jcs a écrit 1188 commentaires

Et régulièrement des failles sont publiées sur des algos qu'on croyait fiables...
Attention, il faut bien distinguer algorithmes et protocoles. En crypto, l'un et l'autre sont importants.
Par exemple si tu prends RSA, considéré aujourd'hui comme sûr : l'algo est très simple, il peut être expliqué en quelques lignes (http://www.rsasecurity.com/rsalabs/faq/3-1-1.html(...)). En revanche pour chiffrer ou signer un e-mail par exemple, il faut un protocole qui va expliquer comment appliquer cet algo à un flux de caractères pour le transmettre comme un e-mail classique (cf CMS rfc 2630 et S/MIME rfc 2311).
Deux exemples ou l'utilisation d'un protocole foireux peut compromettre un algo sûr :
- on peut utiliser les messages d'erreurs concernant le padding pour réussir à trouver 1 à 1 les bits de clé. voir problèmes d'implémantation de la cryptographie : les attaques par effet de bord dans MISC n°4
- on peut utiliser les propriétés multiplicatives de RSA afin de forger des signatures valides. C'est très bien expliqué ici : http://www.eleves.ens.fr/home/coron/publications/thesis/node8.html(...)

Oui, en effet. Je me rend compte que je me suis mal exprimé ; ça m'apprendra à poster en vitesse sans relire mon commentaire. En fait, en parlant d'applis spécialisées, je pensais à des applications qui utilisent beaucoup le processeur, comme le calcul numérique ou PovRay comme tu le dit dans ton commentaire. Par contre je doûte qu'on voit beaucoup de gain de performance sur des softs comme Apache ou MySQL qui utilisent beaucoup la mémoire et les disques durs.

Je ne suis pas un spécialiste dans le domaine, mais je crois qu'aujourd'hui, le processeur passe beaucoup de temps à attendre le reste du matériel (mémoire, disques...). Donc je doute que les gains sont significatifs. Par contre, pour certaines applications spécialisées, et développées particulièrement pour ce processeur, on doit voir un certain gain de performance.

L'auteur ne c'est toujours pas dénoncé, et le reste de la team kernel est toujours à sa recherche.
Et eux aussi Ils offrent 250000$ à toutes personnes susceptibles de fournir des informations permettant de le retrouver ? :o)
je sais =>[]

Si c'est le client qui calcule le hash du mot de passe et pas le serveur, nimporte qui se présentant avec le hash de ton mot de passe (et à fortiori, un pirate ayant eu accès à la base de donnée contenant la liste des hashs) peut se faire passer pour toi auprès du serveur, même s'il ne connait pas le mot de passe.

Remarquez que Civilization CTP et CTP2 n'ont rien à voir avec Sid Meier (Civ1, 2 et 3). Activision n'avait pas les droits sur le nom "Civilization" d'ailleurs, ils ont perdu leur procès face à Microprose (en fait la boîte qui a racheté Mircropose, je ne sais plus qui) et c'est pour ça que CTP2 ne s'appelle plus Civilization.
Moi ce que j'aimerai c'est Colonization sous Linux.

En fait sur mon portable (Duron 800Mhz - 512Mo - CyberBalde XP de chez Trident) ça tournait pas si mal, et même si c'était parfois un peu poussif, ça restait tout à fait jouable. C'est vrai (j'avoue) qu'avec WineX c'est un peu plus lent que sous windows. J'ai l'étrange sentiment que WineX a du mal avec la 2D alors que la 3D est plutôt bien gérée : j'ai remarqué ça avec d'autres jeux (Gta3 et Fallout)

Ils les ont virés ou alors il n'y en a jamais eu ? Bon, il semble qu'il y ait du boulot sur CTP2 avant de voir une version Linux. En attendant on a toujours FreeCiv et Alpha Centaury (j'y ai jamais joué à celui-là, je ne sais pac comment il tourne).
C'est pour qu'il ressemble à un vrai logiciel libre qu'il ont fait ça ? :o)

Quand Civilization 3 était sorti j'avais écrit à l'éditeur pour savoir si une version Linux était prévue et il m'avait répondu que non. Peut-être faudrait-il les relancer aujourd'hui.
Je précise aussi aux amoureux de Civilization 3 qu'il tourne très bien avec WineX sous Linux (oui je sais WineX c'est pas libre, c'est mal... mais Civ3 aussi c'est pas libre c'est mal)

Je rajouterai deux petites précisions :
1 - Il est conseillé de faire du SSL pour l'authentification car il faut envoyer le mot de passe "en clair" au serveur pour qu'il lui applique la fonction de hachage et le compare au haché dans la base de données.
2 - Si quelqu'un de "malveillant" a accès à la liste des hachés, il va pouvoir lancer une attaque par dictionnaire pour tester tous les hachés. Plus il y en a dans la base, plus il risque d'en trouver un car il suffit de hacher un mot du dictionnaire pour pouvoir le comparer à tous les hachés disponibles. Une solution consiste à hacher non pas le mot de passe seul mais la concaténation du mot de passe et d'une petite valeur aléatoire, appelée "salt", stockée elle aussi dans la base de données. Dans ce cas, même s'il y a deux fois le même mot de passe dans la base, ils auront des "salt" différents donc des hachés différents. Même si le pirate obtient la base de données (donc le haché et le "salt"), quand il hache un mot du dictionnaire, il ne peut tester qu'un seul mot de passe alors qu'avant quand il hachait un mot du dictionnaire, il pouvait tester tous les mots de passe de la base.

Ah ok, c'est le stockage du haché du mot de passe dont on parle. Mais si on n'utilise pas le bon vocabulaire je peux pas comprendre. En cryptographie, le terme 'cryptage' n'a pas de sens.

NdM: et le cryptage des mots de passe stockés ?
Et la clé de chiffrement, on la stocke où ? On peut aussi chiffrer avec un mot de passe (par exemple, jetez un coup d'oeil à PKCS#5 http://www.rsasecurity.com/rsalabs/pkcs/pkcs-5/index.html(...)) mais c'est peut-être un marteau pour tuer une mouche.
Et ne nous refusons rien, on peut aussi tenter le SSL bi-authentifié mais ça implique que TuxFamily doit délivrer (c'est à dire signer) des certificats numériques. Ce n'est pas trop compliqué techniquement avec OpenSSL (enfin tant que le niveau de sécurité désiré n'est pas énorme) mais ça nécessite de mettre en place une infrastructure, des procédures, un serveur...
Et j'allais oublier s/cryptage/chiffrement !

Avec le DVD de la 9.1, il y a eu un reatard de plusieurs mois
Oui mais ils ont été sympa avec moi après : comme j'étais membre du club, et comme disait leur mail, que la décapitation n'est pas autorisé en France :o), j'ai eu droit à presque un an d'abonnement au club gratuit (~60€ pour moi même si ça ne leur a probablement pas coûté grand chose). Par contre je ne sais pas si les clients non-membres ont reçu une quelconque compensation.

Plus difficile encore. Dans Alias, on pouvait voir un xterm avec une compilation en cours, quel était le logiciel compilé ? Je précise que je n'ai pas la réponse ; c'est une question sérieuse... bien sûr dans la mesure du possible :o)

Heu... IPSec çà existe sur IPv4
Euh oui bien sûr. Je voulais simplement dire que si la solution retenue pour sécuriser les connexions Wifi est IPSec, alors on peut penser à passer en IPv6.
<ma vie>
le dernier MISC sorti chez tous les bons marchands de journaux
Grande nouvelle ! Peut-être m'attendra-t-il ce soir dans ma boîte aux lettres :o)
</ma vie>

Je suis (très) loin d'être un spécialiste du sans fil mais je pense que l'IPv6 (en fait surtout IPSec) résout le problème. Bon, on ne fait que changer de problème parce qu'il faut alors configurer tout le réseau, ou au moins la partie sans fil, en IPv6.

Je n'ai suivi l'histoire que de loin mais on ne parlait que de partenariat à un moment, et maintenant il est question d'une OPA. Une âme charitable qui a suivi l'histoire dans son ensemble peut nous faire un résumé ?

Pas tant que ça, aujourd'hui un admin système pour Unices est bien plus cher qu'un admin système pour Windows.

Moi aussi j'ai lu ça sur OSNews. Mais c'est vraiment vrai ou c'est juste un hoax ?

Alors, à quand la signature électronique systématique des messages sur les forums ou l'utilisation de sites en SSL bi-authentifié ?

En français, même si on parle de cryptographie, on dit chiffré et pas crypté ni encrypté. Crypter cela signifie que tu veux produire un message chiffré sans avoir la clé de chiffrement. Quand on est un méchant pirate (de ceux qui lisent Pirate Mag ? Argh les méchants:o) ) on essaie de décrypter un message, parce qu'on n'a pas la clé de déchiffrement ; mais si on est le destinataire légitime, on déchiffre.
Bon, je peux sembler énervé dans ce commentaire mais cela fait plusieurs fois qu'on le répète ici. Sur LinuxFR on parle beaucoup des fautes d'orthographe : en voilà une qu'il faudrait vite éradiquer, parce que chez les spécialistes de la cryptographie cela ne fait vraiment pas sérieux d'utiliser crypter/décrypter et cela donne l'impression de ne pas savoir de quoi on parle.

Nicolas Boileau (1636-1711), homme de lettres français, membre de l'académie française (1684).

Amis philosophes bonjour.
La réponse est : bien sûr. Le bonheur est un état particulier de l'être tel qu'il aspire à ce que cet état ne disparaisse jamais. Le bonheur est la quête de tout être humain. Mais attention, le bonheur n'a rien de sensitif, le bonheur n'est pas le plaisir. Le bonheur n'est pas à l'extérieur et il n'a pas d'autre objet que l'être.

Sans aucun ordre:
- Eiffel & Java mes langages objets préférés
- l'ensemble bash, grep, sed, awk... et un peu de python (uniquement quand c'est indispensable)
- SML & Haskell parce que c'est marrant à utiliser
- le Basic de mon vieux TO7/70
- l'ASM de la HP48 et l'ASM 68k de la Ti89 (souvenirs de prépa)

Te le faire remboursé ?
Blagues à part, je ne me doutais pas qu'un lecteur CD pouvait ne pas être compatible. Je pensais naïvement que le matériel possédait des protections contre un software qui faisait n'importe quoi. Bon, il y a quelques années il était possible de tuer un écran en demandant des fréquences délirantes mais aujourd'hui ce n'est plus possible, je croyais que sur des périphiques aussi courant qu'un lecteur de CD, on trouvait les mêmes dispositifs.