... la solution ultime reste IPsec.
Ici, une fois l'accès ouvert pour l'IP de la personne authentifiée par SSH, quelqu'un d'autre peut toujours spoofer cette IP et passer. En plus, tout passe toujours en clair sur le fil.
Avec IPsec, au moins, tout est chiffré, l'authentification est plutôt robuste (avec isakpmd) et ça tourne pas mal. Chiant à configurer, mais groovy.
Pour continuer le trip stéganographie :
Outguess, un outil de stégano qui est pas mal du tout http://www.outguess.org(...) . Sur la meme page on trouvera stegdetect, qui permet de détecter des éventuels messages cachés dans une image.
Chacun sa politique. Je téléphone aux boîtes en préfixant 3651 (quand j'y pense) mais j'appelle le plus souvent en numéro visible. Et j'aime bien pouvoir regarder par l'oeilleton avant d'ouvrir.
Personnellement je refuse les colis sans nom d'expéditeur, les paquets IP avec des adresses inexistantes, les mails anonymes, etc.
Attention : je ne refuse pas les gens que je ne connais pas (même si ils/elles sont forcément moins prioritaires) mais je trouve que c'est la moindre des courtoisies que de se présenter.
Le problème du téléphone, c'est que beaucoup de gens interrompent tout pour répondre illico. J'aime bien pouvoir décider ce qui est important ou pas : en général je considère les gens présent en personne comme plus importants[1], donc je ne réponds pas au téléphone dans ces cas, sauf si le numéro présenté est un numéro que je considère comme prioritaire à la personne qui me parle en vrai.
Les gens qui me connaissent finissent par comprendre que si je n'ai pas répondu au téléphone (portable ou non) ce n'est pas parce que je le hais, mais parce que je faisais autre chose et n'étais pas disponible.
[1] Qui n'a jamais été dégouté de passer 3 heures à attendre dans une administration pour, lors de son rendez-vous, voir quelqu'un avoir ses problèmes traités plus tôt alors que cette personne se contente d'appeller de chez elle (peut être avec raison, mais souvent ce n'est pas le cas).
Une arme qui marche pas mal c'est le filtrage sur les gens qui téléphonent en « numéro secret ». Les prospecteurs par téléphone refusent souvent la présentation du numéro.
C'est payant (sur le fixe) mais pas mal. Comme je ne lis pas les mails anonymes, je ne répond pas aux appels anonymes (ou rarement).
Ce n'est pas vraiment du spyware, surtout que le UserAgent le dit déjà mais bon ...
Si quelqu'un trouve une faille de moz' pour lui faire bouffer du XUL ou autre sans confirmation, il sera sans doute possible de lui faire faire beaucoup de choses.
Bref, de la nécessité d'un bac à sable pour l'exécution de scripts distants potentiellements hostiles ... (je ne sais pas comment fonctionne mozilla sur ce point)
Ils pourraient sans doute faire une copie personnelle si on leur envoie le support (Ça se faisait il y a quelques années d'envoyer une cassette VHS pour avoir une copie d'émission).
Laquelle ? Sur la lien de la dépêche ils prétendent que MS n'a ni confirmé ni posté de rapport de bug/rustine ou quoi que ce soit à ce sujet. Tu peux nous éclairer là-dessus ?
Quelle fonction du noyau ça pourrait être ?
À part write et exit il n'y a pas beaucoup d'appels noyau apparents (à part le fork/exec implicite au lancement du programme et les inits de bibliothèques). Je dis ça, je ne dis rien, je ne suis pas familier de l'environnement d'exécution NT.
Ma-gni-fi-que le paragraphe Comments. Je ne peux pas m'empêcher de le citer :
Although this vulnerability has been possible for many years but has never been discovered because of the human assumptions made about hardware, software and the possibilities of hacking them. Standard scanners would not have found it because of the linear way they function and because it is not a published vulnerability; Human intelligence has flirted with it but did not go all the way due to the pre-conceptions regarding other protocols and existing methods of attack (DOS etc). The artificial intelligence of ProCheckUp and tools "protocol specialists" discovered it simply because it was there
Alez, comme je suis un seigneur, je vais tenter une traduction (libre) du bout qui me fait marrer :
Bien qu'existante depuis de nombreuses années cette faille n'a jamais été découverte à cause des suppositions humaines faites sur les possibilités matérielles et logicielles de les exploiter. Les scanners standards n'ont pu la trouver à cause de leur fonctionnement linéaire et du fait que la faille n'a jamais été publiée; [... Blabla ...]
L'intelligence artificielle de ProCheckUp et des outils « experts en protocoles » ont découvert [les failles] simplement car elles étaient là.
J'en trouve 42 par seconde des failles comme ça grâce à mon moteur de connerie naturelle.
Encore une boîte qui cherche à vendre sa « solution » de sécurité sur internet et les services associés habituels et lance des advisories sur tout et n'importe quoi pour que le nom de la boîte soit connu.
Le tableau de comparaison de ProCheckUp [1] avec les autres méthodes existantes est un bel exemple de foutage de gueule pas clair aussi (mais pourquoi dans la liste plus bas cela correspond-il à des fonctions d'outils libres ?).
Allez, on leur souhaite bonne chance quand même ...
Rien ne dit qu'il n'y aura pas d'arrangements genre MaDistro 11.23 version Entreprise avec StarOffice 6 inclu sans le manuel papier ni le bon pour la ligne chaude.
Il a un défaut, il « clignote » un peu trop à mon goût quand il affiche une page.
La config des polices est pénible aussi, souvent le résultat est cracra.
Bref, avec un peu d'aide cela pourrait devenir une alternative viable à acrobat reader.
Concernant l'utilisation personnelle d'openssh, tu n'es soumis à rien.
Tu as des textes a me sortir ?
Article 28 de la loi sur la réglementation des télécom (extrait) [1] :
[...]
1°) L'utilisation d'un moyen ou d'une prestation de cryptologie est :
a) Libre :
si le moyen ou la prestation de cryptologie ne permet pas d'assurer des fonctions de confidentialité, notamment lorsqu'il ne peut avoir comme objet que d'authentifier une communication ou d'assurer l'intégrité du message transmis,
ou si le moyen ou la prestation assure des fonctions de confidentialité et n'utilise que des conventions secrètes gérées selon les procédures et par un organisme agréés dans les conditions définies au II ;
b) Soumise à autorisation du Premier ministre dans les autres cas ;
[...]
Et de manière plus simplifiée, le résumé sur le site de la scssi [2] :
La fourniture, l'utilisation, l'importation et l'exportation de la cryptologie sont réglementées en France. Les fonctions cryptologiques autres que la confidentialité sont soumises à déclaration simplifiée auprès de la DCSSI. La confidentialité est soumise soit au régime de la déclaration, soit au régime de l'autorisation.
Je n'appelle pas ça n'être soumis à rien. Cela dit, il est vrai que la DCSSI ne fait pas la chasse aux particuliers. Mais les utilisateurs d'SSH sans déclaration/autorisation sur le sol français sont hors la loi.
Un problème de la loi c'est qu'elle n'est pas hyper claire. On ne sait pas vraiment si c'est le fait d'avoir un serveur SSH ou d'utiliser un client SSH qui est illégal.
Bon, je reformule : utiliser OpenSSH direct au sortir de la boîte est illégal en France.
On est sensés utiliser SSF (qui ne fait que du ssh1) si on ne veut pas faire de déclaration ou de dépôt de clefs ou autre validation (coûteuse).
De plus, n'autoriser que la crypto inutile contribue à une impression de fausse sécurité auprès des personnes n'ayant pas un minimum de compétences en crypto.
Ouaif. La plus grosse pierre dont on a besoin, le sol quoi, c'est la libéralisation de la crypto. L'utilisation de SSH en France est illégale pour la plupart des gens.
À une époque, des gens de Google prétendaient être « militants » du manifeste « Clue Train » [1]. Je n'en retrouve pas trace mais vu la masse de geeks employés chez Google ça ne m'étonnerait pas plus que ça.
Cela-dit, ce manifeste est plein de bonnes intentions mais bon ... ça vaut ce que ça vaut.
# L'idée est bonne mais ...
Posté par Jean-Yves B. . En réponse à la dépêche Pare-feu avec authentification. Évalué à 10.
Ici, une fois l'accès ouvert pour l'IP de la personne authentifiée par SSH, quelqu'un d'autre peut toujours spoofer cette IP et passer. En plus, tout passe toujours en clair sur le fil.
Avec IPsec, au moins, tout est chiffré, l'authentification est plutôt robuste (avec isakpmd) et ça tourne pas mal. Chiant à configurer, mais groovy.
Au moins, l'équipe d'OpenBSD prévient bien dans la page de man :
http://www.openbsd.org/cgi-bin/man.cgi?query=authpf(...)
# Liens funs sur la stégano
Posté par Jean-Yves B. . En réponse à la dépêche Steghide en français !. Évalué à 10.
Outguess, un outil de stégano qui est pas mal du tout http://www.outguess.org(...) . Sur la meme page on trouvera stegdetect, qui permet de détecter des éventuels messages cachés dans une image.
Il y a aussi Stirmark, pour tester la robustesse des algos de stégano et de watermarking http://www.cl.cam.ac.uk/~fapp2/watermarking/stirmark/(...)
[^] # Re: Pur produit de la liberté
Posté par Jean-Yves B. . En réponse à la dépêche Wayv: dessinez, c'est lancé. Évalué à 8.
[^] # Re: liste orange
Posté par Jean-Yves B. . En réponse à la dépêche Wanadoo : quand le Spam peut rapporter gros.... Évalué à 9.
Personnellement je refuse les colis sans nom d'expéditeur, les paquets IP avec des adresses inexistantes, les mails anonymes, etc.
Attention : je ne refuse pas les gens que je ne connais pas (même si ils/elles sont forcément moins prioritaires) mais je trouve que c'est la moindre des courtoisies que de se présenter.
Le problème du téléphone, c'est que beaucoup de gens interrompent tout pour répondre illico. J'aime bien pouvoir décider ce qui est important ou pas : en général je considère les gens présent en personne comme plus importants[1], donc je ne réponds pas au téléphone dans ces cas, sauf si le numéro présenté est un numéro que je considère comme prioritaire à la personne qui me parle en vrai.
Les gens qui me connaissent finissent par comprendre que si je n'ai pas répondu au téléphone (portable ou non) ce n'est pas parce que je le hais, mais parce que je faisais autre chose et n'étais pas disponible.
[1] Qui n'a jamais été dégouté de passer 3 heures à attendre dans une administration pour, lors de son rendez-vous, voir quelqu'un avoir ses problèmes traités plus tôt alors que cette personne se contente d'appeller de chez elle (peut être avec raison, mais souvent ce n'est pas le cas).
[^] # Re: liste orange
Posté par Jean-Yves B. . En réponse à la dépêche Wanadoo : quand le Spam peut rapporter gros.... Évalué à 5.
C'est payant (sur le fixe) mais pas mal. Comme je ne lis pas les mails anonymes, je ne répond pas aux appels anonymes (ou rarement).
[^] # Re: Evidence
Posté par Jean-Yves B. . En réponse à la dépêche Netscape 6 logiciel-espion ?. Évalué à -2.
cf source du plugin google :
http://lxr.mozilla.org/seamonkey/source/xpfe/components/search/data(...)
Ce n'est pas vraiment du spyware, surtout que le UserAgent le dit déjà mais bon ...
Si quelqu'un trouve une faille de moz' pour lui faire bouffer du XUL ou autre sans confirmation, il sera sans doute possible de lui faire faire beaucoup de choses.
Bref, de la nécessité d'un bac à sable pour l'exécution de scripts distants potentiellements hostiles ... (je ne sais pas comment fonctionne mozilla sur ce point)
# Et contacter Arte ...
Posté par Jean-Yves B. . En réponse à la dépêche Rediffusion émission Arte : Nom de code Linux. Évalué à 10.
Ils pourraient sans doute faire une copie personnelle si on leur envoie le support (Ça se faisait il y a quelques années d'envoyer une cassette VHS pour avoir une copie d'émission).
[^] # Re: vieux
Posté par Jean-Yves B. . En réponse à la dépêche Comment planter NT et W2K avec 5 malheureuses lignes de code ?. Évalué à 3.
Quelle fonction du noyau ça pourrait être ?
À part write et exit il n'y a pas beaucoup d'appels noyau apparents (à part le fork/exec implicite au lancement du programme et les inits de bibliothèques). Je dis ça, je ne dis rien, je ne suis pas familier de l'environnement d'exécution NT.
# Ha ! Ha ! Quelle bande de branleurs !
Posté par Jean-Yves B. . En réponse à la dépêche Faille importante sous UNIX. Évalué à 10.
Alez, comme je suis un seigneur, je vais tenter une traduction (libre) du bout qui me fait marrer :
J'en trouve 42 par seconde des failles comme ça grâce à mon moteur de connerie naturelle.
Encore une boîte qui cherche à vendre sa « solution » de sécurité sur internet et les services associés habituels et lance des advisories sur tout et n'importe quoi pour que le nom de la boîte soit connu.
Le tableau de comparaison de ProCheckUp [1] avec les autres méthodes existantes est un bel exemple de foutage de gueule pas clair aussi (mais pourquoi dans la liste plus bas cela correspond-il à des fonctions d'outils libres ?).
Allez, on leur souhaite bonne chance quand même ...
[1] http://www.procheckup.com/services/faq.html(...)
[^] # On oublie les DTD ! Hop !
Posté par Jean-Yves B. . En réponse à la dépêche La chaîne cyberthèse va passer au libre. Évalué à 6.
On utilise des Schemas maintenant[1].
[1] http://www.w3.org/XML/Schema(...)
[^] # Re: Et TeX ?
Posté par Jean-Yves B. . En réponse à la dépêche La chaîne cyberthèse va passer au libre. Évalué à 10.
Le lien [1] semble confirmer cela egalement.
[1] http://mirror-fr.cybertheses.org/ressources.html#chaine(...)
[^] # Re: C'est mal parti
Posté par Jean-Yves B. . En réponse à la dépêche Star Office 6.0 payant, c'est officiel. Évalué à 9.
[^] # Re: Et le support utilisateur ??
Posté par Jean-Yves B. . En réponse à la dépêche Le bug de Zlib touche aussi des produits Microsoft. Évalué à 5.
Il a un défaut, il « clignote » un peu trop à mon goût quand il affiche une page.
La config des polices est pénible aussi, souvent le résultat est cracra.
Bref, avec un peu d'aide cela pourrait devenir une alternative viable à acrobat reader.
[^] # Re: Ca existe déjà, non ?
Posté par Jean-Yves B. . En réponse à la dépêche Archives auto-extractibles. Évalué à 8.
[^] # Re: au XXI ème siècle ?
Posté par Jean-Yves B. . En réponse à la dépêche Recherche des bogues et fuites de mémoire. Évalué à 0.
[1] http://www.eiffel.com(...)
[2] http://smalleiffel.loria.fr(...)
[^] # Re: accepte ?
Posté par Jean-Yves B. . En réponse à la dépêche Les Américains cherchent à couler Galileo.. Évalué à 10.
Tant pis. Tant qu'on est sur les liens, la maison-page de Galileo :
http://www.europa.eu.int/comm/energy_transport/en/gal_en.html(...)
[^] # Re: accepte ?
Posté par Jean-Yves B. . En réponse à la dépêche Les Américains cherchent à couler Galileo.. Évalué à 10.
[^] # Re: Attention, je suis un virus
Posté par Jean-Yves B. . En réponse à la dépêche Écriture de virus ELF pour Linux i386. Évalué à 2.
[^] # Re: n'importe quoi !
Posté par Jean-Yves B. . En réponse à la dépêche Nouvel OpenSSH. Évalué à 10.
Tu as des textes a me sortir ?
Article 28 de la loi sur la réglementation des télécom (extrait) [1] :
Et de manière plus simplifiée, le résumé sur le site de la scssi [2] :
Je n'appelle pas ça n'être soumis à rien. Cela dit, il est vrai que la DCSSI ne fait pas la chasse aux particuliers. Mais les utilisateurs d'SSH sans déclaration/autorisation sur le sol français sont hors la loi.
Un problème de la loi c'est qu'elle n'est pas hyper claire. On ne sait pas vraiment si c'est le fait d'avoir un serveur SSH ou d'utiliser un client SSH qui est illégal.
[1] http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr4.html(...)
[2] http://www.scssi.gouv.fr/fr/reglementation/index.html(...)
[^] # Re: Vers le e-commerce
Posté par Jean-Yves B. . En réponse à la dépêche Nouvel OpenSSH. Évalué à 10.
On est sensés utiliser SSF (qui ne fait que du ssh1) si on ne veut pas faire de déclaration ou de dépôt de clefs ou autre validation (coûteuse).
De plus, n'autoriser que la crypto inutile contribue à une impression de fausse sécurité auprès des personnes n'ayant pas un minimum de compétences en crypto.
Bref, les lois sur la crypto, c'est Mal(tm).
# Génial ...
Posté par Jean-Yves B. . En réponse à la dépêche Plus d'élections à l'ICANN. Évalué à 10.
L'ICANN est à peu près le seul truc centralisé du Net, quand est-ce qu'on s'en débarrasse ?
[^] # Re: Vers le e-commerce
Posté par Jean-Yves B. . En réponse à la dépêche Nouvel OpenSSH. Évalué à 10.
[^] # Re: Méfions nous de google
Posté par Jean-Yves B. . En réponse à la dépêche portrait : Lawrence Lessig : la privatisation du réseau se précise. Évalué à 3.
Cela-dit, ce manifeste est plein de bonnes intentions mais bon ... ça vaut ce que ça vaut.
[1] http://www.cluetrain.com(...)
[^] # Re: Moi je croyais qu'il existé une norme Intel pour les Unix,
Posté par Jean-Yves B. . En réponse à la dépêche GNU/Linux est mort, vive GNU !. Évalué à 3.
Le but était de faire tourner des binaires i386 pour SCO, XENIX et d'autres Unix dérivés de SVR3.
# Et la version imprimable ?
Posté par Jean-Yves B. . En réponse à la dépêche Article juridique et économique sur la GPL. Évalué à 7.
Surtout que c'est du LaTeX donc ce n'est pas dur à faire ...