khivapia a écrit 2562 commentaires

et également l'inénarrable sketche des inconnus sur les sectes : http://www.youtube.com/watch?v=k_3hIoUGbls

(flash inside, désolé)

Euh oui c'est vrai c'est valable indépendamment de la fonction de hachage utilisée, petite imprécision

(mais MD5 est très faible maintenant et ne devrait plus être utilisé que comme sommes de contrôle ; surtout pas pour dériver des clefs de chiffrement ou bien créer des nombres aléatoires, ni comme fonction de hachage cryptographique)

Mais dans ces cas là si on cherche à saturer le volume non caché, le volume caché est écrasé ? Dans le cas où il est caché dans un fichier du volume contenant, il va y avoir un (gros !) fichier tout plein de données apparemment aléatoires.

À moins qu'on ne monte le volume initial en indiquant son espace total, mais on peut se rendre compte qu'il y a de la place non utilisée par le volume caché dans le volume global ?

Est-ce que quelqu'un qui s'y connaît bien peut nous en dire plus ? (j'avoue ne pas trop comprendre la magie de truecrypt :-) )

je ne sais pas si cette méthode à des inconvéniants.

cette méthode a l'inconvénient d'être quelque part de la sécurité par l'obscurité : le mot de passe "nom du chien" (ou "Médor") est trop faible pour résister à toute attaque dictionnaire.
La sécurité du système repose donc essentiellement dans le fait que l'attaquant ne sait pas que ton mot de passe est le md5 d'un autre.
Après étant donné la faiblesse de md5, sachant comment le mot de passe a été généré (md5 d'un autre, simple) il est possible de trouver "rapidement" le mot de passe initial.

À noter cela dit que les techniques de génération de clef cryptographiques à partir de phrases de passe (typiquement pour la protection de clefs privées SSH, ou bien la clef maître dans le chiffrement d'une partition,...) se fait souvent en utilisant des fonctions de hachage, mais avec :
1) un sel, considéré public (une séries de bits aléatoires à ajouter pour multiplier la difficulté de constituer des dictionnaires) (c'est le cas pour les mots de passe pour unix : deux mots de passe identiques ne sont pas enregistrés de la même façon dans /etc/shadow)
2) des fonctions de hachage plus robustes

Oui mais en faisant cela seul le dernier passage du shred sera effectivement écrit sur le disque (le seul qui reste dans le cache), pas les 34 (ou je ne sais plus combien) autres (à moins de faire un sync pendant le shred, mais ça devient plus ou moins aléatoire). Il faut donc ensuite recommencer plusieurs fois l'effacement sécurisé avec synchronisation.

(à moins qu'un seul effacement convienne aux exigences de sécurité, mais souvent on estime qu'un seul passage est insuffisant).

Euh en fait pour RSA, la limite de sécurité de 2^80 opérations correspond à une clef de 1024 bits grosso modo.
On est donc loin des théoriques 2^500 (à peu de choses près) si on testait par bruteforce tous les nombres premiers de 512 bits...

Les deux approches sont intéressantes et complémentaires. Une analyse statique permet par exemple de trouver tous les cas (sans exceptions, mais peut-être avec des faux positifs si l'analyse n'est pas assez précise) où on aurait fait une erreur dans la gestion de ses pointeurs, plus généralement de montrer qu'un programme n'a jamais de 'Runtime Exception' (voir par exemple http://www.astree.ens.fr/ : analyse statique des logiciels critiques des Airbus ; bon évidemment ça ne protège pas des bugs liés au matériel). Ça peut aussi permettre de montrer qu'on n'a pas de fuite de mémoire, de dépassement de tampon, etc. etc.
Tous ces bugs, quoique n'ayant que peu de chances d'arriver, peuvent induire des failles de sécurité importantes, il est nécessaire de les corriger.

Alors forcément puisque l'analyse statique prend en compte toutes les possibilités d'exécution d'un programme, elle est moins précise qu'une analyse dynamique.

L'analyse dynamique elle ne prend en compte que quelques (ça peut être beaucoup mais on ne va jamais tester toutes les valeurs possibles d'un entier aléatoire par exemple... Surtout s'il fait 64 bits ;-) ) exécutions. Elle est plus précise et très ciblée. Par exemple il peut s'agir de vérifier les types d'arguments à l'exécution. Elle fournit moins d'erreurs et permet de cibler beaucoup plus précisément quel type de comportement on veut analyser, en cela elle est tout à fait complémentaire à l'analyse statique.

De ce que j'en ai compris (il est possible que le post contienne des erreurs) , le deuxième thread est créé uniquement quand le premier a besoin de données qui ne sont pas disponibles (typiquement des données de la mémoire non en cache). Et c'est fait automatiquement par le processeur.

Alors, le premier se met en sommeil et le deuxième thread continue ce qu'il est possible de faire du premier sans utiliser ces données (par exemple, quelques unes instructions suivantes ne font pas tout de suite appel aux données manquantes et peuvent être calculées pendant ce temps ; mais il s'agit également de calculer des adresses de sauts (prédiction de chanchement), du chargement des instructions suivantes, du prefetch de cache). Elles n'ont pas besoin d'être recalculées ensuite par le thread initial, qui dès qu'il aura récupéré la donnée de la mémoire, pourra utiliser immédiatement les précalculs effectués par le thread de surveillance et continuer sa tâche.

Toutes les instructions qui n'ont pas pu être exécutées car dépendantes de la donnée manquante sont chargées dans une file qui sera parcourue par le thread principal quand il aura obtenu ses données. Les autres peuvent être exécutées tout de suite.

C'est une sorte d'out-of order simplifié : l'out-of-order traditionnel cherche à effectuer tout de suites les instructions dont les opérandes sont immédiatement disponibles, et à conserver les résultats. Cela revient à se dire : "j'ai telle et telle donnée en registre, qu'est-ce que je pourrais faire avec avant de les envoyer dans le cache ou ailleurs pour faire autre chose ? Y a-t-il une instruction qui les utilise quelque part dans la suite, et que je pourrais faire tout de suite pour gagner du temps après ?"
Alors qu'ici, l'approche serait plutôt : "Il me manque une donnée. Dans le flot d'instructions, quelles sont les instructions suivantes qui n'en dépendent pas et que je peux effectuer en attendant ?"

(et mon avis personnel serait qu'idéalement le travail d'ordonnancement des instructions soit fait par le compilateur. En effet, il devrait pouvori déterminer lui-même quelles sont les instructions qui ne dépendent pas d'une autre, et prévoir quand les fautes de cache arrivent.)

Euh tout de même, le fait que la loi soit la même pour tous n'est aucunement contradictoire avec ce que tu dis : la même loi s'applique à tous, dans le sens où quiconque devient diplomate/élu/pompier/fonctionnaire/ etc. etc. aura les mêmes droits et les mêmes devoirs que tous ceux qui le sont déjà (pas de discrimination par exemple).

Une même loi s'applique à tous, de la même façon : si elle prévoit que suivant les fonctions les devoirs et les droits sont différents, c'est tout de même bien la même loi, c'est la même source de la législation, l'application qui est faite de la loi est (au moins en théorie) indifférente des personnes (mais pas nécessairement des fonctions comme tu le fais remarquer).

Pour prendre une analogie foireuse, quand on met dans un programme
if (utilisateur == root)
then activer options spécifiques
else les masquer

c'est bien le même programme qui est exécuté par les utilisateurs, et pourtant ils n'ont pas les même droits...

Une base de cliparts qui se connecte, je ne pense pas, mais une base de cliparts à télécharger, il y en a un peu partout, notamment : http://zonelibre.grics.qc.ca/article.php3?id_article=95 et beaucoup d'autres choses là : http://fr.openoffice.org/Documentation/Gallery/indexgal.html

Pour compléter un tout petit peu sur les brevets et les inventions, il suffit qu'une invention nouvelle ait été montrée dans une exposition publique (et d'en garder quelques preuves : témoins & photos par exemple) pour qu'en France on ne puisse plus la breveter.

Bien sûr, ça marche plus facilement avec les objets matériels (par exemple avec une invention de type "mécanique") qu'avec des logiciels/puces...

Pour la première partie du message, on a vu des réputations se faire et sortir largement de la blogosphère en étant reprises dans les journaux pour moins que ça ;-)

C'est quand la derniere fois que tu as vu msn.com, dell.com, nasdaq.com, microsoft.com , ... tomber ? Moi jamais.

c'est marrant, je ne suis pas administrateur système/technicien informatique/etc. etc., mais j'imagine sans mal que "ne pas tomber" n'est que le niveau 0 (zéro) de la fiabilité et de la performance. S'ajoutent certainement ensuite les coûts de maintenance, les coûts en matériel (qui dépendent des performances des logiciels utilisés), l'expérience utilisateur au niveau fluidité et rapidité (on pourrait mettre pour caricaturer tout google dans un seul serveur avec 1000000000 plus disques durs, et un seul 486. Il aurait une charge absolument énorme, mais le site ne tombe pas ;-) )

Sinon c'est vrai que je n'ai jamais vu ces sites tomber, mais le fait que je n'y passe jamais n'y est sans doutes pas étranger...

Ça serait bien la première fois qu'une puce graphique offrirait un meilleur rendement sous Linux que sous Windows !

Avec un pilote libre peut-être, mais il me semblait que les performances des cartes nVidia étaient meilleures sous Linux, les bench étant faits avec Doom 3 entre autres ; je n'ai pas retrouvé de liens, mais la configuration matérielle minimale recommandée était ridicule sous Linux (Pentium 3 à 1 GHz, 256 Mo de Ram) par rapport à celle nécessaire sous Windows (Pentium 4 à 1,6 GHz, 512 Mo de Ram).
Enfin il y a (déjà) quelques années...

Ensuite, en quoi attribues tu les progrès des pays pauvres au libéralisme ? Je te rappelle que les pays pauvres de l'UE bénéficient de subventions importantes, ce qui est contraire à tes aspirations libéralistes.

Pour info et sans rentrer plus dans le débat, les subventions de l'Union Européenne, mis à part sur l'agriculture, sont à de rares exceptions près uniquement des subventions liées à de l'investissement : autoroutes, chemin de fer, projets urbains, équipement en tous genre, recherche scientifique. Ceci afin de favoriser le développement des membres (ben oui, quand tout une zone devient facilement accessible, que les terrains sont viabilisés et que le nouveau dépôt de fret ferroviaire permet d'envoyer la marchandise très facilement, les industries/entreprises s'installent...)

Ensuite, l'intégration dans l'UE se double souvent, par la suite, d'avantages économiques : l'intégration de la zone euro (monnaie stable), le marché commun (pas de protectionnisme des autres par taxes douanières), etc. etc.

c'est vrai que l'installation de windows fait souvent des trucs très étranges. Ma faible expérience m'a montré que la première chose que faisait le programme de démarrage du CD de windows XP, c'était de détruire le secteur de démarrage. Et ce avant même de proposer l'installation ou la réparation du système, et même si on quitte sans rien faire...

Même indépendamment de ça, il est fort probable que tout ne tourne pas en espace noyau et que les applications, elles, ne soient pas sous GPL ;-)

c'est une bonne idée.

Pour ma gouverne personnelle, as-tu des liens vers les constructeurs dont tu parles ? Merci d'avance :-)

En fait la principale différence entre l'informatique et un certain nombre d'autres domaines, c'est que si la recherche fondamentale est toujours mutualisée et partagée (et est relativement efficace de ce point de vue), la mise en oeuvre des découvertes nécessite plus que du matériel dont tout le monde dispose déjà, à savoir : un ordinateur, une connexion à internet et (beaucoup de) temps. Posséder chez soi d'un analyseur moléculaire à rayons X pour étudier la structure des protéines d'un virus, ou bien une fraiseuse et de la matière première pour fabriquer des pièces mécaniques, c'est tout de suite moins courant...

Et le développement logiciel se prête beaucoup plus à la mutualisation, par essence : découpage en petits blocs relativement indépendants, chacun faisant ce qu'il doit faire, etc. etc.

À mon avis les gens se tournent beaucoup vers le libre parce que, en un mot, ça marche et ils sont bien conçus.

Comme vu ici au sujet de Linux/BSD/etc. etc. : ça marche, ça marche toujours, ça marche toujours de la même façon.
Et mieux que ça, dans l'ensemble ça marche même très bien pour ce que les gens peuvent en attendre, notamment en comparaison de la concurrence "courante" (quelques exemples typiques : firefox, le noyau Linux dont la sécurité n'est plus à démontrer, amarok, etc. etc.).

Ça inclut le fait d'avoir une licence ouverte (pas besoin d'activation/de contrefaçon), ça inclut les mises à jour, ça donne des logiciels qui sont très larges dans leurs possibilités sans enfermer dans un mode de pensée, tout en maintenant une configuration par défaut qui convient au plus grand nombre.

C'est selon moi la principale caractéristique qui survivra : la qualité.

Ok merci beaucoup pour ce post très explicatif, on voit bien la différence essentielle entre les deux.

Maintenant comment différencier les cas dans lesquels une approche est plus pertinente que l'autre ? De ce que j'en ai saisi, dans un cas on a un code compilé plus gros (cas des templates), dans l'autre il faut dynamiquement trouver quelle est la fonction utiliser (pouvant donner lieu à erreur détectable seulement à l'exécution). Stroustrup parle de polymorphisme, de compilation pour les templates et d'exécution pour les interfaces.

La première approche semble donc préférable pour des raisons de rapidité d'exécution, mais n'ayant pas l'expérience de la chose y a-t-il des cas, en C++, dans lesquels l'approche interface est plus appropriée ?

Il n'y est pas encore resté. Il y en a un certain nombre qui sont parti comme ça, et puis qui finalement sont revenus relativement vite.

(qui a dit Daniel Robbins ?)

C'est faux, la généricité n'est pas du tout la même avec des interfaces et des templates.

Peux-tu détailler un tout petit peu ?

je suis la conversation avec intérêt et ne suis pas (encore ? ;-) ) assez calé pour y participer.

Pour info (pas de sources internet, mais quelques connaissances sont professeurs) :
1) cela ne vaut que pour la correction du bac et du brevet. Et s'il faut toujours justifier un 0 (donc on met 1) comme un 20, la seule exception concerne justement les mathématiques (ou concernait jusqu'à une date récente).

2) Pour tous les concours les notes sont toujours ré-harmonisées ensuite, entre les différents correcteurs. Donc pas de justification à donner.

Après la délocatlisation du développement logiciel, l'initiative rent-a-coder pour louer de la main-d'oeuvre de développement, on peut maintenant payer pour que ses devoirs à la maison soient faits, à distance, par quelqu'un d'autre (un étudiant indien typiquement). Le business, initialement axé sur le développement, est en plein boom.

Le problème soulevé par ces professeurs anglais a des chances de s'étendre...

cf par exemple http://money.cnn.com/2007/05/22/magazines/fortune/indiatutor(...) (en anglais), qui présente une compagnie qui ne fait donner que des conseils/du tutorat

Un peu plus loin, il y a effectivement les sources de certaines (voire toutes) des classes (avec des GPL v3 headers) C'est un peu fouillis (pas tout saisi dans ce qu'il y avait) mais il semble qu'il y ait à peu près tout (beaucoup de scripts

Les 40 Mo s'expliquent entre autre par la présence de libs apache en java (libmimemagic & Co, les libs de tests (junit) etc.).

le fichier lisezmoi.txt est on ne peut plus clair, le logiciel est libre ;-)