Foxy a écrit 660 commentaires

Cet article de recherche est très intéressant et novateur dans le domaine, je l'avais d'ailleurs lu en voyant passer le lien sur /.

Malheuresement, les modéros devraient plus faire attention lorsqu'il passe une news : dans le cas présent, la news est très bonne mais la rédaction est "nulle à chier" (si je peux me permettre). L'auteur ne maitrise clairement pas le sujet (erreurs relevées dans les commentaires) et oublient un point essentiel de l'article : la résolution en temps polynomial (d'ailleurs le modéro a été obligé de l'ajouter).

SVP, les modéros, sur les articles de recherche, si vous jugez la news intéressante et que vous la comprenez bien, n'hésitez pas à la réécrire entièremment quand la rédaction est aussi nulle.

C'est clair quand on lit la news, on prend peur et ce demande à quoi sert de construire un bordel pareil : transformer des packages Deb en RPM via Alien, puis foutre le tout dans une archive URPMI :-(

Ce serait pas plus simple et surtout plus propre de construire des fichiers SPEC corrects pour créer des RPMS sources et binaires. Au moins, l'archive URPMI serait un peu plus "saine".

Oui Nmap est porté sur ce magnifique PDA qu'est le Zaurus (vivement que j'ai le mien), voir http://www.killefiz.de/zaurus/showdetail.php?app=340(...)

A ce propos, TheKompany vient de sortir un lecteur DivX pour Zaurus :-) et il paraitrait qu'il y a aussi un portage de MPlayer et de Xine :-))

"7,45 euros c'est encore un peu cher ;) Mais il n'y a pas de pubs [..]"

D'après ce que j'ai lu récemment sur des ML, MISC aurait des soucis de rentabilité et sa parution serait en péril (Pappy son rédac-chef pourrait nous en dire plus s'il traine dans le coin).

Donc je pense que 7.45 euros pour un trimestiel d'une telle qualité, ce n'est pas cher payé. Si vous voulez que MISC continue à paraitre, n'hésitez pas à l'acheter, voir à vous abonner.

Tout à fait, pour les packages importants sur un serveur (ou même une workstation), il est essentiel de vérifier les checksums MD5 et/ou une signature GPG si elle existe (ce qui devrait être obligatoire).

Perso, je vérifie toujours les signatures pour mes packages "critiques" : GPG, Apache, OpenSSH, OpenSSL, Bind.

Pour ceux qui utilisent les packages de leur distrib (genre RPM de RedHat ou Madnrake), ils fournissent toujours des checksums MD5 avec. Celui qui ne les utilise pas, doit être crucifié en place publique ;-)

Sans vouloir démarrer un troll, c'est dommage qu'il n'existe pas d'outil équivalents en GTK (et mieux, sous Gnome).

Il existe bien Bluefish (http://bluefish.openoffice.nl/(...)) mais il n'est pas aussi évolué que Quanta :-( Si quelqu'un connait mieux en GTK, qu'il nous en fasse part.

On notera dans cet hors-série un article de Pappy (Fréderic Raynal, le rédac-chef de MISC) sur la stéganographie (art de dissimuler des infos au milieu d'autres) : assez pointu, plein d'exemples (la lettre de G. Sand par ex.) et très bonne intro sur le sujet.

Normal, c'est aussi son sujet de thèse ;-)

Je n'ai pas encore lu cet hors-série (mais je vais aller l'acheter ASAP) mais je pense que le niveau mathématique de Terminale n'est pas suffisant :-(

En effet, ne serais-ce que pour comprendre la démonstration du RSA (problème d'arithmétique des nombres premiers), un niveau DEUG sciences ou prépa est nécessaire. On aborde pas ces problèmes au lycée dans mes souvenirs (vieux de 12 ans maintenant).

Effectivement, je viens de voir ça sur le site de Kismet : on peut downloader la version pour Zaurus là http://www.kismetwireless.net/download.shtml(...)

L'appli est réferencée sur le Zaurus Application Index http://www.killefiz.de/zaurus/showdetail.php?app=116(...) et y'a même une GUI en Qt : http://www.killefiz.de/zaurus/showdetail.php?app=226(...)

Dans le concours d'applis pour Zaurus, il y'a aussi le développement d'un client Nessus et le port d'Ethrerreal sous Qtopia. Le Zaurus va vraiement devenir une machine de pirate bien discrète et portable.

Humm pour revenir à Kismet sur Zaurus, voila un bel outil de pirate bien discret : genre je me promène dans un bel immeubles de bureaux remplis de réseaux 802.11b avec mon Zaurus sous la veste, un bonne carte compact Flash 256Mo (histoire d'avoir de la place pour stocker les logs), je capture tout ce qui traine en format 'pcap'. Un fois rentré à la maison, je vais bien réussir à récupérer des bonnes petites infos pour mener mes hacks à bien (du type quelques login/password, une topo précise du réseau...) :-)

Bien d'accord avec toi, LWN est un excellent site de news sur Linux.

Perso, leur résumé hebdo est une lecture obligatoire.
Personne n'a le temps de suivre toutes les évolutions de Linux pour le kernel, la sécurité, les développements (applis ou langages), les distribs... et leur résumé est un MUST pour cela. J'apprécie particulièrement le résumé "kernel" car je ne suis pas les ML sur ce sujet.

Perso, je préfère chercher les copains de Mulder avec le projet Seti@Home ;-)

Ce qui amuse avec le projet Distributed.net, c'est qu'il tourne depuis 1735 jours et que 84% de l'espace des clés a été vérifié. C'est vraiment ce qui ça appelle "ne pas avoir de chance" !!!

Je viens de lire cet article sur le sujet sur Yahoo : http://fr.news.yahoo.com/020719/44/2ol8x.html(...)

La CNIL a été dépassée par son initiative : 20000 messages reçus depuis le 10 juillet 2002 alors qu'elle s'attendait à 10, voir 100 messages/jour !!!

Il n'y a qu'un juriste pour s'occuper de tout et le processus mettra tout l'été à être finalisé (pour l'instant ila archivent sur CD) !!

Enfin quelques conseils lorsque vous transmettez un message de spam à la CNIL :

Afin d'aider la Cnil dans son travail, il est demandé aux internautes de ne pas se contenter de transférer un spam mais de préciser, dans la mesure du possible, s'il s'agit :

* d'une liste de diffusion dont il est impossible de se désabonner ;
* d'une newsletter dont l'objet a été détourné, ou utilisé sans autorisation, pour faire la promotion d'une autre société ou produit ;
* d'une newsletter à laquelle l'internaute a été abonné alors qu'il avait coché la case « non » au moment d'une inscription.
Enfin, si l'on a reçu plusieurs fois le même spam, ce n'est pas la peine de les faire tous suivre à la Cnil.

Je profite de cette news pour féliciter un de mes potes qui participe activement au développement de Perl 5.x : Rafael Garcia-Suarez (il traine aussi sur DLFP de temps en temps) site perso : http://rgarciasuarez.free.fr(...)

C'est d'ailleurs lui qui a appliqué les patchs des sources Perl 5.8 ces dernières semaines en l'abscence du mainteneur principal.

Il est aussi responsable du résumé hebdo de la ML des développeurs Perl 5 : http://use.perl.org/articles/02/07/15/0732235.shtml?tid=12(...)

Bravo pour ton job Raf.:-)

C'est clair : la news est d'importance pour le domaine de la sécurité. Un titre du type "Rachat de SecurityFocus par Symantec" et en 1ère page serait plus approprié (un effort les modérateurs).

Espérons juste que BugTraq ne patisse pas de ce rachat ou alors que la liste puisse retrouver sonindépendance vis à vis de Symantec (mais je ne me fais d'illusions).

L'annonce officielle sur SecurityFocus : http://www.securityfocus.com/corporate/press/pressrel/50.shtml(...)

Avec certains systèmes P2P "bien conçus", ce genre de manipulation est voué à l'échec. En effet, les fakes sont vites reconnus et éliminés des fichiers à télécharger.

Je pense principalement à EDonkey (qui disposent de plusieurs clients sous Linux) associé aux moteurs de recherches Jigle (http://jigle.dyndns.org(...)) et FileFinder (http://www.filefinder.com(...))

Pour les autres systèmes P2P, il y a des discussions en cours pour ajouter des fonctionnalités de scoring de fichiers.

Perso, si je veux récup des MP3, je vais d'abord sur FreeDB (http://www.freedb.org(...)) pour trouver la liste des titres et leur durée, et ensuite je télécharge ceux qui me paraissent correspondre. Ca évite déjà les fakes grossiers pour les MP3 (genre morcaux de quelques secondes au lieu de plusieurs minutes).

Juste une petite question : quelqu'un sait qui est le "gamin" sur cette photo (2ème à droite) : http://tres.mauvaise.info/lsm/the-ldp-team.jpg(...)

Il a l'air d'avoir 12-13 ans : jamias vu aussi jeune dans des confs :-)

C'est clair, pour toutes les archives sur les site FTP, on devrait avoir les signatures MD5 comme vérification de base (mais qui peuvent être usurpées lors d'un hack en même temps que l'archive modifiée) et une signature via GPG qui elle ne peut être contrefaite si le signataire est connu.

Encore que cela demande que la certification de la clé publique du signataire soit faite correctement...

Dire qu'il y a 2 ans, la procédure "ICANN @Large" (désignation de représentants à l'ICANN pour chaque continent par les internautes) avait suscité beaucoup d'espoir : 1ère expérience de vote online à grand échelle, représentativité démocratique des utilisateurs... Et en plus, en Europe et aux US, les élus (Andy Muller-Maghun du CCC pour l'Europe) étaient "emblématiques" d'un mouvement alternatif en informatique.

Quand on voit ce que cela a donné aujourd'hui, il y a de quoi être déçu :'-(

Le decouvreur du vers (Domas MItuzas) vient de recevoir le code source du ver dans son mail !!!! Il vient de poster la news sur BugTraq.

Le code du vers est dispo ici, pour analyse : http://dammit.lt/apache-worm/apache-worm.c(...)

Oui effectivement, on peut reprocher la "proximité" de Ross Anderson avec M$ à Cambridge. Mais je connais personnelement un gars qui travaille chez M$ Research et qui l'a eu comme directeur de thèse, eh bien, Ross Anderson est quelqu'un de très fort en sécurité informatique et de très respecté dans le milieu de la recherche internationale sur le sujet. Vous n'avez qu'à consulter le nombre de papiers qu'il a écrit sur le sujet et sur la crypto pour vous faire une idée. Il contribue aussi beaucoup à "l'évangélisation de masses" au travers de nombreux articles dans la presse grand public.

Juste une petite satisfaction pour les fans de Gnome, en voyant cette jolie image : http://www.linuxjournal.com/modules/NS-lj-issues/issue99/6011f4.png(...)
Une jolie tête de Yoda au milieu d'un environnement Gnome :-)

SVP pas de troll

Le gros, ce sera du militaire/DST "numérique et intelligence artificielle". Ca ne vous dit rien, Frenchelon ?...

Désolé de te contredire mais même si la DST fait effectivement de l'interception et des écoutes en France, l'utilisation de telle bestiole pour "casser du chiffre" est du ressort de la DGSE (nos espions extérieurs, pour ceux qui ne connaitrait pas).

La DGSE dépend du ministère de la Défense, est responsable du "chiffre" (la crypto) en France avec le DSCSSI et finance même quelques thèses et projets de recherche discrets à l'INRIA, CNRS et CEA.

Je ne voudrais pas être cynique mais notre dévoué Fabien Penso (fondateur de LinuxFR et développeur de DaCode) y va aussi fort sur sa moto (suffit de voir sa page perso pour s'en convaincre, il parle que de ça).

Alors Fabien STOP !!!

C'est clair !!! Pour faire moi-même du parachutisme, il est net que c'est un "sport" nettement moi dangereux que la moto (procédures de sécu renforcées, voile de secours, formation très sérieuse).

Par contre, tous mes potes qui font de la moto se sont cassés la gueule au moins une fois. Et pour certains, ça les a calmé au point de plus en refaire.

Perso, je trouve beaucoup plus simple et propre de renvoyer un petit ( n fois 100 mails :) ) MAILER-DAEMON ( failure notice) en disant que l'email n'existe plus.

Oui effectivement, valider son adresse mail en répondant au spammeur ou en cliquant sur le lien REMOVE, n'est pas bien malin.

La bonne solution est celle que tu proposes : un BOUNCE de la part du MAILER-DAEMON sur l'adresse email est efficace ou tout au moins emmerde la spammeur.

Par contre, l'envoyer 100 fois, c'est tout aussi con, UNE FOIS un BOUNCE est amplement suffisant si le MTA du spammeur en tient compte.