé de 40 bits sur le terminal parce que quand ils générait lés clés de 700 bits "ça plantait" (le temps d'attente était tellement long qu'ils pensaient que ça plantaient).
Alors certe, la situation à, je l'espère, changé. Mais le role d'un client, même si c'est une banque, ce n'est pas de vérifier la fiabilité/pertinence d'une solution vu qu'ils l'achètent! (et vu les retours que j'ai sur une grosse banque au niveau mondial, ca je peux l'affirmer).
Si le process d'authent' est en cause, devines quoi?
Avant de tomber lors de l'audit sur le process d'authent ca mettre un certain temps. Et les marketeux pourraient très bien dire que non leur produit marche très bien mais que c'est l'intégration qui a pu causer un bug (c'est la faute du client) ou tout autre connerie.
Ne t'inquiète pas, si tu crois que le risque empêche les gens de jouer, tu es vraiment mal renseigné.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
On que l'audit n'a pas trouvé ça comme faille, ou que la banque a utiliser ton processus d'auth en COMPLEMENT d'autres systemes, et que ces systemes soient fiables, ou que l'ensemble des systemes de sécu est fiable.
Enfin ta preuve de sécurité me fait froid dans le dos "le client à pas raler, c'est donc que c'est fiable".
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
Si les infos qu'ils ont ils ne peuvent rien en faire, ce n'est pas complètement con
1°) tu permet à ton client de choisir ta solution en informant que
- il peut auditer lui meme la solution si il en ressent le besoin
- il pourra, si il le souhaite, changer de fournisseur tout en conservant un systeme compatible.
2°) vu que tu affirme que ton système est fiable, les attaquants possibles ne pourront rien trouver.
3°) La communauté des cryptologues et/ou des agences gouvernementales pourront considérer votre implémentation comme une "best practice", vous faisant une pub importante par conséquent/
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
Les sarcasme de quelqu'un qui considère qu'une preuve de sécurité c'est que son client n'as pas encore eu d'attaques sur le produit/ne l'a pas détecté, me font ni froid ni chaud.
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 4.
Désolé, mais ces grace à ces théories que tu peux dire que quelque chose est "fiable" ou justement "pas fiable".
L'implem' 3des est fiable. Period.
Dieu nous le dit donc c'est vrai...
puis si tu veux qu'on parte "moins théorique" , ca me gêne pas.
L'implem d'un algo qui a déjà une attaque par le milieu , et qui est moins intéressant point de vue technique qu'un algo conçu from scratch pour utiliser des clés > 60 bits, y'a pas a dire ca à l'air vachement fiable et pérenne ... surtout au niveau des choix de conceptions!
c'est une solution crypto, evite les comparaisons a 2 francs.
la comparaison entre les verifs formels d'un ALGORITHME DE DECOMPRESSION et d'un ALGORITHME DE CHIFFREMENT me semblent pertinentes.
Dans les deux cas, on veux que ca fasse exactement ce que dis l'algorithme, et qu'il n'y ait pas d'effets de bords.
Ensuite si on compare le sérieux, on peut voir que deep life effectue des tests, se met à la conformités de 3 normes (sévères, conditionnant des systèmes de support de vie) dans un systeme mécanique ET éléctronique (redondances des opérations) ET software (notation Z, ...).
Et malgré tous les "risques" (reprise par un concurrent ou autre) donne les éléments sur leur sites.
De l'autre on a une implémentation qu'un Dieu (du nom de thedude par exemple) nous affirme être fiable, sans éléments, sans indications des tests passés, sous prétexte que si il ose donner des éléments, alors ca va aider les méchants (alors que si c'était fiable, donc prouvé, tu aurais du 0-knowledge).
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp.
Donc la façon de transformer le 3DES en OTP ne fait pas partie du processus cryptographique ?
Encore heureux que vous savez faire un algo 3DES "fiable".
Mais tu sais une faille de RSA était par exemple de ne pas regarder la taille du message à chiffrer. Pour certaines tailles (données en entrée . Et oui, ca joue) , les opérations modulaire n'était plus modulaire, et donc on pouvait donner du knowledge.
Comme le dis les fameuses "grande idées théoriques" : "la sécurité d'une chaine cryptographique est la sécurité de son plus faible maillon".
Jusqu'à présent, tout ce que tu as dis c'est "on a un maillon fiable, notre implem de 3DES. Bien entendu on ne donne aucun moyen de vérifier, notre implem est forcément fiable".
Quid des autres maillons ? Inconnu.
Quid de la façon de prouver la fiabilité ? "Je n'ai pas connaissance que ca a été cassé".
Tu m'excuseras, mais ca manque VRAIMENT de sérieux.
[^] # Re: distributions spécialisées
Posté par briaeros007 . En réponse au message Quelle configuration et quel OS?. Évalué à 2.
http://www.freenas.org/index.php?option=com_frontpage&It(...)
il fait (entre autre, issu de http://en.wikipedia.org/wiki/FreeNAS )
- Protocols: CIFS (via Samba), FTP, NFS, SSH, rsync, AFP, UPnP, iTunes/DAAP Server and BitTorrent (protocol).
- ipfw FreeBSD IP packet filter and traffic accounting facility.
- rsync server, client and local sync.
pour le partage d'imprimante, je sais pas si il le fait de base, mais bon comme toutes les autres distribs, ça se rajoute.
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
Tu as des organismes de vérification indépendant, qui permettent justement d'attribuer un degré de sécurité à des implémentations hard.
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Ca me rapelle windows, qui peu après la sortie de vista disait "c'est fiable, pas de faille publiques". Ils oubliaient juste de dire que les chercheurs de kapersky/norton avait vu des failles pour vista contre 20000$ sur le marché noir.
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Ou les gens qui en ont besoin.
Allez exemple con, dans un tout autre domaine.
http://www.deeplife.co.uk/or_models.php
Oh tiens ca alors, ils donnent leurs references pour que ceux qui plongent avec leur matos puisse vérifier, et aient confiance ! Ben tu vois, quand je passerais au rebreather, j'irais chez eux, bizarre hein. Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
autant c'est pas une raison suffisante pour filer toutes les sources aux mechants.
J'ai pas dis toutes les sources non plus ;)
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL. Alors on pourrait dire "quand on vois la qualité des experts, tu me permettras de mettre en doute la qualité d'une quelconque expertise".
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
Sauf que le "sel d'obscurité" peut leur faciliter la tache justement.
Comment vérifier l'implémentation si tu la cache ? Tu es sur que les relecteurs que tu as choisis ont eu aucune faille ?
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans, faille qui sera sans nulle doute trouvée par quelqu'un de déterminé disposant d'important moyen (et crois moi, pour attaquer les banques, les mafias ont d'important moyens).
[^] # Re: ce qui est très fort..
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
les banques sont assuré par exemple lors d'un hold up. Il ne serait pas complètement absurde qu'elles soient aussi assurés par rapport aux fraudes divers et variés dont elles n'y peuvent rien.
[^] # Re: C'est pas légal
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 4.
Ensuite le fait qu'une cours de cassation ait établis une jurisprudence peut être tout a fait suffisant lors d'une discussion à l'amiable avec la banque afin de te faire rembourser.
[^] # Re: Encore une fois ...
Posté par briaeros007 . En réponse au journal Un ver s'attaque à la Marine française. Évalué à 5.
La c'est carrément un procés d'intention.
Oui il y a bien du sang dans cette devise. Ou alors "quelques" morts t'auront échappé.
Moi ce qui m'a échappé c'est que TOUS Les pays ont fait des morts. La france bien après la seconde, avec des actes de barbarie d'ailleurs (algérie). Actes que la france a toujours pas assumé complètement, et a beaucoup de mal à assumer ses Harkis.
Mais la devise "liberté, égalité, fraternité" ne te rappelles pas du tout ça pourtant.
Une mémoire sélective...
Et en quoi le fait que ce soit terminé change quoique ce soit ?
Peut être que les choses n'existent plus par définition, si elles sont terminées.
Non il n'y a plus de régime nazi en Allemagne! (je dis pas qu'il n'y a plus de racistes (où que ce soit dans le monde), ca serait bien, mais doucement utopique).
1- La signature évoque la doctrine nazie, pas autre chose.
Oui mais tu trouves que elle évoque le sang etc... Tu oublie toutes les autres idéologies, tels que le communisme (partage des richesses, et donc des connaissances), que l'on retrouve en tant idéologie dans le LLqui peuvent tout autant évoquer le sang d'après ton raisonnement.
Toi tu trouve que c'est d'un gout malsain d'utiliser et de modifier une devise du nazisme, moi je trouve que c'est d'un gout malsain de monter au créneau QUE pour le nazisme, et oublier et ne rien faire pour tous les autres génocides.
Ça la showa on en a entendu parler, reparler, rereparler. Des qu'un juif se fait aggresser on (le gouvernement) agite le spectre de l'antisémitisme.
Mais qu'on parle un peu des autres aussi, merde!
Tu veux qu'on reprenne l'ensemble des propos sur linuxfr et voir ceux qui pourraient se rapprocher d'autres (pseudo)-idéologies (ou ayant sevi de prétexte) fasciste ayant entrainé des morts (dont entre le partage des richesses) ?
[^] # Re: C'est pas légal
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
Il ne suffit pas que la banque l'affirme, il faut qu'elle le prouve!
C'est donc à la banque de prouver qu'il est extremement difficile de faire un paiement frauduleux avec ses méthodes.
ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.
Comme tu dis, ça se débat. Pour l'instant elle reste abusive (vu que contraire à la jurisprudence) et devra donc être testé devant le tribunal ;) (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).
[^] # Re: Où est le problème ?
Posté par briaeros007 . En réponse au journal Le multicoeur va vraiment devenir problématique. Évalué à 3.
Si toutes les données tiennent dans le cache L1 avec un X/4 , alors qu'elles ne tennaient pas avec un X, tu "risque" de passer en super scalaire (que l'augmentation perfs de ton soft par rapport à si il tournait sur un seul core soit supérieur au nombre de cores).
[^] # Re: 3D Secure
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 4.
Oui la "société géniale" comme tu dis utilise la ddn. MAIS : 1°) ca fait toujours une information personelle à connaitre, 2°) ils ne demandent (jusqu'à présent) pas de signer quoi que ce soit, 3°) c'est beaucoup moins perdu qu'un OTP ou autre.
[^] # Re: C'est pas légal
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
[^] # Re: ce qui est très fort..
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 4.
Oui, jusqu'a un certain plafond les signatures ne sont pas vérifiées (problème tout simplement de volume).
Toutefois, si on te vole ton chéquier et qu'on fait des chèques frauduleux, tu demande simplement copie du chèque (ils sont tenus de le conservé), et tu montres que la signature n'est pas la tienne (sauf si un bon faussaire, dans ce cas). Donc la c'est la banque qui n'a pas fait son travail et tu es intégralement remboursé (et tu peux même essayer un petit geste commercial).
[^] # Re: Etudions toutes les possibilités
Posté par briaeros007 . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
[^] # Re: Emmerde supplémentaire pour aucun avantage concrêt.
Posté par briaeros007 . En réponse au journal IPv6 et anonymat. Évalué à 2.
[^] # Re: Encore une fois ...
Posté par briaeros007 . En réponse au journal Un ver s'attaque à la Marine française. Évalué à 4.
Je connaissais pas cette expression, j'ai fait un coup de google, j'ai compris, et sa signature m'a bien fait marrer.
Ensuite elle est "explicitement" nazie dans le seul cas qu'elle a été utilisé par les nazie comme devise de leur état. Elle n'implique en soit aucune domination d'aucune sorte.
Ensuite le fait de remplacer fuhrer par penguin montre juste le coté humoristique. Bref, si tu préfère, amha, tu peux lire "Le pengouin dominera le monde! MUWAHAHAHA [rire sadique]"
L'usage de notions qui évoquent la domination,
Un peuple, un empire, un pingouin ca évoque la domination ???
la territorialité,
le terme "France" évoque aussi la territorialité.
la nation ou le royaume,
Idem que plus haut
le sang et la descendance fermée est toujours délicat à manier, c'est limite.
La par contre je vois pas du tout ou tu as réussi à voir ça!
Y'a pas de sang, y'a pas de descendance fermé dans cette devise.
Pour terminée, ca fait plus d'un demi siècle que la seconde est terminé. Il serait peut être temps de prendre du recul!
(et puis c'est drole, quand on parle du communisme qui a fait bien plus de mort, de nombreux généocides (cambodge, rwanda pour ne citer que les plus connus)tout le monde s'en fout, mais dés que c'est hitler, ahlalala non faut surtout pas prendre du recul etc...).
[^] # Re: Emmerde supplémentaire pour aucun avantage concrêt.
Posté par briaeros007 . En réponse au journal IPv6 et anonymat. Évalué à 2.
Quand un radar automatique détecte une activité illégale sur ta *voiture* avec ta *plaque*, et ben je t'assure que d'un point de vue pénal, la preuve n'est absolument pas suffisante.
[^] # Re: Ajout
Posté par briaeros007 . En réponse au journal Phantom OS: l'OS qui ne s'éteint jamais. Évalué à 2.
Ca risque d'etre un foutu merdier si tu dois récupérer toutes les applications sans démarrer (saut dans le temps, ...)
Mais sinon ça existe déjà pour des calculs intensifs : chaque thread de calcul est sauvegardé (sa pile, sa stack, ses registres) en mémoire non volatile. Quand tu as des calculs qui durent 15 semaines, c'est utile de ne pas avoir à recommencer au tout début parce que tu as eu un problème quelconque ;)