Joris Dedieu a écrit 1610 commentaires

tous les warnings 5 minutes avant. Ha mais attends, comment je sort les warnings et erreurs (mais pas debug, info) de apache, postfix, système, etc sur une plage de temps facilement ? Ben je peux pas.

man syslog.conf

*.err /var/log/error.log
*.warn /var/log/warn.log

Non, parce que tu te retrouve à parser la partie "message" pour y trouver des informations qui ne sont pas stocker de la même façon en fonction du programme.

Tu veux dire qu'on va se fader du xml et du log multiligne pour éviter d'écrire un parser en awk/perl/cut par programme ? Je pense que les gens qui font ça (sans remettre en cause leur compétence de dev) n'aiment tout simplement pas Unix.

date hôte service[pid]: message

Pour ceux qui n'auraient pas compris, il s'agit du format utilisé par syslog actuellement. Ce que pointait mon message c'est que ce format est déja standard de fait.

Il est incompréhensible que MySql soit aussi populaire.

La réponse est simple et historique. Elle s'appelle mysql-3.23.

• un moteur de base de données simple à administrer sans fioriture
• gestion des droits facile à comprendre y compris max_user_connections
• qui scale grave
• gratuit et opensource

En 2000 tu n'avais guère le choix.

J'ai encore des 3.23 en prod avec plus de 5000 bases sur un xeon 4 coeur / 2GO de ram des disques scsi tout simple et aucun problème de perfs. A partir de MySQL5, c'est une autre histoire mais je pense que c'est cette inertie historique qui fait son succès.

date hôte service[pid]: message

Mes deux cents
Joris

Le but avec le SSL n'est pas de dire que les gens sont en sécurité quand il y en a mais qu'il n'y a aucune sécurité quand il n'y en a pas.

On est bien d'accord. Ceci dit les incantations ne changent pas le discours ambiant.

De : http://www.ca-toulouse31.fr/questions-frequentes.html

Votre session Crédit Agricole en Ligne est obligatoirement sécurisée. Ceci garantit la confidentialité des informations échangées entre vous et votre banque. Vous pouvez le constater en regardant l'icône située dans la barre en bas ou en haut de votre navigateur représentant un cadenas fermé. Tous les navigateurs détaillent dans leurs pages d'aide les informations sur leur niveau de sécurité. N'hésitez pas à les consulter.

La sécurité de votre navigation lors de la session est assurée par l'utilisation du protocole SSL 128 bits. Reposant sur des techniques évoluées de chiffrement, celui-ci permet de garantir que le site auquel vous vous adressez est bien géré par le Crédit Agricole ainsi que la confidentialité de vos données. L'utilisation d'un certificat dans SSL (représentée par le cadenas de votre navigateur) garantit qu'aucun autre site Web ne peut usurper l'identité du site sécurisé d'origine.

De : http://www.verisign.fr/ssl/index.html?tid=gnps

Lorsque les clients voient le sceau VeriSign Trust™, ils savent qu'ils peuvent faire confiance au lien, au site et à la transaction.

…

et on pourrait en trouver bien d'autres.

Que va finir par retenir Miss Michu ? Si c'est vert ou bleue, c'est bon. Et peut importe que le site s'appelle en réalité www.gruick.ru.com:8081/upload/amazon/paypal.jpg.php

Encore une fois je ne critique pas le ssl. Je critique le discours ambiant ssl = sécurisé

alors qu'epoll est disponible dans la librairie standard (from select import epoll).

libevent n'est pas qu'une abstraction pour epoll. Il gère la portabilité (kqueue, /dev/poll…). Du coup sous *BSD ou Solaris ton proxy utilise select ce qui est … lent

Tu as du rater l'invention du wifi toi.

La porté d'une telle attaque est extrêmement limité dans l'espace et dans son efficacité. Tu va faire quoi ? espionner les clients d'un hôtel ? tes voisins … Entre les PC surpuissant connectés en fibre et mal sécurisés, les offres d'hébergeurs douteux qui te font croire qu'avec l'interface magique, tu n'as pas besoin d'un adminsys ou encore les webagencies qui t'installent un joomla one shot sans contrat de maintenance et de mises à jour, il y a largement de quoi taper à une plus grande échelle. Et aussi facilement qu'en cassant du wep.

Je ne nie pas les dangers du sniffage, des man in the middle, ni l'interet du ssl. Je dis simplement que faire croire au gens qu'ils seront en sécurité parce que leur browser fait un jolie truc vert dans la barre d'adresse n'est pas honnête. Les problèmes viennent majoritairement des clients et serveurs compromis.

Mais il garanti (normalement) que le contenu de la page est inaccessible, ça permet d'éviter que les intermédiaire puissent lire tes mails quand tu les consultes via ton webmail. Les cookies sont aussi chiffrés, ça permet d'éviter une usurpation d'identité (il y avait une extension Firefox qui sniffait les WiFi en clair pour voler le cookie Facebook et te permettait de poster au nom de la personne).

Oui enfin les principaux vecteurs ne sont pas arrêtés par le https. Le sniffage réseau n'est quand même pas le chemin le plus facile pour commettre des actes malicieux. Il est plus facile de péter une machine que de mettre en place une infra de capture.

Attention, je ne dis pas que le ssl ne sert à rien. Mais il ne protège ni le client, ni le serveur. Il protège la transaction sur le réseau (donc il te protège des boites / états mals intentionnés ainsi que de trois petit malins qui font mumuse avec FreeWifiOpenWrt). Si je veux des comptes facebook, il me suffit de faire un site avec les résultats du bac et inscriptions obligatoire. En imposant l'adresse mail comme login. Je suis sûr de tomber dans 60% des cas sur un mot de passe générique me donnant l'accès à gmail, hotmail, facebook …

Il te faut :
1) un hébergeur (obtenu par exemple par scan des ports 10000 ou recherche d'url caractéristiques)
2) une base de données de clients (un bot en perl pour récuperer des adresses mail ou un robot pour me faire des amis sur facebook, voir un bête achat).
3) un minimum d'imagination et de discrétion

A la lecture de divers commentaires il est intéressant de constater que l'exploration d'internet apparait rapidement comme un champs d'exploration sensorielle relativement naturel lorsqu'on imagine skynet ou think deep.

Du coup après les 5 sens traditionnels, il serait intéressant de le qualifier.

Si je reprends une définition sommaire de la vue "fonction avec laquelle on perçoit par les yeux" on pourrait peut-être parler de capture "fonction avec laquelle on perçoit par sa carte réseau"

Willy a proposé une solution élégante (je trouve) au problème. Il s'agit d'un protocole de communication entre les diverses couches de proxy décrit ici : http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt

Le problème originel consiste à passer l'information sur l'ip réelle du client depuis stunnel vers haproxy. Mais cela peut avoir d'autres applications bien sympas, comme remplacer le X-Forwarded-For par exemple.

Pour l'heure c'est implémenté (que je sache) dans stunnel, haproxy et stud. Mais je pense que c'est un mécanisme qui gagnerai à être déployé largement

Les exemples donnés dans l'histoire à plus grande échelle ne sont pas très nombreux et surtout on montré leur incapacité à durer dans le temps

Ce n'est pas aussi simple. Dans l'étude de l'histoire et des civilisations toute la difficulté réside justement dans le fait de ne pas plaquer des concepts actuels et contemporains sur des éléments (des relations sociales ici) dont on n’appréhende que mal la nature exacte.

Un exemple intéressant se trouve dans "Ni père ni mère: Critique de la parenté — Le cas Makhuwa" de Christian Geffray. Ici l'auteur montre à quel point la notion de parentalité telle qu'on la conçoit n'a pas de sens pour la civilisation Makhuwa (au Mozambique) . TU peux aussi regarder dans une moindre mesure du côté de "les enfants de Santchez" de Oscar Lewis qui permet d’appréhender à quel point un point de vue est relatif et le travail d'objectivation compliqué.

Je n'ai pas de références précises en ce qui concerne la notion de chef ou de hiérarchie mais tu trouvera une littérature nombreuse sur des civilisations dites primitives te montrant que cette notion ne peut pas être entendue dans le sens actuel.

Sans tomber dans le mythe du "bon sauvage" ou les travers de l'antiduring, on peut quand même facilement constaté que la "nature humaine" n'est pas autre chose que les mots qu'on lui applique.

Par ailleurs, il est quand même gênant de penser que l'activité consistant à essayer d'inventer une civilisation ait besoin d'une justification historique. Des notions comme le progrès ne sont quand même pas réservés aux industriels et au marchand ! Se demander qu'est-ce qu'un progrès au sens social et se donner les moyens d'essayer de faire avancer la société en ce sens nécessite-t-il vraiment de justifier par des exemple ce qu'est l'idéal issue d'une réflexion ? Que dire alors des Lumières en leur temps ? Pas assez réaliste ? Pourtant aujourd'hui les droits de l'homme sont un fait.

Ton réalisme me fait froid dans le dos.

J'ai l'impression que GPG « pourrait » être simple. Mais que plus d'énergie a été dépensé à se voiler la face plutôt qu'à se poser la question « comment rendre le logiciel accessible ».

GPG est simple à utiliser pour un utilisateur d'une plateforme Unix. Son intégration dans kde / gnome est plutôt bonne (gpg géré par gnome-keyring par exemple). Le problème est la cryptographie à usage privée - ici on parle de PGP - n'a jamais été mise en avant par les marchands de logiciels propriétaires et de mails pour les masses. Du coup la base d'utilisateurs est mince et l’intérêt minime. J

Les versions de ruby, python mais aussi mysql, openldap, apache…etc sont anciennes!

Oui enfin garder les mêmes versions durant 10 ans, c'est quand même justement le grand intérêt du truc.

logiciel asservi

ou logiciel asservissant

De plus si on considère la liberté comme un droit fondamental et inaliénable, alors priver de liberté peut-être vu comme un crime. Tu peux alors utiliser tout le registre judiciaire et celui du fait divers.

"Violé une fois de plus par ce CLUF criminel", "Ces entreprises multi-récidivistes peuvent encore vendre leur poison aux enfants innocents en toute impunité, volant irrémédiablement leur liberté pour les plonger dans l'enfer de la dépendance la plus noire" ...

Quand je me connecte avec mon tél, ils pourraient faire l'effort de faire le lien avec mon compte.

Tu veux dire comme l'espace client de AOLOrange auquel n'importe qui pourvu qu'il utilise ton ip peut accéder

A noter que l'intégration en cours de tests Coccinelle est dans la lignée du formidable travail de nettoyage [1] du code effectué avec beaucoup de patience par Sascha Wildner.

[1] http://gitweb.dragonflybsd.org/dragonfly.git?a=search&h=HEAD&st=committer&s=Sascha+Wildner

qu'elles attendaient les bidules facebook.

Le pire c'est que bien souvent tu t'en es déjà payé autant côté serveur.

Plus ça va et plus ça me gonfle de devoir bloquer la moitié du web pour pouvoir surfer normalement. Ici on parle de l'aspect vie privée, mais il y a aussi simplement le confort de navigation. Ne pas se faire bruler la rétine à chaque clic de sourie, accéder directement à l'information ...

Je pensais que les bloqueurs de popup avaient suffit à calmer le jeu en montrant que massivement les internautes ne voulaient pas qu'on envahisse leurs écrans de merdes en tout genre. Je pensais que les designers avaient retenu la leçon du succès de google et de sa page simple et claire (à l’époque). Mais visiblement ce n'est pas le cas. J'ai l'impression que sous prétexte d'ihm on fait un retour massif vers le web des années 2000 que ce soit dans ses gifs animés et ses applet java, que dans ses popups pour dl dial_setup.exe

Finalement entre espionnage et interface bling-bling on en vient presque à regretter gopher : de l'information et des liens

sauf que, sur linuxfr, je pense que du bon gros code python impressionne plus, non?

Que ploum déguisé en surfer, sunglasses et sourire fluoré ... non

OK, citez-moi un serveur DNS qui a des problèmes avec des caractères non-ASCII (je n'en connais pas).

Les serveurs respectant la rcf sûrement pas. Maintenant je ferais bien un test des diverses implémentations de la libc (c'est quand même l'un des principaux clients). Je ne préjuge pas du résultat, mais je ne parierais pas une cacahouète la dessus.

Je ne connaissais effectivement pas la relation entre la forme ascii et Unicode des IDN ainsi que la façon dont tout ça est définie dans la rfc5890. J'aurais du être plus nuancé. Ma grande faute. Pardon aux familles.

Je me demande toutefois si il ne faudrait pas également nuancer l'affirmation inverse ?
Dire aujourd'hui en l'état des implémentations que le DNS supporte Unicode me semble un peu péremptoire.

Ce que je comprends du truc c'est qu'il existe un équivalant Unicode (u-label) au pnuycode (a-label) et inversement. Je ne remets pas en cause l'existence des nom de domaines internationalisé.

La question que je me pose est dans quelle mesure le u-label est utilisé pour autre chose que l'affichage et éventuellement la conf. Y-a-t-il du transfert binaire directement en unicode ?

En tout état de cause ce que décrit la rfc5890 ne peut en aucun cas être pris comme une prise en charge directe d'utf-8 par les dns.

Je cite le post de Bortzmeyer :

Toute chaîne Unicode n'est pas forcément un U-label. Elle doit être normalisée en NFC et ne compter que des caractères autorisés. Tout U-label peut être converti en un A-label unique et réciproquement.

On peut tout à fait définir des noms de domaines contenant des octets hors ASCII,

Tu aurais une référence la dessus ? Parce que je n'ai pas trouvé grand chose si ce n'est une doc de Microsoft de 2005 qui explique qu'ils ont fait cela en dehors du cadre des rfc :

http://technet.microsoft.com/en-us/library/cc738403%28WS.10%29.aspx
> To remove these limitations, Microsoft expands DNS character support beyond the RFC 1035 specification. The DNS service now provides enhanced default support for UTF-8, a Unicode transformation format.

Après c'est vrai que la rfc1035 n'interdit pas explicitement l'usage d'octets non ascii, je trouves le paragraphe "2.3.1" quand même relativement explicite à ce sujet

ben oui, si je ne suis pas francais (clavier anglais), comment je fais pour aller sur le site santé.fr ?

santé.fr c'est xn--sant-epa.fr. Le protocole dns ne gère pas l'unicode.