dvrasp a écrit 68 commentaires

Je doute de l'efficacité de ce DigSig. D'abord, les rootkits les plus dangereux se situent dans le kernel. (Et pour rappel, certains peuvent s'installer en modifiant directement la mémoire kernel, et dans ce cas pas moyen de les reconnaître en surveillant les LKM.) Il ne peuvent donc pas être neutralisés par ce système. Ensuite, la plupart des exploits consistent à injecter du code à exécuter dans un process existant. Pas moyen d'interdir l'installation d'un rootkit kernel, donc, si cette installation à lieu dans un shellcode exécuter à cause d'un buffer overflow sur un suid root, par exemple.
Ce système ne semble être juste une solution plus souple que monter les partitions user-writable en noexec, si l'on veut interdire l'utilisation d'autres programmes que ceux installé. Cependant ces sécurités restent faibles. Il existe de nombreuses vulnérabilités parmi les applications standard, mais non privilégiées, qui permettent d'exécuter du code arbitraire. L'occasion de montrer l'importance, pas si secondaire que ça, de la sécurité des programmes non suid, surtout si la sécurité du système repose sur des limitations semblables à DigSig.
Il s'agit une fois de plus d'un exemple de mesure bonne à rendre la tache du pirate plus difficile, mais dont un attaquant déterminé viendra à bout - laissant peut-être le temps à l'administrateur de se rendre compte de la manoeuvre. A jauger, selon les risques, et à utiliser comme protection complémentaire.

Ce paragraphe concerne des problème de brevets qui pourraient être soulevés par un programme capable de lire ou écrire au format XML de Office. Il sont généreux, ils renoncent cependant à leur royalties, à la condition que l'on mentionne cette « publicité » dans la license.

(Un peu avant : « Except as provided below, Microsoft hereby grants you a royalty-free license under Microsoft's Necessary Claims to make, use, sell, offer to sell, import, and otherwise distribute Licensed Implementations solely for the purpose of reading and writing files that comply with the Microsoft specifications for the Office Schemas. [...]»)

http://www.microsoft.com/mscorp/ip/format/xmlpatentlicense.asp(...)


Vu l'incompatibilité avec les licenses libres, il me semble que c'est un moyen légal et vicieux d'empêcher toute implémentation libre de ce standard. Du moins si l'on part du principe que les brevets de Microsoft peuvent empecher la création de filtres d'import/export indépendants et ne souscrivant pas à cette license problématique.

« [...] envoyer un signal à n'importe quelle autre application ( par le GUI ). Elle effectue un buffer overflow [...] »

Plus exactement : une application peut envoyer n'importe quel message à n'importe quelle fenêtre d'une autre application (peu importe les privilèges). Certains de ces messages peuvent être envoyés avec des paramètres faussés qui permettent de modifier la mémoire du processus ciblé et donc de lui faire exécuter un programme arbitraire avec ses privilèges.

Ce qui permet de modifier la mémoire du processus ne tient pas du buffer overflow : on utilise des messages qui modifient des structures, et l'on donne des pointeurs détournés pour ces structures, de sortes que certains mots de la mémoire sont modifiés comme s'ils étaient des paramètres d'un élément de la GUI.

Le Makefile est pour OpenMask (qu'est-ce que c'est ?) et présente toutes sortes d'incompatibilités.

Un logiciel libre est un logiciel libre, bien entendu. Qu'il tourne sur Windows (ou mieux, s'il est multi-plateforme), n'est pas un problème, bien au contraire.

Simplement, je n'ai pas réussi à déterminer si je pouvais essayer leur prototype avec GNU/Linux ou pas. Et je n'ai pas trouvé d'executable Linux dans l'archive, pas plus que sur la page download. Ce sont ces informations que j'aurais bien aimé trouver aussi dans la dépêche ou, à défaut, en réponse à mon commentaire.

Et je n'ai rien à reprocher aux auteurs, ils ont sans doute d'autre priorités -- et plus intéressantes -- que de faciliter la compilation dans l'environement GNU.

pts/9:~/tmp/Kaoos ./configure
./configure: Command not found.
pts/9:~/tmp/Kaoos make
make: *** No targets specified and no makefile found. Stop.


Comprends pas.


PS: une dépêche de ce genre ne devrait-elle pas préciser l'environnement nécessaire au projet, lorsqu'il n'est pas implicite ?

Les États-Unis vont-ils apporter la preuve de l'existence de cette portion de code massive ?

Presque tout le monde se sert du courant alternatif...

Ainsi c'est un langage qui doit être << performant >> ?

Je crois plutôt que la force de Python est qu'il convient très bien à bon nombre de projets, dans l'optique d'un cycle prototypage/profinling/optimisation. Et le côté interprété fait des merveilles pour le deboguage et la mise au point.
Rien n'empeche d'ailleurs de préférer un autre langage pour l'implémentation finale, une fois que les problèmes à venir ont été soulevé par le prototype.

Et que dire de http://archive.org(...) ?

Mais il ne faut considérer que seul l'HTML est archivé. Faible volume, facilement compressible.
Mais le responsable du budget doit bénir CSS.

Autre considération : j'ai l'impression que l'indexation seule demande déjà une folle capacité de stockage. Je dirais presque autant que la cache.

On s'écarte un peu, mais passons. Cette license ne semble pas spécifier que la distribution sous forme binaire implique la mise à disposition des sources. Là, l'incompatibilité avec la GPL serait évidente. Mais peut-être ai-je manqué quelquechose ?

Faut pas exagérer.
Il y a des termes techniques qui traduits en français ne sont plus clairs.
<< Link >> ne devrait pas être traduit, au même titre que << import >>, parce que ça fait référence à un processus bien précis que l'on a l'habitude de nommer comme ça. (Et ce sont des mots que l'on reconnît rapidement si l'on lit la dépêche en diagonale.)

Bon, << runtime >> est plus discutable.

J'abonde dans ce sens. Turtoise est une manière naturelle d'intégrer CVS dans le système, peut-être de la même manière que la version ligne de commande est naturelle dans une CLI unix.

J'ajouterais que ça donne une excellente vue d'ensemble (avec les couleurs et la présentation hiérarchique) et qu'il existe un équivalent portable et peut-être meilleur, d'ailleurs : un mode cvs standard pour emacs (M-x cvs-status).

Et alors ? C'est un service. De plus gratuit et de qualité.

Sourceforge n'est pas fait pour heberger ce genre de sites, justement ?

2:301/330.16

C'est fou comme ça revient tout seul.

Mon node c'était Handy BBS, un haut lieu de jeux piratés pour Amiga. C'était payant, mais j'avais pu obtenir un accès guest pour poller, vu que c'était le seul BBS dans ma zone de facturation locale.

Je fais mon service civil dans un centre qui dépend de l'État du Valais (canton suisse dont la capitale est Sion). Ici, ça n'est malheureusement pas si rose. L'administration est pas mal informatisée et foutrement dépendante de Microsoft. Il n'y a pas que Exchange, ça va plus loin : ils sont en train de repenser le site web et veulent centraliser les pages de tous les départements et autres machins qui dépendent de l'État. Pour éditer ces pages et pour d'autres opérations, il sont en train de mettre au point une interface via le web. Mais un truc terrifiant, qui utilise des DLL et des composants Windows (pour faire du wysiwyg dans la page et intégrer des trucs comme le copier-coller). Inutile d'essayer d'utiliser ça avec autre chose que IE. Le pire c'est que je ne saurais pas trouver une solution libre aussi commode pour les utilisateurs... En plus, ils ont des tarrifs préférentiels pour les licenses. Ainsi tout le monde pense << profiter >> de logiciels meilleur marché. Ca fait peur. Je suis sûr qu'un jour ou l'autre ils devront faire machine arrière. Et vu comme c'est omniprésent, ça va être un sacré boulot. Autre témoignage : j'ai passé aussi quelques années à l'EPFL de Lausanne (école d'ingénieurs). Linux est assez présent dans les laboratoires (ça dépend des domaines; plus en compilation qu'en infographie, par exemple, où ça se la joue Irix de SGI), mais pas dans les salles d'informatique. J'ai fait info, pourtant, et l'on a goûté qu'à du Solaris (enfin, on devrait dire GNU/SunOS, vu les logiciels à disposition, c'est vrai). C'était au moins des dizaines de postes UN*X, et les étudiants devaient les utiliser (et par là même quelques logiciels libres) s'il voulaient profiter de l'infrastructure de l'Ecole (mails, web, rapports, etc...). Maintenant une salle de PC suplémentaire flambante neuve est à disposition, avec Windows XP. Ça change la donne. Domage. (Dernière info au passage : le choix du Conseil Fédéral pour les logiciels libres va par exemple jusque dans les bureaux du Tribunal Fédéral, et probablement tout l'administartion fédérale. C'est une bonne chose et ça rassure mes préocupations pour la protection de ma vie privée.)

Ces mesures sur Google donne juste une tendance générale qui dit qu'on a dans les 90% d'utilisateurs qui utilisent IE. Seulement ces tendance varient, à mon avis, d'un site à l'autre (imaginer msn.com ou linuxfr.org, sans préjugé). Je pense ainsi que ce qui doit décider un webmaster à soigner la compatibilité de son site, mis à part l'idéologie libre, dépend de son audience. Un hebergeur sérieux permet de faire ce genre de statistique HTTP pour un site ciblé (ou bricoler avec JS/PHP -- et rester << standard >> ). Et un webmaster devrait prendre la peine d'essayer le site avec tous les navigateur dont la proportion est significative.

Je fais mon service civil dans un centre pour handicapés. Ils y développe depuis des années des softs pour personnes handicapées mentales et polyhandicapées, principalement des jeux pédagogiques (qui souvent ont un champs d'application qui s'étend au delà des personnes handicapées).

Nous avons entrepris depuis plusieurs semaines de mettre à disposition ces logiciels selon les termes de la GPL (il étaient simplement freeware avant). Nous espérons d'ailleurs que la comunauté saura participer à ces projets.

Le site : http://alphalogic.sf.net(...) .
Et sur sourceforge : http://www.sf.net/projects/alphalogic(...) .

J'ai encore gardé un backup de l'ancien site qui comportait une fiche de présentation des logiciels avec des screenshots :
http://alphalogic.sourceforge.net/old/alphalogic/alphasoft.htm(...) .

NB: pour diverses raisons ces softs sont pour la plupart écrits en VB et sont prévus pour les plateformes win32.

C'est l'exemple le plus parlant que j'aie vu qui puisse servir à montrer aux gens que les concepts du logiciel libre sont naturels et bénéfiques.

> où est la démocratie si les gens votent en fonction ce qu'ils percoivent dans les pricipaux médias contrôlés par les dirigeants politiques de l'Etat ou par des grands groupes qui ont pour pricipal client l'Etat et financent les partis au pouvoir ? Une question à ce sujet (un poil hors contexte, j'avoue) : La démocratie consiste à suivre la décision de la majorité. Mais cette décision, dans l'esprit démocrate, dépend-elle