C'est ce que je dis. Dans ce cas le mot de passe réel (ie la seule chose qui m'est nécessaire pour m'authentifier) c'est MD5(XXX). XXX n'est qu'un codage mnémotechnique qui permet d'obtenir ce mot de passe.
Et ce mot de passe est bien stocké en clair dans ta base (vu que tu t'en sers pour valider l'authentification. Coté stockages tu as effectivement l'équivalent d'un stockage de mot de passe en clair.
Pour t'en convaincre voilà la procédure :
- je vole tes hashs
- je commence une procédure de challenge
- je recois YYY
- je fais MD5 (cryptage( HASH , YYY) )
- je suis vérifié par le serveur.
Tu n'as fait que améliorer la transmission (celui qui écoute ne pourra jamais forcer l'authentification), mais ton stockage est toujours "faible", contrairement à l'option suivante utilisée dans les systèmes habituellement :
- Je te demande ton pass (XXX)
- tu me l'envoies en clair
- je fais un hash de ce pass
- je compare le hash à ma base
Le point faible est la deuxième étape (transmission en claire), mais on peut le corriger via https.
J'ai un mot de passe "XXX", la phrase aléatoire que le serveur tire est "YYY"
1- serveur m'envoie "YYY"
2- je fais methode_cryptage(XXX,YYY)
3- j'envoie le résultat au serveur
4- le serveur fait le même cryptage ...BIP
Pour faire le même cryptage le serveur doit connaitre YYY (ça il le connait car il l'a généré lui même), sauf qu'il doit connaitre aussi XXX. Et là ça rentre en conflit avec ton assertion "le mot de passe est stocker en crypter".
Ceci dit on peut ruser, au lieu de crypter la phrase aléatoire avec le mot de passe on peut crypter la phrase avecun hash du mot de passe. Sauf que au final on tourne en rond : ce qui sera nécessaire des deux cotés pour s'authentifier ne sera plus "XXX" mais le hash de XXX et ce hash sera stoqué en clair ...
Bref, marche pas. Ce que tu résoud là n'est pas le stockage mais celui de la transmission (et coté HTTP le SSL est la solution la plus simple).
> Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri
> que je sache, parceque l'erreur est humaine et le code qui compose les applis
> héritent inévitablement de ces 'tolérances'
Bien sûr que personne n'est à l'abris d'une erreur. D'ailleurs visiblement personne ici n'a critiqué l'erreur de conf qui est à l'origine du problème.
Là on parle d'un comportement à (gros) risques connu et assumé. Il est normal que sur un comportement de ce style des questions soient posées.
> C'est de toute façon toujours plus facile de critiquer durement ce qui est ou
> n'est pas chez les autre; je ne cautionne pas.
Quand quelque chose parait anormal il est bon de le dire. Jouer l'aveugle ne fait avancer personne. Puis avec ta réflexion on ne devrait jamais rien dire ?
Les remarques ont été faites, elles ont obtenu réponse, tout s'est passé relativement correctement je trouve.
(et je ne vois pas le rapport avec le shmilblick pour ce qui est de l'image du hacker)
Et ? je ne vois pas le rapport. Libre ne veut pas dire librement téléchargeable.
Ça veut dire que "si on te distribue une copie", alors tu as le droit d'avoir accès au source, de modifier, de redistribuer ....
Ça ne veut absolument pas dire que tu as le droit d'aller télécharger la chose si personne ne t'en attribue une licence. Un soft a beau être sous GPL tu n'as pas le droit de le prendre si personne ne te le distribue volontairement : rien ne t'autorise à le faire puisque toute les autorisations éventuelles se situent dans la licence, que personne ne t'a donné. Techniquement ce n'est pas le logiciel qui a une licence, c'est toi qui a (ou pas) une licence d'utilisation de ce logiciel. La différence est justement là, si tu "trouves" (légalement ou pas) un logiciel avec une licence libre, ça ne te donne pas le droit de le prendre tant que aucun détenteur du soft ne souhaite te le distribuer.
> On vient d'augmenter le prix de gasoil automobiles pour des raisons environnementales.
Bah, la raison maitresse elle n'est même pas cachée : c'est pour gagner des sous et dissuader les gens de prendre la voiture, diesel ou pas. Et franchement à coté des augmentations du super sans plomb, celle du diesel parait ridicule.
> on ne touche pas aux prix du gasoil pour les transporteurs routiers. Alors qu'il y a le
> transport de fret par le rail
Mouais, sauf que une grosse partie du traffic "tourisme" est superflu et peut être fait autrement (autocar, train, covoiturage ...)
Ce n'est pas le cas pour le transport routier. Renseignes toi sur les facilités de transport de fret par rail et les conséquences ... c'est loin d'être aussi simple. C'est une bonne idée à long terme mais pour l'instant c'est pas magique.
> et que les camions sont un facteur de pollution majeur.
regardes le service rendu par un camion de fret, regardes la charge transportée par un camion ...
Tu verra que proportionnellement ça ne pollue pas tant que ça. À coté ta voiture de tourisme c'est beaucoup de pollution en trop.
Alors oui en valeur absolue ça pollue beaucoup, mais là où on peut se permettre de réduire facilement et efficacement c'est sur la voiture de monsieur tout le monde. Rendre le fret par camion plus cher ne changera pas grand chose : il passera tout de meme.
> Je préfère justement être vigilant à 150 km/h que de somnoler à 120km/h...
Moi je préfère etre vigilant à 120 que somnolant à 150. Ah ben oui, ça veut rien dire comme argument, mais tu noteras que c'est le même que le tien.
> Et que l'on investisse par exemple l'argent que l'on met maitenant dans des radars
> pompes à fric dans des formations obligatoires à la conduite
Sauf que comme tu l'a très bien dit plus haut, ces trucs là rapportent de l'argent. C'est au pire un investissement vite rentabilisé.
Et comme ce que ça rapporte va justement à la sécurité routière ... c'est pile le moyen rêvé pour pouvoir payer les formations qu'on n'aurait pas pu payer autrement ;)
> dispositifs électroniques adaptant les limitations de vitesse à l'état de la route et du trafic
> (ex. : 80 km/h par purée de pois et 150 km/h par beau temps et trafic fluide).
Autre exemple : ??km/h dans la purée et 130 par beau temps fluide. Alors le temps qu'un génial inventeur trouve un moyen de calculer la vitesse en comptant les voitures aux alentours, en calculant l'humidité, la vitesse et le sens du vent, le nombre de trous dans la route, le type de bitume .... en attendant que la population accepte un tel système dans les voitures (ce qui pour l'instant est plutot mal perçu) ... tu pourrai au moins faire l'effort de respecter la vitesse limite par bonnes conditions non ?
IE est gratuit, dispo aussi sous Mac, sous Sun Solaris et quelques autres Unix. Il n'est effectivement pas dispo pour Linux mais il ne nécessite pas MS Windows.
> Remarque : il est mentionné "logiciels gratuits"
Pourquoi en serait-il autrement ? À regarder la liste des logiciels il s'agit bel et bien d'une catégorisation "gratuit"/"payant", pas d'une catégorisation "Libre" ou "OpenSource".
Il faut arrêter de monter au créneau chaque fois que quelqu'un parle de gratuit ou d'OpenSource et pas de Libre. Des fois c'est réellement ce qu'ils veulent dire et ce qui les intéresse.
Par contre il me gène de voir "Microsoft Outlook" dans la catégorie "gratuit" pour les logiciels de mail. Déjà la version "Outlook" n'est disponnible que avec MS Office (qui est loin d'être gratuit), il faudrait parler de "Outlook Express".
Mais même ça c'est contestable : à ma connaissance "Outlook Express" (puisque je pense que c'est de ça qu'ils parlent) n'est pas gratuit, il est fourni avec MS Windows, ce qui est tout de même largement différent. C'est comme si on disait que MS Word et MS Excel sont gratuits ... à condition d'avoir acheté MS Powerpoint dans le pack MS Office.
Le concept de vitesse limite c'est pas sur une moyenne. Aller moins vite à moment n'implique pas d'aller plus vite par la suite pour compenser. Se retrouver derrière un tracteur c'est frustrant, mais ça change rien. Quand tu vas trop vite tu vas trop vite, et si c'etait parce que tu étais derrière un tracteur avant ça ne change rien aux conséquences de sécurité.
Je l'ai entendu au moins au JT de F2 et à FranceInfo. Je me suis pratiquement certain de l'avoir aussi entendue à TF1 mais je ne peux pas y mettre ma main à couper.
Ce qui est sûr c'est que je l'ai entendu plusieurs fois via des sources différentes. Et ce n'est pas la première fois que je l'entend dans un gros média.
> Tu as enregistré le JT de TF1 pendant que tu regardais celui de France 2
Je ne m'amuse pas à faire des statistiques mais si tu veux tout savoir je fais parti de la nouvelle génération qui s'informe sur plusieurs sources et ne se contente pas de lire/écouter un seul média..
Je regarde généralement celui de F2 dans sa rediffusion sur TV5. Il m'arrive fréquement d'avoir vu les premières minutes du JT de TF1, ou une bonne partie du 19/20 du F3.
Faire 19/20 de F3, début du JT de TF1 puis JT de F2 retransmis par TV5 doit m'arrive de temps en temps. Comme quoi même sans travailler à Arrêt sur Images.
Reste les actus via Internet, les radios (je passe sur France Info 2 jours sur trois, il arrive régulièrement que je tombe sur de l'info sur d'autres stations), les journaux (même si c'est de plus en plus rare, je me contente généralement d'un Monde qui traine chez la famillle quand j'y passe), etc.
ben non, parce que justement on parle de cryptage, pas de codage/décodage.
Pas de clé à stoquer : on utilise une fonction à sens unique, qui ne permet pas de décodage.
Regardes comment fait ton Linux, c'est le même principe qu'il faut appliquer.
> Désormais, il n'y a plus aucune tolérance, ce qui veut dire qu'à 91 Km/H au lieu
> de 90 Km/h,
> C'est quand même scandaleux, sachant que la plupart des cinémomètres
> embarqués n'ont pas une telle précision !
Faux. Ils font un abattement de 5km/h, ou 6, je ne sais plus. Ils sanctionnent à 91km/h ... une fois l'abattement retiré.
> mais le gouvernement oubli de préciser que les autoroutes sont les routes les
> plus sûres de France
Manque de pôt cette phrase fait partie du communiqué officiel repris par tous les JT. Bref, encore faux.
> revêtement ou les infrastructures sont à mettre en cause est considéré
> comme "perte de contrôle du véhicule suite à une vitesse inadaptée"
Et ? ça ne veut pas dire que la route est hors de cause, mais si tu vas à allure normale sur une route qui ne le permet pas tu as effectivement une vitesse inadaptée qui a entrainée une perte de véhicule.
La limitation de vitesse n'a jamais été un "droit de rouler jusqu'à la vitesse de ..." mais une "interdiction d'aller plus vite que ...". C'est à toi d'adapter ta vitesse à la situation.
> Ainsi donc en roulant à 131 Km/h sur autoroute au volant d'une grosse
> berline récente bien entretenue, je serais considéré comme un tueur
> sanguinaire, alors qu'un autre conducteur roulant à 130 Km/h au volant
> d'une épave roulante telle qu'une 2CV ou d'une AX serait lui considéré
> comme un bon conducteur... Ridicule !
Que la 2Cv en mauvais état puisse *aussi* etre un danger n'enleve rien au fait que tu passe au dessus de la loi et au dessus de la limite de "sécurité" que la communauté s'est fixée.
Maintenant tu veux quoi ? qu'ils disent que ceux qui ont des mercedes ont le droit d'aller plus vite ?
Je souhaite juste te donner un aperçu : le pneu de la voiture de devant éclate, la voiture part en tête à queue. Que tu aies une Mercedes ou pas c'est la vitesse qui compte. Oh ... toi tu auras peut être un airbag récent, mais ça n'enlevera rien au fait que tu seras en train de rentrer dans la voiture de devant trop rapidement. Ça lui fera une belle jambe au conducteur de devant que ta berline soit bien entretenue.
Même chose sur le fait que le camion à 90 peut déboiter juste devant toi par erreur. À 160 (chiffre que tu donnes toi même plus bas en positif) tu te le prendra probablement. À 130 c'est possible aussi, mais tu as déjà plus de chances de l'éviter.
Après tu peux toujours disserter en prenant volontairement les vitesses limite type "131 km/h". Le fait est qu'il faudra toujours une limite, que 1km/h au dessous on sera accepté et que au dessus on sera refusé. La logique floue ça n'existe pas, ou alors on appelle ça la loterie.
> Tant que les gens ne comprendront pas qu'un 150 ou 160 Km/h sur
> autoroute dégagée ne présente aucun danger contrairement à un 50 Km/h
> près d'une école, on en restera à cette politique qui veut que le
> gouvernement considère l'automobiliste comme une vache à lait.
Qu'aller trop vite près d'une école soit plus grave ? peut être.
Mais ça ne retire rien au fait que 160 sur l'autoroute peut être trop. Et dire "oui mais X il est dangereux aussi" ne te déresponsabilisera jamais.
> Il est vrai qu'il est plus difficile de s'attaquer au comportement du
> conducteur qu'à sa vitesse, mais honnêtement
C'est sûr, et si tu avais moyen de mettre un détecteur automatique pour les fautes de comportement je pense qu'ils sont intéressés. Entre temps la technique justifie que coté automatisme on se contente de la vitesse. Et le fait qu'il y ai d'autres types de comportements dangereux ne te déresponsabilise pas de la vitesse.
> 4400 PV expédiés automatiquement le jour même... Quid des morts et des
> blessés ? N'est-ce pas là l'information importante du dispositif ?
Ils en ont parlé aussi, encore faut-il avoir envie d'écouter (et attendre un peu parce que ce n'est pas un ordinateur qui traite les infos des accidents). Pour résumer : moins d'accidents mais autant de tués.
Par contre le but de l'annonce des 4400 PV c'est faire de la prévention, pour que ça fasse peur. C'est malheureux mais si on parle de quelques tués personne ne se sent concerné, si on parle de milliers de PVs on voit une différence (meme si on risque de ne la voir que sur la vitesse, effectivement).
> certainement suite à la décision de rémunération des fonctionnaires au
> résultat
Plus certainement parce que plus on en parle mieux c'est. Que justement mettre le PV n'est pas le but ultime, mais que par contre le fait que les gens sachent que les PVs tomberont de manière implacable fera des effets (enfin c'est leur but).
C'est ça aussi la prévention. Peu importe que au final le nombre de PV soit moins important et que ces détecteurs soient réglés par la suite de manière plus laxiste. L'important c'est de déclencher un mécanisme direct dans l'esprit des gens "je vais trop vite => je vais avoir un PV" au lieu du "j'ai peu de chances de me faire avoir et là je ne dépasse pas de beaucoup, ça ne compte pas".
> Les chiffres des accidents sont beaucoup moins éloquents : autant de tués,
> 20% de moins de blessés
Tiens ... l'information que tu semblais ne pas avoir 3 lignes plus haut ... marrant ;)
> Des radars posés là où ils rapportent et non là où ils pourraient sauver des
> vies, en gros... Comme d'habitude !
source ?
Enfin faut voir le but des radars. Ils ne font pas ralentir les gens qui ne les connaissent pas, ils flashent.
Le but d'un radar n'est pas d'empecher d'aller vite (sinon on le mettrait dans les endroits à risques) mais que les gens aient peur de tomber dessus et se faire avoir (et pour ce but il faut les mettre là où ca marche).
> Le plus rageant dans l'histoire, c'est de voir nos chers ministres se faire
> mesurer à des vitesses hautement répréhensibles, en toute impunité !
C'est effectivement innacceptable mais ça n'a rien à faire dans l'argumentaire. Le fait que X ou Y fasse une infraction ne justifie rien du tout.
> 10 Km/h de moins (c'est en tout cas ce que je vais faire)
Bah ... tu vois que ça marche ... c'est le seul but. Ta simple phrase là montre qu'ils ne s'y prennent pas forcément de la mauvaise façon du coté de la lutte contre la vitesse.
> sans compter les carrossiers qui connaissent déjà une baisse de plus de
> 30% de leur chiffre d'affaire... bonjour la productivité ! Encore une mesure
> qui ne voit pas à long terme et qui va plomber l'économie Française à court
> terme. Ca, le fric va rentrer pendant quelques mois, c'est sûr...
wouarf, fallait l'oser celle là. En gros tu es en train de dire qu'il vaut mieux laisser les gens se rentrer dedans sinon ca va être mauvais pour l'économie des carrossiers ?
C'est toi qui parlait de logique macabre ?
En plus c'est idiot, d'un coté tu dis qu'ils ne pensent qu'à la rentabilité et de l'autre tu dis qu'à long terme ça va être négatif coté économie. Il faut choisir ...
> Je n'arrive toujours pas à concevoir cette tolérance Zéro.. Ainsi, il est
> possible de rouler à 130 Km/h sur autoroute dans un virage et en toute
> sécurité, mais le fait de dépasser ces 130 Km/h dans une ligne droite serait
> dangereux voire mortel ?!?
Il faut une limite. Le concept même d'une limite c'est que juste au dessous c'est bon et juste au dessus c'est mauvais.
Ok, on peut accepter 5km/h de trop, mais à ce moment là la limite réelle sera à 135. Et il serait idiot de ne pas sanctionner à 135 alors qu'on sanctionne à 136 .. on n'a pas fini là ...
Il y a une limite, à toi de prendre la marge de réserve que tu juges nécessaire pour ne pas que ça arrive.
> Quand je pense qu'avec le fric que vont coûter ces machines, on aurait pu
> améliorer nos routes qui tombent en décrépitude...
Je croyais que ca allait rapporter des sous et qu'ils faisaient ça pour ça ?
Et maintenant on va manquer de sous à cause ? il faudrait choisir encore une fois.
Sans compter que l'entretien des routes et la répression ne sont évidement pas sur les même caisses.
Bref, je ne sais pas si 130 c'est trop bas par rapport à la réalité du terrain. Je ne suis pas non plus capable de réellement dire si le respect de la limite impliquera une réelle diminution des victimes. Pas plus que toi je ne suis un expert qui peut avancer une quelconque affirmation la dedans. Par contre ton truc c'est un tissus d'anneries.
Question plus constructive alors, parce que je sais bien qu'on ne fait pas tout le temps tout ce qu'on voudrait pour cause de temps :
"Qu'en est-il maintenant ?"
Est-ce que le fait de ce séparer de cet état de fait est déjà du passé, en développement, en discussion, ou simplement mis sur une todo ?
Maintenant c'est un peu tard mais je trouve un peu anormal de trouve cette erreur classique chez des développeurs qui prennent la responsabilité d'héberger des gens.
Des erreurs de configuration ça peut arriver même si c'est toujours malheureux. Par contre des mots de passe hébergés mis en clair ou sous forme décodable ce qui me fait peur c'est que j'hésite entre l'inexpérience et l'irresponsabilité (suivant que vous connaissiez les conséquences ou pas).
Et pour un hébergeur, même bénévole et gratuit, ces deux qualificatifs me font très peur.
3) qu'ils aimeraient bien pouvoir se payer une porshe avant d'avoir 70 ans que le retour financier soit important
4) que pour faire de l'argent il faut investir et que le rachat va permettre cette investissement. Juste histoire de ne pas faire comme mdk et avoir des problèmes de caisse.
- flux RSS
- URL simples et significatives (si j'osais dire : "pas à la linuxfr")
- une syntaxe simple pour éditer (je me suis déjà laissé piégé par le tout XML qui au final rebutte à écrire)
- des liens permanents pour chaque entrée
Perso je ne lis plus les blogs sans RSS, trop de sites à visiter ...
Je ne sais pas si c'est volontaire ou pas mais c'est un procédé classique gagner dans une argumentation.
Quand quelqu'un a déjà avancé un argument et y a répondu tout de suite, si l'adversaire avance cet argument par la suite le lecteur / l'auditeur le rejettera tout de suite en se remémorant les objections du premier.
Inversement, si on n'objecte qu'après coup l'auditeur pourra naturellement se rendre compte que les objections ne couvrent pas tout l'argument, ou que l'idée avancée n'est tout de même pas à jeter entièrement.
C'est souvent la premiere argumentation pas trop idiote qui forme les pensées. Le lecteur peut bien sûr en changer mais il est plus difficile de faire changer d'opinion que de façonner l'opinion de celui qui n'en a pas.
J'avais un truc du genre sous Gentoo. Tout le monde m'a dit en gros "vires tout les thèmes GTK ou QT et regardes si ça le fait toujours".
Le fait est que ça ne le faisait plus, visiblement dans mon cas c'était un thème GTK2 qui faisait enfler la consommation mémoire du process de X (et assez rapidement arrivait à tout saturer).
Ça se voyait assez bien, en lançant xchat et en cliquant quelques centaines de fois sur les onglets pour changer de salon courant, le process (de X, pas de xchat) gagnait plusieurs centaines de Mo en occupation mémoire.
Ca a tout de meme beaucoup évolué depuis. Surtout coté interfaces (et rien que pour ça je pleure, parce que je trouve celles de OOo bien moins bonnes que celles de MSO XP).
Si tu compares avec uns version d'il y a 5 ans c'est sûr que ça va être facile.
C'est comme si je te disais que OOo est de la merde et que je te prenais en exemple une des premières pré-versions (il y a 5 ans je ne sais pas où ça en était mais ça n'était probablement pas aussi avancé qu'actuellement)
Attention, si j'ai bien compris : 33% des gens cliquent sur des liens quand ça les intéresse. C'est largement différent de "on clique sur 33% des mails".
Vu le taux de spam par personne le fait que 1/3 clique parfois sur les spams intéressant (il y en a ? je dois pas être inscrit à ceux là ;)) n'est pas incompatible avec un taux de clic de 1/1000
Pareil, c'est 7% des gens ont déjà acheté, ... pas 7% des spams mènent à un achat.
Ceci dit vu le coût ridicule d'un spam, un taux de clic à 1/1000 ca reste pas mal intéressant (malheureusement).
Par contre, vu sur Yahoo hier : les anglais veulent faire extrader les spammeurs pour les juger chez eux ( http://fr.news.yahoo.com/031030/85/3h0yp.html(...) ). Et ça ça dénote un changement de mentalité dans les états, et une vrai volonté d'agir.
J'ai rien contre XUL, loi de là, mais "standard" c'est aller un peu vite non ? C'est aussi standard que flash, pas plus (plutot moins même puis que flash au moins on peut mettre en avant le "standard de fait").
C'est quoi ton critère pour dire que c'est "standard" ? mis à part que c'est fait par un projet opensource connu et aprécié ?
Ce n'est pas standardisé coté W3C ou autre organisation se normalisation et vu son utilisation on est loin de pouvoir déclarer que c'est standard suite à son usage répandu.
encore ce troll qui revient ?
Il ont quitté un groupe de travail. Ca arrive, il y a même il parait parfois des aller-retours suivant que le groupe prend ou pas une direction qui intéresse les gens qui participent.
Si un groupe normalise et que ce qu'ils normalisent semble ne pas correspondre à tes besoins (ou inversement ne nécessite pas ton implication) tu pars .. il n'y a rien à y redire ..
J'ai utilisé "abusif", j'aurai du utiliser "invalide", désolé.
C'est effectivement un critère sur lequel on peut argumenter, mais c'est relativement objectif et n'entre pas forcément en conflit avec une optique pro-brevet.
[^] # Re: sha2
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 1.
Et ce mot de passe est bien stocké en clair dans ta base (vu que tu t'en sers pour valider l'authentification. Coté stockages tu as effectivement l'équivalent d'un stockage de mot de passe en clair.
Pour t'en convaincre voilà la procédure :
- je vole tes hashs
- je commence une procédure de challenge
- je recois YYY
- je fais MD5 (cryptage( HASH , YYY) )
- je suis vérifié par le serveur.
Tu n'as fait que améliorer la transmission (celui qui écoute ne pourra jamais forcer l'authentification), mais ton stockage est toujours "faible", contrairement à l'option suivante utilisée dans les systèmes habituellement :
- Je te demande ton pass (XXX)
- tu me l'envoies en clair
- je fais un hash de ce pass
- je compare le hash à ma base
Le point faible est la deuxième étape (transmission en claire), mais on peut le corriger via https.
[^] # Re: sha2
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 1.
J'ai un mot de passe "XXX", la phrase aléatoire que le serveur tire est "YYY"
1- serveur m'envoie "YYY"
2- je fais methode_cryptage(XXX,YYY)
3- j'envoie le résultat au serveur
4- le serveur fait le même cryptage ...BIP
Pour faire le même cryptage le serveur doit connaitre YYY (ça il le connait car il l'a généré lui même), sauf qu'il doit connaitre aussi XXX. Et là ça rentre en conflit avec ton assertion "le mot de passe est stocker en crypter".
Ceci dit on peut ruser, au lieu de crypter la phrase aléatoire avec le mot de passe on peut crypter la phrase avecun hash du mot de passe. Sauf que au final on tourne en rond : ce qui sera nécessaire des deux cotés pour s'authentifier ne sera plus "XXX" mais le hash de XXX et ce hash sera stoqué en clair ...
Bref, marche pas. Ce que tu résoud là n'est pas le stockage mais celui de la transmission (et coté HTTP le SSL est la solution la plus simple).
Ou alors j'ai loupé un truc.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 2.
> que je sache, parceque l'erreur est humaine et le code qui compose les applis
> héritent inévitablement de ces 'tolérances'
Bien sûr que personne n'est à l'abris d'une erreur. D'ailleurs visiblement personne ici n'a critiqué l'erreur de conf qui est à l'origine du problème.
Là on parle d'un comportement à (gros) risques connu et assumé. Il est normal que sur un comportement de ce style des questions soient posées.
> C'est de toute façon toujours plus facile de critiquer durement ce qui est ou
> n'est pas chez les autre; je ne cautionne pas.
Quand quelque chose parait anormal il est bon de le dire. Jouer l'aveugle ne fait avancer personne. Puis avec ta réflexion on ne devrait jamais rien dire ?
Les remarques ont été faites, elles ont obtenu réponse, tout s'est passé relativement correctement je trouve.
(et je ne vois pas le rapport avec le shmilblick pour ce qui est de l'image du hacker)
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 2.
Ça veut dire que "si on te distribue une copie", alors tu as le droit d'avoir accès au source, de modifier, de redistribuer ....
Ça ne veut absolument pas dire que tu as le droit d'aller télécharger la chose si personne ne t'en attribue une licence. Un soft a beau être sous GPL tu n'as pas le droit de le prendre si personne ne te le distribue volontairement : rien ne t'autorise à le faire puisque toute les autorisations éventuelles se situent dans la licence, que personne ne t'a donné. Techniquement ce n'est pas le logiciel qui a une licence, c'est toi qui a (ou pas) une licence d'utilisation de ce logiciel. La différence est justement là, si tu "trouves" (légalement ou pas) un logiciel avec une licence libre, ça ne te donne pas le droit de le prendre tant que aucun détenteur du soft ne souhaite te le distribuer.
[^] # Re: Pour répondre à tous les commentaires au dessus
Posté par Éric (site web personnel) . En réponse au journal La France à 2 vitesses. Évalué à 1.
Bah, la raison maitresse elle n'est même pas cachée : c'est pour gagner des sous et dissuader les gens de prendre la voiture, diesel ou pas. Et franchement à coté des augmentations du super sans plomb, celle du diesel parait ridicule.
> on ne touche pas aux prix du gasoil pour les transporteurs routiers. Alors qu'il y a le
> transport de fret par le rail
Mouais, sauf que une grosse partie du traffic "tourisme" est superflu et peut être fait autrement (autocar, train, covoiturage ...)
Ce n'est pas le cas pour le transport routier. Renseignes toi sur les facilités de transport de fret par rail et les conséquences ... c'est loin d'être aussi simple. C'est une bonne idée à long terme mais pour l'instant c'est pas magique.
> et que les camions sont un facteur de pollution majeur.
regardes le service rendu par un camion de fret, regardes la charge transportée par un camion ...
Tu verra que proportionnellement ça ne pollue pas tant que ça. À coté ta voiture de tourisme c'est beaucoup de pollution en trop.
Alors oui en valeur absolue ça pollue beaucoup, mais là où on peut se permettre de réduire facilement et efficacement c'est sur la voiture de monsieur tout le monde. Rendre le fret par camion plus cher ne changera pas grand chose : il passera tout de meme.
[^] # Re: Pour répondre à tous les commentaires au dessus
Posté par Éric (site web personnel) . En réponse au journal La France à 2 vitesses. Évalué à 1.
Moi je préfère etre vigilant à 120 que somnolant à 150. Ah ben oui, ça veut rien dire comme argument, mais tu noteras que c'est le même que le tien.
> Et que l'on investisse par exemple l'argent que l'on met maitenant dans des radars
> pompes à fric dans des formations obligatoires à la conduite
Sauf que comme tu l'a très bien dit plus haut, ces trucs là rapportent de l'argent. C'est au pire un investissement vite rentabilisé.
Et comme ce que ça rapporte va justement à la sécurité routière ... c'est pile le moyen rêvé pour pouvoir payer les formations qu'on n'aurait pas pu payer autrement ;)
> dispositifs électroniques adaptant les limitations de vitesse à l'état de la route et du trafic
> (ex. : 80 km/h par purée de pois et 150 km/h par beau temps et trafic fluide).
Autre exemple : ??km/h dans la purée et 130 par beau temps fluide. Alors le temps qu'un génial inventeur trouve un moyen de calculer la vitesse en comptant les voitures aux alentours, en calculant l'humidité, la vitesse et le sens du vent, le nombre de trous dans la route, le type de bitume .... en attendant que la population accepte un tel système dans les voitures (ce qui pour l'instant est plutot mal perçu) ... tu pourrai au moins faire l'effort de respecter la vitesse limite par bonnes conditions non ?
[^] # Re: Le C2i cite de nombreux logiciels libres !
Posté par Éric (site web personnel) . En réponse à la dépêche Le C2i cite de nombreux logiciels libres !. Évalué à 0.
IE est gratuit, dispo aussi sous Mac, sous Sun Solaris et quelques autres Unix. Il n'est effectivement pas dispo pour Linux mais il ne nécessite pas MS Windows.
# Re: Le C2i cite de nombreux logiciels libres !
Posté par Éric (site web personnel) . En réponse à la dépêche Le C2i cite de nombreux logiciels libres !. Évalué à 7.
Pourquoi en serait-il autrement ? À regarder la liste des logiciels il s'agit bel et bien d'une catégorisation "gratuit"/"payant", pas d'une catégorisation "Libre" ou "OpenSource".
Il faut arrêter de monter au créneau chaque fois que quelqu'un parle de gratuit ou d'OpenSource et pas de Libre. Des fois c'est réellement ce qu'ils veulent dire et ce qui les intéresse.
Par contre il me gène de voir "Microsoft Outlook" dans la catégorie "gratuit" pour les logiciels de mail. Déjà la version "Outlook" n'est disponnible que avec MS Office (qui est loin d'être gratuit), il faudrait parler de "Outlook Express".
Mais même ça c'est contestable : à ma connaissance "Outlook Express" (puisque je pense que c'est de ça qu'ils parlent) n'est pas gratuit, il est fourni avec MS Windows, ce qui est tout de même largement différent. C'est comme si on disait que MS Word et MS Excel sont gratuits ... à condition d'avoir acheté MS Powerpoint dans le pack MS Office.
[^] # Re: Pour répondre à tous les commentaires au dessus
Posté par Éric (site web personnel) . En réponse au journal La France à 2 vitesses. Évalué à 2.
Le concept de vitesse limite c'est pas sur une moyenne. Aller moins vite à moment n'implique pas d'aller plus vite par la suite pour compenser. Se retrouver derrière un tracteur c'est frustrant, mais ça change rien. Quand tu vas trop vite tu vas trop vite, et si c'etait parce que tu étais derrière un tracteur avant ça ne change rien aux conséquences de sécurité.
[^] # Re: La France à 2 vitesses
Posté par Éric (site web personnel) . En réponse au journal La France à 2 vitesses. Évalué à 2.
Ce qui est sûr c'est que je l'ai entendu plusieurs fois via des sources différentes. Et ce n'est pas la première fois que je l'entend dans un gros média.
> Tu as enregistré le JT de TF1 pendant que tu regardais celui de France 2
Je ne m'amuse pas à faire des statistiques mais si tu veux tout savoir je fais parti de la nouvelle génération qui s'informe sur plusieurs sources et ne se contente pas de lire/écouter un seul média..
Je regarde généralement celui de F2 dans sa rediffusion sur TV5. Il m'arrive fréquement d'avoir vu les premières minutes du JT de TF1, ou une bonne partie du 19/20 du F3.
Faire 19/20 de F3, début du JT de TF1 puis JT de F2 retransmis par TV5 doit m'arrive de temps en temps. Comme quoi même sans travailler à Arrêt sur Images.
Reste les actus via Internet, les radios (je passe sur France Info 2 jours sur trois, il arrive régulièrement que je tombe sur de l'info sur d'autres stations), les journaux (même si c'est de plus en plus rare, je me contente généralement d'un Monde qui traine chez la famillle quand j'y passe), etc.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 7.
Pas de clé à stoquer : on utilise une fonction à sens unique, qui ne permet pas de décodage.
Regardes comment fait ton Linux, c'est le même principe qu'il faut appliquer.
# Re: La France à 2 vitesses
Posté par Éric (site web personnel) . En réponse au journal La France à 2 vitesses. Évalué à 10.
> de 90 Km/h,
> C'est quand même scandaleux, sachant que la plupart des cinémomètres
> embarqués n'ont pas une telle précision !
Faux. Ils font un abattement de 5km/h, ou 6, je ne sais plus. Ils sanctionnent à 91km/h ... une fois l'abattement retiré.
> mais le gouvernement oubli de préciser que les autoroutes sont les routes les
> plus sûres de France
Manque de pôt cette phrase fait partie du communiqué officiel repris par tous les JT. Bref, encore faux.
> revêtement ou les infrastructures sont à mettre en cause est considéré
> comme "perte de contrôle du véhicule suite à une vitesse inadaptée"
Et ? ça ne veut pas dire que la route est hors de cause, mais si tu vas à allure normale sur une route qui ne le permet pas tu as effectivement une vitesse inadaptée qui a entrainée une perte de véhicule.
La limitation de vitesse n'a jamais été un "droit de rouler jusqu'à la vitesse de ..." mais une "interdiction d'aller plus vite que ...". C'est à toi d'adapter ta vitesse à la situation.
> Ainsi donc en roulant à 131 Km/h sur autoroute au volant d'une grosse
> berline récente bien entretenue, je serais considéré comme un tueur
> sanguinaire, alors qu'un autre conducteur roulant à 130 Km/h au volant
> d'une épave roulante telle qu'une 2CV ou d'une AX serait lui considéré
> comme un bon conducteur... Ridicule !
Que la 2Cv en mauvais état puisse *aussi* etre un danger n'enleve rien au fait que tu passe au dessus de la loi et au dessus de la limite de "sécurité" que la communauté s'est fixée.
Maintenant tu veux quoi ? qu'ils disent que ceux qui ont des mercedes ont le droit d'aller plus vite ?
Je souhaite juste te donner un aperçu : le pneu de la voiture de devant éclate, la voiture part en tête à queue. Que tu aies une Mercedes ou pas c'est la vitesse qui compte. Oh ... toi tu auras peut être un airbag récent, mais ça n'enlevera rien au fait que tu seras en train de rentrer dans la voiture de devant trop rapidement. Ça lui fera une belle jambe au conducteur de devant que ta berline soit bien entretenue.
Même chose sur le fait que le camion à 90 peut déboiter juste devant toi par erreur. À 160 (chiffre que tu donnes toi même plus bas en positif) tu te le prendra probablement. À 130 c'est possible aussi, mais tu as déjà plus de chances de l'éviter.
Après tu peux toujours disserter en prenant volontairement les vitesses limite type "131 km/h". Le fait est qu'il faudra toujours une limite, que 1km/h au dessous on sera accepté et que au dessus on sera refusé. La logique floue ça n'existe pas, ou alors on appelle ça la loterie.
> Tant que les gens ne comprendront pas qu'un 150 ou 160 Km/h sur
> autoroute dégagée ne présente aucun danger contrairement à un 50 Km/h
> près d'une école, on en restera à cette politique qui veut que le
> gouvernement considère l'automobiliste comme une vache à lait.
Qu'aller trop vite près d'une école soit plus grave ? peut être.
Mais ça ne retire rien au fait que 160 sur l'autoroute peut être trop. Et dire "oui mais X il est dangereux aussi" ne te déresponsabilisera jamais.
> Il est vrai qu'il est plus difficile de s'attaquer au comportement du
> conducteur qu'à sa vitesse, mais honnêtement
C'est sûr, et si tu avais moyen de mettre un détecteur automatique pour les fautes de comportement je pense qu'ils sont intéressés. Entre temps la technique justifie que coté automatisme on se contente de la vitesse. Et le fait qu'il y ai d'autres types de comportements dangereux ne te déresponsabilise pas de la vitesse.
> 4400 PV expédiés automatiquement le jour même... Quid des morts et des
> blessés ? N'est-ce pas là l'information importante du dispositif ?
Ils en ont parlé aussi, encore faut-il avoir envie d'écouter (et attendre un peu parce que ce n'est pas un ordinateur qui traite les infos des accidents). Pour résumer : moins d'accidents mais autant de tués.
Par contre le but de l'annonce des 4400 PV c'est faire de la prévention, pour que ça fasse peur. C'est malheureux mais si on parle de quelques tués personne ne se sent concerné, si on parle de milliers de PVs on voit une différence (meme si on risque de ne la voir que sur la vitesse, effectivement).
> certainement suite à la décision de rémunération des fonctionnaires au
> résultat
Plus certainement parce que plus on en parle mieux c'est. Que justement mettre le PV n'est pas le but ultime, mais que par contre le fait que les gens sachent que les PVs tomberont de manière implacable fera des effets (enfin c'est leur but).
C'est ça aussi la prévention. Peu importe que au final le nombre de PV soit moins important et que ces détecteurs soient réglés par la suite de manière plus laxiste. L'important c'est de déclencher un mécanisme direct dans l'esprit des gens "je vais trop vite => je vais avoir un PV" au lieu du "j'ai peu de chances de me faire avoir et là je ne dépasse pas de beaucoup, ça ne compte pas".
> Les chiffres des accidents sont beaucoup moins éloquents : autant de tués,
> 20% de moins de blessés
Tiens ... l'information que tu semblais ne pas avoir 3 lignes plus haut ... marrant ;)
> Des radars posés là où ils rapportent et non là où ils pourraient sauver des
> vies, en gros... Comme d'habitude !
source ?
Enfin faut voir le but des radars. Ils ne font pas ralentir les gens qui ne les connaissent pas, ils flashent.
Le but d'un radar n'est pas d'empecher d'aller vite (sinon on le mettrait dans les endroits à risques) mais que les gens aient peur de tomber dessus et se faire avoir (et pour ce but il faut les mettre là où ca marche).
> Le plus rageant dans l'histoire, c'est de voir nos chers ministres se faire
> mesurer à des vitesses hautement répréhensibles, en toute impunité !
C'est effectivement innacceptable mais ça n'a rien à faire dans l'argumentaire. Le fait que X ou Y fasse une infraction ne justifie rien du tout.
> 10 Km/h de moins (c'est en tout cas ce que je vais faire)
Bah ... tu vois que ça marche ... c'est le seul but. Ta simple phrase là montre qu'ils ne s'y prennent pas forcément de la mauvaise façon du coté de la lutte contre la vitesse.
> sans compter les carrossiers qui connaissent déjà une baisse de plus de
> 30% de leur chiffre d'affaire... bonjour la productivité ! Encore une mesure
> qui ne voit pas à long terme et qui va plomber l'économie Française à court
> terme. Ca, le fric va rentrer pendant quelques mois, c'est sûr...
wouarf, fallait l'oser celle là. En gros tu es en train de dire qu'il vaut mieux laisser les gens se rentrer dedans sinon ca va être mauvais pour l'économie des carrossiers ?
C'est toi qui parlait de logique macabre ?
En plus c'est idiot, d'un coté tu dis qu'ils ne pensent qu'à la rentabilité et de l'autre tu dis qu'à long terme ça va être négatif coté économie. Il faut choisir ...
> Je n'arrive toujours pas à concevoir cette tolérance Zéro.. Ainsi, il est
> possible de rouler à 130 Km/h sur autoroute dans un virage et en toute
> sécurité, mais le fait de dépasser ces 130 Km/h dans une ligne droite serait
> dangereux voire mortel ?!?
Il faut une limite. Le concept même d'une limite c'est que juste au dessous c'est bon et juste au dessus c'est mauvais.
Ok, on peut accepter 5km/h de trop, mais à ce moment là la limite réelle sera à 135. Et il serait idiot de ne pas sanctionner à 135 alors qu'on sanctionne à 136 .. on n'a pas fini là ...
Il y a une limite, à toi de prendre la marge de réserve que tu juges nécessaire pour ne pas que ça arrive.
> Quand je pense qu'avec le fric que vont coûter ces machines, on aurait pu
> améliorer nos routes qui tombent en décrépitude...
Je croyais que ca allait rapporter des sous et qu'ils faisaient ça pour ça ?
Et maintenant on va manquer de sous à cause ? il faudrait choisir encore une fois.
Sans compter que l'entretien des routes et la répression ne sont évidement pas sur les même caisses.
Bref, je ne sais pas si 130 c'est trop bas par rapport à la réalité du terrain. Je ne suis pas non plus capable de réellement dire si le respect de la limite impliquera une réelle diminution des victimes. Pas plus que toi je ne suis un expert qui peut avancer une quelconque affirmation la dedans. Par contre ton truc c'est un tissus d'anneries.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 1.
"Qu'en est-il maintenant ?"
Est-ce que le fait de ce séparer de cet état de fait est déjà du passé, en développement, en discussion, ou simplement mis sur une todo ?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 7.
Des erreurs de configuration ça peut arriver même si c'est toujours malheureux. Par contre des mots de passe hébergés mis en clair ou sous forme décodable ce qui me fait peur c'est que j'hésite entre l'inexpérience et l'irresponsabilité (suivant que vous connaissiez les conséquences ou pas).
Et pour un hébergeur, même bénévole et gratuit, ces deux qualificatifs me font très peur.
[^] # Re: SuSE Linux racheté par Novell
Posté par Éric (site web personnel) . En réponse à la dépêche SuSE Linux racheté par Novell. Évalué à 1.
[^] # Re: SuSE Linux racheté par Novell
Posté par Éric (site web personnel) . En réponse à la dépêche SuSE Linux racheté par Novell. Évalué à 4.
4) que pour faire de l'argent il faut investir et que le rachat va permettre cette investissement. Juste histoire de ne pas faire comme mdk et avoir des problèmes de caisse.
# Re: Système de weblog
Posté par Éric (site web personnel) . En réponse au journal Système de weblog. Évalué à 3.
- flux RSS
- URL simples et significatives (si j'osais dire : "pas à la linuxfr")
- une syntaxe simple pour éditer (je me suis déjà laissé piégé par le tout XML qui au final rebutte à écrire)
- des liens permanents pour chaque entrée
Perso je ne lis plus les blogs sans RSS, trop de sites à visiter ...
# Re: Toujours pas d'ISO Mandrake 9.2 en vue...
Posté par Éric (site web personnel) . En réponse au journal Toujours pas d'ISO Mandrake 9.2 en vue.... Évalué à 1.
Tu comptes l'utiliser tant que ça le "about KDE" pour que sa disparition t'empeche d'utiliser la distrib ?
[^] # Re: Vérités, contre-vérités et manipulations sur les brevets logiciels
Posté par Éric (site web personnel) . En réponse à la dépêche Vérités, contre-vérités et manipulations sur les brevets logiciels. Évalué à 10.
Quand quelqu'un a déjà avancé un argument et y a répondu tout de suite, si l'adversaire avance cet argument par la suite le lecteur / l'auditeur le rejettera tout de suite en se remémorant les objections du premier.
Inversement, si on n'objecte qu'après coup l'auditeur pourra naturellement se rendre compte que les objections ne couvrent pas tout l'argument, ou que l'idée avancée n'est tout de même pas à jeter entièrement.
C'est souvent la premiere argumentation pas trop idiote qui forme les pensées. Le lecteur peut bien sûr en changer mais il est plus difficile de faire changer d'opinion que de façonner l'opinion de celui qui n'en a pas.
# Re: Mémoire X
Posté par Éric (site web personnel) . En réponse au journal Mémoire X. Évalué à 6.
Le fait est que ça ne le faisait plus, visiblement dans mon cas c'était un thème GTK2 qui faisait enfler la consommation mémoire du process de X (et assez rapidement arrivait à tout saturer).
Ça se voyait assez bien, en lançant xchat et en cliquant quelques centaines de fois sur les onglets pour changer de salon courant, le process (de X, pas de xchat) gagnait plusieurs centaines de Mo en occupation mémoire.
Tu peux regarder de ce coté là.
[^] # Re: AbiWord 2.0.1 est sorti
Posté par Éric (site web personnel) . En réponse à la dépêche AbiWord 2.0.1 est sorti. Évalué à 3.
Ca a tout de meme beaucoup évolué depuis. Surtout coté interfaces (et rien que pour ça je pleure, parce que je trouve celles de OOo bien moins bonnes que celles de MSO XP).
Si tu compares avec uns version d'il y a 5 ans c'est sûr que ça va être facile.
C'est comme si je te disais que OOo est de la merde et que je te prenais en exemple une des premières pré-versions (il y a 5 ans je ne sais pas où ça en était mais ça n'était probablement pas aussi avancé qu'actuellement)
[^] # Re: Le spam est un frein à l'utilisation généralisée du mail
Posté par Éric (site web personnel) . En réponse à la dépêche Le spam est un frein à l'utilisation généralisée du courriel. Évalué à 3.
Vu le taux de spam par personne le fait que 1/3 clique parfois sur les spams intéressant (il y en a ? je dois pas être inscrit à ceux là ;)) n'est pas incompatible avec un taux de clic de 1/1000
Pareil, c'est 7% des gens ont déjà acheté, ... pas 7% des spams mènent à un achat.
Ceci dit vu le coût ridicule d'un spam, un taux de clic à 1/1000 ca reste pas mal intéressant (malheureusement).
Par contre, vu sur Yahoo hier : les anglais veulent faire extrader les spammeurs pour les juger chez eux ( http://fr.news.yahoo.com/031030/85/3h0yp.html(...) ). Et ça ça dénote un changement de mentalité dans les états, et une vrai volonté d'agir.
[^] # Re: Webmestres : vous pouvez aussi le faire sous Linux
Posté par Éric (site web personnel) . En réponse à la dépêche Webmestres : vous pouvez aussi le faire sous Linux. Évalué à 1.
C'est quoi ton critère pour dire que c'est "standard" ? mis à part que c'est fait par un projet opensource connu et aprécié ?
Ce n'est pas standardisé coté W3C ou autre organisation se normalisation et vu son utilisation on est loin de pouvoir déclarer que c'est standard suite à son usage répandu.
[^] # Re: Le rôle de Microsoft ?
Posté par Éric (site web personnel) . En réponse à la dépêche Le W3C demande que soit ré-examiné le brevet logiciel "eolas". Évalué à 2.
Il ont quitté un groupe de travail. Ca arrive, il y a même il parait parfois des aller-retours suivant que le groupe prend ou pas une direction qui intéresse les gens qui participent.
Si un groupe normalise et que ce qu'ils normalisent semble ne pas correspondre à tes besoins (ou inversement ne nécessite pas ton implication) tu pars .. il n'y a rien à y redire ..
[^] # Re: L'inconstance du W3C
Posté par Éric (site web personnel) . En réponse à la dépêche Le W3C demande que soit ré-examiné le brevet logiciel "eolas". Évalué à 5.
Le fait qu'il y ai "prior art" par exemple ? http://www.w3.org/2003/10/301-filing.html(...)
J'ai utilisé "abusif", j'aurai du utiliser "invalide", désolé.
C'est effectivement un critère sur lequel on peut argumenter, mais c'est relativement objectif et n'entre pas forcément en conflit avec une optique pro-brevet.