A mon avis le problème se pose plus en sens inverse. Il est vrai que dans les boites "tout windows" on voit parfois des applis qui sont dévellopée en local, mais le plus souvent les progiciels sont des produits commerciaux extérieurs à la boite. Par contre dans des boites traditionellement Unix les applis propriétaires sont légions. Il y a même souvent à peu près que celà. Il existe de très bonnes applis de design et de simulation sous Unix, mais on est pas près de les voir sur le marché vu le fric qu'elles ont coutés en R&D.
En ce qui concerne la raison pour laquelle une grosse boite avec de gros besoins en infographie voudrait passer sous Unix-like c'est une question d'argent mais du point de vue des salaires seulement.
Si un groupe d'ingénieurs à plus de 50 000 euros par an perd deux ou trois heures par semaine suite à des bugs windows, et que l'on est certain que ces bugs n'auront pas lieu sous unix alors généralement l'accord pour la migration vient immédiatement.
La fiabilité reste l'argument fort des Unix-like. Et dans ces cas là peut importe le prix du logiciel ou des formations. C'est ammorti très vite.
Bien sur c'est encore mieux si le logiciel est identique sur une plateforme et sur l'autre (cas typique Maya) mais même dans le cas contraire la garanti de fiabilité fait réfléchir pas mal de patrons.
La partie que je préfère perso dans ce papier est quand même celle qui va de la page 7 à la page 10.
Le IV : GPL and government.
Sur trois page on apprend (dans l'ordre) que l'opensource c'est bien mais pas la GPL.
-Que si le gouvernement passait sous software GPL ca serait bien qu'il rende quelquechose à la communeauté.
-Que vu que tout va être rendu à la communeauté il va y avoir pleins de gens qui vont chercher à pirater et à trouver des failles dans le système (en se déguisant si besoin est en homme de ménage)
-Que les pirates vont passer tout leur temps sur les sites d'échange d'infos pour être au courant des failles avant le gouvernement
-Que le gouvernement va devoir installer des patchs de sécurité sans savoir si ils n'ont pas été écrit par des gens mal intentionnés qui les ont bourrés de trojan.
-Que les entreprises avec lesquelles le gouvernement traville vont partir en courant en entendant le mot GPL et que du coup il sera tout seul(bien fait pour lui na!)
C'est cette notion intérieur/extérieur public/privé.
Donc à l'intérieur j'ai le droit de passer à 100mw sur la plage (2446,5 MHz - 2483,5MHz). Mais je n'ai pas le droit d'en faire un service public. Ca veut donc dire que dans un batiment avec plusieurs boites chacun doit monter sa propre structure. Avec 100mw de puissance autorisée bonjour les parasites.
A l'extérieur dans mon jardin pour mettre une borne 10mw dans mon jardin il me faut un accord du ministère de la défense. Par contre je peux mettre à l'intérieur une borne en 100mw. Donc à moins de de vivre dans une cage de faraday, ou d'avoir un jardin de 50 hectares pour avoir un système qui foctionne il me suffit de mettre ma borne à l'intérieur. (Ben oui l'air de rien 100mw ca porte)
Par contre si je construit un emetteur-recepteur en 100mw je n'ai pas le droit de sortir en extérieur avec. Il me faut un emetteur recepteur en 10mw et une autorisation du ministère de la défense. (Bonjour monsieur le ministre, dites il fait beau aujourd'hui et j'aimerais me servir de mon système sur mon balcon je peux ??)
En d'autres termes le système est totalement inutilisable si vous êtes un particulier, ou même une boite qui n'a pas les faveurs de l'ART et du ministère de la défense.
L'Autorité met en uvre ces actions en concertation avec l'ensemble du secteur. Elle inscrit résolument sa démarche dans le mouvement européen en faveur de l'extension au public des usages de ces nouvelles technologies pour développer l'accès à haut débit vers Internet.
Bon et bien, on doit encore faire partie d'un autre secteur.....
Déjà proposé, et le client est en cours d'écriture. Il repose sur java 1.4 (comme ca il y en aura pour tout le monde). Tourne en tache de fond et emet maximum une requète par seconde, mais ce nombre baisse si les serveurs sont surchargés (évalué au ping :-( ).
Au programme : connections HTTP, FTP, IRC, POP, SMTP telnet (il instancie juste les connections et coupe au premier octet renvoyé).
Petit rafinement sur les connections HTTP il est possible de faire rajouter des paramètres par paquets (ie conexion par example à www.linuxfr.org/index.php?pipo=8732&toto=1471477&alfred=bonjour&foo=bar&xgonzo=ofcourse&cepasfini=non...)
Tout ca pour améliorer encore la lisibilité des logs et faciliter les recherches.
Il est pas encore complètement opérationnel mais ca va vite. Il ne bouffe pas le réseau, mais pour l'instant il provoque encore trop de charge sur un serveur "moyen" (une émulation de 1000 clients provoque une montée en charge de 50% sur un serveur HTTP/FTP bi pro PIII 8000. C'est mal).
Le but du jeu est de faire un truc qui occupe moins d'un 1% de CPU et de bande passante sur le client et qui ne risque en aucun cas de faire tomber le serveur. Donc malheureusement encore pas mal de tests à faire. Mais je suis sur que ce sera pret très bientot.
Oui on peut faire du reverse ingeneering. Mais sur des drivers il y a de quoi se marrer. Déjà simplement décompiler un programme c'est rigolo, alors que tu connais (en théorie) l'architecture sur lequel ca tourne, alors décompiler un pilote c'est la joie. Tu connais pas du tout l'architecture de la carte et tu tatonnes jusqu'à trouver comment ca marche.
Vu que de nos jour les cartes graphiques haut de gamme sont aussi complexes que des cartes mères je te laisse imaginer le bazar.
Même si tu éxecute ton driver video pas à pas en surveillant tout ce qui se passe sur le port AGP t'en as pour un moment avant de commencer à comprendre...
Le pire étant que ca va pas aller en s'arrangeant.
Kha
---
-1 parcequ'il y a des gens assez fous et assez doués pour y arriver quand même.
Ouais, enfin pour "apprendre l'informatique, outil indispensable pour le monde professionel", y'a pas besoin de savoir utiliser transcode ! (Enfin, si vous me trouvez un emploi professionel où il faut utiliser transcode, je démissionne et je prend ;)
Ben c'est pas la seule application de la vidéo ca. Ne serait ce que regarder des vidéos sur le net c'est pas gagné. Exit asf, sorenson et consors... Et là c'est quand même un gros handicap de linux.
La question ne se pose pas puisque le but est justement d'éviter aux gosses d'acheter en leur offrant. Et dans une offre, on offre bien sur du matos après s'etre assuré du support constructeur (ie. driver linux fonctionnant bien)
Ben ca c'est la théorie. La pratique c'est que quand une souris va tomber en panne le mec qui va acheter la nouvelle ne va pas vérifier qu'elle marche sur le PC. Idem scanner, imprimantes, modems.... Du temps de NT4 ou l'usb était moins répendu c'était déjà l'horreur pour faire comprendre aux gens que l'usb et NT ne faisaient pas bon ménage et que ca servait à rien d'acheter 200 souris USB. Et là c'était une SS2I alors un collége...
Surtout que, ce que tout le monde sait aussi, les gosses sont généralement bien plus compétent avec les machines que le sont les adultes
Là c'est pas les gosses qui me font peur, c'est les profs. Les mecs qui vont double cliquer partout attendre 2 sec avant le lancement et recommencer. Le mec qui a déjà utilisé windows plus d'une semaine est le pire prédateur que linux ait jamais connu. Vas y que je redémarre à chaud parce que la bécanne à l'air planté (tu as juste fermé ton window manager crétin), vas y que je redémarre parce que le changement est pas pris en compte (et relancer le démon en cliquant sur l'icone là ca te tente pas ?). Bref il faut une phase assez forte de désapprentissage de windows pour pouvoir passer à linux. Et il vaut mieux avoir quelqu'un qui connait un peu à coté pour expliquer.
La question se pose en effet. C'est vrai qu'au niveau purement pédagogique Windows a encore une longueur d'avance. De plus il est très complexe de faire de la vidéo, ou d'utiliser certains périphériques USB sous linux (malgré de gros progrès réçamment).
S'ajoute que nous avons à faire à un collège et pas à une université, il n'est donc pas évident que qui que ce soi sache se servir de linux(donc de là à expliquer aux élèves...).
Cependant il ne s'agit pas non plus de dire que c'est "innévitable". Il faut bien se rendre compte que le "cadeau" de Microsoft ne lui a rien couté (si ce n'est une éventuelle perte en terme de manque à gagner.) De plus une fois le réseau et les systèmes mis en place ils seront dans la place et ca leur apporte deux choses :
1°) - Elèves et enseignants vont apprendre du Windows. Le premier contact à l'informatique se fera pour beaucoup via cette plateforme. Les outils libres seront alors un peu plus dur à assimiler.
2°)- Une fois tout en place, microsoft aura tout loisir de demander dans un an, deux ans le paiement de certainnes licenses. Et là le choix pour le collège sera de casser tout le système, geler les cours d'infos pour plusieurs mois et payer une mise en place complète GNU/Linux, BSD ou autre. Ou alors payer les 10 000 euros de license pour la mise à jour des serveurs (qui veut prendre les paris sur la solution qui sera choisie...)
Kha
---
A cheval donné on ne regarde pas les dents, mais là c'est un loup et il a la rage alors ....
Ben d'un certain coté c'est parfaitement logique.
Ils ont créé des logiciels compatibles avec rien, des modèles LDAP, NETBIOS, KERBEROS et j'en passe et des meilleures, qui ne respectent pas les standards. Ils s'arrangent même pour que les nouvelles générations soient à peine compatible avec les anciennes (gestion de domaine NT/2000).
Pour eux la seule façon d'avoir un réseau (sens large) de systèmes compatibles c'est d'acheter au moment ou Microsoft le dit la nouvelle version.
Tu m'étonnes qu'ils paniquent. La pire chose qui puisse leur arriver c'est que le déploiement massif de logiciels et de systèmes libres les oblige à respecter les standards pour pouvoir avoir une chance de vendre leurs produits. En d'autre termes le jour ou un système incompatible désignera non pas un outil qui ne fonctionne pas avec microsoft, mais un outil qui n'est pas aux normes ils sont dans une sacrée panade....
Oui il y a toujours moyen de contourner un brevet, de démontrer l'antériorité, d'invalider etc...
Cependant la réciproque est vraie, il y a toujours moyen de prétendre que telle application particulière, telle mise en place, tel déploiement était novateur et que donc le brevet est justifié.
Après ca vire à la guerre classique bonne foi/mauvaise foi.
Seul problème : ce ne sont pas des techniciens qui participent aux procès, mais des homme de lois. Ces gens n'ont pas d'autres façons de comprendre qui a tort et qui a raison que d'écouter les avocats respectifs des deux parties. Si la cause est suffisament complexe, indépendament de la vérité, le parti le plus fortuné a de bonnes chances de gagner.
De plus un organisme qui a beaucoup d'argent peut parfaitement intenter 120 procès sur le même brevet (un par infraction au brevet) jusqu'à en gagner un ou juste pour bloquer le dévelopement d'une techno concurrente (technique creative/sony).
A l'inverse un brevet c'est complètement négligeable si on a les moyens. On peut parfaitement dévelloper une appli basé sur un brevet concurrent. La sortir, attendre les procès, faire appel, faire trainer jusqu'à ce que le produit "pirate" soit devenu un standard.(technique Microsoft).
Les brevets font donc le travail du dieu pognon, donc même si on s'en sort par des pirouettes, il faut continuer à lutter contre et ne surtout pas se laisser aller à croire que l'on pourra toujours trouver une voie détournée.
Kha
---
C'est combien le logiciel là ? 10$ à l'achat, 1000$ pour avoir le droit de s'en servir.
C'est d'autant plus sympa de leur part que ces drivers seront probablement relachés en license BSD, donc exploitables a des fins commerciales.
Ca fait du bien de voir qu'en ces temps ou la license BSD est de plus en plus critiquée il n'y a pas d'antagonisme ridicule quand il s'agit de résoudre un problème ou de filer un coup de main.
Une annecdote a forte valeur anti-troll.
Kha (BSD user)
---
"Monsieur, je ne suis pas d'accord avec ce que vous dites, mais je me battrais pour que vous puissiez le dire", Voltaire.
C'est assez simple. La GPL est une license communautaire. Si la communeauté rejette un membre il peut commencer à prier.Même les plus gros risquent de pas aimer du tout si certains devellopeurs commencent à sortir des GPL modifiées. Type : ce programme est soumis à la license GPL, de plus il est interdit d'un distribuer une version binaire type RPM UnitedLinux ou assimilé.
Les encoches à la GPL étaient souvent faites pour de nobles raisons(notamment avant la sortie de la LGPL) mais ca peut devenir une arme de guerre aussi.
Kha
---
Les linuxiens sont comme les gaulois, ils passent leur temps à se battre entre eux sauf si ils ont une ennemi commun...
Comme ce sont des puces Alpha/Bêta, les performances ne sont pas spécialement au rendez-vous pour le moment, mais AMD a l'air d'avoir mis le holà sur ce genre d'info (NDA su><0r).
Ben oui mais d'un autre coté on peut pas vraiment leur en vouloir. Déjà les puces alpha et béta tournent souvent entre 30% et 50% de la vitesse finale, de plus le fait que l'athlon soit un 64bits transcodé en 32bits risque de le ralentir pas mal sur un programme bourrée de bidouilles 32bits. Et je comprend personellement parfaitement qu'ils n'aient pas envie que la première chose que l'on dise de leur CPU c'est que ca fait 40fps de moins qu'un Pentium IV sous Quake 3. De plus une fois
Surtout que dans la guerre AMD/INTEL ce genre d'infos perdure pendant un grand moment. On se souvient du mal qu'avait eu le PIV à se séparer de sa réputation de processeur lent(il lui en reste encore un peu d'ailleurs...) alors qu'il pulvérisait tout au spec test.
Et puis il faut aussi optimiser la mémoire et les cartes mères avant de savoir ce qu'il a vraiment dans le ventre. Et là oui : spec test et verdict
Kha
-----
specs means nothing, don't believe the Hype
(Beyond 3D special dedicace)
Que ça soit imprévisible/chaotique à cause d'arrondis ou autres, ok, mais les machines déterministes et identiques devraient obtenir des résultats identiques. Ou alors il me manque une information...
Pardon je n'ais pas été assez clair. Si on prend deux machines identiques d'un point de vue constructeur, elle ne le sont pas d'un point de vue sillicium. Tous les processeur et toutes les mémoires sont testées dans certains intervalles, mais il ne sont pas fiables à 100%.
La meilleure facon de s'en rendre compte est de prendre un vieux compilateur x86 (génération 386) et de lui demander de convertir le nombre 1 entier en flotant. Sur certaines machines ca donnera 1.000....01 et sur d'autres 0.99999999. Jusque là c'est une simple erreur d'arrondi pas de quoi se réjouir.
Si parcontre on rend un calcul relativement complexe et qu'on itére 20 000 fois
type x = racine cubique de x fois pi au carré.
à la première itération on aura une simple erreur d'arrondi, à la deuxième l'erreur aura augmenté d'elle même. A la 20 000 itération l'erreur sera égale à elle même à la puissance 20 000. Ca peut ne pas être suffisant pour sortir des valeurs standards, mais au bout de plusieurs milliards d'itérations l'erreur d'arrondi cumulé aura plus de poid que le résultat du calcul.
Il y avait une expérience chez SUN avec un modèle asez "simple" de calcul gravitationel à trois particules. Trois planète sont lachées dans l'espace assez proche les unes des autres pour que la gravité entre elle soit forte, et on calcule seconde après seconde leur trajectoires.
Une batterrie de stations SUN aussi semblables que possible avait lancé au même moment les calculs. Deux heures après des différences notables apparaissaient dans les trajectoires, quatres heures après les trajectoires étaient complètement dissemblables.
Le plus beau c'est que lorsque que l'on relancait le même calcul depuis une machine elle finissait toujours par obtenir des résultats différents.
Il y a trois point dans les séries de calculs :
1°) jusqu'à x itération une machine va donner les même résultats que ses homologues
2°) jusqu'à y itération une machine va rester consistante avec ses propres résultats mais va s'éloigner des résultats des autres machines similaires.
3°) a partir de y+1 itération la machine va commencer à rendre des résultats différents de ce qu'elle avait obtenu lors des essais précédents.
C'est un des outils avec lesquels on peut faire des nombres imprévisibles.(Lent mais simple)
Pas complètement d'accord là.
La sécurité du chiffrage ne dépend que de ce que tu as en face. Au 17éme un cryptage par equation du 3ème degré était assez monstrueux, et puis un jour un mec à inventé les nombres imaginaires (i^2=-1) et là plouf, cassée en trente secondes chrono la clef.
Le jour ou les ordinateurs quantiques seront pleinement opérationnels, les clefs assymétriques basées sur les nombres premiers auront du soucis a se faire.
Tu peux toujours un beau matin tomber sur un génie des maths qui va trouver un nouvel espace, un anneau particulier, une propriété marrante d'une base de nombres qui fait que ton système de cryptage vole en éclat du jour au lendemain.
Quand à ta ce tu appelles le One-Time-Pad j'ai du mal à comprendre comment ca marche. C'est le message qui determine la clef. donc c'est forcément l'auteur du message qui possède la clef de décryptage. Il faut donc qu'il transmette la clef a la personne qui va recevoir le message et ce pour chaque nouveau message. Ca m'a surtout l'air d'être une bonne façon de se faire chopper la clef au moins une fois.
En plus il n'éxiste pas à ce jour de moyen de générer un nombre vraiment aléatoire. On peut créer du pseudo aléatoire avec l'uptime de la machine, le nombre de clicks de souris, de frappes clavier, en demandant à l'utilisateur de faire des déplacement avec la souris etc... Mais ça n'est pas aléatoire, c'est juste très complexe mais le hasard n'a rien à faire là dedans.
On peut aussi générer des nombres imprévisibles, par exemple en demandant à un ordi d'itérer un même calcul à l'infini avec une précision très grande. (Exemple x=(x^(1/3))*pi^2). Au bout d'un moment on sort de la précision de la machine (ie deux machines identiques vont avoir deux résultats très différents). C'est un nombre imprévisible, mais il n'est pas aléatoire car certains nombre ont plus de chance de sortir que d'autres (la repartition n'est pas equiprobable).
Tout ca pour dire que ton One-Time-Pad je vois pas bien comment ca marche.
On peut parfaitement utiliser Postgres simplement, je trouve même que c'est plutot plus simple que MySQL en install de base. Bien sur on ne se sert pas des fonctions vraiments interressantes (c'est un peu du gachis) mais il y a des packages très bien fait sous toutes les distribs.
De plus le gros défaut de MySQL c'est de se casser la gueule niveau perf dès qu'il y a trop de connexions, et ça c'est valable même si la base c'est juste des champs textes dans différentes langues. Donc Postgres apporte toujours un plus même pour les petites bases.
En plus si ton client a l'habitude de se servir d'Access (on prend de mauvaises habitudes parfois) il y a d'excellents drivers odbc et une chouette interface admin sous Windows (pgAdmin2). Que demande le peuple ??
Pour finir, si pour des raisons diverses et variées vous ne voulez pas utiliser Postgres, avant de passer à Mysql, essayez Firebird.
Déjà de base aller lire les logs de wanadoo pour savoir à quoi était connectée votre machine il y a 3 mois c'est pas évident en effet.
Mais bon si c'est vraiment le fait d'avoir des logs qui les rassure on peut leur en offrir. On peut faire en quelques lignes de java un programme qui se connecte sur des URL au hasard, aller placer quelques bots verbeux sur des chans aussi célèbre que #kjgdhkjfghsfjkg ou simplement créer des forums sur des pages persos avec modération automatique (effacement de tout posts après 10 secondes).
En d'autres termes faire baisser dans des proportions inquiétantes le rapport signal/bruit.
Après tout, un impact de quelques octets toutes les 10 secondes ca ne devrait même pas amoindrir la bande passante; par contre au niveau de la taille des logs ca va exploser. On pourrait ainsi créer un DOL (denial of logs) par remplissage massif des disques dur serveur avec des logs insipides. Reste à savoir si c'est bien en accord avec la nettiquette tout ca.
Donc il suffit de se forger un ou deux outils et de les faire tourner en priorité basse comme au bon vieux temps du RC5 et de SETI.
Bien entendu continuer aussi à envoyer sa correspondance en GnuPG sans passer par le serveur du provider de préférence en passant par des tuyeaux SSH. La dernière fois que je me suis connecté au serveur SMTP d'un provideur ca devait être il y a deux ans. Reste le problème du POP... En cours de résolution un nom de domaine, un serveur aux states et hop, ca devrait être réglé dans moins d'un mois.
Moralité :
Contenu : crypté
Liaison : crypté
Accés serveur : crypté
Leurres : envoyés par paquet de 5000.
Bon ben bonne chance avec les logs les gars.
Kha
-------------------
Rien ne ressmeble plus à une liaison crypté q'une série de paquet aléatoire.
Y a des fois on se pose des questions. Et là je m'en pose beaucoup.
1°) A ma connaissance sur tous les CD de marques, et même sur la plupart de ceux dit blancs il y a (comme sur beaucoup de produits) un numéro de série. Donc les produits sont déjà traçables. Je ne voit pas l'intéret d'aller rajouter un code de plus pour tracer le fabriquant. Vous prenez un telephone vous appelez le fabriquant, << Bonjour monsieur X, c'est la police, dites le CD n°xxx_xxx-xx de la gamme ultragrav 80 il a été fabriqué ou ? >> et il est plus que probable que vous obteniez un résultat.
2°) Je comprend pas comment il vont s'en servir. Vous avez un CD dans les mains qui est une copie pirate. Grace au marquage qui est dessus vous savez qu'il a été fabriqué à Rotterdam, comme tout le reste de la série (800 000 comme ça au total), ce qui vous avance vachement pour mettre fin au traffic franco-espagnol qui sévit depuis des mois....
3°) Les terroristes, vendeurs d'armes, traffiquants de drogues, kipiratentaussiXPlessalauds ne savent pas ce qu'est une presse ?? Bon c'est clair qu'il est vachement plus dur de nos jours d'obtenir de la pate mirroir et un bout de plastique qu'un bon kilo de coke ou qu'un missile milan. Mais bon les mecs ils ont pleins de copains,des relations tout ca, et je suis sur qu'il vont se débrouiller pour presser les CD sans mettre de numéro de série dessus.(C'est vraiment des salauds non..)
4°)Les industriels affirment que la contrefaçon et le piratage d'oeuvres protégées par le copyright «nourrissent une économie parallèle grandissante, au coeur de laquelle les réseaux criminels se servent du piratage pour financer d'autres activités, notamment le trafic de drogue et d'armes, le blanchiment d'argent et le terrorisme.
Là le top. Le piratage informatique qui finance le trafic de drogue. Ben c'est que ca doit être vraiment rentable alors. Ca permet aussi d'apprendre qu'il faut financer le blanchiment d'argent.(En achetant de l'argent avec des sous j'imagine)
5°)«Récemment, en France, une descente a été faite dans les locaux d'une entreprise avec un mandat, mais les employés avaient devancé l'intervention, en ayant supprimés les fichiers de tous les PC.»
Traduction : on est allé dans une entreprise pour perquisition. On a rien trouvé. Donc c'est que ces salauds ont été prévenus et qu'ils ont éffacés les preuves..... Moi qui croyait être paranoiaque.
6°)un contrevenant qui détient pour 10000 dollars de logiciels sur DVD, qu'il revend 10 dollars, aura une amende basée sur ces 10 dollars de bénéfices.
Tiens merci du tuyeau, donc si jamais il y a un controle et que l'on retrouve chez vous des copies de DVD et de CD audio, dites que vous comptiez les revendre 1 centime d'euro pièce ca fera moins mal au niveau de l'amende. C'est bien la justice interactive ca permet de choisir soi même sa condanation.
Pas comprendre du tout. Quelqu'un peut m'expliquer parceque là j'ai des doutes.
Kha
Je crois que je me suis encore trompé d'univers en me levant ce matin....
Tout d'abord désolé pour le temps mis à répondre je dois reconnaitre que j'ai du aller chercher un peu d'aide pour vérifier tous les points que tu cites. Je ne prétend pas être un crack de windows 2000 (ni d'OpenBSD d'ailleurs).
Quelle difference entre les droits sur Unix et Windows 2000 ?
Un certains nombre de différences en définitive, à la faveur de Windows2000 : beaucoup plus granulaire qu'Openbsd au niveau des possibilités. Les droits sous Windows 2000 sont un bijou. Ce n'est pas le système que je remet en cause mais la façon dont les droits sont attribués. Nous y reviendrons plus tard.
Pourquoi tu voudrais changer les permissions des DLL dans \winnt\system32 ? Tu t'amuses a changer les permissions dans \lib et \usr\lib aussi ? Quelle difference entre les deux ?
Ben le jour ou il y aura un équivalent d'odbc32.dll dans le \lib ou \usr\lib je crois que je me penchrais sérieusement sur les droits par défaut et il est plus que probable que je les change à ma façon. C'est juste que ca m'ennuie un peu que n'importe quel utilisateur(sans pouvoir) puisse via rundll lancer des requètes à droite et a gauche. C'est pas critique d'accord, mais je vois pas pourquoi il peut le faire, donc shrlak les droits de everyone sur odbc32.dll. (ceci n'est qu'un exemple il y a un paquet d'autres dll pour lesquelles je n'ai pas compris pourquoi everyone avait les droits en lecture/execution)
Sous Windows2000, oui un utilisateur peut n'appartenir a aucun groupe, il suffit de ne le mettre dans aucun groupe, pas tres complique...
Je n'ai jamais dit le contraire. Surtout que sous *nix ce n'est pas possible à ma connaissance. Un utilisateur a toujours au moins un groupe même si c'est lui même. C'est un bel exemple de la superiorité des droits de Win2K sur OpenBSD (même si dans le cas présent je ne vois pas bien l'interet)
Tu veux un user nobody ? T'as qu'a choisir car il y en a TROIS par defaut sur Windows 2000: LocalService, LocalSystem et NetworkService, qui ont chacun des droits differents selon ce dont tu as besoin
Ben c'est là qu'il y a problème, déjà je veux un utilisateur nobody et pas trois ca me simplifie grandement la vie. Ensuite j'aimerais bien savoir comment ils peuvent avoir par défaut les droits qui m'interressent ? de plus si je me souviens bien tes utilisateurs appartiennent au groupe "system" qui a des droits complets sur a peu près tout.
un petit exemple pour la forme. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ne(...)
Ca fait quand même un vache d'utilisateur nobody non ? (pour ceux qui ne parlent pas anglais : L'avantage qu'il y a à tourner sous le compte "local sytem" est que celui ci a un accès complet illimité aux ressources du système local.C'est aussi son désanvantage car un service de local system peut faire des choses qui feraient tomber l'ensemble du système.) Moi je réfléchirais à deux fois avant de donner de tels pouvoirs au root.(NB : c'est cet utilisateur qui lance par défaut tous les services sous workstation)
Si tu veux faire demarrer un service sous un user particulier: services.msc -> click sur le service que tu veux -> Log On, pas tres dur...
Je veux faire démarrer mes services sous un user général qui n'ait pas de droits particuliers. Et en particulier pas le droit de se loguer. Je ne suis peut être pas doué mais je ne sais pas faire lancer un service à un utilisateur qui n'a pas des droits sur une demi douzaine de trucs qui n'ont rien à voir (Rundll32 c'est un peu ma bête noire.) et qui ne peut pas se loguer.
Quelle difference y a t'il entre installer un soft sur OpenBSD et Windows ? Quel probleme de securite ca cree sur Windows et pas sur OpenBSD ?
Toujours le même problème, si j'installe un service sous Windows je vais me casser la tête à mettre des protections dans tous les sens pour être sur que si un mec se fait passer pour le compte qui a lancé le service il ne récupère pas au passage des droits sur sur tout un tas d'applis, de DLL, de dossiers etc...
Ton prob NFS je t'avoues que j'ai pas tout compris, mais si tu veux rendre ta share "read-only"(c'est ce que j'ai compris), click droit -> sharing -> permissions et tu chosis read-only, ca m'a pas l'air tres complexe si c'est bien ca que tu veux.
Effectivement tu n'a pas compris. Le but du jeu est d'utiliser un serveur comme relais. Je défini les droits sur un premier serveur en readonly, puis je rend les fichiers visibles en readonly via NFS a une seule machine qui à son tour les partage en readonly SMB. En d'autres termes pour écrire sur un de ses fichiers il faut casser samba, le serveur relais, NFS, le serveur primaire. Ca veut dire aussi que si mon serveur primaire est sur et que le serveur secondaire ne l'est pas, mes données sont protégées quand même. Donc si demain on me demande de rendre les même données publiques sous novell je n'ai pas à me prendre la tête je n'ai qu'à mettre en place netware sur le deuxième serveur et redistribuer mes données à partir du même NFS. Mon serveur primaire sera toujours aussi secure et mes données toujours protégées alors que je suis nul en sécurité Novell. Là j'avoue que je ne suis pas sur mais je ne crois pas qu'il soit possible de repartager des données montées en disque réseau depuis une station Windows.(En d'autres termes si un serveur Windows propose des données c'est qu'elles sont effectivement sur ses disques.)
Ton prob d'un server qui "bind" sur une interface ou l'autre, ben sur Unix et sur Windows, ca depend du daemon, pas du systeme, ca n'a ABSOLUMENT rien a voir avec le design du systeme.
Une fois de plus je n'ai peut être pas été assez clair : je veux un démon qui écoute sur les deux cartes mais qui ne voit pas arriver certains types d'infos ou qui les ignore. Pour reprendre mon exemple Apache sert des pages sur les deux interface mais sur une seule des deux il répond à la demande d'accés a la page admin. Sur l'interface 10.X la page admin renverra une erreur (404, timeout, 5xx) sur la 192.168.x on arrivera sur une page sécurisé avec login et mot de passe.
Sous OpenBSD j'ai à portée de main un paquet d'outils qui me permettent de faire celà. Outre Apache lui même qui fait ca très bien je peux implémenter des filtres sur les paquets IP ou plus sportif grepper le flux (ou le SedHawker) et ne le redistribuer que si il est correct. Sous Windows tous ces outils sont absents de base (merci de ne pas mentionner le firewall XP), donc soit je met en place un script IIS assez lourd (je sais ca prend 5 secondes a fair en ASP mais je ne veut pas que le serveur renvoit une erreur après connection je veux qu'il ne trouve pas la page ou qu'il ne comprenne pas la requète), soit je met en place une batterie d'outils autour de windows avec les inconvennient vu plus haut au sujet de l'installation de nouveaux produits.
Nous sommes bien d'accord qu'il s'agit là d'outils externes et pas du système a proprement parlé; mais c'est bien celà le sujet de ce topic non ? A savoir si Windows rendu secure par des restrictions sur ses services est encore utilisable. Mon point de vue est juste que sous OpenBSD ca marche déjà et que sous Windows le chemin a parcourir pour que ce soit vrai est énorme. En clair les démons qui tournent sous un OS sont ce qui font l'OS. Si les démons sont poreux les système en est impacté. Ca n'a donc pas ABSOLUMENT rien a voir. Je suis sous Windows pour la video parcequ'il y a plein de truc géniaux en video sous windows (media player et encoder compris) je suis sous OpenBSD pour la sécurité parcequ'il y a plein de truc secure sous OpenBSD. Un système secure est avant tout un système utilisable pour faire ce que je veux lui faire faire et qui ensuite garanti que je le ferais de facon sécurisé, sinon le système le plus secure que j'ai chez moi c'est mon CPC 464.
Bref, faudrait apprendre a utiliser Windows 2000 avant d'affirmer ce que tu affirmes.
Ca me rapelle une histoire de poutre, de paille, de globe occulaire et de relation de voisinage tout ça....
Je veux bien que tu es pris pour croisade de lutter contre les fanatiques anti-Windows, mais ne sombre pas non plus dans l'excès inverse.
Bon bien déjà toutes mes excuses à NCSA MOSAIC et SPYGLASS pour des raisons malheureusement évidentes ainis qu'à Hummingbird,RSA,Mainsoft,OPEN solutions et au JPEG GROUP; et ensuite aux lecteurs de ce thread que j'ai privé d'une fin de phrase bien mérité.
donc
Le problème des produits MS n'est pas tant un travail de sécurisation a faire à postériori (en d'autres termes une forme perverse de débuggage) mais un problème d'architecture. Pour l'instant en tant qu'admin d'une bécanne on ne se pose pas du tout les même problèmes. Sous OpenBSD on se dit "Je vais installer tel soft comment faire pour que ma machine reste secure ?". Sous Windows la question est plutot "Je vais installer tel soft comment faire pour boucher les failles ?". Le pire c'est *nix permet d'implementer des solutions Microsoft beaucoup plus proprement qu'eux. Un cas extrème étant un serveur NFS sur lequel personne ne peut se loguer en mode terminal avec le demon NFS lancé via script par nobody. Ces disques NFS sont montés par un autre *nix et redistribués en Samba. Ben si je dit sur la première machine ce fichier est en lecture seule je vois mal comment qui que ce soit peut l'effacer ou l'executer. Je cherche encore depuis des années a faire la même chose en pur windows...
Exemple plus simple une machine avec deux cartes réseaux déclarée sous deux noms différents avec deux adresses IP sur le même réseau. Temps mis pour qu'un démon *nix n'écoute que les infos venant d'une des deux cartes : 2 minutes. Sous windows plusieurs heures, des logiciels externes et aucune assurance que ca ne transpirera pas.
(Cas typique : appache n'accepte pas les demandes de login sur certaines pages si elle ne viennent pas de la bonne carte, mais sert les pages "publiques" sur les deux. Sous IIS amusez vous bien les gars, il y a moyen mais c'est assez drole a faire).
Ceci étant promis je ne ferais plus de postes à la va vite depuis mon boulot, un accident est si vite arrivé :).
Sans vouloir jouer les zealots je ne pense pas que la nouvelle politique de Microsoft et celle d'OpenBSD soient comparables.
Dans le système d'exploitation il y a trois choses : Le système de base, les packages certifiés et les packages non certifiés. Chaque package avant d'être accepté comme certifié passe par tout une série de tests.
Vous allez me dire que c'est ce que Microsoft va mettre en place bientôt. Oui probablement a deux "détails" prêt.
1°) Les gars chez OpenBSD capables d'auditer un paquet il y en a pas des masses, et le plus souvent il font ca sur leur temps libre, à comparer avec les milliers d'employés MS qui bossent 70 heures par semaine là dessus.
2°) Chez OpenBSD ils auditent certes des packages pour lesquels ils ont le code source mais qu'ils n'ont pas écrit eux même. En d'autres termes ils valident le travail des autres, activité autrement plus périlleuse que d'écrire un code fiable soi-même. A comparer avec IIS, Outlook ou IE par exemple... Produits grévés de failles et pourtant 100% Microsoft.
De plus sous OpenBSD un certains nombres de packages sont définis comme "non securisés" mais sont parfaitement installable de façon sécurisé. Le meilleur exemple est le couple DNS/BIND. Il est a l'heure actuelle quasiment impossible de faire un package DNS/BIND secure, celà ne veut pas dire que l'on ne peut pas l'installer de façon secure. Il existe un paquet de docs qui existent qui permettent de prendre toutes les précautions lors de l'installations de ses packages. Il y a juste trop d'interractions avec les autres outils installés pour que le package puissent éliminer toutes les backdoors automatiquement.
Une fois de plus à comparer avec une install de serveur netbios en PDC.
Il est tout à fait normal que Microsoft ne prenne pas la responsabilité de produits que l'on vient greffer sur son OS. Si j'installe le Proxy neuneu2K1 qui a comme faille de permettre à n'importe qui de réécrire les regles de filtrage IP quand ca lui chante c'est mon problème. Par contre quand Microsoft met au point un système qui va tomber 200 fois à cause de la même faille (WORM, WORM BIS, WORM TER....) et quand on a l'impression qu'il corrige les bugs au niveau évènemmentiel et non structurel (Je ne m'arrange pour rendre mon produit résistant à un type d'attaque mais à une attaque particulière...) Là je me lasse.
De plus la sécurité c'est pas seulement les attaques de l'extérieur, c'est aussi les conneries de l'intérieur. Des fois on rentre de force sur un serveur et des fois il sort tout seul. Si un utilisateur installe Kazaa sur un poste de mon réseau par défaut tout mon réseau est alors ouvert à Kazaa, contenu des disques et puissance machine.... Sous BSD difficile de rentrer quand on a pas les droits. On peut bien sur regler les droits sou NT/2000 de facon sécurisée. Comment faire ?? Très simple il suffit d'aller dans system32 et DLL par DLL attribuer les droits seulement aux personnes qui en ont besoin. AHAHAH
Qaund vous aurez finis il ne vous restera plus que les executables..... Sous OpenBSD un utilisateur peut appartenir a plusieurs groupes mais aussi à aucun. Il est ou l'utilisateur nobody dans NT ? Et pourquoi est ce que pour lancer un service il faut être admin ? Il faut vraiment tant de droit que celà pour broadcaster (au hasard) l'heure qu'il est ??
Le problème des produits MS n'est
Reste à voir ce qu'il y aura dans le système secure par defaut de Microsoft. Parcequ'en OpenBSD install de base + Packages audités, pour peu que l'on prenne la peine de lire les instructions il y a moyen de se monter un système complet et sécurisé et qu'on aura pas à patcher toutes les deux semaines.
[^] # Re: Oui mais... mise au point
Posté par Jerome Herman . En réponse à la dépêche Petit à petit, le pingouin fait son nid. Évalué à 4.
En ce qui concerne la raison pour laquelle une grosse boite avec de gros besoins en infographie voudrait passer sous Unix-like c'est une question d'argent mais du point de vue des salaires seulement.
Si un groupe d'ingénieurs à plus de 50 000 euros par an perd deux ou trois heures par semaine suite à des bugs windows, et que l'on est certain que ces bugs n'auront pas lieu sous unix alors généralement l'accord pour la migration vient immédiatement.
La fiabilité reste l'argument fort des Unix-like. Et dans ces cas là peut importe le prix du logiciel ou des formations. C'est ammorti très vite.
Bien sur c'est encore mieux si le logiciel est identique sur une plateforme et sur l'autre (cas typique Maya) mais même dans le cas contraire la garanti de fiabilité fait réfléchir pas mal de patrons.
Kha
# Oh le beau raisonnement !
Posté par Jerome Herman . En réponse à la dépêche Les logiciels sources ouvertes favorisent le terrorisme (la suite). Évalué à 10.
Le IV : GPL and government.
Sur trois page on apprend (dans l'ordre) que l'opensource c'est bien mais pas la GPL.
-Que si le gouvernement passait sous software GPL ca serait bien qu'il rende quelquechose à la communeauté.
-Que vu que tout va être rendu à la communeauté il va y avoir pleins de gens qui vont chercher à pirater et à trouver des failles dans le système (en se déguisant si besoin est en homme de ménage)
-Que les pirates vont passer tout leur temps sur les sites d'échange d'infos pour être au courant des failles avant le gouvernement
-Que le gouvernement va devoir installer des patchs de sécurité sans savoir si ils n'ont pas été écrit par des gens mal intentionnés qui les ont bourrés de trojan.
-Que les entreprises avec lesquelles le gouvernement traville vont partir en courant en entendant le mot GPL et que du coup il sera tout seul(bien fait pour lui na!)
Ce n'est même plus un FUD, c'est un vaudeville.
On a déjà fait mieux dans le genre remarque :
http://www.site-moliere.com/pieces/domjua52.htm(...)
Kha
-----
Après cela, si vous ne vous rendez, tant pis pour vous.
[^] # Le plus beau dans l'histoire....
Posté par Jerome Herman . En réponse à la dépêche L'ART ne veut pas de réseau libre !. Évalué à 10.
Donc à l'intérieur j'ai le droit de passer à 100mw sur la plage (2446,5 MHz - 2483,5MHz). Mais je n'ai pas le droit d'en faire un service public. Ca veut donc dire que dans un batiment avec plusieurs boites chacun doit monter sa propre structure. Avec 100mw de puissance autorisée bonjour les parasites.
A l'extérieur dans mon jardin pour mettre une borne 10mw dans mon jardin il me faut un accord du ministère de la défense. Par contre je peux mettre à l'intérieur une borne en 100mw. Donc à moins de de vivre dans une cage de faraday, ou d'avoir un jardin de 50 hectares pour avoir un système qui foctionne il me suffit de mettre ma borne à l'intérieur. (Ben oui l'air de rien 100mw ca porte)
Par contre si je construit un emetteur-recepteur en 100mw je n'ai pas le droit de sortir en extérieur avec. Il me faut un emetteur recepteur en 10mw et une autorisation du ministère de la défense. (Bonjour monsieur le ministre, dites il fait beau aujourd'hui et j'aimerais me servir de mon système sur mon balcon je peux ??)
En d'autres termes le système est totalement inutilisable si vous êtes un particulier, ou même une boite qui n'a pas les faveurs de l'ART et du ministère de la défense.
L'Autorité met en uvre ces actions en concertation avec l'ensemble du secteur. Elle inscrit résolument sa démarche dans le mouvement européen en faveur de l'extension au public des usages de ces nouvelles technologies pour développer l'accès à haut débit vers Internet.
Bon et bien, on doit encore faire partie d'un autre secteur.....
Kha
[^] # Re: Faire peter les provider
Posté par Jerome Herman . En réponse à la dépêche Les données à suivre pour Europol. Évalué à 10.
Au programme : connections HTTP, FTP, IRC, POP, SMTP telnet (il instancie juste les connections et coupe au premier octet renvoyé).
Petit rafinement sur les connections HTTP il est possible de faire rajouter des paramètres par paquets (ie conexion par example à www.linuxfr.org/index.php?pipo=8732&toto=1471477&alfred=bonjour&foo=bar&xgonzo=ofcourse&cepasfini=non...)
Tout ca pour améliorer encore la lisibilité des logs et faciliter les recherches.
Il est pas encore complètement opérationnel mais ca va vite. Il ne bouffe pas le réseau, mais pour l'instant il provoque encore trop de charge sur un serveur "moyen" (une émulation de 1000 clients provoque une montée en charge de 50% sur un serveur HTTP/FTP bi pro PIII 8000. C'est mal).
Le but du jeu est de faire un truc qui occupe moins d'un 1% de CPU et de bande passante sur le client et qui ne risque en aucun cas de faire tomber le serveur. Donc malheureusement encore pas mal de tests à faire. Mais je suis sur que ce sera pret très bientot.
Kha
---
Log, log, log merveilleux log, log, log.
[^] # Re: Intérêt: nul!
Posté par Jerome Herman . En réponse à la dépêche Enfin des pilotes Radeon 8500 !!!. Évalué à 2.
Vu que de nos jour les cartes graphiques haut de gamme sont aussi complexes que des cartes mères je te laisse imaginer le bazar.
Même si tu éxecute ton driver video pas à pas en surveillant tout ce qui se passe sur le port AGP t'en as pour un moment avant de commencer à comprendre...
Le pire étant que ca va pas aller en s'arrangeant.
Kha
---
-1 parcequ'il y a des gens assez fous et assez doués pour y arriver quand même.
[^] # Re: Aurait-il pu y avoir autre chose que du MS ?
Posté par Jerome Herman . En réponse à la dépêche Dans les landes : un collégien, un portable, un windows. Évalué à 7.
Ben c'est pas la seule application de la vidéo ca. Ne serait ce que regarder des vidéos sur le net c'est pas gagné. Exit asf, sorenson et consors... Et là c'est quand même un gros handicap de linux.
La question ne se pose pas puisque le but est justement d'éviter aux gosses d'acheter en leur offrant. Et dans une offre, on offre bien sur du matos après s'etre assuré du support constructeur (ie. driver linux fonctionnant bien)
Ben ca c'est la théorie. La pratique c'est que quand une souris va tomber en panne le mec qui va acheter la nouvelle ne va pas vérifier qu'elle marche sur le PC. Idem scanner, imprimantes, modems.... Du temps de NT4 ou l'usb était moins répendu c'était déjà l'horreur pour faire comprendre aux gens que l'usb et NT ne faisaient pas bon ménage et que ca servait à rien d'acheter 200 souris USB. Et là c'était une SS2I alors un collége...
Surtout que, ce que tout le monde sait aussi, les gosses sont généralement bien plus compétent avec les machines que le sont les adultes
Là c'est pas les gosses qui me font peur, c'est les profs. Les mecs qui vont double cliquer partout attendre 2 sec avant le lancement et recommencer. Le mec qui a déjà utilisé windows plus d'une semaine est le pire prédateur que linux ait jamais connu. Vas y que je redémarre à chaud parce que la bécanne à l'air planté (tu as juste fermé ton window manager crétin), vas y que je redémarre parce que le changement est pas pris en compte (et relancer le démon en cliquant sur l'icone là ca te tente pas ?). Bref il faut une phase assez forte de désapprentissage de windows pour pouvoir passer à linux. Et il vaut mieux avoir quelqu'un qui connait un peu à coté pour expliquer.
Kha
---
[^] # Re: Aurait-il pu y avoir autre chose que du MS ?
Posté par Jerome Herman . En réponse à la dépêche Dans les landes : un collégien, un portable, un windows. Évalué à 10.
S'ajoute que nous avons à faire à un collège et pas à une université, il n'est donc pas évident que qui que ce soi sache se servir de linux(donc de là à expliquer aux élèves...).
Cependant il ne s'agit pas non plus de dire que c'est "innévitable". Il faut bien se rendre compte que le "cadeau" de Microsoft ne lui a rien couté (si ce n'est une éventuelle perte en terme de manque à gagner.) De plus une fois le réseau et les systèmes mis en place ils seront dans la place et ca leur apporte deux choses :
1°) - Elèves et enseignants vont apprendre du Windows. Le premier contact à l'informatique se fera pour beaucoup via cette plateforme. Les outils libres seront alors un peu plus dur à assimiler.
2°)- Une fois tout en place, microsoft aura tout loisir de demander dans un an, deux ans le paiement de certainnes licenses. Et là le choix pour le collège sera de casser tout le système, geler les cours d'infos pour plusieurs mois et payer une mise en place complète GNU/Linux, BSD ou autre. Ou alors payer les 10 000 euros de license pour la mise à jour des serveurs (qui veut prendre les paris sur la solution qui sera choisie...)
Kha
---
A cheval donné on ne regarde pas les dents, mais là c'est un loup et il a la rage alors ....
[^] # Re: coup de gueule
Posté par Jerome Herman . En réponse à la dépêche Le gouvernement allemand signe un accord de partenariat avec IBM. Évalué à 10.
Ils ont créé des logiciels compatibles avec rien, des modèles LDAP, NETBIOS, KERBEROS et j'en passe et des meilleures, qui ne respectent pas les standards. Ils s'arrangent même pour que les nouvelles générations soient à peine compatible avec les anciennes (gestion de domaine NT/2000).
Pour eux la seule façon d'avoir un réseau (sens large) de systèmes compatibles c'est d'acheter au moment ou Microsoft le dit la nouvelle version.
Tu m'étonnes qu'ils paniquent. La pire chose qui puisse leur arriver c'est que le déploiement massif de logiciels et de systèmes libres les oblige à respecter les standards pour pouvoir avoir une chance de vendre leurs produits. En d'autre termes le jour ou un système incompatible désignera non pas un outil qui ne fonctionne pas avec microsoft, mais un outil qui n'est pas aux normes ils sont dans une sacrée panade....
Kha
---
[^] # Re: pirouette cacaouetes
Posté par Jerome Herman . En réponse à la dépêche Le temps-réel s'échappe des brevets. Évalué à 10.
Cependant la réciproque est vraie, il y a toujours moyen de prétendre que telle application particulière, telle mise en place, tel déploiement était novateur et que donc le brevet est justifié.
Après ca vire à la guerre classique bonne foi/mauvaise foi.
Seul problème : ce ne sont pas des techniciens qui participent aux procès, mais des homme de lois. Ces gens n'ont pas d'autres façons de comprendre qui a tort et qui a raison que d'écouter les avocats respectifs des deux parties. Si la cause est suffisament complexe, indépendament de la vérité, le parti le plus fortuné a de bonnes chances de gagner.
De plus un organisme qui a beaucoup d'argent peut parfaitement intenter 120 procès sur le même brevet (un par infraction au brevet) jusqu'à en gagner un ou juste pour bloquer le dévelopement d'une techno concurrente (technique creative/sony).
A l'inverse un brevet c'est complètement négligeable si on a les moyens. On peut parfaitement dévelloper une appli basé sur un brevet concurrent. La sortir, attendre les procès, faire appel, faire trainer jusqu'à ce que le produit "pirate" soit devenu un standard.(technique Microsoft).
Les brevets font donc le travail du dieu pognon, donc même si on s'en sort par des pirouettes, il faut continuer à lutter contre et ne surtout pas se laisser aller à croire que l'on pourra toujours trouver une voie détournée.
Kha
---
C'est combien le logiciel là ? 10$ à l'achat, 1000$ pour avoir le droit de s'en servir.
[^] # Re: [HS] Anecdote ;)
Posté par Jerome Herman . En réponse à la dépêche FreeBSD 4.6 retardée. Évalué à 5.
Ca fait du bien de voir qu'en ces temps ou la license BSD est de plus en plus critiquée il n'y a pas d'antagonisme ridicule quand il s'agit de résoudre un problème ou de filer un coup de main.
Une annecdote a forte valeur anti-troll.
Kha (BSD user)
---
"Monsieur, je ne suis pas d'accord avec ce que vous dites, mais je me battrais pour que vous puissiez le dire", Voltaire.
# Si il faut répliquer....
Posté par Jerome Herman . En réponse à la dépêche UnitedLinux vers un monde Linux unifié et propriétaire. Évalué à 4.
Les encoches à la GPL étaient souvent faites pour de nobles raisons(notamment avant la sortie de la LGPL) mais ca peut devenir une arme de guerre aussi.
Kha
---
Les linuxiens sont comme les gaulois, ils passent leur temps à se battre entre eux sauf si ils ont une ennemi commun...
[^] # Re: //lélisme et multi-proc
Posté par Jerome Herman . En réponse à la dépêche Quadri-Opteron sous Linux. Évalué à 8.
Ben oui mais d'un autre coté on peut pas vraiment leur en vouloir. Déjà les puces alpha et béta tournent souvent entre 30% et 50% de la vitesse finale, de plus le fait que l'athlon soit un 64bits transcodé en 32bits risque de le ralentir pas mal sur un programme bourrée de bidouilles 32bits. Et je comprend personellement parfaitement qu'ils n'aient pas envie que la première chose que l'on dise de leur CPU c'est que ca fait 40fps de moins qu'un Pentium IV sous Quake 3. De plus une fois
Surtout que dans la guerre AMD/INTEL ce genre d'infos perdure pendant un grand moment. On se souvient du mal qu'avait eu le PIV à se séparer de sa réputation de processeur lent(il lui en reste encore un peu d'ailleurs...) alors qu'il pulvérisait tout au spec test.
Et puis il faut aussi optimiser la mémoire et les cartes mères avant de savoir ce qu'il a vraiment dans le ventre. Et là oui : spec test et verdict
Kha
-----
specs means nothing, don't believe the Hype
(Beyond 3D special dedicace)
[^] # Re: je ne comprends pas
Posté par Jerome Herman . En réponse à la dépêche Fork d'OpenBSD. Évalué à 2.
Pardon je n'ais pas été assez clair. Si on prend deux machines identiques d'un point de vue constructeur, elle ne le sont pas d'un point de vue sillicium. Tous les processeur et toutes les mémoires sont testées dans certains intervalles, mais il ne sont pas fiables à 100%.
La meilleure facon de s'en rendre compte est de prendre un vieux compilateur x86 (génération 386) et de lui demander de convertir le nombre 1 entier en flotant. Sur certaines machines ca donnera 1.000....01 et sur d'autres 0.99999999. Jusque là c'est une simple erreur d'arrondi pas de quoi se réjouir.
Si parcontre on rend un calcul relativement complexe et qu'on itére 20 000 fois
type x = racine cubique de x fois pi au carré.
à la première itération on aura une simple erreur d'arrondi, à la deuxième l'erreur aura augmenté d'elle même. A la 20 000 itération l'erreur sera égale à elle même à la puissance 20 000. Ca peut ne pas être suffisant pour sortir des valeurs standards, mais au bout de plusieurs milliards d'itérations l'erreur d'arrondi cumulé aura plus de poid que le résultat du calcul.
Il y avait une expérience chez SUN avec un modèle asez "simple" de calcul gravitationel à trois particules. Trois planète sont lachées dans l'espace assez proche les unes des autres pour que la gravité entre elle soit forte, et on calcule seconde après seconde leur trajectoires.
Une batterrie de stations SUN aussi semblables que possible avait lancé au même moment les calculs. Deux heures après des différences notables apparaissaient dans les trajectoires, quatres heures après les trajectoires étaient complètement dissemblables.
Le plus beau c'est que lorsque que l'on relancait le même calcul depuis une machine elle finissait toujours par obtenir des résultats différents.
Il y a trois point dans les séries de calculs :
1°) jusqu'à x itération une machine va donner les même résultats que ses homologues
2°) jusqu'à y itération une machine va rester consistante avec ses propres résultats mais va s'éloigner des résultats des autres machines similaires.
3°) a partir de y+1 itération la machine va commencer à rendre des résultats différents de ce qu'elle avait obtenu lors des essais précédents.
C'est un des outils avec lesquels on peut faire des nombres imprévisibles.(Lent mais simple)
En espérant avoir été plus clair cette fois.
Kha
----
-1 parceque hors sujet et chiant à lire.
[^] # Re: 1024, 2048, etc
Posté par Jerome Herman . En réponse à la dépêche Fork d'OpenBSD. Évalué à 10.
La sécurité du chiffrage ne dépend que de ce que tu as en face. Au 17éme un cryptage par equation du 3ème degré était assez monstrueux, et puis un jour un mec à inventé les nombres imaginaires (i^2=-1) et là plouf, cassée en trente secondes chrono la clef.
Le jour ou les ordinateurs quantiques seront pleinement opérationnels, les clefs assymétriques basées sur les nombres premiers auront du soucis a se faire.
Tu peux toujours un beau matin tomber sur un génie des maths qui va trouver un nouvel espace, un anneau particulier, une propriété marrante d'une base de nombres qui fait que ton système de cryptage vole en éclat du jour au lendemain.
Quand à ta ce tu appelles le One-Time-Pad j'ai du mal à comprendre comment ca marche. C'est le message qui determine la clef. donc c'est forcément l'auteur du message qui possède la clef de décryptage. Il faut donc qu'il transmette la clef a la personne qui va recevoir le message et ce pour chaque nouveau message. Ca m'a surtout l'air d'être une bonne façon de se faire chopper la clef au moins une fois.
En plus il n'éxiste pas à ce jour de moyen de générer un nombre vraiment aléatoire. On peut créer du pseudo aléatoire avec l'uptime de la machine, le nombre de clicks de souris, de frappes clavier, en demandant à l'utilisateur de faire des déplacement avec la souris etc... Mais ça n'est pas aléatoire, c'est juste très complexe mais le hasard n'a rien à faire là dedans.
On peut aussi générer des nombres imprévisibles, par exemple en demandant à un ordi d'itérer un même calcul à l'infini avec une précision très grande. (Exemple x=(x^(1/3))*pi^2). Au bout d'un moment on sort de la précision de la machine (ie deux machines identiques vont avoir deux résultats très différents). C'est un nombre imprévisible, mais il n'est pas aléatoire car certains nombre ont plus de chance de sortir que d'autres (la repartition n'est pas equiprobable).
Tout ca pour dire que ton One-Time-Pad je vois pas bien comment ca marche.
Kha
[^] # Re: Bon ben...
Posté par Jerome Herman . En réponse à la dépêche GNU/Linux Mag. Évalué à 4.
De plus le gros défaut de MySQL c'est de se casser la gueule niveau perf dès qu'il y a trop de connexions, et ça c'est valable même si la base c'est juste des champs textes dans différentes langues. Donc Postgres apporte toujours un plus même pour les petites bases.
En plus si ton client a l'habitude de se servir d'Access (on prend de mauvaises habitudes parfois) il y a d'excellents drivers odbc et une chouette interface admin sous Windows (pgAdmin2). Que demande le peuple ??
Pour finir, si pour des raisons diverses et variées vous ne voulez pas utiliser Postgres, avant de passer à Mysql, essayez Firebird.
Kha
[^] # Re: BIG BROTHER is watching you
Posté par Jerome Herman . En réponse à la dépêche L'Europe dit oui à la rétention des données. Évalué à 8.
Mais bon si c'est vraiment le fait d'avoir des logs qui les rassure on peut leur en offrir. On peut faire en quelques lignes de java un programme qui se connecte sur des URL au hasard, aller placer quelques bots verbeux sur des chans aussi célèbre que #kjgdhkjfghsfjkg ou simplement créer des forums sur des pages persos avec modération automatique (effacement de tout posts après 10 secondes).
En d'autres termes faire baisser dans des proportions inquiétantes le rapport signal/bruit.
Après tout, un impact de quelques octets toutes les 10 secondes ca ne devrait même pas amoindrir la bande passante; par contre au niveau de la taille des logs ca va exploser. On pourrait ainsi créer un DOL (denial of logs) par remplissage massif des disques dur serveur avec des logs insipides. Reste à savoir si c'est bien en accord avec la nettiquette tout ca.
Donc il suffit de se forger un ou deux outils et de les faire tourner en priorité basse comme au bon vieux temps du RC5 et de SETI.
Bien entendu continuer aussi à envoyer sa correspondance en GnuPG sans passer par le serveur du provider de préférence en passant par des tuyeaux SSH. La dernière fois que je me suis connecté au serveur SMTP d'un provideur ca devait être il y a deux ans. Reste le problème du POP... En cours de résolution un nom de domaine, un serveur aux states et hop, ca devrait être réglé dans moins d'un mois.
Moralité :
Contenu : crypté
Liaison : crypté
Accés serveur : crypté
Leurres : envoyés par paquet de 5000.
Bon ben bonne chance avec les logs les gars.
Kha
-------------------
Rien ne ressmeble plus à une liaison crypté q'une série de paquet aléatoire.
# Pas comprendre
Posté par Jerome Herman . En réponse à la dépêche Un code sur les CD ou DVD. Évalué à 10.
1°) A ma connaissance sur tous les CD de marques, et même sur la plupart de ceux dit blancs il y a (comme sur beaucoup de produits) un numéro de série. Donc les produits sont déjà traçables. Je ne voit pas l'intéret d'aller rajouter un code de plus pour tracer le fabriquant. Vous prenez un telephone vous appelez le fabriquant, << Bonjour monsieur X, c'est la police, dites le CD n°xxx_xxx-xx de la gamme ultragrav 80 il a été fabriqué ou ? >> et il est plus que probable que vous obteniez un résultat.
2°) Je comprend pas comment il vont s'en servir. Vous avez un CD dans les mains qui est une copie pirate. Grace au marquage qui est dessus vous savez qu'il a été fabriqué à Rotterdam, comme tout le reste de la série (800 000 comme ça au total), ce qui vous avance vachement pour mettre fin au traffic franco-espagnol qui sévit depuis des mois....
3°) Les terroristes, vendeurs d'armes, traffiquants de drogues, kipiratentaussiXPlessalauds ne savent pas ce qu'est une presse ?? Bon c'est clair qu'il est vachement plus dur de nos jours d'obtenir de la pate mirroir et un bout de plastique qu'un bon kilo de coke ou qu'un missile milan. Mais bon les mecs ils ont pleins de copains,des relations tout ca, et je suis sur qu'il vont se débrouiller pour presser les CD sans mettre de numéro de série dessus.(C'est vraiment des salauds non..)
4°)Les industriels affirment que la contrefaçon et le piratage d'oeuvres protégées par le copyright «nourrissent une économie parallèle grandissante, au coeur de laquelle les réseaux criminels se servent du piratage pour financer d'autres activités, notamment le trafic de drogue et d'armes, le blanchiment d'argent et le terrorisme.
Là le top. Le piratage informatique qui finance le trafic de drogue. Ben c'est que ca doit être vraiment rentable alors. Ca permet aussi d'apprendre qu'il faut financer le blanchiment d'argent.(En achetant de l'argent avec des sous j'imagine)
5°)«Récemment, en France, une descente a été faite dans les locaux d'une entreprise avec un mandat, mais les employés avaient devancé l'intervention, en ayant supprimés les fichiers de tous les PC.»
Traduction : on est allé dans une entreprise pour perquisition. On a rien trouvé. Donc c'est que ces salauds ont été prévenus et qu'ils ont éffacés les preuves..... Moi qui croyait être paranoiaque.
6°)un contrevenant qui détient pour 10000 dollars de logiciels sur DVD, qu'il revend 10 dollars, aura une amende basée sur ces 10 dollars de bénéfices.
Tiens merci du tuyeau, donc si jamais il y a un controle et que l'on retrouve chez vous des copies de DVD et de CD audio, dites que vous comptiez les revendre 1 centime d'euro pièce ca fera moins mal au niveau de l'amende. C'est bien la justice interactive ca permet de choisir soi même sa condanation.
Pas comprendre du tout. Quelqu'un peut m'expliquer parceque là j'ai des doutes.
Kha
Je crois que je me suis encore trompé d'univers en me levant ce matin....
[^] # Re: OpenBSD et Microsoft pareil sauf que....
Posté par Jerome Herman . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 0.
Un certains nombre de différences en définitive, à la faveur de Windows2000 : beaucoup plus granulaire qu'Openbsd au niveau des possibilités. Les droits sous Windows 2000 sont un bijou. Ce n'est pas le système que je remet en cause mais la façon dont les droits sont attribués. Nous y reviendrons plus tard.
Ben le jour ou il y aura un équivalent d'odbc32.dll dans le \lib ou \usr\lib je crois que je me penchrais sérieusement sur les droits par défaut et il est plus que probable que je les change à ma façon. C'est juste que ca m'ennuie un peu que n'importe quel utilisateur(sans pouvoir) puisse via rundll lancer des requètes à droite et a gauche. C'est pas critique d'accord, mais je vois pas pourquoi il peut le faire, donc shrlak les droits de everyone sur odbc32.dll. (ceci n'est qu'un exemple il y a un paquet d'autres dll pour lesquelles je n'ai pas compris pourquoi everyone avait les droits en lecture/execution)
Je n'ai jamais dit le contraire. Surtout que sous *nix ce n'est pas possible à ma connaissance. Un utilisateur a toujours au moins un groupe même si c'est lui même. C'est un bel exemple de la superiorité des droits de Win2K sur OpenBSD (même si dans le cas présent je ne vois pas bien l'interet)
Ben c'est là qu'il y a problème, déjà je veux un utilisateur nobody et pas trois ca me simplifie grandement la vie. Ensuite j'aimerais bien savoir comment ils peuvent avoir par défaut les droits qui m'interressent ? de plus si je me souviens bien tes utilisateurs appartiennent au groupe "system" qui a des droits complets sur a peu près tout.
un petit exemple pour la forme.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ne(...)
Ca fait quand même un vache d'utilisateur nobody non ? (pour ceux qui ne parlent pas anglais : L'avantage qu'il y a à tourner sous le compte "local sytem" est que celui ci a un accès complet illimité aux ressources du système local.C'est aussi son désanvantage car un service de local system peut faire des choses qui feraient tomber l'ensemble du système.) Moi je réfléchirais à deux fois avant de donner de tels pouvoirs au root.(NB : c'est cet utilisateur qui lance par défaut tous les services sous workstation)
Je veux faire démarrer mes services sous un user général qui n'ait pas de droits particuliers. Et en particulier pas le droit de se loguer. Je ne suis peut être pas doué mais je ne sais pas faire lancer un service à un utilisateur qui n'a pas des droits sur une demi douzaine de trucs qui n'ont rien à voir (Rundll32 c'est un peu ma bête noire.) et qui ne peut pas se loguer.
Toujours le même problème, si j'installe un service sous Windows je vais me casser la tête à mettre des protections dans tous les sens pour être sur que si un mec se fait passer pour le compte qui a lancé le service il ne récupère pas au passage des droits sur sur tout un tas d'applis, de DLL, de dossiers etc...
Effectivement tu n'a pas compris. Le but du jeu est d'utiliser un serveur comme relais. Je défini les droits sur un premier serveur en readonly, puis je rend les fichiers visibles en readonly via NFS a une seule machine qui à son tour les partage en readonly SMB. En d'autres termes pour écrire sur un de ses fichiers il faut casser samba, le serveur relais, NFS, le serveur primaire. Ca veut dire aussi que si mon serveur primaire est sur et que le serveur secondaire ne l'est pas, mes données sont protégées quand même. Donc si demain on me demande de rendre les même données publiques sous novell je n'ai pas à me prendre la tête je n'ai qu'à mettre en place netware sur le deuxième serveur et redistribuer mes données à partir du même NFS. Mon serveur primaire sera toujours aussi secure et mes données toujours protégées alors que je suis nul en sécurité Novell. Là j'avoue que je ne suis pas sur mais je ne crois pas qu'il soit possible de repartager des données montées en disque réseau depuis une station Windows.(En d'autres termes si un serveur Windows propose des données c'est qu'elles sont effectivement sur ses disques.)
Une fois de plus je n'ai peut être pas été assez clair : je veux un démon qui écoute sur les deux cartes mais qui ne voit pas arriver certains types d'infos ou qui les ignore. Pour reprendre mon exemple Apache sert des pages sur les deux interface mais sur une seule des deux il répond à la demande d'accés a la page admin. Sur l'interface 10.X la page admin renverra une erreur (404, timeout, 5xx) sur la 192.168.x on arrivera sur une page sécurisé avec login et mot de passe.
Sous OpenBSD j'ai à portée de main un paquet d'outils qui me permettent de faire celà. Outre Apache lui même qui fait ca très bien je peux implémenter des filtres sur les paquets IP ou plus sportif grepper le flux (ou le SedHawker) et ne le redistribuer que si il est correct. Sous Windows tous ces outils sont absents de base (merci de ne pas mentionner le firewall XP), donc soit je met en place un script IIS assez lourd (je sais ca prend 5 secondes a fair en ASP mais je ne veut pas que le serveur renvoit une erreur après connection je veux qu'il ne trouve pas la page ou qu'il ne comprenne pas la requète), soit je met en place une batterie d'outils autour de windows avec les inconvennient vu plus haut au sujet de l'installation de nouveaux produits.
Nous sommes bien d'accord qu'il s'agit là d'outils externes et pas du système a proprement parlé; mais c'est bien celà le sujet de ce topic non ? A savoir si Windows rendu secure par des restrictions sur ses services est encore utilisable. Mon point de vue est juste que sous OpenBSD ca marche déjà et que sous Windows le chemin a parcourir pour que ce soit vrai est énorme. En clair les démons qui tournent sous un OS sont ce qui font l'OS. Si les démons sont poreux les système en est impacté. Ca n'a donc pas ABSOLUMENT rien a voir. Je suis sous Windows pour la video parcequ'il y a plein de truc géniaux en video sous windows (media player et encoder compris) je suis sous OpenBSD pour la sécurité parcequ'il y a plein de truc secure sous OpenBSD. Un système secure est avant tout un système utilisable pour faire ce que je veux lui faire faire et qui ensuite garanti que je le ferais de facon sécurisé, sinon le système le plus secure que j'ai chez moi c'est mon CPC 464.
Ca me rapelle une histoire de poutre, de paille, de globe occulaire et de relation de voisinage tout ça....
Je veux bien que tu es pris pour croisade de lutter contre les fanatiques anti-Windows, mais ne sombre pas non plus dans l'excès inverse.
Kha
[^] # Re: OpenBSD et Microsoft pareil sauf que....
Posté par Jerome Herman . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 5.
donc
Le problème des produits MS n'est pas tant un travail de sécurisation a faire à postériori (en d'autres termes une forme perverse de débuggage) mais un problème d'architecture. Pour l'instant en tant qu'admin d'une bécanne on ne se pose pas du tout les même problèmes. Sous OpenBSD on se dit "Je vais installer tel soft comment faire pour que ma machine reste secure ?". Sous Windows la question est plutot "Je vais installer tel soft comment faire pour boucher les failles ?". Le pire c'est *nix permet d'implementer des solutions Microsoft beaucoup plus proprement qu'eux. Un cas extrème étant un serveur NFS sur lequel personne ne peut se loguer en mode terminal avec le demon NFS lancé via script par nobody. Ces disques NFS sont montés par un autre *nix et redistribués en Samba. Ben si je dit sur la première machine ce fichier est en lecture seule je vois mal comment qui que ce soit peut l'effacer ou l'executer. Je cherche encore depuis des années a faire la même chose en pur windows...
Exemple plus simple une machine avec deux cartes réseaux déclarée sous deux noms différents avec deux adresses IP sur le même réseau. Temps mis pour qu'un démon *nix n'écoute que les infos venant d'une des deux cartes : 2 minutes. Sous windows plusieurs heures, des logiciels externes et aucune assurance que ca ne transpirera pas.
(Cas typique : appache n'accepte pas les demandes de login sur certaines pages si elle ne viennent pas de la bonne carte, mais sert les pages "publiques" sur les deux. Sous IIS amusez vous bien les gars, il y a moyen mais c'est assez drole a faire).
Ceci étant promis je ne ferais plus de postes à la va vite depuis mon boulot, un accident est si vite arrivé :).
Kha
# OpenBSD et Microsoft pareil sauf que....
Posté par Jerome Herman . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 10.
Dans le système d'exploitation il y a trois choses : Le système de base, les packages certifiés et les packages non certifiés. Chaque package avant d'être accepté comme certifié passe par tout une série de tests.
Vous allez me dire que c'est ce que Microsoft va mettre en place bientôt. Oui probablement a deux "détails" prêt.
1°) Les gars chez OpenBSD capables d'auditer un paquet il y en a pas des masses, et le plus souvent il font ca sur leur temps libre, à comparer avec les milliers d'employés MS qui bossent 70 heures par semaine là dessus.
2°) Chez OpenBSD ils auditent certes des packages pour lesquels ils ont le code source mais qu'ils n'ont pas écrit eux même. En d'autres termes ils valident le travail des autres, activité autrement plus périlleuse que d'écrire un code fiable soi-même. A comparer avec IIS, Outlook ou IE par exemple... Produits grévés de failles et pourtant 100% Microsoft.
De plus sous OpenBSD un certains nombres de packages sont définis comme "non securisés" mais sont parfaitement installable de façon sécurisé. Le meilleur exemple est le couple DNS/BIND. Il est a l'heure actuelle quasiment impossible de faire un package DNS/BIND secure, celà ne veut pas dire que l'on ne peut pas l'installer de façon secure. Il existe un paquet de docs qui existent qui permettent de prendre toutes les précautions lors de l'installations de ses packages. Il y a juste trop d'interractions avec les autres outils installés pour que le package puissent éliminer toutes les backdoors automatiquement.
Une fois de plus à comparer avec une install de serveur netbios en PDC.
Il est tout à fait normal que Microsoft ne prenne pas la responsabilité de produits que l'on vient greffer sur son OS. Si j'installe le Proxy neuneu2K1 qui a comme faille de permettre à n'importe qui de réécrire les regles de filtrage IP quand ca lui chante c'est mon problème. Par contre quand Microsoft met au point un système qui va tomber 200 fois à cause de la même faille (WORM, WORM BIS, WORM TER....) et quand on a l'impression qu'il corrige les bugs au niveau évènemmentiel et non structurel (Je ne m'arrange pour rendre mon produit résistant à un type d'attaque mais à une attaque particulière...) Là je me lasse.
De plus la sécurité c'est pas seulement les attaques de l'extérieur, c'est aussi les conneries de l'intérieur. Des fois on rentre de force sur un serveur et des fois il sort tout seul. Si un utilisateur installe Kazaa sur un poste de mon réseau par défaut tout mon réseau est alors ouvert à Kazaa, contenu des disques et puissance machine.... Sous BSD difficile de rentrer quand on a pas les droits. On peut bien sur regler les droits sou NT/2000 de facon sécurisée. Comment faire ?? Très simple il suffit d'aller dans system32 et DLL par DLL attribuer les droits seulement aux personnes qui en ont besoin. AHAHAH
Qaund vous aurez finis il ne vous restera plus que les executables..... Sous OpenBSD un utilisateur peut appartenir a plusieurs groupes mais aussi à aucun. Il est ou l'utilisateur nobody dans NT ? Et pourquoi est ce que pour lancer un service il faut être admin ? Il faut vraiment tant de droit que celà pour broadcaster (au hasard) l'heure qu'il est ??
Le problème des produits MS n'est
Reste à voir ce qu'il y aura dans le système secure par defaut de Microsoft. Parcequ'en OpenBSD install de base + Packages audités, pour peu que l'on prenne la peine de lire les instructions il y a moyen de se monter un système complet et sécurisé et qu'on aura pas à patcher toutes les deux semaines.
Kha