De ce que je comprend, les développeurs OpenSSL sont payés pour ajouter des fonctionnalités mais généralement pas pour auditer. Les gens qui auditent OpenSSL sont généralement des individuels ou organisations tierces qui espèrent soit s'assurer de la sécurité du bazard pour leur utilisation ou trouver des failles qu'ils peuvent revendre. Ces gens ne sont pas nécessairement des développeurs et ils n'ont pas forcément d'intérêt à publier les résultats de leurs recherches.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Bah si ils utilisent OpenSSL depuis un moment et ils le connaissent assez bien je pense. J'imagine que cette histoire est juste la goutte qui fait déborder le vase.
pf/altq étant dans le kernel c'est encore moins comparable au reste. Cela dit, il y a bien des gens qui se sont amusés à porter/réimplémenter CARP : http://www.pureftpd.org/project/ucarp
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Plutôt mta5.am0.yahoodns.net etc alors mais si tu fais ça et que tu prétends avoir mis en place des serveurs SMTP réellement fonctionnels dans la vraie vie pour du vrai tu peux aussi aller te pendre.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Tu disais ça juste pour un bon mot où tu as déjà mis en place des serveurs SMTP (réellement fonctionnels) dans la vraie vie ?
Non, je suis un branquignole mais je connais Certaines Personnes dont c'est le métier et a qui je confierais volontiers mon infrastructure SMTP.
< Krunch> ca te semble plausible ? "Selon la configuration du /etc/hosts, tes mails peuvent arriver chez Gmail mais se faire refuser chez Yahoo."
< Certaine Personne> non, il raconte des couilles
Après, si tu peux expliquer les détails techniques ça peut être comique. Je dois avouer que je préfère les bugs obscures qui ont des conséquences a priori absurdes par rapport aux pseudo explications cargocultistes mais c'est distrayant aussi.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
A priori je vois pas trop. Normalement tu ne devrais même pas avoir besoin de l'option -e mais si c'est nécessaire "-e ssh" devrait suffire. Ça m'étonnerait que ça soit le problème mais bon.
Tu peux essayer de relancer le serveur avec -ddd et rsync avec "-e ssh -vvv" pour voir s'il y a des indices supplémentaires.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Je vais peut-être passer rapidement au Delirium mais d'expérience c'est beaucoup trop plein pour être amusant ou pour planifier une rencontre. Je serai vraisemblablement tout près toute la soirée/nuit par contre. Je suis reconnaissable à ma barbe et à mon t-shirt de geek.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: ...
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 5.
De ce que je comprend, les développeurs OpenSSL sont payés pour ajouter des fonctionnalités mais généralement pas pour auditer. Les gens qui auditent OpenSSL sont généralement des individuels ou organisations tierces qui espèrent soit s'assurer de la sécurité du bazard pour leur utilisation ou trouver des failles qu'ils peuvent revendre. Ces gens ne sont pas nécessairement des développeurs et ils n'ont pas forcément d'intérêt à publier les résultats de leurs recherches.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: ...
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 2.
Donc sinon toi perso tu mets combien de temps entre le commit et le dernier audit qui a détecté tous les bugs ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Et les algorithmes GOST ?
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 1.
C'est amusant, je ne me souviens pas avoir vu passer de preuve qu'il n'y a pas de backdoor dans AES.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Implémentation prouvée
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 8.
Bah si ils utilisent OpenSSL depuis un moment et ils le connaissent assez bien je pense. J'imagine que cette histoire est juste la goutte qui fait déborder le vase.
https://www.peereboom.us/assl/assl/html/openssl.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: ...
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 8.
Bien sûr que c'est audité. Comment tu crois que la faille a été trouvée ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: et ca compile ?
Posté par Krunch (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 3.
pf/altq étant dans le kernel c'est encore moins comparable au reste. Cela dit, il y a bien des gens qui se sont amusés à porter/réimplémenter CARP : http://www.pureftpd.org/project/ucarp
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Coverity
Posté par Krunch (site web personnel) . En réponse au journal Idée stupide sur la sécurité du code. Évalué à 6.
Ainsi que la cabale DLFP.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Coverity
Posté par Krunch (site web personnel) . En réponse au journal Idée stupide sur la sécurité du code. Évalué à 5.
Voire aussi :
https://linuxfr.org/users/krunch/journaux/le-gouvernement-us-paie-laudit-de-projets-libres
https://linuxfr.org/users/krunch/journaux/le-gouvernement-us-paie-laudit-de-projets-libres-la-suite
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Debian compromis par la NSA ?
Posté par Krunch (site web personnel) . En réponse à la dépêche Nouvelle vulnérabilité dans l’implémentation OpenSSL. Évalué à 2.
Du moins tant que la clef n'est pas compromise par d'autre entites.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: un effet Snowden?
Posté par Krunch (site web personnel) . En réponse à la dépêche Nouvelle vulnérabilité dans l’implémentation OpenSSL. Évalué à 3.
Et l'implémentation custom de malloc/free n'est pas optionnelle (TdR le dit dans le commit log mais ici on a un exemple précis) : http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse
Pendant ce temps, l'EFF tente de déterminer à quelle échelle la faille a été exploitée par le passé : https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Debian compromis par la NSA ?
Posté par Krunch (site web personnel) . En réponse à la dépêche Nouvelle vulnérabilité dans l’implémentation OpenSSL. Évalué à 10.
C'est amusant cette hypothèse qui implique que la NSA n'a pas d'intérêt à s'infiltrer dans les systèmes de sociétés états-uniennes.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: conseil de lecture
Posté par Krunch (site web personnel) . En réponse au journal So, you wanna be a sysadmin ? (Trolldi inside). Évalué à 3.
Alternativement il y a adminspotting : http://www.jhnc.org/adminspotting/gaz.html
Il y a moins de conseils pratiques mais c'est plus rapide à lire.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: /etc/hosts
Posté par Krunch (site web personnel) . En réponse à la dépêche OpenSMTPD : Premiers Pas. Évalué à 2.
Plutôt mta5.am0.yahoodns.net etc alors mais si tu fais ça et que tu prétends avoir mis en place des serveurs SMTP réellement fonctionnels dans la vraie vie pour du vrai tu peux aussi aller te pendre.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: /etc/hosts
Posté par Krunch (site web personnel) . En réponse à la dépêche OpenSMTPD : Premiers Pas. Évalué à 3.
Non, je suis un branquignole mais je connais Certaines Personnes dont c'est le métier et a qui je confierais volontiers mon infrastructure SMTP.
Après, si tu peux expliquer les détails techniques ça peut être comique. Je dois avouer que je préfère les bugs obscures qui ont des conséquences a priori absurdes par rapport aux pseudo explications cargocultistes mais c'est distrayant aussi.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: /etc/hosts
Posté par Krunch (site web personnel) . En réponse à la dépêche OpenSMTPD : Premiers Pas. Évalué à 6.
Si ton système ne résoud pas localhost je pense que tu vas avoir d'autres problèmes.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Configuration, pas mise à jour
Posté par Krunch (site web personnel) . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 2.
Je suis à peu près sûr que ça retourne 0 donc je sais pas si ça compte comme « quelque chose ».
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Curiosité intellectuelle…
Posté par Krunch (site web personnel) . En réponse au journal Plan9 goes GPL v2. Évalué à 9.
Et surtout ils ont une cool mascotte http://plan9.bell-labs.com/plan9/glenda.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Krunch (site web personnel) . En réponse au journal L'Internet en feu (merci à Jules Verne). Évalué à 7.
Chacune des 50 machines controlées par l'attaquant peut répartir ses 500Mb/s sur 1000 serveurs NTP différents hein.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# -e -d -v
Posté par Krunch (site web personnel) . En réponse au message rsync ssh authentification par certificat. Évalué à 3.
A priori je vois pas trop. Normalement tu ne devrais même pas avoir besoin de l'option -e mais si c'est nécessaire "-e ssh" devrait suffire. Ça m'étonnerait que ça soit le problème mais bon.
Tu peux essayer de relancer le serveur avec -ddd et rsync avec "-e ssh -vvv" pour voir s'il y a des indices supplémentaires.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Utilisation en production ?
Posté par Krunch (site web personnel) . En réponse à la dépêche Et si la meilleure des cartes RAID était libre ?. Évalué à 2.
Mais est-ce un foudre de guerre ?
http://fr.wiktionary.org/wiki/foudre_de_guerre
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: statifier un programme?
Posté par Krunch (site web personnel) . En réponse à la dépêche CARE et la reproductibilité des exécutions. Évalué à 3.
Pour ce qui est de statifier un programme ELF, il y a déjà http://statifier.sourceforge.net/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: et pour 2013 ?
Posté par Krunch (site web personnel) . En réponse à la dépêche Les journaux LinuxFr.org les mieux notés du mois de janvier 2014. Évalué à 2.
Et par somme des notes des commentaires.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: quand y en a plus, y en a encore
Posté par Krunch (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 3.
s/$/\//
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: langue
Posté par Krunch (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 3.
Les gens qui servent au bar parlent généralement français par contre.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Présence au FOSDEM
Posté par Krunch (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 3.
Je vais peut-être passer rapidement au Delirium mais d'expérience c'est beaucoup trop plein pour être amusant ou pour planifier une rencontre. Je serai vraisemblablement tout près toute la soirée/nuit par contre.
Je suis reconnaissable à ma barbe et à mon t-shirt de geek.pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.