jcs a écrit 1188 commentaires

faire confiance à l'applet signée par Integrated Search Technology

Une applet signée, contrairement aux applets non signées qui n'ont que le droit de se connecter au serveur web où elle trouvent, a tous les droits, y compris de de lire/ecrire/exécuter des fichiers sur le système de fichier local.

C'est d'ailleurs pour cette raison que quand une applet signée est exécuté dans le navigateur, un popup apparait, indiquant qu'elle est signée, affichant le nom du signataire avec son certificat.

Je me demande quand même ce que ça peut donner au niveau sismique, si 600 millions de clampins sautent en même temps...

En fait... pas grand chose. En supposant que 600 millions de personnes (poids moyen 70 kg) montent sur une chaise à 60 cm du sol et sautent tous ensembles, la somme de leurs énergies respectives au moment où ils touchent le sol est de l'ordre de 10^11 J (0,6 * 6E8 * 9,8 * 70), soit l'équivalent énergétique d'une bombe nucléaire type Nagasaki.

Par contre l'énergie dissipée par un séisme de magniture 5 (donc de faible intensité) est de l'ordre de 10^16 J

s siècl AV 2 an ! R0m remplaC Sparte,
Dja Napoléon perçé sou Bonapart,
ê du 1er konsul, Dja, pr m'1 endroi,
L fron 2 l'empereur brizé le mask é3.

Je ne sais pas quel était le but initial de Linus

Remplacer l'émulateur de terminal de Minix pour accéder aux machines de l'univertsité depuis chez lui et pour apprendre le fonctionnement de l'architecture x86.

SmartEiffel c'est par là : http://smarteiffel.loria.fr(...)

La version 2.1 du compilateur est sortie début février et comprend désormais un support réseau (certes minimaliste) dans l'API standard.

Oui, sauf que cet article oublie de préciser que la vitesse moyenne des français a diminué de 10 km/h depuis l'arrivée des nouveaux radars. La baisse de la consommation d'essence induite doit, à vue de nez, plus ou moins compenser les rentrées fiscales décrites, même augmentées de la recette de ces radars (100 millions en 2004) qui devrait d'ailleurs servir à la sécurité routière.

La première idée qui me vient à l'esprit c'est une Yahoo! Bar pour Mozilla/Firefox. La deuxième c'est une applet Gnome/KDE qui afficherait des dépèches pour un ensemble de termes donnés...

Non, dilemme prend bien deux m. En outre le dictionnaire de l'académie française dit explicitement : C'est une faute que d'écrire ou de prononcer Dilemne, par contamination avec Indemne.

Puisque tout le monde y va de sa petite énumération :

1 - TO7/70 (1985)
2 - Amstrad PC 8088 (1989)
3 - Acer 486DX33 (1992) <-- 1er machine sous Linux
4 - Pentium Cyrix 166 (septembre 1996)
5 - PIII Katmai 450Mhz (fin 1999)
6 - Portable Athlon 800Mz (juin 2001)
7 - AMD Athlon 2800+ (avril 2003)

Ce fut dûr mais j'ai survecu...

Samedi :
- je me suis levé à 7h00 (ben oui en ce moment, je me couche tôt... et bien sûr je me lève tôt)
- j'ai pris un petit-déjeuner
- j'ai passé l'aspirateur
- je me suis rasé et j'ai pris une douche
- j'ai vérifié que LinuxFR était bien down (ben oui, on ne sait jamais)
- j'ai été faire des courses pour remplir mon frigo désespérément vide
- j'ai déjeuné avec des amis
- j'ai fait une courte sieste
- j'ai regardé un peu la télé
- j'ai continué à travailler sur un projet d'extension firefox
- j'ai écouté Shangri La de Mark Knopfler
- j'ai vérifié que LinuxFR était encore down
- j'ai continué Roma Aeterna de Silverberg
- je me suis préparé une pizza surgelé
- j'ai encore regardé M6
- je me suis endormi devant la télé

Dimanche :
- je me suis levé à 8h00
- je me suis rasé et j'ai pris une douche
- je suis parti faire un tour mais je suis vite rentré tellement il faisait froid
- j'ai pris un petit-déjeuner
- j'ai regardé C'est pas sorcier sur la conservation des aliments
- j'ai cherché (sans grand succès) une galerie en php pour mettre des photos en ligne
- j'ai vérifié que LinuxFR était toujours down
- j'ai moulé sur le net sans but
- je suis allé au resto avec ma soeur
- je suis allé au ciné voir Le promeneur du Champ de Mars
- j'ai regardé la télé
- j'ai continué à lire Les extraordinaires aventures de Kavalier et Clay de Michael Chabon
- j'ai maté un épisode de Samurai 7
- j'ai chatté avec un pôte à l'autre bout de la France
- j'ai hurlé à la mort en voyant que LinuxFR était invariablement down
- j'ai regardé Ocean's Eleven d'un oeil

Et j'utilise les ciseaux de la main droite, aussi.

C'est parce que tu utilises des ciseaux pour droitiers avec la lame du "bon" côté pour pouvoir voir la ligne de coupe. Les ciseaux pour gauchers sont inversés, comme dans un miroir, et peuvent être aisément utilisés de la main gauche.

cf. http://www.lesgauchers.com/m1.php?id=17(...)

Georges Clémenceau

Clemenceau s'écrit sans accent et se prononce d'ailleurs Cleumenceau et non pas Clémenceau.

Dire que SuSE Linux Enterprise Server 9 a obtenu l'évaluation EAL4+, c'est bien, mais il faudrait précider le profil (Protection Profile).

Pour faire simple, le profil regroupe l'ensemble des spécifications auquel le système évalué doit se conformer. Il en existe plusieurs comme le Controlled Access Protection Profile (celui de windows 2000 lors de son évaluation) ou le Smart Card Protection Profile pour les cartes à puce.

Un site qui parle de l'évaluation de Windows 2000 et des conclusions qui peuvent être tirés au sujet de sa sécurité : http://eros.cs.jhu.edu/~shap/NT-EAL4.html(...)

Il s'agit d'une faille théorique, je ne crois pas avoir vu passer d'annonces pour quelque chose de pratique/utilisable.

Non, pas uniquement théorique : elle a été implémentée avec succès et des collisions ont été publiées à CRYPTO2004 (http://eprint.iacr.org/2004/199(...)). En revanche l'attaque contre SHA-1 est elle pour le moment complètement théorique.

Faut-il en espérer de nouveaux ou alors faire une croix sur cette très bonne chronique ?

Non non, elle continue, mais la mise en ligne semble avoir quelques problèmes. J'ai acheté Linux Magazin (le numéro de mars) alors que j'étais en Allemagne la semaine dernière, et il y avait bien un numéro de Brave GNU World à l'intérieur.
En outre comme il semble manquer des traducteurs, cela ne doit pas non plus arranger les choses.

J'adore pas trop à la charte graphique tout comme toi. Même si ça a le mérite d'innover et de couper les ponts avec les interfaces à la SF ou GNA qui sont à se tirer une balle de manque de lisibilité et d'austérité

Ce sont deux choses différentes. La sobriété n'implique pas nécessairement l'austérité et le manque de lisibilité d'une interface à la SF ou à la GNA.

Moi non plus je n'aime pas la charte graphique. Je n'aimais pas non plus la précédente mais celle là est encore pire. Mais de toutes façons :
1 - c'est accessoire si les services sont de retour,
2 - il suffit passer en "No Style" dans le menu idoine en attendant une CSS alternative,
3 - les goûts et les couleurs...

Il n'y a pas un certain OS de chez Microsoft qui serait certifié EAL4 ?

Si, Windows 2000 SP3

allez... soyons sérieux.

C'est très sérieux mais il faut comprendre comment fonctionnent les Critères Communs. Une évaluation EAL te donne un niveau le confiance que tu peux mettre dans un système pour un ensemble de spécifications. Toute la subtilité est là. Dire qu'un produit est certifié EAL4+ n'a pas de sens en soi, il faut préciser ce qu'on appelle le Protection Profile qui est l'ensemble des spécifications, ou objectifs de sécurité, couverte par l'évaluation. Dans le cas des cartes à puce il existe le Smart Card Protection Profile (SCPP) qui te donne de nombreuses garanties de sécurité sur la carte.

L'évaluation de Windows couvre le Controlled Access Protection Profile (CAPP). Ce profil précise qu'il se s'applique pas dans de nombreux cas (The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security.).

toutes les explications ici (et en plus c'est le premier lien donné par Google)
http://eros.cs.jhu.edu/~shap/NT-EAL4.html(...)

Bon, tentons une rapide analyse des arguments :

1 - Il n'y a pas, objectivement, de raison d'abandonner Explorer pour Firefox. Bien sûr, on vous dira que FireFox est plus rapide, [...] je ne vois pas grande différence avec Explorer, si ce n'est que plusieurs sites importants ne fonctionnent pas avec, ce qui est agaçant.

Bref IE/Firefox même combat : les avantages compensent les désagréments. Mais s'il existent encore des sites ne fonctionnant pas avec Firefox, la tendance est à leur disparation. En revanche, les améliorations de Firefox sont continues et le fossé entre Firefox grandit potentiellement tous les jours.

2 - [...] Non seulement les démarches militantes allant à l'encontre d'un choix rationnel sont fragiles, mais encore Christensen nous apprend qu'attaquer une entreprise dominante avec une innovation incrémentale est voué à l'échec.

Loin de moi l'idée de vouloir critiquer Clayton Christensen, il a probablement raison au sujet des innovations incrémentales. Cependant il ne faut pas perdre de vue que d'abord IE est elle même une innovation incrémentale face à Netscape ce qui ne l'a pas empêché de phagociter le marché. Je doute qu'on puisse appliquer la théorie de Christensen sans prendre en compte d'autres aspects de la relation entre IE et Firefox comme la position dominante de Microsoft sur de nombreux marchés comme celui des systèmes d'exploitation.

3 - Que va-t-il se passer? Pris en flagrant délit d'endormissement - Explorer n'a pas vraiment été amélioré depuis plusieurs années - Microsoft va réagir de manière totalement prédictible: la prochaine version 7 sera un festival d'innovations ergonomiques et sécuritaires

La prochaine version de IE sera sans doute bien meilleure que la version actuelle. Cependant, Joel Spolsky propose dans son article How Microsoft Lost the API War (http://www.joelonsoftware.com/articles/APIWar.html(...)) la théorie suiviante : si IE est aussi pauvre en ergonomie, fonctionnalités et respect des recommendations du w3c, c'est pour ne pas favoriser le couple clients légers / Web application qui peuvent être largement indépendants de l'OS.

Dire que firefox n'a aucune chance est je pense un peu prématuré. Il faudra attendre la sortie de IE 7 pour voir ce que Microsoft a décidé pour son navigateur web : va-t-il se lancer dans la compétition ou alors pour la première fois laisser le marché à d'autres ?

"Les cartes a puces sont aujourd'hui de veritables forteresses et il est tres difficile de les casser. Le hard est protege contre bien plus d'attaques que tu pourrais n'en imaginer, et le soft aussi."

je demande a voir, C'est pour ca que les specs m'interressent.

Regarde du côté des Certifications Critères Communs EAL

http://en.wikipedia.org/wiki/Common_Criteria(...)
http://en.wikipedia.org/wiki/Evaluation_Assurance_Level(...)
http://csrc.nist.gov/cc/Documents/CC%20v2.1%20-%20HTML/CCFOREWORD.H(...)

De nombreuses cartes à puce sont certifiées EAL 4+. Sans entrer dans les détails, parce que c'est un sujet complexe, cette certification te garantit un certain niveau de sécurité.

Pourtant le nombre de francophones dans le monde doit être bien supérieur au nombre de germanophones !

Pas bien supérieur. L'ordre de grandeur est le même. On estime les francophones à 175 millions et les germanophones à 120 millions (source wikipedia).

En revanche cette page est intéressante http://en.wikipedia.org/wiki/Wikipedia_articles_per_population(...)
Elle indique le nombre d'articles dans une langue par millions de locuteurs. Mais je pense qu'il faudrait aussi mettre ces infos en parallèle avec le nombre d'internautes de chaque langue pour avoir une idée plus précise de la vitalité de cette langue.

Petit correctif, je me suis un peu embrouillé : l'authenticité c'est l'assurance qu'on a de la provenance du fichier (le fichier est signé par toto alors je suis sûr que ce fichier est un fichier de toto). L'assurance que le fichier n'a pas été modifié c'est bien sûr ce qu'on appelle l'intégrité du fichier et non pas l'authenticité.

Ce sont les valeurs depuis l'ouverture du site ou depuis l'arrivée de Templeet uniquement ?

Malheureux : tu parles de technique mais tu ne fournis pas de contenu !!

J'ai juste proposé un moyen de vérifier l'origine d'un fichier.

je peux demain mettre sur un gros ftp mes Ogg chéris, les signer avec une clé valable et me faire rémunérer par accès au ftp. En quoi disposes-tu d'une garantie que tu n'es pas en plein recel en téléchargeant des fichiers de chez moi ??

Qu'appelles-tu une clé valable ? Une signature doit être vérifiée par rapport à une clé publique à qui tu fais confiance. A priori je ne fais confiance qu'aux clé signée par les Ayant-droits, pour moi c'est ça une clé valable.

Par contre tu mets le doigt sur un point épineux. Rien ne m'empèche de diffuser mes morceaux légalement acheté sur un réseau P2P. Une idée :

Je m'enregistre chez un vendeur en ligne pouet-pouet.com. Il me signe un certificat. Quand j'achete un morceau chez eux, je reçoit un mp3 chiffré par ma clé publique, et ce chiffré est signé par leur certificat. Impossible dans ce cas là de diffuser le fichier en clair signé, au mieux je peux diffuser le mp3.

Sans aller jusqu'à la DRM, si c'est juste pour s'assurer qu'un fichier a été téléchargé légalement, il suffit que les distributeurs de musique en ligne les signent.

La signature te donne trois choses :
- l'intégrité du fichier
mais surtout
- l'authenticité du fichier : il est tel que tu l'as téléchargé, n'a aucunement été modifié.
- la non-répudiation : celui qui a signé le fichier ne peut pas prétendre ne pas l'avoir signé.

Je suis le seul à être HP-UX ? Finalement c'est pas mal, j'aurais pu tomber pire...