dvrasp a écrit 68 commentaires

  • [^] # Re: Ouais, ben...

    Posté par . En réponse à la dépêche Revue de Presse - Septembre 2006. Évalué à -2.

    Ce n'est pas facile de faire des journaux de qualité en ce moment. La presse papier est en train de gentiment agoniser, et tout particuliérement la presse informatique - qui fait rarement le poids face au Web. Pour équilibrer les coûts exorbitants de l'impression et de la distribution, alors que les ventes en kiosque baissent inexorablement, la seule solution reste souvent de réduire les budgets rédactionnels ou de rogner sur les finitions (relecture, entre autre).
  • [^] # Re: Concours très interessant!

    Posté par . En réponse à la dépêche Concours de sécurité informatique Challenge-SecuriTech 2006. Évalué à 3.

  • # Utiliser while

    Posté par . En réponse au message [Terminal] Manipulation des noms de fichiers comportant des espaces.. Évalué à 1.

    La bonne manière de faire, dans ce cas précis, est plutôt :

    ls | while read f
    do
     echo "$f"
    done

    Si la liste est grande, tout est mis en mémoire d'un coup avec une boucle for, avant même que la boucle ne commence. Avec read, on a vraiment un traitement ligne par ligne.
  • [^] # Re: Ou bien est-il possible de viser une empreinte particulière

    Posté par . En réponse à la dépêche SHA-1 aurait été cassé. Évalué à 2.

    Pour créer une collision CRC32, il suffit de modifier (ou d'ajouter) 4 bytes du fichier dont on veut forger la somme.
    Pour SHA-1, je ne sais pas si toutes les combinaisons de 80 bits donnent toutes des hash différents. Si c'est le cas, on peut théoriquement forger la signature d'un document en n'en modifiant au maximum que 80 bits. Dans le cas contraire, le nombre de bits à modifier doit tout de même rester dans le même ordre de grandeur.
    Ce qu'apporterait cette découverte dans ce contexte (en attendant la publication du papier), c'est que pour trouver la combinaison de bits qui permet de forger une signature quelconque, il n'est pas nécessaire de tester toutes les possibilité de manière exaustive (2000 fois moins de tests). C'est dans ce sens qu'on dite que SHA-1 aurait été cassé, même si le temps de calculs nécessaire reste encore astronomique (de l'ordre de l'année, à vue de nez, avec des moyens sérieux).
  • [^] # Disclosure

    Posté par . En réponse à la dépêche Deux failles de sécurité pour les noyaux Linux 2.4.x et 2.6.x. Évalué à 4.

    C'est pas tout à fait exact. Beaucoup de script kiddies, et pas forcément les plus doués, ont leurs réseaux, et s'échange des exploits pour des failles qui ne sont pas encore publiées (0-day).
    Les gens qui cherchent et découvrent des vulnérabilités ne sont d'ailleurs pas tous enclins à poster leurs résultats sur des listes publiques, ou même à prévenir les développeurs. Mais un exploit finit toujours par se diffuser, à plus ou moins grande échelle, avant que la vulnérabilité ne soit officiellement publiée.
  • [^] # Re: Vocabulaire ...

    Posté par . En réponse à la dépêche Revue de Presse - Novembre 2004. Évalué à 0.

    Alors il faudra se mettre d'accord avec mon pote Robert qui dit que crypter vient du grec kruptos (caché), et que ça consiste à rendre incompréhensible. Il y a même une référence aux chaines de télévision cryptées.
    Enfin, je ne pourais pas dire que je n'ai pas d'estime pour l'Académie...
    Vu qu'on peut faire des recherches avec des expressions régulières, c'est intéressant de voir qu'il y a peut de mots qui contiennent "crypt" dans la liste.

    PS : décryptement est aussi dans le Robert.
  • [^] # Re: Vocabulaire ...

    Posté par . En réponse à la dépêche Revue de Presse - Novembre 2004. Évalué à -2.

    Juste.
    Mais puisqu'il s'agit de chipoter, je ne suis pas d'accord avec ta dernière remarque. Crypter n'est pas exactement l'inverse de décrypter : on le fait respectivement avec et sans clé, comme tu le dis. Donc le cryptage serait logiquement le fait de crypter.
    Et pourquoi pas cryptement ?
  • [^] # Re: Miam !

    Posté par . En réponse à la dépêche Une bibliothèque graphique de l'INRIA Sophia-Antipolis sous GPL. Évalué à 2.

    La dernière version disponible sur le site est faite pour gimp-2.0. Ça se compile avec gimptool (package libgimp-dev).
    Attention cependant, il faudra probablement recompiler le binaire resynth pour votre système, parcequ'il est fourni précompilé dans le tarball (rm resynth ; make install).
  • [^] # Traduction française

    Posté par . En réponse à la dépêche iRATE ou pirate ?. Évalué à 2.

    Les responsabes du projet cherchent un traducteur pour la version française. Elle est en effet pour l'instant incomplète et très moyenne (passer par la mailing list).
    Pour info, il y a seulement quelques centaines d'expressions à traduire.
  • [^] # Accès SSH ? Ou seulement la possibilité d'exécuter un programme ?

    Posté par . En réponse à la dépêche Vulnérabilité de tous les noyaux 2.4.x / 2.6.x. Évalué à 4.

    C'est sans compter, par exemple, sur un script php mal sécurisé, qui permettrait d'exécuter des commandes shell (donc uploader et exécuter un programme dans /tmp). Le safe-mode n'est pas toujours pratiquable, selon les applications.
    Ça peut aussi être un service non privilégié, mais vulnérable. Même dans un chroot très restrictif, on peut exploiter ce bug kernel directement dans un shellcode.
    Il ne faut pas minimiser l'importance d'une vulnérabilité parce qu'elle n'est exploitable qu'en « local ».
  • [^] # Re: Il n'y a pas que les bugs

    Posté par . En réponse au journal Anti Phishing. Évalué à 3.

    Sauf que l'html répond aux besoins d'une majorité. Il y a les images, mais aussi la possibilité d'écrire en couleur, avec des polices spéciales. Sans parler des signatures, et autres cartes de visites. Y en a qui aiment, et je ne pense pas qu'on puisse changer ces habitudes.
    Une solution : réduire l'html au formatage seul. Il existe des filtrages efficaces, pouvant limiter l'html à des tags bien définis (comme sur ce site), en utilisant une approche white list, secure by design (HTML::StripScript, par ex.).

    Du coup, fini le javascript, fini les frames. Mais il reste les fichiers attachés.
  • # Il n'y a pas que les bugs

    Posté par . En réponse au journal Anti Phishing. Évalué à 1.

    Tu oublies :
    - ne pas cliquer sur les fichiers attachés

    De plus, certains bugs de sécurité de IE utilisés en fishing (le \0, par exemple, si mes souvenirs sont bons) ont eu leurs équivalents sur Mozilla.

    Même si ne pas utilise IE/Outlook permet de rendre inopérant une bonne partie des techniques de fishing, ça n'empêchera pas les arnaques qui passent plus par l'émotionnel que par des bugs de sécu de fonctionner. Exemple : mail en html, un scénario alarmiste parlant de clôture de compte et un formulaire login/password pour ebay.
    Tant que les utilisateurs ne seront pas mieux éduqués, c'est pas gagné.
  • # Shémas bas niveau

    Posté par . En réponse au journal Faire des schémas sous GNU/Linux. Évalué à 1.

    Pour certains types de shémas, je trouve tgif bien pratique (du genre de xfig, avec des fonctionalités bizarres).

    http://bourbon.usc.edu:8001/tgif/(...)
  • [^] # Re: Impressionnant

    Posté par . En réponse à la dépêche Enregistrement Audio et Interview de Nicolas Brulez sur le Reverse Engeenering. Évalué à 2.

    On ne peut pas espérer concevoir une protection infaillible. On peut juste espérer décourager les crackers assez longtemps pour que les ventes soient rentables ;>

    Sinon c'est vrai que la protection des binaires Linux est une question qui sucite mois d'intérêt, vu que les logiciels propriétaires y sont encore plus rares, en comparaison, que les LL sur Windows. Ironiquement, il y a pourtant une forte demande du côté des pirates, qui cherchent à ne pas se faire voler leurs 0-days.
    Les techniques sont globalement les mêmes que sur Windows, à l'exceptions de quelques tricks spécifique, probablement, mais qui risquent de poser des problèmes de compatibilité. On peut citer Shiva (http://www.securereality.com.au/(...)).

    Et pour en revenir à ta dernière assertion, n'est-il pas possible de fournir des binaires compilés statiquement avec une certaine version de la libc ? Ça ne résoud pas tous les problèmes, bien sûr (kernel, toolkits graphique, perfs, etc.).
    Il me semble que les binaires de certains logiciels libres sont fournis sous cette forme (blender ?). Quelqu'un a-t-il de l'expérience sur ce sujet ?
  • [^] # Re: The Hackademy Journal

    Posté par . En réponse au journal The Hackademy Journal. Évalué à 1.

    En tant que rédac' chef de THJ depuis octobre 2003 (et lecteur assidu de dlfp), j'aimerais metter au point certaines choses.
    D'abord, The Hackademy Journal n'est pas Hackerz Voice. Même si l'éditeur est le même, le journal et l'équipe sont entièrement différents. Ainsi je vous invite à le feuilleter en kiosque, si vous voulez vous en faire une opinion plus juste que seulement fondée par les anciens numéro de HZV. Par exemple, vous verriez qu'on parle beaucoup - et de plus en plus, je m'y attache - de logiciels libres et de Linux.
    THJ est d'un niveau volontairement accessible, et pas trop technique. Mais vous pouvez aussi jetter un coup d'oeil à The Hackademy Magazine, plus technique, et plus orienté vers la sécurité UNIX/Linux.

    Cela dit, je ne prétend pas que ces journaux sont parfaits. Je suis donc ouvert à vos suggestions et critiques - mais un peu moins aux trolls ;>
  • [^] # Re: Bon article mais bonjour les fautes d'orthographe et de grammaire !

    Posté par . En réponse à la dépêche Enregistrement Audio et Interview de Nicolas Brulez sur le Reverse Engeenering. Évalué à 2.

    « contourner » ?
  • [^] # Re: Fenris

    Posté par . En réponse au journal générateur de graphes d'appels. Évalué à 1.

    Pour ceux qui tombent ici depuis un moteur de recherche, j'ai retrouvé, je crois, ce que je cherchais :

    flowgraph :
    http://www.big.net.au/~silvio/coding/graphing/(...)

    À voir aussi :
    http://www.cartel-securite.fr/pbiondi/python/bin2graph.py(...)
  • [^] # Les séquencess d'échapement sur SSH

    Posté par . En réponse au journal astuce telnet. Évalué à 3.

    Ça donne au moins l'occasion de parler des séquences d'échappement de SSH !
    Supported escape sequences:
    ~. - terminate connection
    ~C - open a command line
    ~R - Request rekey (SSH protocol 2 only)
    ~^Z - suspend ssh
    ~# - list forwarded connections
    ~& - background ssh (when waiting for connections to terminate)
    ~? - this message
    ~~ - send the escape character by typing it twice
  • # Fenris

    Posté par . En réponse au journal générateur de graphes d'appels. Évalué à 1.

    Il y a fenris de Michal Zalewski, qui me semble pouvoir faire ça :
    http://lcamtuf.coredump.cx/fenris/(...)

    J'ai trouvé aussi ça :
    http://www.ida.liu.se/~vaden/cgdi/(...)
    http://kprof.sourceforge.net/(...)

    Mais j'ai le souvenir d'un post de slashdot, bugtraq ou autre, qui présentait un autre soft qui m'a parru meilleur. Pas moyen de le retrouver.
  • [^] # Screenshots

    Posté par . En réponse à la dépêche Sortie de Amaya 8.5. Évalué à 2.

  • [^] # Re: A propos de la version de renaud

    Posté par . En réponse au journal La LEN, lettre au président. Évalué à 2.

    Petit détail intéressant bien qu'hors sujet. La chanson originale finissait par :

    Si vous me poursuivez
    Prévenez vos gendarmes
    Que j'emporte des armes
    Et que je sais tirer...

    qui est devenu :

    Si vous me poursuivez
    Prévenez vos gendarmes
    Que je n'aurai pas d'arme
    Et qu'ils pourront tirer.

    Sans quoi la chanson n'aurait pas pu être publiée...
  • # Re: un vocoder sous linux ??

    Posté par . En réponse au journal un vocoder sous linux ??. Évalué à 1.

    ecamegapedal ne fonctionne qu'avec une source unique, j'ai l'impression. Pour pouvoir faire des branchements complexes, tu devrais plutôt utiliser galan.
    Et dans la série des transformations sympas, je te conseille aussi freqtweak.
  • [^] # Commission paritaire

    Posté par . En réponse à la dépêche Pirates Mag' en mauvaise posture.. Évalué à 1.

    Voici la position de The Hackademy, qui donne des précision sur ce que signifie la commission paritaire :

    http://forum.dmpfrance.com/phpBB2/viewtopic.php?t=5131(...)
  • [^] # Re: Pirates Mag' est illégal

    Posté par . En réponse à la dépêche Pirates Mag' en mauvaise posture.. Évalué à 3.

    C'est le poly de Lausanne.

    http://lasecpc13.epfl.ch/ntcrack/(...)
  • [^] # Re: comment trouver une image

    Posté par . En réponse au journal comment trouver une image. Évalué à 1.

    Je pense qu'il faut rajouter ceci :

    http://www.espgame.org/(...)

    qui est une apporche très intéressante du problème de la catégorisation des images du web.
    Une sorte de seti@home, mais où l'on donne des « cycles » de son cerveau...