Je doute de l'efficacité de ce DigSig. D'abord, les rootkits les plus dangereux se situent dans le kernel. (Et pour rappel, certains peuvent s'installer en modifiant directement la mémoire kernel, et dans ce cas pas moyen de les reconnaître en surveillant les LKM.) Il ne peuvent donc pas être neutralisés par ce système. Ensuite, la plupart des exploits consistent à injecter du code à exécuter dans un process existant. Pas moyen d'interdir l'installation d'un rootkit kernel, donc, si cette installation à lieu dans un shellcode exécuter à cause d'un buffer overflow sur un suid root, par exemple.
Ce système ne semble être juste une solution plus souple que monter les partitions user-writable en noexec, si l'on veut interdire l'utilisation d'autres programmes que ceux installé. Cependant ces sécurités restent faibles. Il existe de nombreuses vulnérabilités parmi les applications standard, mais non privilégiées, qui permettent d'exécuter du code arbitraire. L'occasion de montrer l'importance, pas si secondaire que ça, de la sécurité des programmes non suid, surtout si la sécurité du système repose sur des limitations semblables à DigSig.
Il s'agit une fois de plus d'un exemple de mesure bonne à rendre la tache du pirate plus difficile, mais dont un attaquant déterminé viendra à bout - laissant peut-être le temps à l'administrateur de se rendre compte de la manoeuvre. A jauger, selon les risques, et à utiliser comme protection complémentaire.
Ce paragraphe concerne des problème de brevets qui pourraient être soulevés par un programme capable de lire ou écrire au format XML de Office. Il sont généreux, ils renoncent cependant à leur royalties, à la condition que l'on mentionne cette « publicité » dans la license.
(Un peu avant : « Except as provided below, Microsoft hereby grants you a royalty-free license under Microsoft's Necessary Claims to make, use, sell, offer to sell, import, and otherwise distribute Licensed Implementations solely for the purpose of reading and writing files that comply with the Microsoft specifications for the Office Schemas. [...]»)
Vu l'incompatibilité avec les licenses libres, il me semble que c'est un moyen légal et vicieux d'empêcher toute implémentation libre de ce standard. Du moins si l'on part du principe que les brevets de Microsoft peuvent empecher la création de filtres d'import/export indépendants et ne souscrivant pas à cette license problématique.
« [...] envoyer un signal à n'importe quelle autre application ( par le GUI ). Elle effectue un buffer overflow [...] »
Plus exactement : une application peut envoyer n'importe quel message à n'importe quelle fenêtre d'une autre application (peu importe les privilèges). Certains de ces messages peuvent être envoyés avec des paramètres faussés qui permettent de modifier la mémoire du processus ciblé et donc de lui faire exécuter un programme arbitraire avec ses privilèges.
Ce qui permet de modifier la mémoire du processus ne tient pas du buffer overflow : on utilise des messages qui modifient des structures, et l'on donne des pointeurs détournés pour ces structures, de sortes que certains mots de la mémoire sont modifiés comme s'ils étaient des paramètres d'un élément de la GUI.
Un logiciel libre est un logiciel libre, bien entendu. Qu'il tourne sur Windows (ou mieux, s'il est multi-plateforme), n'est pas un problème, bien au contraire.
Simplement, je n'ai pas réussi à déterminer si je pouvais essayer leur prototype avec GNU/Linux ou pas. Et je n'ai pas trouvé d'executable Linux dans l'archive, pas plus que sur la page download. Ce sont ces informations que j'aurais bien aimé trouver aussi dans la dépêche ou, à défaut, en réponse à mon commentaire.
Et je n'ai rien à reprocher aux auteurs, ils ont sans doute d'autre priorités -- et plus intéressantes -- que de faciliter la compilation dans l'environement GNU.
Ainsi c'est un langage qui doit être << performant >> ?
Je crois plutôt que la force de Python est qu'il convient très bien à bon nombre de projets, dans l'optique d'un cycle prototypage/profinling/optimisation. Et le côté interprété fait des merveilles pour le deboguage et la mise au point.
Rien n'empeche d'ailleurs de préférer un autre langage pour l'implémentation finale, une fois que les problèmes à venir ont été soulevé par le prototype.
On s'écarte un peu, mais passons. Cette license ne semble pas spécifier que la distribution sous forme binaire implique la mise à disposition des sources. Là, l'incompatibilité avec la GPL serait évidente. Mais peut-être ai-je manqué quelquechose ?
Faut pas exagérer.
Il y a des termes techniques qui traduits en français ne sont plus clairs.
<< Link >> ne devrait pas être traduit, au même titre que << import >>, parce que ça fait référence à un processus bien précis que l'on a l'habitude de nommer comme ça. (Et ce sont des mots que l'on reconnît rapidement si l'on lit la dépêche en diagonale.)
J'abonde dans ce sens. Turtoise est une manière naturelle d'intégrer CVS dans le système, peut-être de la même manière que la version ligne de commande est naturelle dans une CLI unix.
J'ajouterais que ça donne une excellente vue d'ensemble (avec les couleurs et la présentation hiérarchique) et qu'il existe un équivalent portable et peut-être meilleur, d'ailleurs : un mode cvs standard pour emacs (M-x cvs-status).
Mon node c'était Handy BBS, un haut lieu de jeux piratés pour Amiga. C'était payant, mais j'avais pu obtenir un accès guest pour poller, vu que c'était le seul BBS dans ma zone de facturation locale.
Je fais mon service civil dans un centre qui dépend de l'État du Valais (canton suisse dont la capitale est Sion). Ici, ça n'est malheureusement pas si rose. L'administration est pas mal informatisée et foutrement dépendante de Microsoft. Il n'y a pas que Exchange, ça va plus loin : ils sont en train de repenser le site web et veulent centraliser les pages de tous les départements et autres machins qui dépendent de l'État. Pour éditer ces pages et pour d'autres opérations, il sont en train de mettre au point une interface via le web. Mais un truc terrifiant, qui utilise des DLL et des composants Windows (pour faire du wysiwyg dans la page et intégrer des trucs comme le copier-coller). Inutile d'essayer d'utiliser ça avec autre chose que IE. Le pire c'est que je ne saurais pas trouver une solution libre aussi commode pour les utilisateurs...
En plus, ils ont des tarrifs préférentiels pour les licenses. Ainsi tout le monde pense << profiter >> de logiciels meilleur marché.
Ca fait peur. Je suis sûr qu'un jour ou l'autre ils devront faire machine arrière. Et vu comme c'est omniprésent, ça va être un sacré boulot.
Autre témoignage : j'ai passé aussi quelques années à l'EPFL de Lausanne (école d'ingénieurs). Linux est assez présent dans les laboratoires (ça dépend des domaines; plus en compilation qu'en infographie, par exemple, où ça se la joue Irix de SGI), mais pas dans les salles d'informatique. J'ai fait info, pourtant, et l'on a goûté qu'à du Solaris (enfin, on devrait dire GNU/SunOS, vu les logiciels à disposition, c'est vrai). C'était au moins des dizaines de postes UN*X, et les étudiants devaient les utiliser (et par là même quelques logiciels libres) s'il voulaient profiter de l'infrastructure de l'Ecole (mails, web, rapports, etc...).
Maintenant une salle de PC suplémentaire flambante neuve est à disposition, avec Windows XP. Ça change la donne. Domage.
(Dernière info au passage : le choix du Conseil Fédéral pour les logiciels libres va par exemple jusque dans les bureaux du Tribunal Fédéral, et probablement tout l'administartion fédérale. C'est une bonne chose et ça rassure mes préocupations pour la protection de ma vie privée.)
Ces mesures sur Google donne juste une tendance générale qui dit qu'on a dans les 90% d'utilisateurs qui utilisent IE. Seulement ces tendance varient, à mon avis, d'un site à l'autre (imaginer msn.com ou linuxfr.org, sans préjugé). Je pense ainsi que ce qui doit décider un webmaster à soigner la compatibilité de son site, mis à part l'idéologie libre, dépend de son audience.
Un hebergeur sérieux permet de faire ce genre de statistique HTTP pour un site ciblé (ou bricoler avec JS/PHP -- et rester << standard >> ). Et un webmaster devrait prendre la peine d'essayer le site avec tous les navigateur dont la proportion est significative.
Je fais mon service civil dans un centre pour handicapés. Ils y développe depuis des années des softs pour personnes handicapées mentales et polyhandicapées, principalement des jeux pédagogiques (qui souvent ont un champs d'application qui s'étend au delà des personnes handicapées).
Nous avons entrepris depuis plusieurs semaines de mettre à disposition ces logiciels selon les termes de la GPL (il étaient simplement freeware avant). Nous espérons d'ailleurs que la comunauté saura participer à ces projets.
> où est la démocratie si les gens votent en fonction ce qu'ils percoivent dans les pricipaux médias contrôlés par les dirigeants politiques de l'Etat ou par des grands groupes qui ont pour pricipal client l'Etat et financent les partis au pouvoir ?
Une question à ce sujet (un poil hors contexte, j'avoue) :
La démocratie consiste à suivre la décision de la majorité. Mais cette décision, dans l'esprit démocrate, dépend-elle
de la conviction de chacun quant au bien comun ou
du choix personel qui arangerait (augmentation du confort, etc..) chacun ?
Mais comme d'hab, c'est un peu ridicule de << payer >> en logiciel. Je doute que ce soient des licenses à vie et c'est à peine un manque à gagner pour Microsoft, vu que c'est aussi une manière d'imposer son bastringue.
À noter que la documentation PDF de python.org est générée avec pdfTeX.
Il est certain que TeX/LaTeX est idéal à générer pour de la documentation structurée orientée texte (plus que html, qui est plus généraliste).
On l'a dit : Java est un langage d'assez haut niveau et qui, par la rigueur que l'on est obligé de suivre à cause du langage, permet un développement plus efficace (plus court). Et l'interoperabilité n'est pas un argument moindre en matière de production de jeux video.
De l'autre côté, ce qui est à optimiser, c'est principalement le moteur graphique. Si l'on a une machine virtuelle qui gère bien le bas niveau et les librairies Java qui permettent d'y accéder, où est le problème ? (OpenGL, ici.)
Bien entendu, les éditeurs de jeux ont des recettes et utilisent peut-être des astuces pour faire des choses spéciales, pour faire des jeux qui doivent << décoiffer >> par exemple. Il s'agit vraiment pousser le hardware à fond, et ce n'est pas le cas de tous les types de jeux. Pour les autres, Java me semble raisonable.
[^] # Re: Rootkit et DigSig
Posté par dvrasp . En réponse à la dépêche Savannah et Gentoo attaqués également. Évalué à 1.
Ce système ne semble être juste une solution plus souple que monter les partitions user-writable en noexec, si l'on veut interdire l'utilisation d'autres programmes que ceux installé. Cependant ces sécurités restent faibles. Il existe de nombreuses vulnérabilités parmi les applications standard, mais non privilégiées, qui permettent d'exécuter du code arbitraire. L'occasion de montrer l'importance, pas si secondaire que ça, de la sécurité des programmes non suid, surtout si la sécurité du système repose sur des limitations semblables à DigSig.
Il s'agit une fois de plus d'un exemple de mesure bonne à rendre la tache du pirate plus difficile, mais dont un attaquant déterminé viendra à bout - laissant peut-être le temps à l'administrateur de se rendre compte de la manoeuvre. A jauger, selon les risques, et à utiliser comme protection complémentaire.
[^] # Re: Incompatible avec la GNU GPL
Posté par dvrasp . En réponse à la dépêche Microsoft libère les formats de fichiers Office 2003. Évalué à 2.
(Un peu avant : « Except as provided below, Microsoft hereby grants you a royalty-free license under Microsoft's Necessary Claims to make, use, sell, offer to sell, import, and otherwise distribute Licensed Implementations solely for the purpose of reading and writing files that comply with the Microsoft specifications for the Office Schemas. [...]»)
http://www.microsoft.com/mscorp/ip/format/xmlpatentlicense.asp(...)
Vu l'incompatibilité avec les licenses libres, il me semble que c'est un moyen légal et vicieux d'empêcher toute implémentation libre de ce standard. Du moins si l'on part du principe que les brevets de Microsoft peuvent empecher la création de filtres d'import/export indépendants et ne souscrivant pas à cette license problématique.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par dvrasp . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 3.
Plus exactement : une application peut envoyer n'importe quel message à n'importe quelle fenêtre d'une autre application (peu importe les privilèges). Certains de ces messages peuvent être envoyés avec des paramètres faussés qui permettent de modifier la mémoire du processus ciblé et donc de lui faire exécuter un programme arbitraire avec ses privilèges.
Ce qui permet de modifier la mémoire du processus ne tient pas du buffer overflow : on utilise des messages qui modifient des structures, et l'on donne des pointeurs détournés pour ces structures, de sortes que certains mots de la mémoire sont modifiés comme s'ils étaient des paramètres d'un élément de la GUI.
[^] # Re: Kaoos, des particules libres qui s'animent sur votre écran !
Posté par dvrasp . En réponse à la dépêche Kaoos, des particules libres qui s'animent sur votre écran !. Évalué à 1.
[^] # Re: Kaoos, des particules libres qui s'animent sur votre écran !
Posté par dvrasp . En réponse à la dépêche Kaoos, des particules libres qui s'animent sur votre écran !. Évalué à 1.
Simplement, je n'ai pas réussi à déterminer si je pouvais essayer leur prototype avec GNU/Linux ou pas. Et je n'ai pas trouvé d'executable Linux dans l'archive, pas plus que sur la page download. Ce sont ces informations que j'aurais bien aimé trouver aussi dans la dépêche ou, à défaut, en réponse à mon commentaire.
Et je n'ai rien à reprocher aux auteurs, ils ont sans doute d'autre priorités -- et plus intéressantes -- que de faciliter la compilation dans l'environement GNU.
# Re: Kaoos, des particules libres qui s'animent sur votre écran !
Posté par dvrasp . En réponse à la dépêche Kaoos, des particules libres qui s'animent sur votre écran !. Évalué à 2.
./configure: Command not found.
pts/9:~/tmp/Kaoos make
make: *** No targets specified and no makefile found. Stop.
Comprends pas.
PS: une dépêche de ce genre ne devrait-elle pas préciser l'environnement nécessaire au projet, lorsqu'il n'est pas implicite ?
[^] # Des preuves
Posté par dvrasp . En réponse à la dépêche RedHat porte plainte contre SCO.. Évalué à 3.
[^] # Re: Alternatif
Posté par dvrasp . En réponse à la dépêche Linux dans Le Point. Évalué à 0.
[^] # Re: Deux mesures suffisent
Posté par dvrasp . En réponse à la dépêche Python 2.3 est sorti. Évalué à 1.
Je crois plutôt que la force de Python est qu'il convient très bien à bon nombre de projets, dans l'optique d'un cycle prototypage/profinling/optimisation. Et le côté interprété fait des merveilles pour le deboguage et la mise au point.
Rien n'empeche d'ailleurs de préférer un autre langage pour l'implémentation finale, une fois que les problèmes à venir ont été soulevé par le prototype.
[^] # Re: Lancement de Google Actualités France
Posté par dvrasp . En réponse à la dépêche Lancement de Google Actualités France. Évalué à 1.
Mais il ne faut considérer que seul l'HTML est archivé. Faible volume, facilement compressible.
Mais le responsable du budget doit bénir CSS.
Autre considération : j'ai l'impression que l'indexation seule demande déjà une folle capacité de stockage. Je dirais presque autant que la cache.
[^] # Re: La LGPL s'applique à Java exactement comme pour C/C++
Posté par dvrasp . En réponse à la dépêche La LGPL s'applique à Java exactement comme pour C/C++. Évalué à 1.
[^] # Re: La LGPL s'applique à Java exactement comme pour C/C++
Posté par dvrasp . En réponse à la dépêche La LGPL s'applique à Java exactement comme pour C/C++. Évalué à 2.
Il y a des termes techniques qui traduits en français ne sont plus clairs.
<< Link >> ne devrait pas être traduit, au même titre que << import >>, parce que ça fait référence à un processus bien précis que l'on a l'habitude de nommer comme ça. (Et ce sont des mots que l'on reconnît rapidement si l'on lit la dépêche en diagonale.)
Bon, << runtime >> est plus discutable.
[^] # Re: Cette news c'est une merde !
Posté par dvrasp . En réponse à la dépêche Arch: un programme de gestion de version prometteur.. Évalué à 2.
J'ajouterais que ça donne une excellente vue d'ensemble (avec les couleurs et la présentation hiérarchique) et qu'il existe un équivalent portable et peut-être meilleur, d'ailleurs : un mode cvs standard pour emacs (M-x cvs-status).
[^] # Re: Sourceforge ?
Posté par dvrasp . En réponse à la dépêche Framasoft n'est plus. Évalué à 4.
# Sourceforge ?
Posté par dvrasp . En réponse à la dépêche Framasoft n'est plus. Évalué à 3.
[^] # Re: Ma première utilisation d'internet, c'était...
Posté par dvrasp . En réponse au sondage Ma première utilisation d'internet, c'était.... Évalué à 1.
C'est fou comme ça revient tout seul.
Mon node c'était Handy BBS, un haut lieu de jeux piratés pour Amiga. C'était payant, mais j'avais pu obtenir un accès guest pour poller, vu que c'était le seul BBS dans ma zone de facturation locale.
[^] # Re: Le Préposé Fédéral à la Protection des Données suisse recommande les logiciels libres
Posté par dvrasp . En réponse à la dépêche Le Préposé Fédéral à la Protection des Données suisse recommande les logiciels libres. Évalué à 7.
[^] # Re: Futur flou pour IE ?
Posté par dvrasp . En réponse à la dépêche Futur flou pour IE ?. Évalué à 1.
# Logiciels pour personnes handicapées mentales et polyhandicapées (GPL)
Posté par dvrasp . En réponse à la dépêche Ask DLFP : des programmes spécifiques pour les personnes handicapées ?. Évalué à 2.
Nous avons entrepris depuis plusieurs semaines de mettre à disposition ces logiciels selon les termes de la GPL (il étaient simplement freeware avant). Nous espérons d'ailleurs que la comunauté saura participer à ces projets.
Le site : http://alphalogic.sf.net(...) .
Et sur sourceforge : http://www.sf.net/projects/alphalogic(...) .
J'ai encore gardé un backup de l'ancien site qui comportait une fiche de présentation des logiciels avec des screenshots :
http://alphalogic.sourceforge.net/old/alphalogic/alphasoft.htm(...) .
NB: pour diverses raisons ces softs sont pour la plupart écrits en VB et sont prévus pour les plateformes win32.
# Plus qu'une analogie
Posté par dvrasp . En réponse à la dépêche Recettes de cuisine sous GPL. Évalué à 0.
[^] # Re: la démocratie dépend de la liberté d'expression !
Posté par dvrasp . En réponse au sondage Logiciels de P2P .... Évalué à 1.
[^] # Re: Microsoft (par la voix de B. Gates) encourage au piratage
Posté par dvrasp . En réponse à la dépêche Microsoft (par la voix de B. Gates) encourage au piratage. Évalué à 1.
[^] # Re: Quelle ironie: Re: Procès antitrust : un poursuivant de moins...
Posté par dvrasp . En réponse à la dépêche Procès antitrust : un poursuivant de moins.... Évalué à 2.
[^] # Re: python et PDF
Posté par dvrasp . En réponse à la dépêche EuroPython 2003 à Charleroi du 25 au 27 juin. Évalué à 2.
À noter que la documentation PDF de python.org est générée avec pdfTeX.
Il est certain que TeX/LaTeX est idéal à générer pour de la documentation structurée orientée texte (plus que html, qui est plus généraliste).
[^] # Re: AlienFlux - Jeu Java/OpenGL multiplateforme
Posté par dvrasp . En réponse à la dépêche AlienFlux - Jeu Java/OpenGL multiplateforme. Évalué à 1.
De l'autre côté, ce qui est à optimiser, c'est principalement le moteur graphique. Si l'on a une machine virtuelle qui gère bien le bas niveau et les librairies Java qui permettent d'y accéder, où est le problème ? (OpenGL, ici.)
Bien entendu, les éditeurs de jeux ont des recettes et utilisent peut-être des astuces pour faire des choses spéciales, pour faire des jeux qui doivent << décoiffer >> par exemple. Il s'agit vraiment pousser le hardware à fond, et ce n'est pas le cas de tous les types de jeux. Pour les autres, Java me semble raisonable.