Raoul Volfoni a écrit 919 commentaires

> Combien avez vous reçu d'arnaques ebay aujourd'hui ?

Je n'en ai pas la moindre idée et je m'en cogne le coquillard sur la banquise. J'ai mis quelques temps avant d'avoir une config aux petits oignons, mais maintenant les seuls s(p|c)ams que je lis sont ceux postés sur linuxfr...

Si tu souhaites de l'aide pour ne plus perdre de temps à lire des mails aussi inutiles, il existe des tas de références sur le ouèbe, et si tu as besoin d'un coup de main je me ferais un plaisir de t'aider à mettre en place tes filtres (facile de me joindre: toutes mes adresses emails sont valides).

En lisant le sujet de ton journal j'avais crû acceder à une lecture instructive: si j'avais su j'aurai pas venu.

Je ne connais pas RTGI mais il existe déjà des moteurs de recherche qui présentent les résultats sous forme de carte avec les relations entre sites.
Voir par exemple le site français suivant:
http://www.kartoo.com/(...)

> Le client GTK a une ergonomie très très très difficle à égaler dans un client léger;

Bien sur, ça c'est un vrai challenge pour tout le monde! ;)

> click and relate, relations, rapidité de toutes les actions, auto-complétions partagées, ...

Je peux me tromper, mais sur un intranet avec un réseau correct ces difficultées peuvent être surmontées par une archi de type Ajax. Par contre sans un bon framework et des outils adaptés, c'est vrai que la charge de travail doit être colossale.

> Et, comme le client est 'léger' (sans être sous un browser), les mises à jour ne nécessitent pas de toucher aux clients.

J'avoue ne pas avoir tout saisi là. Tu peux m'en dire un peu plus stp?

> Il faut essayer le client pour pouvoir se rendre compte de pourquoi il est important d'avoir cette ergonomie.

Ok, je m'en vais de ce pas créer la base sous Postgresql et faire l'install pour voir celà de plus près.
Merci pour tes infos.

Bonjour,

Il me semble avoir déjà évoqué le sujet il y a quelques mois déjà, mais est-il prévu un client léger en plus du client lourd actuel? Le déploiement ce n'est quand même pas ce qu'il y a de plus amusant à faire sur un projet d'ERP.
D'autre part, pouvoir accéder aux différents modules depuis des postes non déployés c'est quand même un grand plus. Bref, si vous avez des infos à nous fournir sur le sujet ce sera avec grand intérêt que je les lirais.
Enfin, je n'ai pas réussi à aller sur les documentations de la zone developpeur pour voir exactement quelles sont les différentes briques de l'architecture (en dehors de PostgreSQL qui est un excellent choix amha).
En tous cas je vais me pencher très sérieusement sur ce produit qui me semble extrèmement prometteur.
Bonne continuation à vous tous et longue vie à votre projet.

Ca aurait tout aussi bien pu être moi. Avec mes propres noms de domaines, j'ai plusieurs dizaines (centaines peut-être) d'adresses email. Je les créé à la volée justement pour savoir qui refourgue mes adresses à qui. Hélas (si je puis dire) mon filtre spamassassin est tellement bien règlé que je n'ai guère plus d'on ou deux spams par mois qui passe à travers. Il faudrait que je fasse un script qui m'affiche les adresses de destination des spams avant de les effacer.

Sinon lorsque j'avais ouvert un compte chez Wanadoo en 1997 pour les bêta-test de l'ADSL, ils avaient commis une faute dans mon nom en y mettant 2 'r'. Faute aussitôt corrigée mais compte non effacé. Je n'ai jamais utilisé cette adresse email et pourtant je reçois plein de spam dessus. Alors la question que je me suis toujours posée: est-ce Wanadoo qui a revendu cette adresse ou bien un de leurs employés qui a décidé d'arrondir ses fins de mois? Je n'aurait sans doute jamais la réponse! :-(

> "parmi" ne prend jamais de s.

Et oui, encore une application de la loi de Murphy: si l'on doit souligner une faute d'orthographe de quelqu'un d'autre, il y a de fortes chances qu'on en fasse une soi-même. ;)
Merci.

> Il y a 10 sortent de personnes, celles qui savent compter en binaire et les autres.

Et parmis celles qui savent compter en binaire il y a encore 10 sortes de personnes... ;-)

tout se vend!

J'ai le souvenir que quelques temps après l'arrivée du Minitel, des sociétés françaises ont mis au point des programmes sous Dos qui s'interfaçaient avec l'aide d'un modem (9600 bd à l'époque) au contenu de l'annuaire.
Celà permettait de se constituer à moindre coût des fichiers de prospects (on pouvait utiliser les critères de recherche habituels du Minitel: région, activité,..) pour lancer des campagnes marketing ou autre.
France Telecom qui vendait plusieurs centimes chacune des adresses, n'avait trouvé comme solution pour débusquer les fraudeurs que l'insertion de fausses coordonnées dans son annuaire en ligne (pas dans celui qu'elle vendait évidemment). Ainsi lorsqu'une publicité arrivait à l'une de ces adresses, FT savait contre qui se retourner.
Je ne sais pas ce qu'il en est aujourd'hui (20 ans + tard), mais le traffic de fichiers de données n'a jamais mieux marché. :-(

> Tiens, j'avais cru comprendre car les rainbow tables ne pouvaient pas être efficacement
> utilisés pour des mdp de type Unix-like à cause du grain de sel.

Tu as peut-être raison, j'avoue ne pas m'être penché plus que celà sur la possibilité d'inclure dans les tables les 4096 nouvelles possibilitées induites par le sel. Mais il faut aussi savoir que le sel est en clair dans le fichier shadow et celà peut éventuellement aider. (je ne suis jamais rentré dans les détails de l'utilisation des rainbow tables)

Sinon voici une info pour ceux qui ne connaissent pas exactement le contenu du fichier shadow en détail:

jean-kevin:$1$6rWx5rdD$ik6K3LFTTZRO8wt4FvIj6.:12850:0:99999:7:::

Les champs sont séparés par le caractère ':' (Cf man shadow) mais à l'intérieur du mot de passe il existe également plusieurs champs séparés pas le caractère '$'. Le 1er indique l'algo de hash (1->md5, 2a->blowfish) le second est le sel (6rWx5rdD) et le 3ème l'empreinte du mot de passe (ik6K3LFTTZRO8wt4FvIj6.)
Voilà, pour plus d'infos on peut toujours lire le source.

Je suis surpris que personne ne l'ait encore mentionnée: il s'agit des Rainbow tables où tous les cas possibles sont précalculés (enfin presque, voir: http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Oech03(...) pour plus d'infos.
La recherche d'un mot de passe à partir du hash ne prend que quelques secondes/minutes (en fonction de la quantité de Ram dispo).
Evidémment, ces tables (certaines font plusieurs Go) ne sont calculées que sur certains jeux de caractères et pour une longueur maximum donnée. Celà permet de savoir à l'avance si son mot de passe est 'crackable' ou pas.
On peut aussi essayer un des sites en ligne (longue file d'attente en général) qui permet de poster son hash et de voir par la suite si le mot de passe a été trouvé ou pas: http://passcracking.com(...)

A noter que ces tables sont dispos en torrent pour ceux qui sont interessés: http://rainbowtables.shmoo.com/(...)

Bref le seul cas où John est encore interessant, c'est lorsque la longueur du mot de passe est supérieure à celle utilisée dans les tables. En ce cas, seul la force brute permet de récupérer un mot de passe à partir du hash (avec utilisation de dictionnaires et de recherche hybride pour augmenter l'efficacité). Ceci permet de savoir approximativement combien de temps un mot de passe peut 'tenir' et d'en déduire sa politique de sécurité sur leur longueur et leur complexité.

A voir également pour ceux qui sont interressés par le sujet:
http://www.antsight.com/zsl/rainbowcrack/(...)
http://www.rainbowtables.net/(...)

ps: je me suis déjà amusé à ce genre de jeux pour tester certains mots de passe root: avec un minimum de 16 caractères en combinant les caractères ascii peu utilisés (#~¤{^ etc. jamais aucun mot de passe n'a été trouvé.

> Vivement que les créateurs de virii veuillent vraiment faire du mal [...]

J'espère que tu ne parles pas sérieusement? Imagines un instant un ver se propager sur les routeurs Cisco, (dont la politique économique se rapproche beaucoup de Ms) seras-tu là aussi content du désastre?
Je veux bien que l'on ai des griefs contre untel ou untel, mais de là à souhaiter l'apocalypse, il y a quand meme une marge. Et il serait de bon ton AMHA de veiller à bien réflêchir avant de franchir le rubicon.

> De deux choses l'une :

Et pourquoi pas une troisième option qui nous ramènerait vers une période passée:

- Apple a prévu à terme de vendre des licences d'OSX à de grands fabricants de PC.

Ca ne me semble pas farfelu et beaucoup de personnes le pensent également. Seul l'avenir nous le dira.

> Tout le monde ne fait pas son petit kernel a la main

Oups désolé, j'avais oublié cet état de fait. A force d'avoir le nez dans le guidon on en oublie ce qui se passe autour de nous.
J'en suis arrivé à un point que mes serveurs n'ont même plus le support des modules chargeables ce qui évite toute une catégorie d'exploits possibles.
Quant à la taille du noyau avec tous les modules en statique (pour un serveur) ça dépasse rarement 1,5Mo...

Quelle drôle d'idée aussi de mettre en module le driver du disque dur! Pourquoi ne pas le mettre directement avec le kernel?

Si le grand chef Apache est aussi efficace que le voilier éponyme de Kersauson, et s'il est de la même veine que le serveur http de la fondation, alors JBoss et Jonas peuvent se faire du mauvais sang. (Ok, joke pourrave de fin de semaine :)

D'autant que la version M4 vient de passer avec succès les tests du TCK: http://geronimo.apache.org/(...)

Bref si quelqu'un ici a eu l'occasion de le tester ou de le mettre en place, j'aimerai bien avoir quelques échos.

> Et bien c'est ton assurance auto à toi qui va payer les réparations à l'autre voiture !

Et si le voleur a emboutie une voiture à moins de 10 mètres du lieu du vol, l'assurance ne joue plus. C'est l'enfer ces petits caractères en bas des contrats. :-(

L'analogie avec le piratage d'une ligne wifi est également de mise dans ce cas-là. Il y a eu de loooongues discussions sur F-D sur ce sujet ces derniers jours. Finalement ce que j'en retiens c'est encore des histoires de forensics (qqun a une traduction?) avec des experts qui vont tenter de prouver (au US en tous cas) que la personne dont la ligne est utilisée n'est pas forcément responsable (question de gros sous évidemment).

Et quand je vois comment sont vendues et configurées les Livebox avec wifi, je pense qu'un quidam pourrait essayer de se retourner contre son FAI s'il a pris soin de lire les caractères microscopiques inscrits en bas du contrat...

> Ces derniers mois Debian avait fait son entrée en fanfare dans le monde professionnel [...]

Non mais tu viens de traverser une faille temporelle ou quoi? Toutes les SS2L un tant soit peu sérieuses utilisent Debian depuis des lustres. Qu'est ce que c'est que ce révisionnisme à 2 balles?

> CIM : connait pas mais étant donné les renseignements sur google "CIM specifies how management information about logical and physical objects on a managed network is stored in management information databases." cela semble un peu buzzword et pas révolutionnaire pour un sou.

Révolutionnaire peut-être pas car ça existe depuis des années; mais avoir accès à tous les composants matériels et logiciels (et leur état) de toutes les machines d'un parc, je peux te dire pour avoir un peu bossé sur le sujet (Ok, sur Windoze) que c'est un pur régal !

Alors si SuSE sort des outils pour gérer le Common Information Model (Cf. http://www.dmtf.org/standards/cim/(...) et bien moi je dis chapeau, et je suis certain que ça fera tâche d'huile.

Sur ce, je m'en vais de ce pas regarder ce qu'ils nous ont concocté sur le sujet, car crois-moi c'est vraiment passionnant et fort utile pour qui administre un parc de machines ou veut développer une application compatible.

Et je suis en mesure de te dire que le nombre de choses qui se sont passées en une semaine est proprement incroyable! (lecture de Bugtraq et Full-disclosure). Je ne relaye pas ces informations ici car je n'ai pu les vérifier et il se pourrait que certaines ne soient que des rumeurs (ex: l'histoire des groupes de hackers chinois) que je ne souhaite pas propager.

Dernier rebondissement: le site de cisco a été hacké et l'ensemble de la base de données avec les informations clients a été compromise. Et là ce n'est plus du domaine de la rumeur:

Extrait de http://www.cisco.com/cgi-bin/login(...)

# Cisco has determined that Cisco.com password protection has been compromised.
# As a precautionary measure, Cisco has reset your password. To receive your new password, send a blank e-mail, from the account which you entered upon registration, to cco-locksmith@cisco.com. Account details with a new random password will be e-mailed to you.
# Because of a large number of requests, registered Cisco.com users may experience delays in receiving the new passwords.
# This incident does not appear to be due to a weakness in Cisco products or technologies.
# If you receive a request for additional information it is because there are more than one User ID in the Cisco.com database associated with your email address. Please follow the instructions provided.

D'après certains experts en sécurité celà se serait passé lors du DEFCON (là aussi à prendre au conditionnel) et va générer un zouli bordel pour Cisco puisque les hackers détiennent suffisamment d'infos pour faire un merveilleux 'social engeneering'.

Bref, sale temps pour Cisco et sa politique de sécurité par l'obscurité.

PS: j'aime beaucoup le passage

This incident does not appear to be due to a weakness in Cisco products or technologies.

> Pour bien suivre cette affaire :

Wouah. Injonction de fournir un miroir de tous ses disques et ordinateurs auxquels il a accès. Injonction pour Blackhat de détruire les enregistrement vidéos... Manque plus que la CIA pour faire un polar!

D'ailleurs la suite de la BD présentée dans mon précédent journal sera normalement en ligne aujourd'hui. Il est en outre vraiment curieux de constater à quel point ces deux histoires se ressemblent...

http://www.zone-h.org/comics(...)

> Chez Gitoyen, opérateur alternatif monté il y a 4 ans, on a eu des routeurs linux + zebra [...]

Ah c'était donc ça les pb de DNS chez Gandi? ;)

> justement, j'avais fait un copié collé, et les gens n'ont à priori pas aimé :'-<

Et j'en fait partie. Comme pour ce lien stupide que tu viens de mettre. On dirait que la mode actuelle est de se créer des comptes pour polluer bêtement dlfp. C'est une attitude prépubaire totalement déplorable que je ne veux pas cautionner. J'ai l'impression de retrouver les vieux trolls de fufa qui m'ont fait quitter Usenet il y a de nombreuses années.

M'enfin, je suis peut-être trop vieux pour ces gamineries. :-(

Las Vegas est une des villes les moins chères des US. Comme tout tourne autour des casinos, les chambres d'hotels et les restaurants sont beaucoup moins chers qu'ailleurs. Par conséquent il est assez facile d'organiser des rencontres là-bas. Je me trompe peut-être mais j'imagine que c'est là raison pour laquelle Las Vegas a été choisie.

Maintenant, Michael Lynn a précisé en plaisantant qu'il serait peut-être à Guantanamo la semaine prochaine. En tous cas il est sévèrement burné le gars.

Je te plussoie avec un grand sourire car c'est exactement ce que je faisait avant l'arrivée de ce satané SP2. :)

Maintenant il va falloir que je me replonge dans les sombres et lugubres arcanes de la sécurité Windows.

> tu parlais de frontend ??? c'est quoi ??

portage, apt-get, urpmi, yast, etc.

Quelle est ta distrib linux? Pourquoi ne peux-tu pas utiliser le logiciel d'installation standard?