Jean-Yves B. a écrit 873 commentaires

... la solution ultime reste IPsec.
Ici, une fois l'accès ouvert pour l'IP de la personne authentifiée par SSH, quelqu'un d'autre peut toujours spoofer cette IP et passer. En plus, tout passe toujours en clair sur le fil.

Avec IPsec, au moins, tout est chiffré, l'authentification est plutôt robuste (avec isakpmd) et ça tourne pas mal. Chiant à configurer, mais groovy.

Au moins, l'équipe d'OpenBSD prévient bien dans la page de man :
http://www.openbsd.org/cgi-bin/man.cgi?query=authpf(...)

Pour continuer le trip stéganographie :
Outguess, un outil de stégano qui est pas mal du tout http://www.outguess.org(...) . Sur la meme page on trouvera stegdetect, qui permet de détecter des éventuels messages cachés dans une image.

Il y a aussi Stirmark, pour tester la robustesse des algos de stégano et de watermarking http://www.cl.cam.ac.uk/~fapp2/watermarking/stirmark/(...)

Ou emacs avec le M-x strokes-mode.

Chacun sa politique. Je téléphone aux boîtes en préfixant 3651 (quand j'y pense) mais j'appelle le plus souvent en numéro visible. Et j'aime bien pouvoir regarder par l'oeilleton avant d'ouvrir.

Personnellement je refuse les colis sans nom d'expéditeur, les paquets IP avec des adresses inexistantes, les mails anonymes, etc.
Attention : je ne refuse pas les gens que je ne connais pas (même si ils/elles sont forcément moins prioritaires) mais je trouve que c'est la moindre des courtoisies que de se présenter.

Le problème du téléphone, c'est que beaucoup de gens interrompent tout pour répondre illico. J'aime bien pouvoir décider ce qui est important ou pas : en général je considère les gens présent en personne comme plus importants[1], donc je ne réponds pas au téléphone dans ces cas, sauf si le numéro présenté est un numéro que je considère comme prioritaire à la personne qui me parle en vrai.
Les gens qui me connaissent finissent par comprendre que si je n'ai pas répondu au téléphone (portable ou non) ce n'est pas parce que je le hais, mais parce que je faisais autre chose et n'étais pas disponible.

[1] Qui n'a jamais été dégouté de passer 3 heures à attendre dans une administration pour, lors de son rendez-vous, voir quelqu'un avoir ses problèmes traités plus tôt alors que cette personne se contente d'appeller de chez elle (peut être avec raison, mais souvent ce n'est pas le cas).

Une arme qui marche pas mal c'est le filtrage sur les gens qui téléphonent en « numéro secret ». Les prospecteurs par téléphone refusent souvent la présentation du numéro.

C'est payant (sur le fixe) mais pas mal. Comme je ne lis pas les mails anonymes, je ne répond pas aux appels anonymes (ou rarement).

Si on veut jouer à ça, les requêtes google faites par mozilla par défaut sont étiquetées comme venant de mozilla ...

cf source du plugin google :
http://lxr.mozilla.org/seamonkey/source/xpfe/components/search/data(...)

Ce n'est pas vraiment du spyware, surtout que le UserAgent le dit déjà mais bon ...

Si quelqu'un trouve une faille de moz' pour lui faire bouffer du XUL ou autre sans confirmation, il sera sans doute possible de lui faire faire beaucoup de choses.
Bref, de la nécessité d'un bac à sable pour l'exécution de scripts distants potentiellements hostiles ... (je ne sais pas comment fonctionne mozilla sur ce point)

... quelqu'un a essayé ?

Ils pourraient sans doute faire une copie personnelle si on leur envoie le support (Ça se faisait il y a quelques années d'envoyer une cassette VHS pour avoir une copie d'émission).

Laquelle ? Sur la lien de la dépêche ils prétendent que MS n'a ni confirmé ni posté de rapport de bug/rustine ou quoi que ce soit à ce sujet. Tu peux nous éclairer là-dessus ?

Quelle fonction du noyau ça pourrait être ?
À part write et exit il n'y a pas beaucoup d'appels noyau apparents (à part le fork/exec implicite au lancement du programme et les inits de bibliothèques). Je dis ça, je ne dis rien, je ne suis pas familier de l'environnement d'exécution NT.

Ma-gni-fi-que le paragraphe Comments. Je ne peux pas m'empêcher de le citer :

Although this vulnerability has been possible for many years but has never been discovered because of the human assumptions made about hardware, software and the possibilities of hacking them. Standard scanners would not have found it because of the linear way they function and because it is not a published vulnerability; Human intelligence has flirted with it but did not go all the way due to the pre-conceptions regarding other protocols and existing methods of attack (DOS etc). The artificial intelligence of ProCheckUp and tools "protocol specialists" discovered it simply because it was there

Alez, comme je suis un seigneur, je vais tenter une traduction (libre) du bout qui me fait marrer :

Bien qu'existante depuis de nombreuses années cette faille n'a jamais été découverte à cause des suppositions humaines faites sur les possibilités matérielles et logicielles de les exploiter. Les scanners standards n'ont pu la trouver à cause de leur fonctionnement linéaire et du fait que la faille n'a jamais été publiée; [... Blabla ...]
L'intelligence artificielle de ProCheckUp et des outils « experts en protocoles » ont découvert [les failles] simplement car elles étaient là.

J'en trouve 42 par seconde des failles comme ça grâce à mon moteur de connerie naturelle.

Encore une boîte qui cherche à vendre sa « solution » de sécurité sur internet et les services associés habituels et lance des advisories sur tout et n'importe quoi pour que le nom de la boîte soit connu.

Le tableau de comparaison de ProCheckUp [1] avec les autres méthodes existantes est un bel exemple de foutage de gueule pas clair aussi (mais pourquoi dans la liste plus bas cela correspond-il à des fonctions d'outils libres ?).

Allez, on leur souhaite bonne chance quand même ...

[1] http://www.procheckup.com/services/faq.html(...)

Les DTD sont obsoletes. Elles ne sont pas assez expressives de toutes facons.
On utilise des Schemas maintenant[1].

[1] http://www.w3.org/XML/Schema(...)

Si tu suis le lien << presentation de la chaine >>, il semblerait que le but est de prendre pleins de types de fichiers d'entree differents.

Le lien [1] semble confirmer cela egalement.

[1] http://mirror-fr.cybertheses.org/ressources.html#chaine(...)

Rien ne dit qu'il n'y aura pas d'arrangements genre MaDistro 11.23 version Entreprise avec StarOffice 6 inclu sans le manuel papier ni le bon pour la ligne chaude.

xpdf http://www.foolabs.com/xpdf/(...)

Il a un défaut, il « clignote » un peu trop à mon goût quand il affiche une page.
La config des polices est pénible aussi, souvent le résultat est cracra.

Bref, avec un peu d'aide cela pourrait devenir une alternative viable à acrobat reader.

http://www.gnu.org/software/sharutils/(...)

Eiffel (j'aime bien celui d'ISE [1] mais bon, la version libre [2] se défend sur certains points).

[1] http://www.eiffel.com(...)
[2] http://smalleiffel.loria.fr(...)

Ah merde, c'est le feu vert de la participation financière de l'ESA. Oups.

Tant pis. Tant qu'on est sur les liens, la maison-page de Galileo :
http://www.europa.eu.int/comm/energy_transport/en/gal_en.html(...)

Pareil. C'est à peu près ce qui est dit là : http://www.esa.int/export/esaSA/ESA94WU9EYC_navigation_0.html(...)

Ça marche pas, il ne se reproduit pas.

Concernant l'utilisation personnelle d'openssh, tu n'es soumis à rien.

Tu as des textes a me sortir ?
Article 28 de la loi sur la réglementation des télécom (extrait) [1] :

[...]
1°) L'utilisation d'un moyen ou d'une prestation de cryptologie est :
a) Libre :
si le moyen ou la prestation de cryptologie ne permet pas d'assurer des fonctions de confidentialité, notamment lorsqu'il ne peut avoir comme objet que d'authentifier une communication ou d'assurer l'intégrité du message transmis,
ou si le moyen ou la prestation assure des fonctions de confidentialité et n'utilise que des conventions secrètes gérées selon les procédures et par un organisme agréés dans les conditions définies au II ;
b) Soumise à autorisation du Premier ministre dans les autres cas ;
[...]

Et de manière plus simplifiée, le résumé sur le site de la scssi [2] :

La fourniture, l'utilisation, l'importation et l'exportation de la cryptologie sont réglementées en France. Les fonctions cryptologiques autres que la confidentialité sont soumises à déclaration simplifiée auprès de la DCSSI. La confidentialité est soumise soit au régime de la déclaration, soit au régime de l'autorisation.

Je n'appelle pas ça n'être soumis à rien. Cela dit, il est vrai que la DCSSI ne fait pas la chasse aux particuliers. Mais les utilisateurs d'SSH sans déclaration/autorisation sur le sol français sont hors la loi.

Un problème de la loi c'est qu'elle n'est pas hyper claire. On ne sait pas vraiment si c'est le fait d'avoir un serveur SSH ou d'utiliser un client SSH qui est illégal.

[1] http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr4.html(...)
[2] http://www.scssi.gouv.fr/fr/reglementation/index.html(...)

Bon, je reformule : utiliser OpenSSH direct au sortir de la boîte est illégal en France.

On est sensés utiliser SSF (qui ne fait que du ssh1) si on ne veut pas faire de déclaration ou de dépôt de clefs ou autre validation (coûteuse).

De plus, n'autoriser que la crypto inutile contribue à une impression de fausse sécurité auprès des personnes n'ayant pas un minimum de compétences en crypto.

Bref, les lois sur la crypto, c'est Mal(tm).

Encore une liberté de moins sur le Net. Le gars du CCC élu << At-Large >> doit être super content ...

L'ICANN est à peu près le seul truc centralisé du Net, quand est-ce qu'on s'en débarrasse ?

Ouaif. La plus grosse pierre dont on a besoin, le sol quoi, c'est la libéralisation de la crypto. L'utilisation de SSH en France est illégale pour la plupart des gens.

À une époque, des gens de Google prétendaient être « militants » du manifeste « Clue Train » [1]. Je n'en retrouve pas trace mais vu la masse de geeks employés chez Google ça ne m'étonnerait pas plus que ça.

Cela-dit, ce manifeste est plein de bonnes intentions mais bon ... ça vaut ce que ça vaut.

[1] http://www.cluetrain.com(...)

Tu n'as pas rêvé. C'est iBCS2 ou Intel Binary Compatibility Standard.

Le but était de faire tourner des binaires i386 pour SCO, XENIX et d'autres Unix dérivés de SVR3.

Je suis preneur pour une version pdf ou ps !
Surtout que c'est du LaTeX donc ce n'est pas dur à faire ...