JGO a écrit 2437 commentaires

Concernant l'article que tu as envoyé a ton ami, j'ai lu sur un site spécialisé que les copilotes de certaines compagnies (dont celle-la) n'avaient, par économie de moyens, qu'une formation pour les situations normales (pas les situation d'urgence). Le pilote, qui connaissait apparemment les compétences limitées de son second, lui aurait dit "ne touche a rien" en partant aux toilettes.

> par defaut les fichiers sont executables sous linux

Tu veux dire que ta distribution n'utilise pas par défaut les bonnes options de montage ? Je pense que tu peux le leur suggérer. Chez moi, fstab dit :

/dev/sdb1 /mnt/floppy auto noatime,noauto,noexec,user,fmask=0137,dmask=0027 0 0

Je suis sûr que les auto-truc peuvent être configurés de la même façon.

Tu peux envoyer la clef par courrier physique accompagnant un CV, une offre commerciale, ou autre excuse tant que tu convaincs le pigeon d'insérer la clef sans suspicion. Retenir qu'il ne faut pas connecter de périphérique douteux a son ordinateur. Ceux qui ont connu les virus MBR des disquettes s'en souviennent.

L'attaque qu'il présente nécessite une clef USB physique, elle nécessite la collaboration de l'utilisateur (le convaincre d'insérer la clef) ou un accès physique au matériel. C'est uniquement une attaque ciblée, pas une attaque en masse où tu envoies un million de clef USB à un millions de pékins choisis dans le bottin. Le mode d'attaque fait que tu as sans doute moyen de te renseigner sur la machine (tu peux entrevoir l'écran ou parler à l'utilisateur). Une fois que tu sais quelle version de quelle distribution ça doit être, tu peux l'installer chez toi et voir ce qui se passe.

oui le bug du dvi est corrigé mais il pourra toujours y avoir des bugs l'un ou l'autre des dizaines de formats supportés. Par exemple, si tu cherches sur le net, il y a eu des vulnérabilités chez libpng, libjpeg, libtiff.

Dans tous les cas, ouvrir tous les fichiers de la racine d'un media non de confiance, sans même que l'utilisateur ait eu à dire oui ou non, c'est une mauvaise politique. C'est comme le vieux bug d'Outlook qui ouvrait automatiquement les pièces attachées.

Toutes les options sont prévues par gnome et KDE pour éviter l'attaque qu'il présente. Le problème est plutôt la configuration par défaut des distributions destinées à Mme Michu. Il illustre sa présentation avec Ubuntu, j’espère que cela incitera cette distribution à améliorer ses réglages par défaut.

> si c'est toi l'utilisateur final qui veut regarder le contenu d'une clef USB alors
> même s'il faut taper 'mount', tu vas le faire et le niveau de sécurité est inchangé.

La difference, et il l'explique dans la video, c'est qu'avec un automount, les chemins sont connus a l'avance : la clef est montee dans /media/un_nom_previsible. Connaitre le nom du repertoire aide a concevoir le code malveillant. Dans mon code en dur dans fstab, ma clef usb est montee dans /mnt/divers, /mnt/cle, ce genre de choses. Ca le concepteur du vers ne peut pas le savoir a l'avance.

Ou : choisir « enregistrer sous » (dans ~) puis lancer une console et ouvrir le fichier. C'est ponctuellement plus rapide que de choisir l'application, et c'est ce que je fais pour les formats que j'utilise trop peu souvent pour passer par la boite de sélection d'application. Mais c'est une perte de fonctionnalité du logiciel. Alors que firefox pourrait détecter les applications pdf/... les plus courantes et proposer directement celle que j'ai installée ou utilisée le plus récemment sur mon système, basé sur les ctime ou atime du binaire.

L'autocomplétion c'est participe à donner l'impression de lenteur et je ne sais pas la désactiver. Je n'ai pas besoin d'autocomplétion pour /usr/bin. (Si je ne sais pas à l'avance que je vais taper xpdf, zathura, evince, okular, mupdf... c'est pas l'autocomplétion qui va m'aider ; et une fois que je sais, c'est quand même assez rapide à la main). J'ai un portable un peu vieillot, mais qui marche encore très bien. Mon gestionnaire de bureaux est d'une vitesse phénoménale, mes applications à jour et assez rapides. Franchement, y'a bien que l'interface de Firefox qui me donne l'impression de lenteur (allez, et le temps de lancement d'Inkscape). Note que ça avait déjà été prévu en 2001 http://kadreg.org/ipot/ :-)

C'est une bonne astuce, mais il n'empêche qu'il faut se taper le parsage de /usr/bin pour avoir le droit de taper /usr/bin/xdg-open. Je sais que ça dépend plus de gtk que de Mozilla. Mais l'utilisabilité de la fenêtre de sélection de gtk est très diversement appréciée, et ce serait bien si on pouvait avoir un autre genre de fenêtre. La demande faite plus bas (meilleure intégration dans les bureaux) pourrait résoudre le problème, si la fenêtre de sélection du bureau (p.ex. celle de kde) est utilisée.

Dans about:config, je trouve network.dnsCacheEntries, network.dnsCacheExpiration. Ça sert pas à ça ? Sinon, l'extension qui va bien (je sais c'est une extension c'est pas intégré par défaut, mais des fois que ça te soit utile...) https://addons.mozilla.org/en-US/firefox/addon/dns-cache/

Je confirme que ce dialogue est vraiment pourri. La première fois que j'exécute une nouvelle application, OH MON DIEU IL VA PARSER /USR/BIN ÇA VA PRENDRE DES PLOMBES. Je reste là qu'il ait fini d'afficher les milliers de trucs de /usr/bin, je choisis anxieusement mon application (pas question de revenir changer quelque chose après, c'est trop saoulant), il faut scroller laborieusement pour trouver un programme parmi 3322 exécutables de /usr/bin... la galère.

Merci pour le pointeur, j'étais confus à cause de l'histoire sur les drivers de linux 2.2 ! J'espère que l'usb ou le sata arriveront bientôt, afin qu'il soit possible de tester sur une machine récente.

Bonjour, je voudrais poser une question naïve : quel niveau de difficulté/complexité serait de porter des fonctionnalités ou drivers de linux vers Mach/L4/... ? Je pense qu'il sera toujours trop difficile de dupliquer l'effort de code et écrire des drivers pour toutes les nouveautés supportées chaque mois par linux. Aussi, pour que HURD puisse devenir un noyau généralement utilisable, ce serait bien de disposer de quelque chose de similaire à ndiswrapper.

Moi j'ai toujours trouvé scandaleux qu'il y ait des « offres réservées aux professionnels/particuliers ». Je ne suis pas une entreprise, je ne peux pas acheter leurs produits, même si je paie au comptant ? Apparemment c'est possible aussi.

L'argument du développeur de Mozilla parait de mauvaise foi, mais il date du moment où ils ont pris leur décision, en juin 2009, c'est-à-dire un peu avant la sortie de Windows 7. Si tu lis le deuxième billet que j'ai mis en lien, il donne d'autres raisons. En gros ils veulent le web marche de base, pas que le web marche pour ceux qui savent ajouter des codecs ou qui peuvent payer des licences. D'où leur choix de politique sur les formats sans problèmes de brevets.

> Ces codecs devraient être mutualisés dans des librairies fournies par l'OS

Tu peux lire la justification d'un développeur de chez Mozilla : http://weblogs.mozillazine.org/roc/archives/2009/06/directsh(...)
Ses arguments (centrés sur le cas Windows), au cas où tu n'aurais pas le temps de lire le lien :
1. Format ouverts, les petites fleurs dans les champs, blabla.
2. H264 n'est présent par défaut que sur Windows 7, donc de toute façon ça ne changerait rien au problème pour la plupart des gens

La plupart des codecs disponibles au format DirectShow (apparemment le truc de Windows 7), installés volontairement par téléchargement...
3. ... sont de qualité pourrite incapables de fonctionner sur des sites web, voire ...
4. ... sont des malwares
5. ... ont des trous de sécurité
⇒ nécessité de black-lister ou white-lister des codecs, et perte de tout intérêt du système.

6. un gros travail de maintenance pour les développeurs de Mozilla s'ils veulent changer quoi que ce soit à leur code pour la balise [video], tout en maintenant la compatibilité avec n codecs DirectShow.

Il a écrit un second billet sur les motivations non-techniques
http://weblogs.mozillazine.org/roc/archives/2010/01/video_fr(...)

Un plugin qui ajoute l'accès à un codec à un logiciel de lecture vidéo, c'est mal ? Google a aussi annoncé un plugin WebM pour Internet Explorer, et ce n'est pas son premier plugin pour IE. Le problème peut être si le plugin s'installe sans demander la permission, comme ça se passe avce des plugins pour Firefox installés automatiquement par Google Earth et MS Office. Mais là, l'utilisateur choisit comme un grand d'ajouter un codec.

Je n'avais effectivement pas vu cet aspect, je commentais la partie « observer ce que fait Google pour améliorer les résultats de Bing ». Vu comme toi c'est effectivement un spyware et c'est choquant, particulièrement parce que pas la première fois. Mais je dois être un peu blasé, d'autant que Microsoft a tendance à avoir du mal à suivre le niveau de perversion de la concurrence en ce moment (Sony et ses backdoors dans les firmwares).

Bing serait donc un méta-moteur de recherche. C'était très utile à une époque où il était encore possible de faire une recherche exhaustive des résultats et où plusieurs moteurs de recherche donnaient des résultats assez différents. Voir par exemple Copernic agent. Ça n'a rien de honteux, seul le procédé (ne pas le dire ouvertement) est discutable.

Le manuel de statistiques de l'ONU indique :
– « bien utilisé en tant que support d'information ou de logiciels » (support physique de logiciel gravé en série) → est une marchandise (voir point 27 page 90)
– « programme ou jeu de données réalisé sur commande » → est un service (point 48c page 93)

http://unstats.un.org/unsd/publication/SeriesF/Seriesf_87F.p(...)
Études méthodologiques Série F, no 87, Statistiques du commerce international de marchandises – Manuel des statisticiens
ISBN 92-1-261191-5

Possible, mais si la valeur de la taxe dont ils sont chargés est la même pour le matériel et logiciels (p.ex. TVA à 19,6 %), ils sont peut-être tolérants sur la manière de remplir le formulaire.

Ton message n'était pas très compréhensible non plus. Indique moi s'il te plait :
1) en quoi les douanes françaises ont quoi que ce soit à voir avec la directive européenne mentionnée plus haut ;
2) en quoi le fait, pour les douanes françaises, d'éventuellement ne pas appliquer la loi comme elles le devraient, provient d'un principe sacré, lié ou non à l'Europe.
Ton raisonnement est illogique, on vient de te rapporter que GRÂCE à une directive européenne, la vente liée est condamnée en justice, et toi tu viens dire que si la douane n'intervient pas plus, c'est À CAUSE d'un principe contraire qui viendrait de l'UE. l'UE aurait donc voté une directive contraire à un « principe sacré ». Si un tel principe existait, une directive légalisant la vente liée aurait été votée !

Mais en oubliant le troll, je précise le sens de mon message :
1) La dépêche souligne que la douane ne va probablement pas changer son comportement, qui est de ne pas rappeler à l'ordre les importateurs.
2) La vérité est que la douane n'a pas d'obligation à le faire, parce qu'il s'agit d'un problème privé entre deux personnes, et elle n'interviendrait qu'en cas de plainte d'une personne lésée. S'il s'agit d'une relation commerciale entre un importateur et une chaine de magasins, PERSONNE n'est lésé puisque la vente (même liée) est conclue avec l'accord des parties.
Donc rien à voir avec l'Europe, la douane n'est pas obligée d'intervenir dans ce cas.

Mauvaise foi détectée. Le problème c'est ici encore de la vente liée, entre l'importateur et le distributeur. C'est un problème privé, rien ne peut obliger le distributeur à porter plainte s'il s'accommode de la vente liée des ordinateurs et logiciels qu'il acquiert. Il n'est responsable que devant ses clients finaux, et il peut toujours négocier avec eux le prix de vente des logiciels inclus.

L'excuse n'est pas bidon, elle est fondamentale à l'économie de marché. Le cout de reproduction des données électroniques étant proche de zéro, le prix de marché de ces données est lui-même proche de zéro. C'est un changement définitif et il faut que les maisons de disques le comprennent.

Si les détenteurs de droits veulent que les clients se dirigent vers une offre payante, il faut qu'ils commercialisent des services qui ne peuvent pas être dupliqués (j'invente au pif, accès privilégiés à certaines places de concert, concours, goodies physiques...).

D'autre part, comme vu dans les commentaires de ce journal, les plateformes payantes ne sont pas encore au point et leur offre est partielle (DRM, formats limités...), alors que l'offre illégale permet de trouver à peu près tout.

Je dirais que donc que l'excuse est valable. L'offre commerciale est encore dans de nombreux cas inférieure en qualité ou en praticité à l'offre illégale, et rien dans l'offre commerciale actuelle ne justifie les prix.