jben a écrit 861 commentaires

Pourquoi faire reposer la sécurité sur la clef et pas sur la methode… vaste question, et ce qui est dommage c'est qu'elle est imcomprise.

Le principal problème de faire reposer la sécu sur la méthode, c'est que tu n'a aucun moyen de quantifier la qualité et la robustesse de son algo. Sais tu combien de temps faudrait-il pour explorer la moitié de l'espace des algos de génération de mots de passe compatibles avec le cerveau humain, moi non.

Et honnetement, si on récupère ton mot de passe sur un site, combien de temps cela lui prendra de récuperer la methode si il n'y a pas d'étape de hachage cryptographique ? Alors on me réponds que pour l'instant ça suffit ça arrète les attaques brutales par liste de login/pass récupérés sur un site. Vous vous protegez à un instant t, il est tout a fait réaliste que quelqu'un code un robot pour faire ce genre de chose, c'est techniquement possible, donc c'est grave de ne pas s'en proteger.

Je vous parrait peut-être parano, on verra lorsque vous serez obliger de changer votre methode de génération à cause d'une généralisation de ce genre d'attaque. C'est tout à fait possible, on fait chier Madame Michu pour qu'elle utilise des mdp differents sur differents services, elle fait de petites variations, le robots vont apprendre à recréer des variation et à comprendre comment les mdp sont générés…

Tu as lu le premier lien de mon commentaire auquel tu réponds ?

[...] améliorer drastiquement la sécurité ([...] **accès à tous les comptes une fois un compte compromis**) [...]

combien de temps faudra t'il a quelqu'un qui a chopé le mot de passe d'un compte pour qu'il comprenne comment il est construit ? Un fois qu'il a compris, hop, c'est parti…

Toujours le même problème, la sécurité ne doit pas reposer sur la méthode (qui est facilement compréhensible par ailleurs), mais sur la clef (le mot de passe maître dans ton exemple, qui ne doit pas apparaitre en clair dans le mot de passe final).

C'est pour cela qu'une methode simple et reconnue consiste à prendre ton étape 1, prendre le nom du service, concatener comme ton étape 4, et ensuite passer dessus une methode de hashage (si quelqu'un sait comment on dit hashage en français, je lui en serait reconnaissant)

Le mot de passe, a moins qu'il me manque des infos, se craque en tout ou rien. Pas moyen de savoir quelles sont les parties du mdp independamment.

Oui bien sûr, enfin sinon ça devient un jeu d'enfant de craquer n'importe quel système. D'ailleurs c'est la faille de beaucoup de cadenas à code, on peut trouver les chiffres un à un…

Bin non…

jben@ginette ~ $ wc -l /usr/share/dict/american-english 
98569 /usr/share/dict/american-english

et log(98569)/log(2) vaut environ 16.5

Donc il prend bien en compte le dictionnaire

Alors soit tu te base sur la sécurité par l'obscurité, soit la clef est ta suite de caractère spéciaux + la suite de caracteres conditionnées.

Tu as une chaine de 5 caracteres, donc bon on va considerer 5 caracères speciaux dans un cas idéal. En considérant 63 caracteres spéciaux, ça nous fait 30 bits. Tu rajoute 4 caractères alphanum, 24 bits dans le cas idéal (ce qui est faux puisque cela découle d'un moyen memotechnique). Bref ton mot de passe a une taille équivalente de 54 bits.

Avec linuxfr, deux voyelles, paf, 36 bits.

Tu appelles ça un mot de passe fort ?

Oui, ça marche très bien.

Je précise toutefois que les machines en question sont identiques, avec le même OS (Debian en l'espèce), les même libs installés, avec les mêmes versions.

C'est déjà fait en partie. Je donnais un exemple avec octave, car c'est plus simple à montrer.

Mais dans certains cas il vaut mieux rester en octave, par exemple dans certains cas c'est le calcul matriciel qui est limitant niveau vitesse et non la boucle. Octave (comme beaucoup d'autres) faisant appel à blas et lapack (fournies par atlas sur les systemes que j'utilise), il n'y a vraiment rien à gagner sur ce point à réimplementer en C++ (par exemple).

Pour d'autres applications, comme les MCMC que j'ai déjà cité dans un commentaire précedent, c'est souvent la boucle qui est limitante en Octave, et dans ce cas une implémentation en C++ (par exemple) apporte un gros gain (un facteur entre 10 et 100 je dirais).

Disons que quand du code octave, R, ou tout autre language interprété dont l'interpréteur fait appel au libs de calcul matriciel éprouvés, est lent, le réimplementer dans un language compilé peut apporter entre un gros gain et aucun gain. C'est toujours le même problème, il réflechir avant de coder !

Mais juste par curiosité, quelle sorte de calcul peut prendre plusieurs mois ?

Perso je n'ai jamais lancé de calculs plus longs que quelques semaines. Mais les gens autour de moi dans mon unité lancent parfois des calculs qui durent un peu plus.

Par exemple, ça peut être de la simulation de graphe aléatoire, l'estimation de paramêtres décrivant la structure d'un graphe observée (c'est sur ça que je bosse), ou encore un Monté Carlo par chaîne de Markov pour simuler sous une loi dont la normalisation n'est pas connue par exemple (ça, c'est très utiles à ceux qui développent des methodes bayesiennes).

Niveau moyen de calcul, ça va, mais on pourrait avoir mieux. 4 machines, équipée en Intel Xeon E5410, 32 GiB de RAM par machine. Je rève d'une machine avec plus de cœur, mais comme la pluspart des calculs lancé ne sont pas parralelles (et souvent non parralelisables, par exemples les MCMC), ça ne servirait pas à grand chose (sauf à moi).

Et il semble que, ca soit pas la première dépêche qui soit en fait juste un bookmark…

Ça c'est vrai dans le cas où tu ne donne pas le jour. Tu réponds à la question "sachant que j'ai un garçon sur deux enfants, quelle est la probablilité que j'ai deux garçons", pas à "sachant que j'ai un garçon né un mardi sur deux enfants, quelle est la probablilité que j'ai deux garçons".

En gros tu peux imaginer les cas extrèmes:

1. Celui que tu as donné : (on trouve ⅓)
2. celui où l'on dit que le garçon est le premier enfant (on trouve ½)

Dans le cas ici, on donne de l'information sur le garcon en question, donc on est supperieur à ⅓, et on ne donne pas toute l'information, on est inferieur à ½.

Une technique est de faire l'énumération complète des possiblilités, je l'ai fait faire à mon shell, cf plus bas.

Super facile à coup de scripts shell. Je donne quasiment la solution, c'est pas constructif de chercher pour rien, et je dirai même que c'est en posant des problèmes comme cela sans les résoudre que l'on conduit les gens à haïr les probas. J'ai envie que les gens aiment les probas !

Énumerons les cas equiprobables. On note "G" Garçon, "F" fille, 0, le lundi, 1 le mardi… 6 le Dimanche.

Un couple qui a deux enfants à donc toutes ces possiblilités équiprobables (on les mets dans un fichier tous_les_cas):

for s1 in G F
do
    for j1 in 0 1 2 3 4 5 6
    do
        for s2 in G F
        do
            for j2 in 0 1 2 3 4 5 6
            do
                echo "$s1$j1-$s2$j2"
            done
        done
    done
done > tous_les_cas

Maintenant on peut faire le conditionnement à coups de egrep, Garçon un mardi = G1

1er conditionnement, dans combien de cas y a t'il un garçon né un mardi ?

egrep "G1" tous_les_cas | wc -l

2e conditionnement, parmis les cas précedents, combien de fois y a t'il deux garçons ?

egrep "G1" tous_les_cas | egrep "G.-G." | wc -l

Bon, ben c'est plié.

Je n'ai jamais utilisé facebook et consorts, c'est peut être pour cela que je ne comprends pas

Dans ce cas je ne comprends pas ce que tu veux dire par push. Les utilisateurs vont bien sur la page du site sur facebook non ? Il s'agit d'une action de la part des utilisateurs finaux, non ? Cela reste du pull, du pull sur facebook, peut-être, mais toujours du pull.

Ça je peux le comprendre, et ça semble legitme qu'ils ne passent pas à coté de facebook et autres.

En résumé, je comprends qu'ils captent et entretiennent un public sur facebook. Par contre, ce que j'arrive pas à comprendre, c'est pourquoi ils redirigent leurs visiteurs normaux vers facebook.

Du coup, je me demande ce que prévoit la loi dans le cas d'une relation entre un ado de 17 ans et un gamin vraiment gamin (genre, 5 ans).

Je pense que c'est un viol. Voici la Loi. Article 222-23 du CP :

Tout acte de pénétration sexuelle, de quelque nature qu'il soit, commis sur la personne d'autrui par violence, contrainte, menace ou surprise est un viol.

Ce qui est important de relever c'est la contrainte, dont il est fait mention au 222-22-1 du CP :

[…] La contrainte morale peut résulter de la différence d'âge existant entre une victime mineure et l'auteur des faits et de l'autorité de droit ou de fait que celui-ci exerce sur cette victime

Et donc si je ne me plante pas (sur le fait que ce soit un viol), il y a en aucun cas besoin d'une plainte des parents pour agir, il suffit que quelqu'un porte les fait à la connaissance de la justice, parents ou autre.

Concernant le second point que tu évoque, je pense que tout est dit dans l'article 371-1 du CC :

Les parents associent l'enfant aux décisions qui le concernent, selon son âge et son degré de maturité.

l'âge minimal des relations sexuelles (15 ans)

Il faut arrêter avec ça. Il n'y a pas d'âge minimal au sens strict dans la Loi pénale (enfin à ma connaissance).

Tout au plus, l'article 227-25 du CP dispose que :

Le fait, par un majeur, d'exercer sans violence, contrainte, menace ni surprise une atteinte sexuelle sur la personne d'un mineur de quinze ans est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Il y a aussi l'article 227-27 du CP qui dispose :

Les atteintes sexuelles sans violence, contrainte, menace ni surprise sur un mineur âgé de plus de quinze ans et non émancipé par le mariage sont punies de deux ans d'emprisonnement et de 30 000 euros d'amende :
1. Lorsqu'elles sont commises par un ascendant ou par toute autre personne ayant sur la victime une autorité de droit ou de fait ;
1. Lorsqu'elles sont commises par une personne qui abuse de l'autorité que lui confèrent ses fonctions.

Et en consultant mon guide des infractions (Dalloz, 11e édition), j'y trouve l'article 7 de la Convention Européenne de sauvegardes des droits de l'Homme et des libertés fondamentales

Nul ne peut être condamné pour une action ou une omission qui […] ne constituait pas une infraction d'après le droit national ou international

Donc faisant un résumé des relations sexuelles :

┏━━━━━━━━━┳━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━┓
┃ A \ B   ┃    [0,15[    ┃    [15,18[    ┃    [18,∞[    ┃
┣━━━━━━━━━╋━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━┫
┃ [0,15[  ┃    légal*    ┃    légal*     ┃    illégal   ┃
┣━━━━━━━━━╋━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━┫
┃ [15,18[ ┃    légal*    ┃    légal*     ┃    légal**   ┃
┣━━━━━━━━━╋━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━━╋━━━━━━━━━━━━━━┫
┃ [18,∞[  ┃    illégal   ┃    légal**    ┃    légal     ┃
┗━━━━━━━━━┻━━━━━━━━━━━━━━┻━━━━━━━━━━━━━━━┻━━━━━━━━━━━━━━┛

* : Cela reste soumis à l'autorité parentale pour les deux participants.
** : Le majeur ne doit pas être un ascendant, ou personne ayant autorité sur le mineur. Cela reste soumis à l'autorité parentale pour le participant mineur.

Sur ma machine /etc/mke2fs.conf :

    inode_ratio = 16384

Dans ton formatage actuel, tu as imposé cette valeur ? De mon coté je suis toujours resté avec les valeur par defaut et sur mon / qui fait 100 GiB j'ai plus de 6e6 inodes.

Ça ne servira à rien de compresser les fichiers. Tu as trop de fichiers (en nombre et pas en taille).

Je sais pas moi, change de FS (d'ailleurs c'est quoi comme FS ? car 67072 inodes c'est peu pour 66GiB), fait des archives…

D'ailleurs, un hébergement chez soi est probablement plus protecteur en cas de demande du gouvernement ou de la police. Le serveur étant dans le domicile privé, on peut refuser d'obéir tant que la police ne vient pas perquisitionner avec une autorisation d'un juge.

Et bien pas exactement. Je cite l'article 56 du CPP qui parle de perquisition dans le cadre de l'enquête de flagrance (définie à l'article 53 du CPP) :

Si la nature du crime est telle que la preuve en puisse être acquise par la saisie des papiers, documents, données informatiques ou autres objets en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces, informations ou objets relatifs aux faits incriminés, l'officier de police judiciaire se transporte sans désemparer au domicile de ces derniers pour y procéder à une perquisition dont il dresse procès-verbal.

On est donc plus exposé que tu le dis.

en résumant, être malade, c'est ne pas tenir compte du consentement.

Tu me contrapose. Je disais que ne pas tenir compte du consentement est une forme de maladie.

Cela signifie qu'un violeur est un malade mental ?

Ça ne me choque pas. Après ce n'est pas pour cela qu'on doit le juger pénalement irresponsable, c'est une autre histoire.

Alors je vais distinguer les deux points :

• Le passage à l'acte, alors là je reprends exactement le même raisonnement que précédemment, et le passage à l'acte pédophile et nécrophile correspond bien à une perversion sexuelle, la notion de défaut de consentement y est associée. L'homosexualité n'a rien à voir avec cela.
• L'attirance, alors là je suis beaucoup plus pragmatique : je me fous totalement des pensés des gens. Il serait (et il est, malheureusement au présent pour certains dirigeants) liberticide de chercher à contrôler et classifier les pensées des gens. La seule exception que je vois sur ce point (même si cette exception est à prendre avec précautions vu les dérives qu'elle peut entraîner) est dans l'optique de prévention du premier point. Comme l'homosexualité ne rentre dans ce premier point, elle ne rentre dans le second.

D'ailleurs il me semble que les comédiens de cette branche cinématographique ne peuvent pas avoir d'agent en France, sinon l'activité de l'agent est assimilé à du proxénétisme. À vérifier, mais tout à fait plausible.

Et à mon sens c'est bien cette notion de consentement qui fait toute la différence. Par exemple un homme (ou une femme, soyons contre le sexisme) qui viole tout ce qui bouge est-il mentalement malade ? Je pense que oui, et il a un problème avec la notion de consentement. De même pour la pédophilie, le consentement de l'enfant, même s'il peut être présent dans les faits, n'a (pour moi en tout cas) aucune valeur. Le pédophile agit aussi sans le consentement de l'enfant (ou l'enfant qui l'exprime n'est pas capable de discernement). Quant à l'atteinte à la dignité d'un cadavre, il faut être doté de certains dons pour recueillir le consentement de l'autre personne.

Alors oui, pour moi nier la notion de consentement est bien constitutif d'une maladie mentale, ou du moins d'un refus des règles les plus élémentaires de la vie en société.

Ca reviendrait exactement au même si j'avais l'obligation de prendre 5% du temps en congés non payés tout en gagnant 5% de plus quand je travaille.

Donc, tu travaillerai 95% du temps pour gagner 105% de ton salaire. Or 95% × 105% = 99.75%. Donc non, ça ne revient pas exactement au même.