Va-t-en maintenir sur disque amovible un miroir de la version courante
Je fais ça sur un disque non amovible sans soucis. Qu'est ce qui est susceptible de poser problème ?
Debian, c’est une distribution faite par des coupeurs de cheveux en quatre pour des coupeurs de cheveux en quatre.
Depuis plusieurs années je n'ai eu que 4 ou 5 soucis avec la gestion des paquets. A chaque fois sur des machines pas à jour (comme celle que j'utilise actuellement qui est une Sid de 2008 bricolée à mort). Plus quelques gags genre installer des polices de caractères pour un utilitaire en ligne de commande. Je doute qu'aucune distribution ne soit à l'abris.
Ton commentaire s'applique peut-être à autre chose. Mais Debian est, malgré/grâce à son coupage de cheveux, une distribution très stable. Elle fait partie des distributions super pratiques pour des serveurs sans avoir à y passer des heures. Et elle fonctionne très bien pour les postes de travail.
Les BSD sont aussi des distributions de coupeurs de cheveux. Avec les avantages et inconvénients que l'on connaît. Sachant que les avantages sont disponibles pour tous (ssh, amélioration du code d'un peu tout le monde, etc) et les inconvénients disponibles uniquement pour ceux qui ont un BSD. Pareil pour Debian. Pareil pour Red Hat. Etc.
Je suis du même avis que toi. Chaque outil est une brique qu'on peut empiler comme on le souhaite (y compris de manière débile, c'est le problème de l'admin, pas du développeur).
Cela dit, rien n'oblige à utiliser le RAID de brtfs, donc ton schéma actuel est toujours exploitable.
D'autant plus que le RAID de type 'md' a des possibilités sympathiques. Par exemple un des miroirs peut être en écriture seule sur une machine distante. Il y a aussi la notion de bitmap, très utile dans ce cas précis.
Peut-être que le RAID intégré à brtfs apporte un gain de performances ?
Je ne connais pas le sujet, mais à première vue, j'en doute.
Le prochaine accès à une telle page provoquera un major pagefault, et le noyau va aller la rechercher depuis le disque.
C'est justement le but de la manœuvre: ne pas avoir besoin de les récupérer sur le disque.
J'en reviens toujours à une vieille idée: pourquoi ne pas avoir un périphérique avec une tonne de RAM lente ?
Admettons que la RAM 4 fois plus lente coûte 4 fois moins cher (à vue de nez, c'est le cas). Pour 20 € j'ai 4 Go en plus. Et ajoutons 10 € pour l'électronique. Plus lent que la RAM principale, mais bien plus rapide que le disque.
Elle dit qu'elle n'a pas le temps.
Sa nouvelle piscine, offerte par un généreux donateur, est en cours de finition.
Ensuite elle va devoir aller en vacan... travailler sur un yacht afin de comprendre les enjeux économiques du secteur informatique.
Et après ça, déménagement, car elle va dans un appar... immeuble plus grand. Offert par un admirateur.
Tu vois, beaucoup de travail. Ne pas déranger inutilement.
Je pense que le problème principal n'est pas la vente liée, mais le non respect des conditions de vente légales.
Microsoft (ni les autres) n'a pas le droit de vendre Windows 15 € à Dell et 110 € à la boutique du coin. Sauf si c'est écrit dans les conditions tarifaires, avec l'explication qui va avec (par exemple au delà de x unités, y% de remise).
En France c'est la loi depuis quelques années. C'était fait pour lutter contre les négociations exagérées des chaînes de super/hyper-marchés.
La réalité est que le prix de Windows sur un Dell est connu seulement de Microsoft et de Dell.
Donc c'est interdit.
Mais pour porter plainte contre ça, il faut déjà être millionnaire. Dans ce cas, tu ne portes pas plainte car ton entreprise vit désormais de cela.
Posté par Kerro .
En réponse au journal M'enfin !.
Évalué à 3.
La politique de l'INPI est de déposer ce qu'on demande.
A charge du demandeur de s'assurer que la voie est libre. Par exemple en payant l'INPI pour procéder à "de longues vérifications". Le tarif est élevé par rapport au travail qui consiste uniquement à vérifier dans leur base à eux (éventuellement à l'international, mais c'est encore plus cher). Mais le mieux est que c'est sans garantie. C'est à dire que le feu vert de l'INPI garanti zéro-rien-nada.
Pareil pour un cabinet spécialisé. Tu paies bien cher, et tu n'as pas de garantie.
Autant utiliser Google.
En clair, ça se règle à coup de lettres recommandées, d'avocats, etc.
Même lorsque tu es dans ton droit. J'étais dans une entreprise dont le nom a été déposé ensuite par une personne. Au choix tu raques 30.000 € pour un procès, ou tu raques 10.000 € pour acheter ton propre nom...
Ils ont payé à vue de nez dans les 3.000 € un "médiateur". L'inconvénient est qu'il faut sortir les euros discretos de la compta, c'est pour ça que je connais approximativement le prix. L'avantage est l'étonnante rapidité de récupération de la marque.
J'ai demandé pourquoi ne pas avoir "négocié" un dédommagement (par exemple 3.000 €) mais j'ai juste eu comme réponse que mon imagination devrait être utilisée à des choses plus productives :-)
Posté par Kerro .
En réponse au journal M'enfin !.
Évalué à 2.
un seul connard.
Peut-être que le connard c'est moi qui veut juste rigoler un bon coup. Il y en a qui claque bien plus d'argent sans rire du tout.
Ou alors c'est un dessinateur de BD qui veut être tranquille car il fait des planches sur la vie de Madame Michu. Au cas où un vrai connard profiteur viendrait lui réclamer des sous.
Bon, en regardant ce qu'il a déposé, clairement c'est un lourdingue:
CONCEPTION LUXE (mouais, ok)
SPECIAL IMMOBILIER (là, ça sens la merde)
PETIT PARIS (ok)
PARIS-BCN (pourquoi pas)
MADAME MICHU (marrant, sauf en faisant le rapprochement avec le reste)
Sachant qu'il a déposé la marque pour protéger ça dans le domaine des sondages et de la communication, c'est clairement pour faire du blé.
En droit des marques, je ne suis pas certain que l'usage antérieur avéré soit une bonne chose pour le déposant (déjà indiqué plus haut). Mais bon, il tente.
Donc j'avais bien compris le fonctionnent.
Clairement, c'est plus discret qu'un vpn classique.
En fait je pensais que la clef privée était la même pour toutes les stations Telex. Ce qui rendait impossible l'utilisation par tout le monde puisqu'il faudrait donner la clef à tous les amateurs qui la demande.
Mais en fait il suffit d'une clef privée par site https. Donc je peux monter un tel site, générer ma clef et zou. Le voisin fait pareil s'il le souhaite.
L'idéal serait qu'un petit site genre Facebook mette ça en place. Dans le genre difficile à contrer, c'est pas mal.
Cerise sur le gâteau, si la personne fait de la navigation web normale (et pas de l'échange de gros fichiers), alors le profil du trafic sera parfait. Exactement comme s'il était sur Facebook ou autre.
Lolix est un centre de compétences spécialisé dans les technologies à base de Logiciel Libre.
Vous pouvez déposer votre CV et vos annonces en rapport avec le Logiciel Libre gratuitement sur Lolix.
L'annonce n'est que lointainement en rapport avec le libre (via mon éventuelle intervention), et encore, il n'en est pas fait mention.
C'est vrai qu'il manque une astuce pour que les neuneus puissent avoir un mot de passe d'un seul caractère sans se le faire casser en force brute.
Mais là je crois que c'est par définition impossible.
Les astuces courantes sont:
- nécessiter un gros nombre de cycles processeur pour chaque tentative
- nécessiter le recours à une entité extérieure
- authentification multi-facteurs
Que des choses lourdes. Mais l'entité extérieure est peut-être plus facile à implémenter que je ne l'imagine. Le principe est généralement qu'une partie du sel provienne d'une autre machine. Cela évite qu'une seule machine partiellement compromise ne rende les hashes exploitables.
Il faut impérativement un FAI ?
Je ne vois pas pourquoi.
Un serveur quelconque suffit. On se connecte en https dessus et hop, le serveur s'occupe du VPN (car c'est un VPN).
Alors bien sûr, ça complique car un serveur quelconque, ça fait facilement louche.
Ensuite l'histoire de l'inspection profonde de paquets... qu'est ce qui empêche le gouvernement français (heu non, chinois) d'en faire ?
Le client Telex récupère une clef publique, et l'utilise pour cacher des informations dans les paquets. Ok, facile. Seule les stations Telex peuvent décoder. Ha bon, et comment ça reste secret tout cela ? Si je suis le gouvernement français (non, pardon, chinois, en France on ne fait pas des choses pareilles) j'ai vite fait de diligenter les bonnes personnes pour récupérer le nécessaire de décodage. Les bonnes personnes n'ayant éventuellement même pas besoin de se déplacer.
Tu vises petit, mais allons-y.
Comment devons-nous te nommer ?
Y-a-t'il des signe d'allégeance ?
En tant que premier à te reconnaître, puis-je avoir un harem de seulement 99 (jolies) femmes ? Et plein de pognon ? Et le droit de tirer sur les gens dont la coupe de cheveux ne me plaît pas ? Je n'en demande pas plus.
Avec la bonne taille de sel, les tables arc-en-ciel ne servent à rien.
Bon c'est vrai que la majorité du parc ont un OS moisi de ce côté. C'est vrai aussi que la majorité des logiciels n'ont pas de sel. Et les autres n'ont souvent un sel que très court.
Oui voilà, c'est juste un détail: on connaît depuis des années une bonne solution contre les attaques brutes, mais presque personne ne l'implémente.
Le pépin avec les solutions non protégées est qu'en cas de faille, ça passe. D'autant plus si on est sur le port habituel (mais cet argument ne tient que pour de rares cas, dont ssh. Inutile avec un site web).
Par exemple en cas de générateur de certificat pourri :-)
Ou en cas de faille plus classique.
Un fail2ban ou autre permet de réduire les problèmes. Si la faille n'est pas exploitable en un coup, comme dans l'exemple des certificats moisi de chez Debian. Même avec ces certificats faciles à trouver, fail2ban protège très bien et laisse largement le temps de rustiner.
Si la faille est exploitable en un coup, bon, aucune parade c'est clair.
Je confirme que changer de port écrème beaucoup.
Mes ssh ne sont jamais sur le port 22. En fait je mets un ssh bidon sur le port 22 avec un fail2ban réglé à une tentative. Je fais cela depuis 4 ans je crois. Depuis je n'ai pas le souvenir d'avoir vu une seule tentative de connexion sur le "vrai" port ssh.
Donc ça écrème bien.
C'est plus délicat pour un service accessible à tous. Le ssh bricolé ne pose pas de problème aux admins, mais lorsqu'il s'agit d'indiquer aux utilisateurs de se connecter sur le webmail en port trucmuche, pas pareil. Ca limite les robots qui tapent à l'aveugle, mais ça emmerde les utilisateurs légitimes, et le service d'assistance téléphonique :-)
Yep, j'aime bien fail2ban. Les miens ont une temporisation de 24h après 3 essais ratés. Déverrouillage avec du port knocking. Clairement, ce n'est pas exploitable pour les services courants.
L'avantage de la temporisation est d'éviter le recours à un administrateur pour déverrouiller.
Dans les astuces que j'aime bien, il y a le fait qu'au bout de 3 tentatives le compte est verrouillé mais sans que ce soit apparent. Donc les tentatives peuvent continuer sans alerter celui qui veut casser le code.
Inconvénient: ça ne fonctionne que si on ne sait pas que c'est en place. Pour du libre c'est raté.
Heureusement qu'en expliquant, les gens se débrouillent mieux.
Par exemple j'ai expliqué à ma femme ce qu'est l'URL, et qu'il suffit de la taper dans la barre d'adresse. Comme ça, pour aller sur un site dont elle connaît déjà le nom, il lui suffit de le taper.
J'ai réservé à plus tard les explications à propos des URL qui s'affichent en bas de la fenêtre de navigation lorsque la souris passe sur un lien.
Maintenant elle tape l'URL... dans le champ de recherche de Google. Puis elle clique sur le bouton "Recherche Google" car elle n'a toujours pas pigé que "Entrée" n'est pas faite pour les vers de terre. Puis elle clique sur le premier lien affiché par Google.
Bien entendu elle fait de temps en temps une faute de frappe et je l'entends dire "Tient, ils ont encore changé de site".
Visiblement il n'est pas traumatisé à vie vue qu'il le met dans son pseudo.
Et si ça se trouve c'est une grosse baraque qui faisait déjà 2m10 à 10 ans et personne n'a jamais osé rigoler avec ça.
En tous cas, maintenant c'est sûr, le doute l'habite à propos de l'utilité des empreintes digitales.
Belge, ce n'est une race que pour les bergers. Je ne parle pas du métier, mais des chiens.
Pour les humains, c'est juste une nationalité. Comme breton ou parisien.
[^] # Re: Debian vs KISS
Posté par Kerro . En réponse au journal La première distribution majeure !. Évalué à 6.
Je fais ça sur un disque non amovible sans soucis. Qu'est ce qui est susceptible de poser problème ?
Depuis plusieurs années je n'ai eu que 4 ou 5 soucis avec la gestion des paquets. A chaque fois sur des machines pas à jour (comme celle que j'utilise actuellement qui est une Sid de 2008 bricolée à mort). Plus quelques gags genre installer des polices de caractères pour un utilitaire en ligne de commande. Je doute qu'aucune distribution ne soit à l'abris.
Ton commentaire s'applique peut-être à autre chose. Mais Debian est, malgré/grâce à son coupage de cheveux, une distribution très stable. Elle fait partie des distributions super pratiques pour des serveurs sans avoir à y passer des heures. Et elle fonctionne très bien pour les postes de travail.
Les BSD sont aussi des distributions de coupeurs de cheveux. Avec les avantages et inconvénients que l'on connaît. Sachant que les avantages sont disponibles pour tous (ssh, amélioration du code d'un peu tout le monde, etc) et les inconvénients disponibles uniquement pour ceux qui ont un BSD. Pareil pour Debian. Pareil pour Red Hat. Etc.
[^] # Re: Btrfs
Posté par Kerro . En réponse à la dépêche Le noyau Linux est disponible en version 3.0. Évalué à 9.
Je suis du même avis que toi. Chaque outil est une brique qu'on peut empiler comme on le souhaite (y compris de manière débile, c'est le problème de l'admin, pas du développeur).
Cela dit, rien n'oblige à utiliser le RAID de brtfs, donc ton schéma actuel est toujours exploitable.
D'autant plus que le RAID de type 'md' a des possibilités sympathiques. Par exemple un des miroirs peut être en écriture seule sur une machine distante. Il y a aussi la notion de bitmap, très utile dans ce cas précis.
Peut-être que le RAID intégré à brtfs apporte un gain de performances ?
Je ne connais pas le sujet, mais à première vue, j'en doute.
[^] # Re: Mon expérience
Posté par Kerro . En réponse au journal Linux en entreprise : votre retour ?. Évalué à 6.
Avec Windev dans la phrase, c'est plutôt la base pour les nases.
# Lapin compris
Posté par Kerro . En réponse au message licence pour appli javascript/canvas. Évalué à 7.
?!!
Tu veux la mettre en GPL mais personne ne doit avoir le code ?
Whaouuuu, super impressionnant.
C'est un partenaire de choix. Fonce !
[^] # Re: Les pages propres
Posté par Kerro . En réponse à la dépêche Le noyau Linux est disponible en version 3.0. Évalué à 6.
C'est justement le but de la manœuvre: ne pas avoir besoin de les récupérer sur le disque.
J'en reviens toujours à une vieille idée: pourquoi ne pas avoir un périphérique avec une tonne de RAM lente ?
Admettons que la RAM 4 fois plus lente coûte 4 fois moins cher (à vue de nez, c'est le cas). Pour 20 € j'ai 4 Go en plus. Et ajoutons 10 € pour l'électronique. Plus lent que la RAM principale, mais bien plus rapide que le disque.
[^] # Re: Quelqu'un pour se dévouer
Posté par Kerro . En réponse au journal La vente liée a encore de beaux jours devant elle.. Évalué à 6.
Elle dit qu'elle n'a pas le temps.
Sa nouvelle piscine, offerte par un généreux donateur, est en cours de finition.
Ensuite elle va devoir aller en vacan... travailler sur un yacht afin de comprendre les enjeux économiques du secteur informatique.
Et après ça, déménagement, car elle va dans un appar... immeuble plus grand. Offert par un admirateur.
Tu vois, beaucoup de travail. Ne pas déranger inutilement.
[^] # Re: pub liée
Posté par Kerro . En réponse au journal La vente liée a encore de beaux jours devant elle.. Évalué à 4.
Ben non ce n'est pas énorme. Il y a pas mal de produits qui nécessitent bien plus que cela.
Si Norton ne dépense pas ces 5% (ou 10%, ou 20%), peut-être que ses ventes chutent de 80%. Le choix est vite fait.
[^] # Re: pub liée
Posté par Kerro . En réponse au journal La vente liée a encore de beaux jours devant elle.. Évalué à 7.
Je pense que le problème principal n'est pas la vente liée, mais le non respect des conditions de vente légales.
Microsoft (ni les autres) n'a pas le droit de vendre Windows 15 € à Dell et 110 € à la boutique du coin. Sauf si c'est écrit dans les conditions tarifaires, avec l'explication qui va avec (par exemple au delà de x unités, y% de remise).
En France c'est la loi depuis quelques années. C'était fait pour lutter contre les négociations exagérées des chaînes de super/hyper-marchés.
La réalité est que le prix de Windows sur un Dell est connu seulement de Microsoft et de Dell.
Donc c'est interdit.
Mais pour porter plainte contre ça, il faut déjà être millionnaire. Dans ce cas, tu ne portes pas plainte car ton entreprise vit désormais de cela.
[^] # Re: Organisme de merde.
Posté par Kerro . En réponse au journal M'enfin !. Évalué à 3.
La politique de l'INPI est de déposer ce qu'on demande.
A charge du demandeur de s'assurer que la voie est libre. Par exemple en payant l'INPI pour procéder à "de longues vérifications". Le tarif est élevé par rapport au travail qui consiste uniquement à vérifier dans leur base à eux (éventuellement à l'international, mais c'est encore plus cher). Mais le mieux est que c'est sans garantie. C'est à dire que le feu vert de l'INPI garanti zéro-rien-nada.
Pareil pour un cabinet spécialisé. Tu paies bien cher, et tu n'as pas de garantie.
Autant utiliser Google.
En clair, ça se règle à coup de lettres recommandées, d'avocats, etc.
Même lorsque tu es dans ton droit. J'étais dans une entreprise dont le nom a été déposé ensuite par une personne. Au choix tu raques 30.000 € pour un procès, ou tu raques 10.000 € pour acheter ton propre nom...
Ils ont payé à vue de nez dans les 3.000 € un "médiateur". L'inconvénient est qu'il faut sortir les euros discretos de la compta, c'est pour ça que je connais approximativement le prix. L'avantage est l'étonnante rapidité de récupération de la marque.
J'ai demandé pourquoi ne pas avoir "négocié" un dédommagement (par exemple 3.000 €) mais j'ai juste eu comme réponse que mon imagination devrait être utilisée à des choses plus productives :-)
[^] # Re: Quand même...
Posté par Kerro . En réponse au journal M'enfin !. Évalué à 2.
Peut-être que le connard c'est moi qui veut juste rigoler un bon coup. Il y en a qui claque bien plus d'argent sans rire du tout.
Ou alors c'est un dessinateur de BD qui veut être tranquille car il fait des planches sur la vie de Madame Michu. Au cas où un vrai connard profiteur viendrait lui réclamer des sous.
Bon, en regardant ce qu'il a déposé, clairement c'est un lourdingue:
CONCEPTION LUXE (mouais, ok)
SPECIAL IMMOBILIER (là, ça sens la merde)
PETIT PARIS (ok)
PARIS-BCN (pourquoi pas)
MADAME MICHU (marrant, sauf en faisant le rapprochement avec le reste)
Sachant qu'il a déposé la marque pour protéger ça dans le domaine des sondages et de la communication, c'est clairement pour faire du blé.
En droit des marques, je ne suis pas certain que l'usage antérieur avéré soit une bonne chose pour le déposant (déjà indiqué plus haut). Mais bon, il tente.
[^] # Re: FAI ? Je pense que non
Posté par Kerro . En réponse au journal Telex: un nouveau moyen pour contourner la censure.. Évalué à 3.
Donc j'avais bien compris le fonctionnent.
Clairement, c'est plus discret qu'un vpn classique.
En fait je pensais que la clef privée était la même pour toutes les stations Telex. Ce qui rendait impossible l'utilisation par tout le monde puisqu'il faudrait donner la clef à tous les amateurs qui la demande.
Mais en fait il suffit d'une clef privée par site https. Donc je peux monter un tel site, générer ma clef et zou. Le voisin fait pareil s'il le souhaite.
L'idéal serait qu'un petit site genre Facebook mette ça en place. Dans le genre difficile à contrer, c'est pas mal.
Cerise sur le gâteau, si la personne fait de la navigation web normale (et pas de l'échange de gros fichiers), alors le profil du trafic sera parfait. Exactement comme s'il était sur Facebook ou autre.
[^] # Re: ==> lolix.org
Posté par Kerro . En réponse au message Offre d'emploi pour geek avec le sens du commerce - Montargis. Évalué à 1.
L'annonce n'est que lointainement en rapport avec le libre (via mon éventuelle intervention), et encore, il n'en est pas fait mention.
[^] # Re: Réponse de masse
Posté par Kerro . En réponse au journal La solidité des mots de passe. Évalué à 2.
C'est vrai qu'il manque une astuce pour que les neuneus puissent avoir un mot de passe d'un seul caractère sans se le faire casser en force brute.
Mais là je crois que c'est par définition impossible.
Les astuces courantes sont:
- nécessiter un gros nombre de cycles processeur pour chaque tentative
- nécessiter le recours à une entité extérieure
- authentification multi-facteurs
Que des choses lourdes. Mais l'entité extérieure est peut-être plus facile à implémenter que je ne l'imagine. Le principe est généralement qu'une partie du sel provienne d'une autre machine. Cela évite qu'une seule machine partiellement compromise ne rende les hashes exploitables.
[^] # Re: Alors monsieur, à quoi pensez-vous ? (comme étant le Schmilblick ?)
Posté par Kerro . En réponse au journal De la juste répartition entre travail et contribution salutaire.. Évalué à 3.
Et la téléportation, c'est pour les chiens ?
# FAI ? Je pense que non
Posté par Kerro . En réponse au journal Telex: un nouveau moyen pour contourner la censure.. Évalué à 3.
Il faut impérativement un FAI ?
Je ne vois pas pourquoi.
Un serveur quelconque suffit. On se connecte en https dessus et hop, le serveur s'occupe du VPN (car c'est un VPN).
Alors bien sûr, ça complique car un serveur quelconque, ça fait facilement louche.
Ensuite l'histoire de l'inspection profonde de paquets... qu'est ce qui empêche le gouvernement français (heu non, chinois) d'en faire ?
Le client Telex récupère une clef publique, et l'utilise pour cacher des informations dans les paquets. Ok, facile. Seule les stations Telex peuvent décoder. Ha bon, et comment ça reste secret tout cela ? Si je suis le gouvernement français (non, pardon, chinois, en France on ne fait pas des choses pareilles) j'ai vite fait de diligenter les bonnes personnes pour récupérer le nécessaire de décodage. Les bonnes personnes n'ayant éventuellement même pas besoin de se déplacer.
[^] # Re: Factorize
Posté par Kerro . En réponse au journal Annonce PyLogsParser 0.1. Évalué à 3.
Avec un vrai bon gros troll en page de garde:
[^] # Re: L'immortalité??
Posté par Kerro . En réponse au journal Voulez-vous immortaliser votre nom ?. Évalué à 5.
Tu vises petit, mais allons-y.
Comment devons-nous te nommer ?
Y-a-t'il des signe d'allégeance ?
En tant que premier à te reconnaître, puis-je avoir un harem de seulement 99 (jolies) femmes ? Et plein de pognon ? Et le droit de tirer sur les gens dont la coupe de cheveux ne me plaît pas ? Je n'en demande pas plus.
[^] # Re: Réponse de masse
Posté par Kerro . En réponse au journal La solidité des mots de passe. Évalué à 6.
Avec la bonne taille de sel, les tables arc-en-ciel ne servent à rien.
Bon c'est vrai que la majorité du parc ont un OS moisi de ce côté. C'est vrai aussi que la majorité des logiciels n'ont pas de sel. Et les autres n'ont souvent un sel que très court.
Oui voilà, c'est juste un détail: on connaît depuis des années une bonne solution contre les attaques brutes, mais presque personne ne l'implémente.
[^] # Re: Temporiser le temps entre 2 essais ?
Posté par Kerro . En réponse au journal La solidité des mots de passe. Évalué à 3.
Tu veux dire avec des certificats ?
Le pépin avec les solutions non protégées est qu'en cas de faille, ça passe. D'autant plus si on est sur le port habituel (mais cet argument ne tient que pour de rares cas, dont ssh. Inutile avec un site web).
Par exemple en cas de générateur de certificat pourri :-)
Ou en cas de faille plus classique.
Un fail2ban ou autre permet de réduire les problèmes. Si la faille n'est pas exploitable en un coup, comme dans l'exemple des certificats moisi de chez Debian. Même avec ces certificats faciles à trouver, fail2ban protège très bien et laisse largement le temps de rustiner.
Si la faille est exploitable en un coup, bon, aucune parade c'est clair.
[^] # Re: Temporiser le temps entre 2 essais ?
Posté par Kerro . En réponse au journal La solidité des mots de passe. Évalué à 3.
Je confirme que changer de port écrème beaucoup.
Mes ssh ne sont jamais sur le port 22. En fait je mets un ssh bidon sur le port 22 avec un fail2ban réglé à une tentative. Je fais cela depuis 4 ans je crois. Depuis je n'ai pas le souvenir d'avoir vu une seule tentative de connexion sur le "vrai" port ssh.
Donc ça écrème bien.
C'est plus délicat pour un service accessible à tous. Le ssh bricolé ne pose pas de problème aux admins, mais lorsqu'il s'agit d'indiquer aux utilisateurs de se connecter sur le webmail en port trucmuche, pas pareil. Ca limite les robots qui tapent à l'aveugle, mais ça emmerde les utilisateurs légitimes, et le service d'assistance téléphonique :-)
[^] # Re: Temporiser le temps entre 2 essais ?
Posté par Kerro . En réponse au journal La solidité des mots de passe. Évalué à 4.
Yep, j'aime bien fail2ban. Les miens ont une temporisation de 24h après 3 essais ratés. Déverrouillage avec du port knocking. Clairement, ce n'est pas exploitable pour les services courants.
L'avantage de la temporisation est d'éviter le recours à un administrateur pour déverrouiller.
Dans les astuces que j'aime bien, il y a le fait qu'au bout de 3 tentatives le compte est verrouillé mais sans que ce soit apparent. Donc les tentatives peuvent continuer sans alerter celui qui veut casser le code.
Inconvénient: ça ne fonctionne que si on ne sait pas que c'est en place. Pour du libre c'est raté.
[^] # Re: simple
Posté par Kerro . En réponse au journal Voulez-vous immortaliser votre nom ?. Évalué à 10.
Le mieux est que ce n'est pas volontaire :-)
[^] # Re: vous avez raté
Posté par Kerro . En réponse au journal Google dé-dé-référence la presse belge francophone. Évalué à 10.
Heureusement qu'en expliquant, les gens se débrouillent mieux.
Par exemple j'ai expliqué à ma femme ce qu'est l'URL, et qu'il suffit de la taper dans la barre d'adresse. Comme ça, pour aller sur un site dont elle connaît déjà le nom, il lui suffit de le taper.
J'ai réservé à plus tard les explications à propos des URL qui s'affichent en bas de la fenêtre de navigation lorsque la souris passe sur un lien.
Maintenant elle tape l'URL... dans le champ de recherche de Google. Puis elle clique sur le bouton "Recherche Google" car elle n'a toujours pas pigé que "Entrée" n'est pas faite pour les vers de terre. Puis elle clique sur le premier lien affiché par Google.
Bien entendu elle fait de temps en temps une faute de frappe et je l'entends dire "Tient, ils ont encore changé de site".
C'est juste horrible.
[^] # Re: Lire le journal dans le désordre, c'est dangereux
Posté par Kerro . En réponse au journal HS - carte d'identité et empreinte de l'index gauche . Évalué à 3.
Visiblement il n'est pas traumatisé à vie vue qu'il le met dans son pseudo.
Et si ça se trouve c'est une grosse baraque qui faisait déjà 2m10 à 10 ans et personne n'a jamais osé rigoler avec ça.
En tous cas, maintenant c'est sûr, le doute l'habite à propos de l'utilité des empreintes digitales.
[^] # Re: carte d'identité
Posté par Kerro . En réponse au journal HS - carte d'identité et empreinte de l'index gauche . Évalué à 10.
Belge, ce n'est une race que pour les bergers. Je ne parle pas du métier, mais des chiens.
Pour les humains, c'est juste une nationalité. Comme breton ou parisien.
Ah merde j'ai dérapé sur la fin.