Un tel exemple de chaine INPUT, me fait dire que la règle de filtrage proposée est d'une part destinée à être appliquée à chaque machine du réseau (et non pas au routeur (FORWARD) alors que ce serait plus pertinant dans l'optique du remplacement du NAT), et d'autre part qu'elle est suceptible de bloquer les mécanismes de découverte du préfix IPv6 utilisé pour définir les adresses globales (celles qui sont routables sur internet).
Meme en C, si on le souhaite, on peut coder des libs pour gerer l espace memoire, limiter les BOFs ... le premier venu qui connait snprintf, strncpy, sizeof et strlen sait bloquer les BOFs!
Avec snprintf() on peut aboutir a des buffer overflow lorsque la chaîne de formatage est mal contrôlée et que le hacker arrive a y insérer des %n.
Quant à strncpy() si le programmeur ne pense pas au cas limite, la chaine produite peut ne pas contenir de \0 final.
Meme en C, si on le souhaite, on peut coder des libs pour gerer l espace memoire, limiter les BOFs ... le premier venu qui connait snprintf, strncpy, sizeof et strlen sait bloquer les BOFs!
Avec snprintf() on peut aboutir a des buffer overflow lorsque la chaîne de formatage est mal contrôlée et que le hacker arrive a y insérer des %n.
Quant à strncpy() si le programmeur ne pense pas au cas limite, la chaine produite peut ne pas contenir de \0 final.
Les professeurs fonctionnaires ont comme obligation d'enseigner un programme officiel sur lequel ils ont peu de prise. Une fois ceci fait, il leur reste généralement peu de temps pour aller au delà, surtout en cette période de réduction des heures d'enseignement sous couvert de réforme, et de pressions extérieures (parents, élèves) cherchant à privilégier la préparation aux examens/concours plutôt que la formation intellectuelle.
Heureusement dans tout ceci l'enseignement dispensé continue de former à l'autonomie des élèves, à la valorisation du savoir et des compétences, et à la pratique de l'effort (ce qui n'est pas une sinécure vue l'époque actuelle...). Reste à eux de les mettre en pratique.
Enfin pour ce qui est de la formation des enseignants elle est très insuffisante, mais lorsqu'elle existe et est suivie il faudrait aussi arrêter de reprocher aux enseignants d'être absents des cours...
Enseigner les concepts c'est bien, mais encore faut-il que les étudiants soient capables d'ingurgiter ces concepts et sachent les mettre en pratique à l'issue de la formation.
Le principal problème demeure le temps. Celui dont dispose l'enseignant pour transmettre la théorie et la pratique est limité, il lui revient de déterminer un bon compromis pour être le plus efficace sachant que son public est très divers : tous ses élèves ne sont pas des génies ou des acharnés du boulot (surtout à l'époque actuelle où les loisirs quels qu'ils soient sont pour certains la priorité...).
Sans compter que suivant les écoles, le « client » peut désirer une formation essentiellement pratique, applicable et « rentabilisable » immédiatement, de sorte que les concepts et la théorie en deviennent un désagrément coûteux et inutiles pour eux.
Même si ce n'est pas ce que beaucoup attendaient, c'est toujours mieux que la situation précédente. Là au moins on parle des formats libres et on les recommande.
Il ne faut pas oublier que beaucoup de progrès ont été accomplis sur le terrain grâce entre autre aux logiciels libres tel que OpenOffice.org dont l'usage s'est développé dans un certain nombre d'administrations ainsi qu'auprès des élèves de l'enseignement secondaire.
Un grand tableau déborde généralement de la page lorsque la taille de la fonte, utilisée dans les cellules de celui-ci, devient trop grande.
De la même façon, agrandir la fonte génère des césures de mots ou de formules.
Ces phénomènes rendent le document difficile à exploiter, il ne faut donc pas négliger la mise en page.
Le fait que tous les bords soient du même avis n'en fait pas une raison valable.
Il y a trop de disparité dans les équipements (nombre de micro-ordinateurs disponibles par élève, nombre de tableaux numériques interactifs, ...) que ce soient entre les départements mais aussi plus localement entre les collèges d'un même département voire même les écoles des communes limitrophes.
Il me semble que la répartition des moyens devrait être équitable et donc gérée au niveau supérieur.
Justement, tous les départements français ne sont pas sur un même pied d'égalité au niveau de leurs finances et de leur politique éducative.
De plus quid de l'avenir. La Corrèze dépense par exemple 30 % de plus que l'Indre alors que ce sont deux départements comparables. Un tel régime est-il pérenne ? Ne risque-t-on pas d'ici 4 à 8 ans de voir un retour de bâton, pour les futurs élèves de collèges qui ne bénéficieront pas des mêmes avantages et le ressentiront ainsi que leur famille comme une certaine dévalorisation ?
Cet argent ne serait-il pas mieux utilisé dans la formation professionnelle ou pour favoriser l'accès aux études supérieures ?
Il me semble, dans un soucis de justice et d'égalité entre les élèves, que ces mesures devraient être nationales.
« - réduire la fracture numérique »
Malheureusement si elle est réduite par ce biais au sein de la Corrèze, cela la creuse par rapport aux autres départements.
On pourrait faire le parallèle avec la calculatrice scientifique qui reste à la fois un outil d'expérimentation et de découverte. Mais combien savent s'en servir à peu près convenablement à la fin du collège ? Combien ont pris le temps de feuilleter (et pas lire) le manuel ?
Fut un temps les élèves suivaient des cours d'enseignement ménager (cuisine, repassage, ...) maintenant on est passé à l'ère de l'informatique, sans pour autant que les besoins aient fondamentalement évolués (si l'on songe aux problèmes d'obésité dans notre pays).
Mais cela suscite quelques interrogations. Comment se fait-il que l'inspection générale de mathématiques ne propose-t-elle pas sur son site ses propres documents de travail ? Et au delà de ça quand on regarde son site officiel, dont certains liens de travail débouchent sur free.fr, on est en droit de se demander pourquoi une telle institution ne dispose-t-elle toujours pas d'un espace d'hébergement en gouv.fr .
Au final, contrairement à l'administratif, le pédagogique demeure le parent pauvre de nos institutions.
Non, il coupe à 7 en faisant deux groupes de 7 octets (en complétant par des zéros s'il le faut). Chaque bloc de 7 octets fournit une clef de 7*8bits = 56 bits utilisées pour chiffrer suivant l'algorithme DES la chaine de 8 lettres : « KGS!@#$% » ; on obtient ainsi deux blocs finaux de 8*8bits = 64 bits, qui forment le haché LM de 128 bits.
Donc dès que l'on atteint 15 caractères le mot (ou la phrase) de passe n'est plus haché suivant l'algorithme LM.
Certains caractères du clavier qwerty se retrouvent rarement dans les tables, par exemple l'exposant 2 ( ² ) ou encore le symbole de la livre (£). On peut aussi allonger suffisamment la longueur du mot de passe pour rendre l'utilisation des tables impossible. Ainsi en utilisant un mot de passe (ou une phrase passe) de 15 caractères ou plus on se met à l'abri des tables fondées sur l'algorithme LM qui reste opérant pour les tailles inférieures ou égales à 14 (étant donné que le mot de passe est scindé en 2 pour le calcul du haché LM).
C'est le principe de l'authentification NTLMv1 sur les réseaux microsoft. Le hash joue ainsi le rôle du mot de passe et sa valeur est suffisante pour s'authentifier, il devient alors inutile de casser le hash pour retrouver le mot de passe original.
Dans ce cas la réponse pour la seconde graine joue le rôle du mot de passe pour la session suivante. La surveillance du canal de communication permet alors d'obtenir l'authentifiant. En plus la corruption du canal de communication peut engendrer une impossibilité d'établir une nouvelle authentification.
Pour se protéger contre les attaques par table, on peut aussi agir sur le choix du mot de passe. Par exemple les rainbow tables publiées ne prennent pas en charge les caractères accentués. Autre exemple sous windows, l'utilisation du symbole € (euro) empêche la génération et le stockage du haché LanMan (LM: Lan Manager Hash); cela a pour effet d'augmenter le temps d'un brute forcing puisqu'il faut se baser sur l'autre valeur de hachage (MD4) qui elle prend en compte la casse des caractères.
« car on voit avec les stats de fraude CB qui n'a que 4 chiffres que ce n'est pas par le cassage du code que les fraudeurs passent »
Parce que la sécurité ne repose pas exclusivement sur le code/mot_de_passe, mais aussi par le nombre de tentatives autorisées, ce qui peut par contre servir à générer des dénis de service...
Pour en revenir au code à 6 chiffres, ce que je signalais c'était simplement qu'un code ou un mot de passe faible, qu'ils soient cryptés et/ou sallés, n'offrent intrinsèquement qu'une sécurité très limité. Il faut par conséquent complété cette sécurité par d'autres mécanismes.
« Le SSHA correspond de mémoire au $5$ qui est donc mieux que celui a base de MD5... »
Non, le SSHA c'est du SHA(mot_de_passe+sel)
alors que le $5$ correspond à une boucle d'itérations de SHA (comme le fait le MD5 à la FreeBSD pour les mots de passe) de plus cette boucle est paramétrable au niveau de PAM sur Ubuntu par exemple où l'on peut fixer le nombre d'itérations à effectuer. (voir: man pam_unix et les paramètres sha256, rounds=n)
« Bref, je vois dans ton autre post que pour toi, le sel n'est pas si important que cela. Je dis que non, le SEL est un composant essentiel du hachage du mot de passe au même titre que la qualité de la fonction de hachage. »
Puisqu'il était question du SSHA, je maintiens que le gain de sécurité est surestimé, et qu'il vaut mieux utiliser un mot de passe du type $1$ si cela est possible car celui-ci fait intervenir une boucle de 1000 itérations, ce qui multiplie d'autant le temps de cassage par brute forcing par rapport à du SSHA.
Et je n'ai jamais dit que le sel était inutile.
« Le sel améliore sensiblement la protection contre la force brute et assure à 100% que deux personnes ayant le même mot de passe n'auront pas le même hash. »
Le sel n'améliore réellement la sécurité, par rapport à une attaque par recherche exhaustive, que s'il existe des tables pré-calculées pour l'algorithme sans sel. A ma connaissance il n'y a pas de tables publiques pour SHA-256 et 512 ou pour Blowfish. A côté de cela il faut savoir que la constitution de tables précalculées est bien plus coûteuse qu'un cassage par brute forcing.
Deux personnes ayant le même mot de passe, peuvent avoir le même hash si le sel est identique. Ce qui peut se produire si le programmeur est ignorant en la matière...
Au final le sel n'est utile que s'il permet d'éviter la constitution de tables pré-calculées (il faut donc éviter les sels trop petits comme celui du DES) mais il ne limite en rien l'efficacité des attaques par recherche exhaustive, pour cela on utilise des boucles itératives. Reste à savoir si la façon dont sont organisées ces boucles ne génère pas non plus une faiblesse dans l'espace des hachés générés, mais c'est là un autre problème...
« Si tu veux une fonction de hashage lente et sécure, tu crées une clef RSA dont tu supprime la partie privé. »
Non, ce n'est pas aussi simple que ça, si l'exposant choisi est petit (3 par opposition au 65537) et que le message est lui aussi petit alors on risque facilement de ne pas dépasser la taille du modulo et dans ce cas un simple calcul de racine cubique nous redonne la réponse...
[^] # Re: IPV6, Nat, Firewall et réseaux locaux
Posté par croux . En réponse à la dépêche IPv6 : des poules et des hommes. Évalué à 2.
Un tel exemple de chaine INPUT, me fait dire que la règle de filtrage proposée est d'une part destinée à être appliquée à chaque machine du réseau (et non pas au routeur (FORWARD) alors que ce serait plus pertinant dans l'optique du remplacement du NAT), et d'autre part qu'elle est suceptible de bloquer les mécanismes de découverte du préfix IPv6 utilisé pour définir les adresses globales (celles qui sont routables sur internet).
[^] # Dépassement de tampon
Posté par croux . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 0.
Avec
snprintf()on peut aboutir a des buffer overflow lorsque la chaîne de formatage est mal contrôlée et que le hacker arrive a y insérer des%n.Quant à
strncpy()si le programmeur ne pense pas au cas limite, la chaine produite peut ne pas contenir de\0final.[^] # Re: Chacun son style
Posté par croux . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 0.
Avec
snprintf()on peut aboutir a des buffer overflow lorsque la chaîne de formatage est mal contrôlée et que le hacker arrive a y insérer des%n.Quant à
strncpy()si le programmeur ne pense pas au cas limite, la chaine produite peut ne pas contenir de\0final.[^] # Re: Déjà down ?
Posté par croux . En réponse à la dépêche RMLL 2010 : challenge de sécurité. Évalué à 2.
* Amenra wargame : ssh level1@ivan.stalkr.net -p 13248 ; pass:level1
* mars crackmes : http://baboon.rce.free.fr/download/crackmes/
[^] # Re: Facile !
Posté par croux . En réponse à la dépêche Le Danemark rend obligatoires les formats normalisés ODF et PDF. Évalué à 10.
Heureusement dans tout ceci l'enseignement dispensé continue de former à l'autonomie des élèves, à la valorisation du savoir et des compétences, et à la pratique de l'effort (ce qui n'est pas une sinécure vue l'époque actuelle...). Reste à eux de les mettre en pratique.
Enfin pour ce qui est de la formation des enseignants elle est très insuffisante, mais lorsqu'elle existe et est suivie il faudrait aussi arrêter de reprocher aux enseignants d'être absents des cours...
[^] # Re: Pas assez dur avec l'enseignement ?
Posté par croux . En réponse à la dépêche Les universités d'Ile de France se dotent d'un centre de formation aux logiciels libres. Évalué à 2.
Le principal problème demeure le temps. Celui dont dispose l'enseignant pour transmettre la théorie et la pratique est limité, il lui revient de déterminer un bon compromis pour être le plus efficace sachant que son public est très divers : tous ses élèves ne sont pas des génies ou des acharnés du boulot (surtout à l'époque actuelle où les loisirs quels qu'ils soient sont pour certains la priorité...).
Sans compter que suivant les écoles, le « client » peut désirer une formation essentiellement pratique, applicable et « rentabilisable » immédiatement, de sorte que les concepts et la théorie en deviennent un désagrément coûteux et inutiles pour eux.
[^] # Re: Des interfaces X pour les clients bittorents ?
Posté par croux . En réponse à la dépêche qBittorrent v2.0 est sorti. Évalué à 2.
# Ceci reste quand même une avancée.
Posté par croux . En réponse à la dépêche RGI : le cadeau de François Fillon à Microsoft. Évalué à 3.
Il ne faut pas oublier que beaucoup de progrès ont été accomplis sur le terrain grâce entre autre aux logiciels libres tel que OpenOffice.org dont l'usage s'est développé dans un certain nombre d'administrations ainsi qu'auprès des élèves de l'enseignement secondaire.
[^] # Re: ambiguité ?
Posté par croux . En réponse à la dépêche RGI : le cadeau de François Fillon à Microsoft. Évalué à 3.
De la même façon, agrandir la fonte génère des césures de mots ou de formules.
Ces phénomènes rendent le document difficile à exploiter, il ne faut donc pas négliger la mise en page.
[^] # Re: ambiguité ?
Posté par croux . En réponse à la dépêche RGI : le cadeau de François Fillon à Microsoft. Évalué à 2.
Il y a d'abord TeX et pour les mathématiques AMS-LaTeX convient mieux.
[^] # Re: Point de vue et infos supplémentaires sur l'Opération Ordicollège
Posté par croux . En réponse à la dépêche Ordicollège en Corrèze : saison n° 2. Évalué à 1.
Il y a trop de disparité dans les équipements (nombre de micro-ordinateurs disponibles par élève, nombre de tableaux numériques interactifs, ...) que ce soient entre les départements mais aussi plus localement entre les collèges d'un même département voire même les écoles des communes limitrophes.
Il me semble que la répartition des moyens devrait être équitable et donc gérée au niveau supérieur.
[^] # Re: Point de vue et infos supplémentaires sur l'Opération Ordicollège
Posté par croux . En réponse à la dépêche Ordicollège en Corrèze : saison n° 2. Évalué à 1.
De plus quid de l'avenir. La Corrèze dépense par exemple 30 % de plus que l'Indre alors que ce sont deux départements comparables. Un tel régime est-il pérenne ? Ne risque-t-on pas d'ici 4 à 8 ans de voir un retour de bâton, pour les futurs élèves de collèges qui ne bénéficieront pas des mêmes avantages et le ressentiront ainsi que leur famille comme une certaine dévalorisation ?
Cet argent ne serait-il pas mieux utilisé dans la formation professionnelle ou pour favoriser l'accès aux études supérieures ?
Il me semble, dans un soucis de justice et d'égalité entre les élèves, que ces mesures devraient être nationales.
[^] # Re: c'est fini dans le 35
Posté par croux . En réponse à la dépêche Ordicollège en Corrèze : saison n° 2. Évalué à 1.
[^] # Re: Point de vue et infos supplémentaires sur l'Opération Ordicollège
Posté par croux . En réponse à la dépêche Ordicollège en Corrèze : saison n° 2. Évalué à 0.
Malheureusement si elle est réduite par ce biais au sein de la Corrèze, cela la creuse par rapport aux autres départements.
[^] # Re: Intérêt ?
Posté par croux . En réponse à la dépêche Ordicollège en Corrèze : saison n° 2. Évalué à 5.
Fut un temps les élèves suivaient des cours d'enseignement ménager (cuisine, repassage, ...) maintenant on est passé à l'ère de l'informatique, sans pour autant que les besoins aient fondamentalement évolués (si l'on songe aux problèmes d'obésité dans notre pays).
[^] # Re: Source du projet de document ressource ?
Posté par croux . En réponse à la dépêche Maîtrisez la programmation avec Scratch. Évalué à 1.
Mais cela suscite quelques interrogations. Comment se fait-il que l'inspection générale de mathématiques ne propose-t-elle pas sur son site ses propres documents de travail ? Et au delà de ça quand on regarde son site officiel, dont certains liens de travail débouchent sur free.fr, on est en droit de se demander pourquoi une telle institution ne dispose-t-elle toujours pas d'un espace d'hébergement en gouv.fr .
Au final, contrairement à l'administratif, le pédagogique demeure le parent pauvre de nos institutions.
# Source du projet de document ressource ?
Posté par croux . En réponse à la dépêche Maîtrisez la programmation avec Scratch. Évalué à 1.
[^] # Re: MD6
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Donc dès que l'on atteint 15 caractères le mot (ou la phrase) de passe n'est plus haché suivant l'algorithme LM.
[^] # Re: MD6
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
[^] # Re: Password en base???
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 3.
[^] # Re: Password en base???
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 3.
[^] # Re: MD6
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
[^] # Re: Password en base???
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Parce que la sécurité ne repose pas exclusivement sur le code/mot_de_passe, mais aussi par le nombre de tentatives autorisées, ce qui peut par contre servir à générer des dénis de service...
Pour en revenir au code à 6 chiffres, ce que je signalais c'était simplement qu'un code ou un mot de passe faible, qu'ils soient cryptés et/ou sallés, n'offrent intrinsèquement qu'une sécurité très limité. Il faut par conséquent complété cette sécurité par d'autres mécanismes.
[^] # Re: MD6
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Non, le SSHA c'est du SHA(mot_de_passe+sel)
alors que le $5$ correspond à une boucle d'itérations de SHA (comme le fait le MD5 à la FreeBSD pour les mots de passe) de plus cette boucle est paramétrable au niveau de PAM sur Ubuntu par exemple où l'on peut fixer le nombre d'itérations à effectuer. (voir: man pam_unix et les paramètres sha256, rounds=n)
« Bref, je vois dans ton autre post que pour toi, le sel n'est pas si important que cela. Je dis que non, le SEL est un composant essentiel du hachage du mot de passe au même titre que la qualité de la fonction de hachage. »
Puisqu'il était question du SSHA, je maintiens que le gain de sécurité est surestimé, et qu'il vaut mieux utiliser un mot de passe du type $1$ si cela est possible car celui-ci fait intervenir une boucle de 1000 itérations, ce qui multiplie d'autant le temps de cassage par brute forcing par rapport à du SSHA.
Et je n'ai jamais dit que le sel était inutile.
« Le sel améliore sensiblement la protection contre la force brute et assure à 100% que deux personnes ayant le même mot de passe n'auront pas le même hash. »
Le sel n'améliore réellement la sécurité, par rapport à une attaque par recherche exhaustive, que s'il existe des tables pré-calculées pour l'algorithme sans sel. A ma connaissance il n'y a pas de tables publiques pour SHA-256 et 512 ou pour Blowfish. A côté de cela il faut savoir que la constitution de tables précalculées est bien plus coûteuse qu'un cassage par brute forcing.
Deux personnes ayant le même mot de passe, peuvent avoir le même hash si le sel est identique. Ce qui peut se produire si le programmeur est ignorant en la matière...
Au final le sel n'est utile que s'il permet d'éviter la constitution de tables pré-calculées (il faut donc éviter les sels trop petits comme celui du DES) mais il ne limite en rien l'efficacité des attaques par recherche exhaustive, pour cela on utilise des boucles itératives. Reste à savoir si la façon dont sont organisées ces boucles ne génère pas non plus une faiblesse dans l'espace des hachés générés, mais c'est là un autre problème...
[^] # Re: MD6
Posté par croux . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Non, ce n'est pas aussi simple que ça, si l'exposant choisi est petit (3 par opposition au 65537) et que le message est lui aussi petit alors on risque facilement de ne pas dépasser la taille du modulo et dans ce cas un simple calcul de racine cubique nous redonne la réponse...