Cédric Foll a écrit 158 commentaires

De quelle ML tu parles ?
Celle de comp.lang.ruby a un débit qui monte en fleche.
En fait ce n'est pas parce qu'une ML n'est pas trop fréquenté qu'il en sera de même pour un newsgroup. Perso le ML m'agacent un peu (sauf celle modérées).

Pour ma part je suis à fond pour un newsgroup Ruby !!!

Quelle est est son opinion sur les deux concurents directs (ie Perl et Ruby) ?
Quelles sont leur forces et leur faiblesses comparées à Python. Les bonnes idées à reprendre et les ecueils à éviter ?
La voie que prend ceux ci, Perl avec Parot et une démarche similaire pour Ruby avec une VM sera ette adoptée par Python ?
L'identation comme seule moyen de délimiter les blocs reste elle une bonne idée avec le recul ?

On peut égalemant citer compartment http://packages.debian.org/testing/admin/compartment.html(...) (je ne connais pas la pge officiel) qui permet d'éxécuter un logiciel dans une sandbox.
Ou encore subterfugue: http://packages.debian.org/testing/utils/subterfugue.html.(...)

Ces deux outils permettent l'utilisation de sandbox sans avoir à patcher le noyau.

Pour les programmeurs d'appli web désirant écrire un code sure (autant que faire ce peut) voici quelques liens:
How-to sur le développement d'applis dans une optique de sécurité: http://www.ibiblio.org/pub/Linux/docs/HOWTO/Secure-Programs-HOWTO(...)
Un article sur le dvl d'appli cgi parrut dans linux mag: http://www.linuxfocus.org/Francais/November2001/article203.shtml(...)
Les vulnérabilité spécifiques aux applis web PHP: http://www.securereality.com.au/archives/studyinscarlet-french.txt(...)

Qq un ici utilise Lua ? C'est un langage dont je n'avais presque jamais entendu parler.
C'est utilisé pour quoi exactement ? (gui comme tcl et ruby, admin syst et réseau comme perl & ruby, dvl objet comme python et ruby ?).
Je sais je suis un peux partial, mais j'apprécie tout particulierement Ruby ;-).
Néanmoins les témoignages sur l'utilisation de lua sont les biens venus.

Dans le même genre (mais fictif) : http://ouah.sysdoor.net/meinel.html(...)
C'est parru dans le magazine "Pour la science".
C'est le récit fictil d'un piratage d'une entreprise. C'est très didactique et compréensible pour le non initié, amusant pour les personnes un peu plus férues de sécu info (genre lecteur de MISC ;-)).
Par contre le mépris récurent dont est objet le perso du pirate est un peu agaçant:
"Imbu de ses compétences informatiques, Nau attend l'occasion – par exemple, une question naïve – de provoquer une bagarre verbale".
ou encore
"Sur un site du réseau Internet, Nau trouve un scanner de port furtif performant écrit en langage C. Nau doit le compiler, c'est-à-dire le traduire dans le langage de son ordinateur. Cependant, chaque version d'Unix est unique, et Nau n'a jamais étudié la programmation. Il n'en a jamais eu besoin, car tous les logiciels qu'un pirate désire sont en libre-service gratuit sur le réseau Internet."

C'est quand même divertissant.
C'est vrai que la plupart des pirates sont plutôt des script kiddies qui ne comprenent rien à ce qu'ils font mais là je trouve le tont un peu forcé, d'autant plus que les techniques utilisées par le pirtates de la fiction nécessitent certaines connaisances.

Ajoutons que cet éditeur est installé par defaut lorsque l'on installe l'interpéteur Ruby sous Windows.

>rm pwet | touch pwet

Pourquoi utiliser un pipe ????

plutot faire

rm pwet;touch pwet

J'imagine que c'est parce que personne ne participant au projet n'a envie d'écrire du code PHP. Tu peux t'y mettre si tu veux. Toute contribution est la bien venue.

Oui, exacte (mais bon comme main est une instance de classe et que toute classe hérite d'Object à un moment ou un autre on ajoute au final une méthode à main):

$cat > test.rb
def hello
puts "hello"
end
p self.private_methods.grep "hello" #self c'est "main"
p Object.private_methods.grep "hello"
^D
$ruby test.rb
["hello"]
["hello"]

On a raison tout les deux. (je suis limite de mauvaise foi je sais ...)

Voici un projet intéressant auquel je participe: http://pleac.sourceforge.net/.(...)
Ce projet a pour but de traduire le livre "Perl Cookbook" ("Perl en action" dans sa version française) dans différents langages de programmation.
Pour ce qui ne connaissent pas ce livre, il s'agit d'un recueil de recettes (comment faire tel ou tel truc en Perl ?).
Le but de site est de traduire les recettes Perl dans différents langages de programmations (Python, Ruby, guile, ...).
Environs 40% des recettes ont été trdauites en Ruby, il reste du boulot pour les amateurs.

En Ruby on est par défaut dans la classe 'main', les "fonctions" sont en fait des méthodes de cette classe. De même les "variables" sont les attributs de cette classe "main".
En Python (moins propre) les fonctions sont des instances d'une classe fonction. Cette classe surcharge l'opérateur ().

Quand on fait en Python fun(var), on fait en fait fun.()(var) (fun est une instance de classe fonction, on appelle la méthode () en lui passant var en parametre). (enfin c'est ce que j'ai compris, je ne maitrise pas particulierement ce langage).

Quand on fait en Ruby fun(var), on fait en fait main.fun(var).

Peut être que tout ce qu'il avait chez lui c un pc sous linux.

"Comment ? t'as pas Windows ??? En taule !"

Pour ceux que les bench amusent, je me permet d'ajouter cette page qui propose des benchmarks (charge cpu et mémoire) sur pleins de langages (c (gcc), java, ocaml, ruby, perl, ...) pour pleins de taches (gestion exeptions, threads, arithmétique entiere, flotante, recursivité, expressions régulières....)
Lecture plus que recommandée.

http://www.bagley.org/~doug/shootout/(...)

Voici mon post:

J'ai apris que vous saissiez de diffuser en real audio et quick time au profit d'un format microsoft.
Ce nouveau format est inutilisable sur la majorité des Unix personnels (en particulier linux). Une telle démarche de votre part empeche les utilisateurs de logiciel libres (GNU/linux, BSD) d'accéder à vos émissions et renforce le monopole de Microsoft.
On est en droit d'attendre autre chose du service publique.

Cordialement

envoyé sur http://www.radiofrance.fr/services/contact/(...)

C'est claire que l'article sur la sécu est des plus succints. Les curieux dans ce domaine peuvent se jeter sur MISC et sur le HS de linux mag sur le firewall.

C'est d'autant plus impressionnant que les japonais ont tendance à ne pas trop être pro-Linux voire de tomber très facilement dans les pièges du marketing...

Et Ruby alors ?
Cet excellent langage a vu le jour au Japon grace à Matz, l'appotre du logiciel libre dans le pays du soleil levant.
cf www.ruby-lang.org

Ce magazine est vraiment (et de très loin) ce qui se fait de mieux dans le domaine de la sécurité informatique.
Alors jetez vous deçu !

S'il ai aussi bien que les deux derniers (le premier qui était un HS de linuxmag) il faut se jeter dessus.
Par contre au Quebec il y a un peu de retard, le premier (le HS sorti en juillet dernier) est sorti la semaine dernière !!!
En outre le dernier linux magazine ditribué est celui de décembre !!! (alors que login, micro dingo, et Hacker Voicez sont correctement distribués)
C'est quoi ce bordel ???

Peut être mais je l'avais raté la première fois et je suis ravi de découvrir ces deux prog (celui d'ibm et realtimebattle).

Bon je suis rassuré alors

Ben moi je laisse pas passer ;-)

ICAT nous dit (en faite la bd CVE)
au cours de la dernière année:
FW-1:
-Buffer overflow remote sur la page d'admin (pas trop grave, peut d'IP doivent pouvoir y accéder)
-DoS (CPU 100%) en foodant port 264 (grave)
-DoS (CPU 100%+log énorme) dans certains cas avec des ip spoofés

PIX:
-Denis de service via un flood sur le serveur d'auth
-IP disclosure des serveur FTP
-Pb avec SMTP

IPTable:
-prob avec le module ftp qui permet une fois un serveur ftp à l'interieur du réseau de compromis de faire ce que l'on veut (très grave)
-le pb avec irc

Donc tous on autant de pb visiblement.
Mais l'avantage du libre: si il y a un pb tout le monde le sait tout de suite (pas juste les services secrets israéliens pour FW-1 ou la NSA pour Cisco), et je ne parle pas des éventuelles Back-Doors...
Tout est fait dans la TRANSPARENCE avec le libre.

Honnetement, c'était de la pure provoc ou tu crois vraiment à ce que tu dis ???

Malheuresement ça ne se passe pas toujour aussi bien:

voici ce qui m'est arrivé un jour:
j'étais stagiaire webmaster. J'avais moi même mon site, et il référençait toutes les pages à partir desquelles on était venu sur ma page (pour savoir qui me référençait).
Un matin je tombe sur un nouveau lien, je regarde ce à quoi il mène et je me retrouve sur une page d'admin d'un site d'annuaire de pages (comme yahoo), en fait cette page listait les pages allant être placées sur l'annuaire après modération. Je parcour les liens proposés de cette page d'admin et me retrouve avec la possibilité de faire tous les trucs des admins (consulter fiches clients, ajouter/retirer des sites, ...).
Sympa, je ne fais rien et envoie un mail au webmaster pour le prévenir du problème (je dois avouer que mon mail était quelque peu moqueur) lui expliquant même comment remédier au problème (avec des fichiers .htaccess sous apache), je signe, j'envoie.
10 min plus tard une secrétaire vient dans mon bureau, le directeur de mon département (école d'ingé) veut me parler c'est super urgent.
Je l'appèlle et il m'apprend super flippé que la boite avait appelé et voulait porter plainte contre moi et contre mon école et que je dois appeler tout de suite le pdg de la boite (j'avais signé mon mail Cédric Foll, étudiant à ... tout ça).
J'ai franchement flippé, je ne connaissais pas encore grand chose à l'informatique (et en particulier au domaine de la sécurité), j'avais pas vraiment l'impression d'avoir fait un truc grave et on voulait porter plainte contre moi (aujourd'hui une telle annonce me ferais plutôt marrer (je bosse maintenant dans la sécu) mais à l'époque je savais pas à quel point porter plainte pour ça serait ridicule).
Donc j'appèle le PDG de la boite, le mec se calme je lui explique bien ce qui s'est passé. Finalement il m'a demandé de lui envoyer un mail expliquant que je ne divulguerais pas les infos que j'avais pu voir tout ça... (comme ça m'apparait crétin aujourd'hui ;-)) et que j'explique à leur admin réseau comment interdir l'accès à certaines pages (et qu'il ne suffit pas d'avoir une url compliquée référencée nul part pour que personne n'aille dessus).

Cette boite est une start-up toujours debout et j'ai failli faire mon stage suivant chez eux.

Depuis, il est hors de question pour moi d'informer l'admin quand je trouve qq chose qui cloche sur un site et de toute façon je cherche surtout pas à découvrire quelque chôse de travers(sauf quand je fais un test d'intrusion, of course)

Moralité faut pas qu'une annonce comme celle du site du Time incite les petis jeunes à faire les cons. Tout le monde est pas sympa (ni dans mon cas compétent.)

Non,

c'est une factorisation.
N=p*q (parce que l'on bosse sur RSA)

Le résultat retourné (i) est égal soit à p soit à q.

On pourra aussi citer la «science du secret» de Jacques Stern.
C'est pas pour le développeur, juste pour le curier, c'est bien expliqué didactique, pas si compliqué que ça mathématiquement (niveau math sup bio ;-)).
Et écrit par une star de la crypto qui est aussi directeur du labo d'informatique d'Ulm.