Raphaël SurcouF a écrit 2609 commentaires

Ce qui me navra avec Ubuntu/Mandriva/SuSE/etc c'est qu'ils ne sortiront jamais le meilleur serveur X11 libre disponible mais seulement le meilleur serveur X11 libre disponible ET dont NVidia/etc a accèpter de faire un driver proprio. Il y a ici une dépendance au logiciel propriétaire que je trouve "intolérable".

Il ne faut jamais dire "jamais". Tu sais très bien que les mises à jour seront tout de même disponibles. Elles seront juste un peu retardées.
Après tout, cela devrait permettre aux pro-libres de secouer un peu le dernier X.org afin de s'assurer qu'il n'introduise pas de régression.
Quant au cas d'Ubuntu, de toutes façons, ses mises à jour sont bi-annuelles, on l'aura donc dans 6 mois au pire...

C'est là qu'on voit bien combien de nombreuses fonctionnalités sont non-utilisées (quand elles ne sont pas purement et simplement ignorées) d'OpenOffice.ortg (et même Microsoft Word). En effet, la gestion des versions existe dans OOo et donc, à fortiori avec le format ODS. Pour autant, difficile de faire changer les habitudes des collègues et autres confrères, si bien que la nomenclature incluant la date fait légion au sein des entreprises...

Parce que toi, une fois installée, tu passes sans doute directement à testing ou unstable, auquel cas les versions tu t'en fous ?

On en reparlera si elle met plus de deux ans pour sortir comme pour sarge...

Dommage qu'à cette heure-ci, la plupart des liens donnent soit 404, soit "/usr/local/www/data/phpSysInfo".
Il ne fallait pas jouer avec le serveur web un vendredi soir, loi de Murphy !

<form name="abo" onSubmit="return controleAbonne()" action="https://www.ibpd.alpes.banquepopulaire.fr/htmlcerius/connexion.asp" method="post" autocomplete="OFF" style="margin:0 0 0 0; padding:0 0 0 0">

Ouf ! ;-)

En attendant je préfère aller à un distributeur et dans ma banque pour faire les opérations bancaires malgré leurs horaires vraiment peu pratiques.

Au guichet, on ne m'a jamais demandé de CI ou presque. Il suffit juste de donner le numéro de compte et hop.
Quant aux distributeurs automatiques, t'as déjà entendu parler des petits dispositifs qui ont *déjà* été utilisé pour copier la CB _et_ filmer le moment où l'utilisateur compose le code, le tout enregistré dans le cabas du scooter posé là, "négligement" ?
Copier les CB reste lucratif car il n'y a qu'en France que le code est obligatoire...

Une carte à puce (« intelligente ») avec un lecteur USB ?
Depuis le temps que je me demande pourquoi il n'y en a pas déjà sur tous les PCs...

Bah, si on ne peut plus keylogguer, on enregistrera les requêtes HTTP émises par le navigateur...
Ce n'est qu'une vaine course à l'armement...

Jusqu'au premier virus velu qui changera l'UA...

Et puissque je parle de sécurité, moi y a un truc qui me choc grave sur la page de la caisse d'épargne :
On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!

Pour moi, ça c'est une grosse grosse erreur (peut-être que l'envois des infos est fait en sécurisé par ajax ou un truc du genre, mais on ne le vois pas, c'est très grave à mon avi).

Je me suis posé la même question avec la Banque Populaire de ma région. En effet, il y a la petite boîte de login sur la page de garde (désolé pour les non-voyants et autres handicapés: point de clavier virtuel aidant à la saisie) qui est bien évidemment en HTTP. Une fois que l'on saisit identifiant (au passage, c'est un nombre à huit chiffres qui nous est imposé, donc ils ont été obligé d'empêcher je-ne-sais-comment les navigateurs modernes de l'enregistrer. Pour ma part, j'ai fini par le retenir par c½ur mais je n'ose imaginer les vieilles personnes qui avaient déjà du mal à retenir le code à 4 chiffres de la carte Bleue dont la sécurité laisse à désirer du coup) suivi du mot de passe (qu'on peut heureusement ou bizarrement choisir une fois le premier saisi). À partir de là, tout est en HTTPS mais je me suis posé la même question, à savoir: les données les plus importantes n'ont-elles pas déjà été émises en clair ?

En outre, pour effectuer les virements externes, il y a un nouveau mot de passe qu'on est obligé de retenir et que je trouve sincèrement inutile puisqu'on en a encore une fois le choix, mais bon, passons...

Donc, quid de la session ? HTTP ou HTTPS en entier ?

Oui mais les développeurs du noyau n'ont pas la même politique et ont relégué de facto la gestion des dits patches et autres tests de fiabilités aux distributions. Du coup, en prenant un noyau vanilla même à jour, tu prends certainement beaucoup plus de risques et cela va te demander un travail supplémentaire pour te tenir à jour et au courant.

* Ils délèguent à une société française : ainsi, MS injecte de l'argent (une goutte d'eau pour eux) dans l'économie locale, un des points forts de l'opensource qui marque ici encore des points.

Clever Age a beau être une société française, elle a une filiale implantée en Pologne et vu les noms des principaux développeurs, c'est manifestement délocalisé en Pologne. Encore un coup de ces plombiers !
Tu me diras : au moins, ça reste en Europe...

En effet mais comme tu l'as si bien dit, il ne suffit que d'une fois.
Hors dans le cas d'un tel serveur, je ne comprends pas le choix du noyau. Est-ce là la conséquence du manque de ressources de l'équipe chargée de la sécurité chez Debian ? J'espère que non et qu'il s'agit d'un choix uniquement dicté par le support d'un matériel trop récent pour le 2.6.8 de sarge (et encore, j'en doute, parce que de là à prendre le 2.6.16.8, y a de la marge).

Il faut bien qu'elle achemine ses produits jusqu'à toi, donc elle sous-traite ça à des sociétés qui ont forcément un pied dans l'Hexagone et donc, oui.

Et le plus important est que l'attaquant a réussi à s'introduire dans le système à cause du mot de passe d'un utilisateur visiblement trop facile...

"An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response."

En outre, si le serveur avait été vraiment sous Debian stable, il n'aurait pas été compromis puisque cette faille ne concerne pas le 2.6.8...

Pas plus que La Poste...

En vérifiant les informations auprès de la société.
Les récentes affaires d'escroquerie à l'Assedic prouvent que même le papier n'est pas suffisant sans contrôle de l'émetteur. Il est facile de créer une entreprise, d'embaucher des employés fictifs et, au bout de 6 mois, de les licencier, ce qui leur ouvre le droit aux allocations chomage. Le principe est bien huilé et l'Unédic bien impuissante à contenir voire régler le phénomène...
Pour garantir l'authenticité d'un document papier, il faut qu'il soit daté et signé par un représentant officiel de la société, c'est tout et ce n'est pas le cas des fiches de paies.

Grisbi a été porté sous Windows et même pour Zaurus.

Je lui trouve plutôt un ton ironique, à cet article.
Et puis, il faut se replacer dans le contexte historique. Le mot "pédophile" n'avait sans doute pas le sens aussi péjoratif et criminel qu'aujourd'hui. Après tout, le sens premier de ce nom signifie "qui aime les enfants". Tous les parents sont donc pédophiles. Un parent qui ne le serait pas serait plutôt suspect ou coupable de maltraitance.
Au jour d'aujourd'hui, dans la bouche de tous, un pédophile est un maniaque sexuel qui s'en prend aux enfants. Peut-on pour autant juger les écrits d'hier avec nos pensées d'aujourd'hui sans se référer au contexte d'alors ? Résolument non.
Avant, on ignorait jusqu'à l'existence des pédophiles, des homosexuels, etc. Et pourtant, il suffit d'ouvrir les yeux sur l'Histoire des Hommes pour découvrir que cela a non seulement toujours existé mais que les Hommes n'en ont pas le monopole. D'autres animaux prennent du plaisir à faire l'amour, sans forcément chercher à se reproduire, avec un ou plusieurs partenaires, pas forcément du même sexe.
Pourquoi a-t-on ignoré tout cela si longtemps ? Parce qu'on était enfermé dans un carcan moralo-religieux qui nous a toujours bridé et qui n'est pas la panacée: les histoires des prêtes américains pédophiles sont là pour nous le prouver, s'il le fallait.
Loin de comprendre ce qu'on appelle des déviances (mot dont les sujets changent de décennies en décennies et selon les morales), je pense qu'il est important d'en parler et non de faire l'autruche au risque de les cantonner à l'anonymat, au marginal.
Un autre sujet, comme les prostituées. celles qui devaient venir de l'Est pour le Mondial, soit disant. On les attends toujours et finalement, est-ce que l'Allemagne n'aurait pas eu une meilleure solution en ré-ouvrant les maisons closes plutôt que cantonner les « travailleuses du sexe » dans les bois de Boulogne, loin de la vue des bourgeois bien pensant qui se sont empressés de les chasser de leur rue. Peu leur importe leur sort, tant qu'elles ne meurent pas sur leur palier. Et si l'on prend l'exemple suédois qui consiste à punir non pas la prostitué mais le client, les résultats sont éloquents.
La morale pose des limites à ne pas dépasser mais il ne faudrait pas qu'elle nous conduise à ne plus débattre de ce qui est interdit ou pas. Les m½urs ont évolué, évoluent, et évolueront toujours avec le temps qui passe.

[...] si votre entreprise a [...] une politique de sécurité incompatibles avec un éventuel turn-over de ses employés, alors sshproxy est fait pour vous ou votre entreprise.

Les fonctionnalités principales de SSHproxy :
[...]
# cryptage des mots de passe en base de données selon l'algorithme blowfish

Donc, quand les premiers "chimpanzés"[1] seront tous partis, les suivants utiliseront SSHProxy sans comprendre pourquoi (ou plutôt parce qu'ils n'auront dès lors plus aucun moyen de retrouver les mots de passe en question). Si l'entreprise en question a une incompatibilité entre le "turn-over" de ses employés et sa politique de sécurité, elle aura toujours un gros problème de gestion de ses ressources humaines à résoudre.
Pour finir, je préfère quand même l'utilisation des clés SSH pour identifier les utiliser voire si possible, de certificats SSL (en patchant OpenSSH, évidemment). Il est en effet plus facile de virer la clé (qu'on peut aussi stocker dans une base LDAP avec un autre patch pour OpenSSH) de l'employé qui nous quitte plutôt que devoir changer tous les mots de passe parce qu'on s'est quitté en mauvais termes.
Bref, juste mon avis ;-) J'admet qu'il n'est pas toujours évident ni aisé de modifier les habitudes déjà en place au sein des entreprises...

[1] La transmission du savoir ou comment créer une « culture » d'entreprise : http://www.lavienumerique.com/DECALE,Comment-nait-_a5.html

C'est bien joli tout ça mais quand est-ce que les éditeurs d'anti-virus vont-ils enfin "adopter" ce format ? En attendant, les seules politiques de sécurité applicables à de telles entités, c'est le filtrage pur et simple dudit format.
Hé oui, on passe à OpenOffice.org, c'est bien mais ça ne veut pas encore dire pour autant que le poste de travail est libre pour autant...
Oui, je vous vois d'ici me répondre "ya clamav !". En effet, mais l'un des principes fondamentaux de la sécurité est justement de ne pas s'appuyer sur un seul moteur, notamment en ce qui concerne les virus.
Donc, oui, Clamav est un moindre mal mais on est donc obligé d'avoir au moins un second AV et qui sera malheureusement propriétaire (c'est déjà pas mal qu'il existe sous Linux, ça évite le serveur de mail sous Windows)...
À quand un ou plusieurs projets libres et concurrents de Clamav ? Pour une fois que la légendaire diversité des logiciels libres pourrait être sa force.

"Majoritairement", ça veut dire plus de moitié en général. Or, 45% n'est pas une majorité bien que ce soit relatif. Sinon, ce fichu traité serait passé.
Et si je ne m'abuse, la majorité absolue est atteinte à partir de 51%.
Si on doit avoir un autre traité instituant une constitution européenne, j'espère qu'il ne sera pas porté par un autre "Chirac". Le peuple français vote encore davantage pour (ou contre) des hommes que des idées...

Tu veux dire... à part Sarkozy ?

Sauf que la différence flagrante entre Ubuntu server et une Debian testing, c'est que la logithèque de la première est figée et permet donc de dénommer "stable" la dite distribution.
Nulle peur de voir le système de packages bloqué parce qu'une dépendance est "cassée" suite à l'introduction d'une nouvelle ABI de la libxxx ou de la libyyy dont le logiciel qu'on veut installer dépend.
La stabilité d'un système, c'est avant ça: les seules mises à jour autorisées doivent concerner la sécurité et c'est tout.
En outre, Canonical offre un support pour les 5 années qui suivent la publication de la version stable de cette distribution, que demande le peuple ?