gabuzo a écrit 236 commentaires

wu-Imapd est efectivement réputé pour ses bugs de sécurité (tellement d'ailleurs que sous FreeBSD la compilation du port se traduit par un texte d'avertissement recommendant de ne surtout pas l'installer). Concernant les alternatives j'en connaît deux :

• Courier imap (fait partie du serveur Courier mais peut être exploité seul) : http://www.inter7.com/courierimap/(...) ;


• Cyrus Imap : http://asg.web.cmu.edu/cyrus/(...)

C'est étrange, j'étais passé d'une G200 à une geForce justement parce que Matrox était incapable de faire un support OpenGL convenable [...] C'est vrai Matrox ne fournissait pas de drivers OpenGL pour Linux. Cependant la grosse différence entre Matrox et ces concurrents est qu'ils ont toujours fournis relativement facilement les spécifications de leurs produits y compris pour une exploitation "hobbyiste" ou open source.

Une solution serait que l'utilisateur puisse séparer ses signets entre des signets public et des signets privés et que le serveur crypte ces derniers signets lors de leur stockage grâce à un mot de passe (ou plutôt une phrase) qui ne serait pas stockée sur le serveur. Ceci-dit cela reposerait toujours sur une relation de confiance avec le fournisseur du service puisque rien ne te garanti qu'il ne fera pas tourner une version patchée du serveur ne faisant pas le cryptage.

La seule solution qui peut se passer de confiance entre l'utilisateur et le fournisseur serait que le chiffrement s'effectue sur le poste client avant envoie au serveur. Mais cela nécessiterait de développer un client par architecture :-(

Je pense que c'est une connerie d'acheter un tel CD et de se dire qu'il y a aura un crack permettant de passer outre. Pour l'éditeur la seule chose qui compte c'est le nombre d'album vendu et le taux de retour. S'il n'y a pas de différence significative entre les albums protégés et les autres, les protections se généraliseront et les éditeurs utiliseront alors les lois telles que la DMCA celles qui suivront pour rendre la création, la distribution ou le téléchargement de crack trop risqués pour constituer une solution viable.

Effectivement si c'est marqué il n'y a pas de problème mais reste à savoir ce qui est marqué et comment cela est marqué. S'il y a en gros sur le devant quelque chose expliquant que le CD est protégé contre la copie est qu'il est dangereux de le lire sur un ordinateur, effectivement il n'y a pas de problème. En revanche s'il ne s'agit que d'un avertissement laconique (indiquant juste l'impossibilité de lire sur un ordinateur, sans mentionner les dangers) en petit sur l'arrière de la pochette caché à moitié par l'étiquette c'est anormal.

5) La version originale est en polonais

Il est clair que, par exemple, sur de l'embarqué comme dans le cas des cartes bancaires, multiplier par 4 la longueur de la clé est un vrai problème.

Ceci dit un facteur 4 ne change pas vraiment l'ordre de grandeur. S'il faut 1000 ans pour "casser" une clé il en faudra 250 avec cette nouvelle méthode et s'il fallait 4 secondes il n'en faudra plus que 1. Suivant la loi de Moore ce facteur 4 se traduit pas 3 ans d'avance en terme de puissance CPU. Pour donner un ordre d'idée de la durée de vie d'un algo on peut, par exemple s'inpirer du DES qui a été adopté en novembre 1976 il y a bientôt 26 ans. Cet algo est maintenant dépassé, certes mais sa durée de vie est sans commune mesure avec les 3 ans d'avance que donne cette nouvelle méthode de factorisation.

C'était vrai mais il me semble que petit mou a modifié sa license et qu'en cas de non acceptation il demande maintenant de retourner non plus le logiciel mais l'ensemble matériel et logiciel.

Ce n'est pas faux mais si je reviens sur les deux principaux vecteurs de virus ces derniers temps qui sont Outlook et IIS je me permettrait de faire quelques remarques.

D'une part MS est connu pour traiter les aspects sécurité par dessus la jambe (voir par exemple le cryptogramme de novembre http://www.counterpane.com/crypto-gram.html(...)). Même si Apache sous Unix (Linux, *BSD et les autres) a une popularité comparable à IIS (à la fois globalement et en pourcentage sur une plate-forme donnée) on a pas encore vu de bug sous Apache permettant de faire des vers comme Nimda et ses copains alors que l'année 2001 a été une véritable avalanche de trous de sécurité dans IIS. Je pense donc que IIS souffre à la base d'une mauvaise conception et qu'il sera très très dur de faire des corrections a posteriori sans tout remettre à plat.

S'il est vrai qu'un programme userland peut détruire les données d'un utilisateur aussi facilement sous Unix que sous Windows ; je pense malgré tout qu'il est nettement plus courant d'avoir les pleins pouvoirs sous une des différentes déclinaisons de Windows que sous Unix. Au boulot par exemple je suis admin de mon poste car il faut que je puisse lancer IIS dans le cadre des développements. Sur la machine Linux d'à côté je n'ai pas eu ce besoin car il a suffit de configurer apache pour se lancer sur un port >1024 pour que je n'ai pas besoin d'être root. Et quand bien même j'aurai eu besoin d'un accès root la différence aurait été importante car j'aurai travaillé sur la machine Linux en tant qu'utilisateur lambda et j'aurais en cas de besoin fait un su. Au contraire sous Windows je travaille tout le temps avec un compte adminstrateur parce que le concept de SU n'existe pas. Tout ça pour dire que sous Unix le multi-utilisateur est un concept qui existe depuis longtemps, plus mûr et donc plus à l'esprit des développeurs que sous un Windows qui est toujours monoutilisateur si l'on n'y ajoute pas d'extensions non standards.

Enfin, dernier point, l'avantage de Linux sur Windows est ce que l'on pourrait appeler la "biodiversité". En entreprise, il n'y pas si longtemps de cela la très grande majorité des postes étaient (et doit toujours l'être) en Windows NT4. Sous Linux en revanche je ne pense pas qu'une distribution (et même qu'une version d'une distribuion) jouisse d'un tel monopole. La compatibilité avec toutes les distributions qui pose de tels problèmes aux éditeurs de logiciels se posera aussi pour les auteurs de virus. Pour le mail le raisonnement est le même : je doute qu'il existe sous Linux un lecteur de mail ayant la même popularité que Outlook. Sans même parler des logiciels de L33t en texte on trouve kmail, balsa, mozilla, netscape et peut être un jour evolution sans que l'un ne semble s'imposer.

En conclusion je ne dit pas que Linux ne pourra pas être atteint par des virus, cela arrivera probablement, mais je ne pense pas qu'il ne sera pas alors un vecteur aussi efficace que Windows ne l'est actuellement.

C'est du DES simple, le triple DES reste donc extrêmement sûr. Cependant le triple DES présente le gros inconvénient d'être trois plus plus lent que le DES et comme celui-ci n'est déjà pas véloce le résultat est assez dramatique.

La taxe a été annoncée comme un moyen de compenser les pertes dues aux copies privées qui sont légales sous le régime de la loi du 11 mars 1957. Et non les copies pirates qui elles restent illégales.

Personnellement, je trouve qu'une clé 128 bits semble un peu faiblard aujourd'hui,

Tu te bases sur quoi pour dire ça ? Attention l'effort requis pour décrypté un message par la force brutale n'est pas proportionnel au nombre de bits dans la clé mais à 2^nbbits. Ce qui signifie qu'ajouter un bit à une clé double l'effort nécessaire. Pour donner un ordre de grandeur ajouter 32 bits à une clé signifie multiplier par plus de 4 milliard l'effort nécessaire ce qui revient à dire que s'il n'y avait qu'un seul ordinateur sur terre pouvant décrypter un message avec une clé de 64 bits dans un temps raisonnable il faudrait, pour pouvoir faire de même avec une clé de 96 bits (32 de plus) équiper quasiment tous les habitants de la planète avec le même ordinateur. Et encore il ne s'agit que d'ajouter 32 bits alors que l'AES propose de passe des 56 bits du DES à un minimum de 128 bits soit 72 bits de plus.

En gros, ils prédisent qu'une attaque du type de celles que mènent Dnet ne pourra être mise en oeuvre avant une vingtaine d'années (HEU PRECISION: c'est moi qui dit que ça ressemble au type d'attaque de Dnet, dites moi si je me trompe :o).

Alors, est-ce un trop plein de confiance (ce qui est rarement bon ...) ou un défi ?

Je ne pense pas que ce soit un trop plein de confiance. En effet un challenge DNet est en cours depuis plusieurs années sur une clé de 64 bits sans succès pour l'instant. Sachant que AES est prévu avec des longueurs de clés de 128, 192 et 256 bits prédire 20 ans avant qu'une attaque brutale soit possible me paraît raisonnable.

Reste effectivement la possibilité que quelqu'un trouve une attaque nettement plus efficace de la force brutale malgré les études qui ont été faites sur la robustesse de l'algo. Mais c'est à mon avis impossible à prédire.

En France actuellement il n'y a rien d'illégal à posséder ou acheter un lecteur dézonné ou à dézonner un lecteur. Les problèmes de légalité concernent la territorialité des droits. Mais là encore aucun rapport avec les zones puisque de ce point de vu un disque Z1 est aussi interdit à la vente en France qu'un Z2 anglais, belge ou japonnais.

Pour moi c'est deja fait : je n'achete plus rien avec un logo SACEM, ou provenant de ces majors

Bon pour la SACEM je vois comment mais pour les majors c'est de plus en plus dur. Je sais qu'il existe des petits labels mais je me demande s'ils ne sont pas au final distribués par des majors (tiens d'ailleurs il faut que je regarde qui distribue Boucherie Prod'). Je sais qu'au ciné il y a beaucoup de petits studios qui ont été finalement racheté par des majors (Newline par Warner, Carolca par Universal, Working title par je ne sais plus qui).

Sans vouloir jouer les pessimistes, après l'adoption du DMCA il était évident qu'apparaîtrait des systèmes destinés à contrôler les possibilités des consommateurs le but ultime serait d'arriver à un système dans lequel le particulier perdrait la notion de possession d'une oeuvre (film, musique, etc.) pour ne plus en être locataire que pour une période données.

Avant d'être un codec qui fait chier Hollywood, Divx était le nom d'une société qui proposait un standard dérivant du DVD et dans lesquel il était nécessaire de payer à chaque vision du film (même si l'on avait acheté le disque). Au final le système a été un flop mais uniquement parce qu'il fallait acheter un lecteur spécifique car plusieurs studios dont Disney avaient apportés leur soutien au système. Dans une catégorie proche on trouve le zonage des DVD, CSS, la macrovision ou le watermark de merde utilisé sur les DVD audios.

Et le rapport avec DMCA ? ET bien c'est simple jusqu'à présent pour qu'un système de protection d'accès ou de copie soit intéressant il fallait qu'il soit bien conçu, robuste, etc. Sachant que les systèmes de protection contre la copie ne fonctionnent pas éternellement (même en théorie) et que les personnes travaillant dessus ne sont visiblement pas des kadors (voir par exemple CSS avec un clé sur 40 bits arf) on se rend rapidement compte de l'inutilité de l'affaire.

Avec le DMCA tout change puisqu'indiquer comment contourner un système de protection (aussi ridicule soit-il et quelqu'en soit les motivations) est passible de prison et de lourdes amendes. Pis encore, le DMCA ne donne pas aux industriels de limitations à respecter. On peut donc s'attendre dans les prochaines années à encore plus de système de protection contre tout et n'importe quoi (je ne sais plus où mais j'avais lu qu'un pionnier des ebooks avaient une licence qui interdisait de lire le livre à haute voix).

Certes mais si rien sur le disque n'indique qu'il n'est pas lisible sur les ordinateurs --- et quand bien même se serait indiqué cela ne résoudrait pas le problème de "certains" lecteurs de CD incapables de les lire --- je ne pense pas que la magasin fera trop de difficultés. En cas de refus appliquer la méthode ©Virus informatique : y aller un jour d'affluence à deux faire un peu de scandale, refuser d'aller régler l'affaire dans un lieu à l'écart, etc.

Ca veut pas dire que les majors doivent absolument respecter ce droit, s'ils veulent empêcher le piratage c'es "légitime".

Pas faux mais depuis la taxe Tasca le problème est un peu différent. D'un côté les éditeurs (et les gros plus particulièrement) touchent de l'argent destinée à compenser les pertes dûes aux copies privées (légales par opposition au piratage) mais de l'autre ces même sociétés mettent en place des systèmes destinés à empêcher ces dites copies.

Ou disons plutôt « la population concernée par cette restriction est assez faible pour l'instant ». Si l'on a encore un peu de liberté dans le domaine de la vidéo c'est uniquement parce qu'il n'existe pas encore de solution grand public numérique de bout en bout. Mais c'est à l'étude et les studios US on déjà pris des précautions (par exemple si l'on ne trouve des lecteurs de DVD à sortie progressive --- non entrelacé --- qu'en NTSC c'est uniquement parce que les studios on interdit la sortie analogique progressive dans une résolution supérieure à 480 lignes). Pour le passage à la haute définition il est prévu qu'il ne sera possible d'en profiter qu'à condition d'avoir un équipement numérique de bout en bout et supportant des systèmes de cryptage. Avec les lois de type DMCA, EUCD ou le projet américain sur les ordinateur devant inclure obligatoirement des systèmes de protection contre la copie le tout sera "inviolable" dans les faits (pas techniquement, juste impossible à trouver facilement).

Bref tout ça pour dire qu'à un moment ou un autre tout le monde sera concerné et M. Toulemonde, regardant son PVR (Personal Video Recorder -- Tivo et autres systèmes enregistrant sur disque dur) tout neuf, aura une pensée nostalgique pour son vieux VHS qui lui permettait d'échanger des films avec ses collègues et qui n'effaçait pas automatiquement au bout de xx heures les films qu'il avait enregistrés à la télé.

<mode value="pessismiste">
Mais bon à ce moment là ce sera trop tard.
</mode>

Dans la série le 11 septembre à bon dos ou les journalistes relaient la propagande sans trop se poser de questions il y a deux points de l'article dont il vaut mieux rire ...

[...] la NSA serait peut-être capable, compte tenu de la puissance de ses supercalculateurs, de "casser" un certain nombre de messages chiffrés, mais cela prendrait des semaines ou des mois.

Bref on est malheureux à la NSA les terrosistes sont plus forts que nous boouh c'est affreux, les fondations de la démocratie sont en péril et les méchants terrosistes vont venir faire exploser vos hamster jusqu'à votre domicile ... On donnerait presque son vieux PC XT à 4,77Mhz ou son ZX80 pour participer à l'effort de guerre.

Bon plus sérieusement il est probablement vrai que la NSA ne pourrait pas décoder suffisament vite tous les messages chiffrés qui passent par mail.

Plus loin on trouve cependant :

Les enquêteurs ont identifié des centaines de courriers électroniques en anglais et en arabe envoyés par les pirates de l'air.

Comment ces braves enquêteurs arrivent à savoir que les messages sont en anglais et en arabe sans les avoir décryptés ? Soit ils ont réussit à les décrypter et à ce moment là pourquoi la NSA, la CIA et le FBI font la manche pour avoir des lois qui leur laissent encore plus les mains libres ; soit aucun message n'a été décodés et à ce moment là cette phrase n'est que propagande puisqu'il est impossible d'affirmer ni que ces messages sont en anglais, arabe, urdu, farsi, etc. ni qu'ils s'agit de messages ayant rapport avec les attentats ...

Le but n'est pas de le gagner mais plutôt comme le dit Joystick de forcer le FAI à un arrangement à l'amiable: la plainte sera surement abandonnée dès l'accord signé.

L'arrangement à l'amiable est effectivement une pratique courante dans ce genre d'affaire mais je ne suis pas sûr que BT le recherche. En effet une décision de justice légitimera beaucoup plus le brevet de BT qu'un accord à l'amiable.

Par contre ce qui est amusant, c'est que le brevet en lui même semble légitime et que ça met l'évidence que ce n'est pas le fait qu'on brevète n'importe quoi qui est dangereux, mais bel et bien qu'on permette de protèger une idée au lieu de protèger la réalisation de celle-ci comme c'est le cas actuellement en France.

Mouais ... Tout d'abord en matière de logiciel la frontière entre l'idée et la réalisation est très très ténue. En m'inspirant de ce qui avait été présenté par la défense dans l'affaire DeCSS : un exposé en pseudo-code est une idée donc non brevetable mais alors si quelqu'un écrit un programme permettant de "compiler" ce pseudo-code le brevet devient par miracle valide, un programme qui ne compile pas à cause d'une erreur de syntaxe est-il juste une idée, etc.

À mon avis le principal problème mis en évidence avec le brevet de BT est la durée de protection complètement inadaptée aux cycle de vie de l'informatique. De mémoire un brevet protège l'inventeur pendant 20 ou 25 ans. Qui se rappelle à quoi ressemblait la micro informatique il y a 25 ans ? Pour les nostalgiques les microprocesseurs vedette du marché s'appellait 6502 et Z80 et la mémoire des micro ordinateurs se situait vers 8ko (moins qu'une carte sim d'un téléphone portable).

De mémoire dans le cas de BT le brevet a été déposé il y a très très longtemps dans un contexte tellement différent d'internet que BT a eu du mal à se rendre compte que l'énoncé couvrait les liens hypertexte.

j'avais suivi et posté à la news précédente concernant ipfrance, et ce qu'avaient dit certains qui semblaient légèrement calés en droit, bah ça me paraissait encourageant. Je vois pas trop l'intérêt de jeter l'éponge comme ça, moi ça me gênerait.

De mémoire effectivement IPFrance existait avant IFrance. L'un des problèmes était de savoir si IPFrance existait en tant qu'association déclarée depuis le début. Et quand bien même se serait le cas il faudrait aller jusque devant les tribunaux.

Pour l'histoire de Vizzavi il ne faut pas oublier qu'il s'agit d'une société du groupe Vivendi dont le patron est J6M. Si ce brave monsieur n'est pas un philantrope il convient malgré tout de signalé que contrairement à d'autres patrons il n'hésite pas à ouvrir son carnet de chèques.

Pouvait pas etre commerciale etant donne la plus grosse utilisation de ces lecteurs

Tss tss tss. Ce n'est pas parce que la première application du Divx est le piratage de films qu'il n'est pas possible de trouver des débouchées commerciales pour le codec. Sans trop chercher parce qu'il est de bonne heure. Le mpeg4 permet de mettre un film sur un disque avec une qualité supérieure aux VCD et SVCD commercialisés en Asie. Si ce format réussissait à s'imposer pour les lecteurs de salon ce serait bingo pour la boîte qui arriverait à fournir des constructeurs de lecteur de salon.

Le fait que le code soit sous GPL ne change rien du côté des brevets et il est très probablement que tout ou partie de la compression mpeg4 ait fait l'objet de brevets.

Je ne suis pas sûr que ce soit faisable.

DiVX4, OpenDiVX et probablement Xvid sont des codecs donnant des flux conformes à la norme MPEG4 (d'ailleurs Xine lit des fichiers avi encodé avec divx4 avec le décodeur ffmpeg).

Il n'est donc envisageable de fusionner les deux projets qu'à la condition que Ogg Tarkin ait pour but lui aussi de produire des flux MPEG4. Or sauf erreur de ma part l'un des buts premiers des projets ogg* est de produire des codecs libres de royalties, de brevets, etc. ce qui est de mémoire loin d'être le cas pour la série des MPEG[1247].