Henry-Nicolas Tourneur a écrit 401 commentaires

mwé mwé...

> ses propos sont à mettre sous le compte de la folie
Ou de l'humour (je l'ai créé toussa) ?

Si tu es toujours sceptique, peut tu répondre à mes posts ci-dessous ?
Ne voit pas ceci comme une quelconque agression mais, comme je l'ai déjà dit, je ne suis pas un expert du domaine donc je ne fait que livrer mon analyse de la situation (qui est donc potentiellement éronée).

Si ce que je pense est incorrecte, je préfère mille fois que tu me corrige plutôt que d'en rester là.

Et pour la désactivation du réseau c'est un peu ridicule. Évidemment qu'on ne sait pas le désactiver !

Si tu coupe les pc identifier comme faisant partie des botnets tu coupera peut-être la moitié des pc connectés au net dans le monde, pas très réaliste.

Quand à une potentielle détection du trafic généré par un attaqueur (dans le but de le bloquer bien entendu), je vois difficilement un ISP scanner tout le trafic de tout ses abonnés (sans compté le fait que les communications sont sûrement cryptées) avec une sorte d'IPS pour bloquer le trafic illégitime. Ca voudrait dire des mises à jours régulière, des potentiels faux positifs (soit utilisateurs pas content), des ISP pas neutres sur le transport des données (ce qu'on leur reproche parfois), une énorme consommation de ressource...

Bref, la solution n'est pas dans la désactivation de quoi que ce soit mais plutôt dans le fait de responsabiliser les gens face aux problèmes de sécurité.

Je ne sais pas exactement comment les virus fonctionnent car je ne suis pas un spécialiste du domaine.
Mais ce serait obligatoirement moins performant (et ça les spammeurs veulent surement l'éviter), de plus, la gestion du botnet doit certainement se faire de manière centralisée, via les pcs des pirates, les pc verolés ne sont que des terminaux sans intelligence qui obéissent aux ordres.

Imagine un peu que tu es un pirate, tu as ton petit botnet de 10 000 machines, tu lance une attaque par spam car une gentille société X te paye pour. Le résultat de ton attaque avec les queues est que tu ne sais pas prévoir à l'avance quand tes queues seront vides, donc quand tes pc clients seront à nouveau pleinement opérationnels (pour un système qui se doit d'être très rapide en étant discret, sinon l'utilisateur moyen appelle son neveu qui formate la machine pour remettre XP).

Le fait de devoir gérer les queues rallongera le temps de tes attaques, donc tu as moins de temps pour l'attaque suivante donc moins d'argent. On peut imaginer que le pirate puisse donner un ordre aux clients de flusher la queue, alors on peut se poser la question de l'intérêt de la queue...

Outre le fait que c'est plus complexe je crois que la perte de temps est un élément assez important.

Je n'ai pas de chiffre, mais le greylisting n'est pas utilisé partout car il est chiant (les délais - donc les spammeurs préfèrent sans doute l'ignorer plutôt que dans se lancer dans des trucs super complexe). Le whitelisting est plus récent et peut être pas encore trop trop répendu.

La j'ai un doute...
D'abord l'idée même de greylisting (trop contraignent certe, mais à la base du problème pour les spammeurs) n'est pas récente.

En plus, le ver qui envoie les mails doit être léger. T'imagine ce que ça donnerait si tu devait maintenir des queue de mail "deferred", ça implique regarde les codes de retour en SMTP, maintenir une queue, avoir un démon qui regarde la queue et gère des timers...

Sans compter que ça freinerai bien les performances de devoir envoyer plusieurs fois.

Pour une implémentation de SMTP en 10 lignes ça fait beaucoup, en 10 lignes ce que le vert doit faire c'est ouvrir une connexion, dire HELO, balancé sa merde et basta.

Alors autant inclure directement Postfix dans ton ver...

Ceci dit, ça n'exclut pas la possibilité que les spammeurs aient une autre idée génial pour contrer ce mécanisme, mais les tentatives multiples, j'ai un doute.

Souvent les messages envoyés automatiquement passe par un serveur SMTP non ? En fait, si c'est l'application qui envoie l'email qui fait le dialogue en SMTP avec le serveur ou whitelister tourne alors tu risque un problème. Si l'application qui envoie les emails passe par un serveur smtp en local, ça devrait pas poser de soucis.

Enfin, c'est ma déduction logique, c'est correcte non ?

De plus il me semble qu'un nombre non négligeable de serveur mails utilisent des techniques comparables donc les logiciels qui envoient des emails automatiquement ont tout intérêt à bénéficier des mécanismes d'un serveur smtp leur permettant de s'assurer de l'envoie de l'email.

Je peut modifier la config de MySQL pour logger plus, ça oui (mais je ne sais pas quelle option il faut utiliser).
Les applications partagent un login mysql unique (je sais c'est pas super niveau sécu mais tout appartient à la même personne...).

Pour le CFML, c'est railo qui se charge de l'établissement de la fin des connexions, y a pas de connect ou de close en cfml, on spécifie juste une ressource. Mais je suspecte que ça vienne de la à cause du tout vieux connecteur (en v 3.0 au lieu de 5.0).

Pour le PHP je pense pas que le soucis soit là, je dit ça parce-que je sais quel sites représente quoi sur ce serveur et je sais qu'a la vitesse à laquelle on atteint ces 40% de connexions "aborded" ça ne doit être qu'un site fort visité (ou des sites) et là c'est en CFML.

Normalement le connecteur mysql est un .jar, je ne sais pas si je peut me contenter de le remplacer par un plus récent de chez MySQL. Une idée ?

Franchement je connaissais pas ce logiciel et il est super.
Je n'utilisait pas les greylisting effectivement à cause des latences mais j'utilisais par contre une rbl.

Sinon vous mettez quoi dans votre fichier /etc/whitelister.conf ?
Moi j'ai juste les deux rbl par défaut plus un ancien : zen.spamhaus.org

Tiens petite question annexe : tu dit que toutes les applis php codées sans pdo sont suceptibles d'avoir des fuites de connexions. Qu'en est-il de adodb ? Il gère ça aussi ?

En fait il n'y a aucun problème, tout tourne parfaitement, pas de soucis de mémoire ni rien.
Donc c'est plus pour avoir la sensation d'avoir un setup bien fini qu'autre chose.

Sinon, vu la vitesse à laquelle les connections "aborded" augmente lors d'un redémarrage de MySQL pour arriver à 40%, je pencherai d'office pour une application fort utilisée. Sur ce serveur, ce qui est le plus visité ce sont des sites en CFML (hormis le wrapper php pour maildrop qui est très très utilisé mais lui il est clean).

J'ai lu des articles de comparatif entre l'engine d'adobe et Railo ou on disait entre autre que le connecteur fourni par Railo est un vieux connecteur pour MySQL 3. Je ne sais pas si ça peut poser problème et je vais sans doute devoir bien me renseigner avant d'envisager la mise en place d'un connecteur plus récent.

Oui ça ce serait une explication logique. Néanmoins les sites web ou applications que nous avons écrit et qui tourne en PHP font bien des mysql_close et les autres sont des applications tellement populaires que je leur fait confiance pour des trucs aussi bancal.

J'avais également lu à l'époque de mes premières investiguations que cela pouvait améliorer les choses de désactiver les connections persistantes en PHP, je l'ai fait mais ça ne change rien.

Je doute que la faute soit au code en PHP, car en PHP il y a :
- Essentiellement des logiciels connus que j'utilise (egroupware, phpmyadmin, drupal, un soft de mailing list à la con)
- Un site web qui ne pose pas de problème (code bien inspecté).
- Un "wrapper" qui sert à faire le lien entre postfix et maildrop, code lu et relu et rerelu, marche niquel.

Donc le problème vient soit de courier soit de railo, j'ai un petit penchant pour Railo mais bon... c'est pas très objectif.

Je ne pense pas qu'il faille en arriver au gestionnaire de paquet. Juste le fait d'avoir une entrée "Internet Explorer" dans les "add and remove programs", peut-être des clés de registre...

Tout ceci me semble tout à fait faisable sans trop d'effort. Sinon, si Windows au complet a intrinsèquement besoin de IE pour fonctionner, c'est que c'est vraiment pourri, ça j'en sais rien.

Ils n'ont qu'a fournir le port de wget avec Windows par défaut. Comme ça, un petit wget et hop tu as Mozilla Firefox. :-)

Non mais sérieusement, je crois que ce serait déjà assez apprécié de pouvoir complètement supprimé Internet Explorer du système comme n'importe quel programme normal pour ensuite pouvoir définir un autre navigateur par défaut.

Pour reprendre la signateur d'un posteur de LinuxFR (dont je ne me souviens plus du nom) :
XML is like violence : if it doesn't work, use more.

Ceci dit je trouve que xml n'est pas si si inbuvable (question de point de vue) que ça et je suppose que les config en xml facilitent le chargement de la configuration dans le logiciel.

Personnellement, je n'en sais rien, note que cette phrase vient de l'article.
On peut néanmoins noter que la politique actuelle de Canonical ne semble pas vraiment avoir pour but de générer de gros profits.

C'est vrai quoi, qu'est-ce qui les empêche de vendre (comme RedHat) leur versions serveurs d'Ubuntu (troll à part, sinon on va me dire que personne utilise Ubuntu sur serveur) avec un support ?

Pour le reste c'est dur à juger vu qu'on ignore ce que rapporte les partenariats avec Dell ou autre...

rcconf est effectivement disponible mais ce n'est pas cette fonctionnalité qui est recherché.
La fonctionnalité recherchée c'est les boutons démarrer et arrêter que tu peut voire dans la capture postée dans un commentaire plus bas.

> A propos quand on va dans l'applicatif permettant d'activer/désactiver les services, ya un moyen de les redémarrer via cette interface ?


Malheureusement, non.
Si quelqu'un connais une UI capable de faire ça (autre que BUM qui est hideux à mon sens), je suis preneur.

Effectivement, je me demande d'ou me vient cette déformation ...
Merci pour la précision.

Je suis d'accord avec toi et je trouve que ça cadre assez bien avec le côté Golden Boy qui aime se faire remarquer.

Je doute trèèèèèèèèès fort que Shuttlework soit con, alors quand il a proposé de synchroniser les cycles de release des logiciels/distributions majeurs, c'était sans doute aussi pour se faire remarquer (en partie) non ? il a quand même pas cru que ça allait prendre hein !

Probablement que si, il a du être résolu et archivé. T'imagine le volume de donnée si tu doit conserver tout les bugs enregistré ?

Wow j'ai crut comprendre qu'il habitait dans le coin de Londre.
T'imagine les mega latence que les pauvres africains doivent avoir avec ces serveurs ?

Ben à mon avis, du gigabit en tant que particulier tu ne l'aura déjà pas en passant par un FAI classique. En tant que Belge, je peut te citer les prix de Belnet, tu peut aller voire ici :
http://www.belnet.be/fr/index3.php?tekstnr=225

Bon il est à noté également que Belnet ne fournit normalement de la connectivité qu'aux administrations/écoles/centre de recherche, donc c'est un opérateur un peu à part.
Mais déjà tu vois les différences de prix entre une 100 et une 1000 c'est pas négligeable.

Si tu veut aller au fond des choses, autant te connecter directement à Level 3 ou un autre Tier 1 mais ça doit couter assez cher ;-)

Et puis en tant que geek, faut se dire que y a un aspect optimisation du trafic que tu aura plus avec une 100 mbps qu'une gbps. Parce-que comme tu es un geek prévoyant, tu sais très bien qu'en lançant ton service SourceForge 2 (ou autre, au choix), tu va utiliser ta bande passante beaucoup plus qu'avec ta gigabit donc tu aura en un coup une activité supplémentaire dont tu ne bénéficierai pas (ou moins avec une gigabit), il est pas beau le monde hein hein :-).

> golden-boy milliardaire à la tête d'un projet du monde Linux : pouf, maître spirituel
L'image m'a bien fait rire lors de la lecture de ton commentaire ;-).

Sinon la fibre oui,le gigabit je crois que c'est exagéré. Même si j'étais milliardaire, je vois mal l'utilité que j'aurai d'une gigabit à moins de se lancer dans des services communautaires genre des miroirs pour distributions ou encore des forges etc...

Alors que c'est quand même une chose à étudier parce-que se lancer en tant que particulier dans du hosting gratuit de projet (à la SourceForge quoi) ça doit prendre pas mal de temps et générer pas mal de travail.

Geek je suis, milliardaire malheureusement non, si je l'étais je crois qu'une 100 mega bits me suffirait. Note que comme ça tu compense avec des achats de matériels pour la différence de prix. En fait je suis un peu contre le fait de payer pour un truc que j'utiliserai pas...

Oui, j'avais également tiqué lors de la lecture de l'article sur le "chef spirituel" mais oublié de le retranscrire dans ce journal.

Note que l'article cerne également des points qui selon moi sont corrects :
- Canonical n'a pas pour motivation de se faire de l'argent mais bien d'être auto-suffisant.
- Ubuntu est réellement axée utilisateur et à mon sens c'est bien car il est vrai que beaucoup des autres "grande" distributions sont plus axées sur le monde des serveurs (et il faut de la diversité dans le monde des LL).

Je trouve qu'au plus on lit des choses sur Shuttlework, au plus il me semble... je sais pas comment dire ça mais il a envie de se faire remarquer (c'est l'impression que j'en ai). Parce-que s'acheter une connexion fibre en gigabit chez un particulier, je vois pas trop ce qu'il va en faire mais bon. Dans le genre, le bogue numéro 1 dans launchpad est assez provocateur également.