Raoul Volfoni a écrit 919 commentaires

> Va apprendre le fonctionnement d'une stack, tu reviendras me voir apres.

Alors non content d'être péremptoire, vous voilà suffisant et arrogant maintenant. Bravo, vous êtes tout Redmond à vous tout seul ! On pompe tout le code chez BSD et ensuite on donne des leçons aux autres...
Pour votre gouverne sachez qu'en bon français on parle de pile et non de stack, et que dans la couche réseau on parle de trame et non de frame. Mais vous n'êtes plus à une approximation près...

> Bon, on va te l'ecrire autrement :
Aucun paquet ne sera _accepte_ par la stack sans que le firewall soit au courant.

Bravo, vous venez en une seule phrase de nous prouver l'inefficacité totale d'un firewall sous Windows. Remarquez que ce n'est pas une grande révélation puisque vos patrons ont fini par avouer qu'il leur faudrait encore 10 ans pour sécuriser leur système. A votre place j'éviterai de trop la ramener sur un sujet que vous maitrisez aussi mal.

> mais ça m'a pas vachement éclairé.

Mes plus plates excuses. Le 5 Octobre est le jour du proçès de Guillermito. Voir les news et journaux précédents pour plus d'infos.

PS: un déploiement est en gros une installation sur plusieurs postes d'un réseau. Ca n'avait rien à voir effectivement.

> Je me demande quelle part de sa personnalité, le pousse à utiliser son brevet vieux de 20 ans[...]

Lart: Luser Attitude Readjustment Tool
Baseball Bats are popular...

> Il n'a pas besoin d'etre integre au noyau.

Voilà une affirmation bien péremptoire qui marque une fois de plus les divergences fondamentales de point de vue entre Unix et Windows ou plutot entre le libre et le propriétaire.

> La stack TCP/IP a des hooks permettant a une application de recevoir tous les paquets recus par la machine, ce qui fait qu'il n'y a pas besoin d'etre dans le noyau pour ca.

Une référence dans le MSDN aurait été la bienvenue pour étayer ces propos. Ne cherchez pas je l'ai trouvée; de toutes façons je n'ai pas les sources pour vérifier ce qu'il y est écrit.

> Pour ce qui est d'etre certain de tous les recevoir, ben meme chose, ca vient directement de la stack, les paquets tu sais que tu vas tous les recevoir.

Plutot que de raconter n'importe quoi, allez donc lire la doc de votre patron ( http://tinyurl.com/5c8b8(...) ) pour constater ce qui y est écrit:

Note On Microsoft® Windows Server™ 2003 and earlier, a filter hook might incompletely receive packets that are sent or received over the network.

Ensuite revenez présenter vos excuses ou votre démission...

> Pour ce qui est d'endommager le systeme avant d'avoir ete transmis, si t'as une faille dans NDIS ou la 1ere couche de la stack TCP/IP, tu l'as dans l'oeil

Ah bon, les Kiss Of Death c'était (c'est?) dans l'oeil?

> mais Netfilter n'est pas different en ce sens la, il faut bien que qqe chose parse ces donnees et trouve que c'est de l'IP avant que les filtres fassent leur job.

Trouve que c'est de l'IP??? Le jour où Netfilter prendra Netbeui en charge je promet de manger mon chapeau!

> J'utilise Zonealarm : gratos, il fait évidemment firewall aussi (le genre qui bloque les accès de l'extérieur, comme un firewall quoi !).

A ceci près qu'à la différence de Netfilter et consors, il n'est pas intégré au noyau et que par conséquent il ne filtrera que les paquets que le système lui aura envoyé. Il y a deux inconvénients à celà:
- comment être certain que le W32 lui envoit tous les paquets reçus?
- un paquet mal formé risque d'endomager le système avant même d'avoir été transmis à l'application. Vous n'y croyez pas? C'est pourtant comme celà que fonctionne Blaster.
Attendont le 5 Octobre pour voir s'il est dangeureux ou pas de faire des tests rigolos...

> J'ai été ... comment dire ... abasourdit.
:)
L'année dernière en pleine période Blaster j'ai vu de mes yeux un 'administrateur Windoze' faire l'install d'une trentaine de postes sous XP. Le pauvre ne savait même pas que sur le réseau local une dizaine de postes étaient routés directement (c'est dire son niveau de compétences). C'était pire que tout, à la fin les installation n'arrivaient même pas à terme! Certaines machines étaient infectées par plusieurs virus et les répendaient en local. Ca redémarrait de partout! Une vraie symphonie en reboot majeur. Même leur serveur de domaine supposé être protégé en prenait plein la tronche...
Ce soir là après une rigolade que je ne suis pas près d'oublier, j'ai finit par prendre pitié et débrancher le cable du routeur. Le lendemain j'avais en face de moi toute une équipe prête à rouler des taloches aux pingouins...

> Son systeme windows a eu une duree de vie de 2 jours.

Ce qui est déjà exceptionnel puisque selon une étude récente menée par l'ISC, la durée de vie d'un système Windows non protégé et connecté au net varie autour de 15 mn...
Source: http://isc.sans.org/survivalhistory.php(...)

> Mais en terme de performances sur une architecture ix86, ca donne quoi?

Tu sais, Solaris sur x86 ça n'a jamais été fulgurant (doux euphémisme). Et puis il faut toujours se méfier des effets d'annonce (se souvenir du kernel patchable à chaud) et du marketing (Solaris est 11 à 20 fois moins coûteux que Windows 2003 qui lui-même est 2 à 3 fois moins coûteux que Linux...) Bref, le terrain est miné.
Maintenant avec les nouveaux SunFire à base d'Opteron 4 voies, on pourrait peut-être avoir de très bons serveurs dans des prix raisonnables. Mais pour le 32 bits amha il faut oublier...

Pas une seule de ces questions écrites n'a encore obtenu de réponse à ce jour. J'ignore le détail des procédures internes (c'est le travail des directeurs de cabinet) mais les réponses comme les questions sont publiées au journal officiel ce qui peut demander du temps. Certaines questions n'ont d'ailleurs jamais eu de réponse.

J'encourage toutes les personnes interessées à visiter le site de l'assemblée nationale et à lancer une recherche sur le sujet:
http://questions.assemblee-nationale.fr/(...)
Ce qu'il est important de savoir c'est que plus il y aura de parlementaires à poser la même question, plus le gouvernement s'investira et prendra conscience de l'ampleur du problème.
La prochaine session parlementaire débute le 4/10, je vais tâcher de savoir quand est programmé le débat sur la brevetabilité.

reBonsoir,

En fait il y a eu bien plus de 4 questions posées au gouvernement!
Il semble que bon nombre de députés se soient mobilisés. Je n'ai pas eu le temps de voir à partir de quelle date les questions posées ont déjà eu des réponses, et comme je suis crevé je ne posterai qu'une courte citation parue au journal officiel du 24/11/2003 en réponse à la question 27078 :

L'intérêt d'une directive communautaire est de permettre l'élaboration d'une jurisprudence européenne unifiée sur la base de critères explicites, ce qui devrait être accueilli favorablement par l'ensemble des acteurs économiques européens, en particulier les petites entreprises et les développeurs indépendants promoteurs de logiciels libres. Encore faut-il que cette future directive pose des règles claires et applicables et qu'elle soit compatible avec les engagements internationaux de l'Union européenne. C'est ce à quoi s'emploie le gouvernement français, soucieux de transparence et attentif à favoriser l'émergence de positions équilibrées.

La suite demain.

> ça parle d'un phrase trollesque faite lors de la rédaction de la news, dans la news. Pas d'un commentaire comme le tien, fait avec le système de commentaires (qui effectivement, lui, a un système de notation)

Ah ok ok ok compris! Pfiouu chuis fatigué moi... ~~~~~>[Brrrrr]

>
Pas de réponse pour l'instant (quelqu'un sait comment ça se passe ?)

Merci pour ces URL, n'étant pas encore familiarisé avec le wiki (echo 'wiki' >> todolist) je fais passer tout ça à un attaché parlementaire et lui demande où celà en est car je crois que ça urge...

> Vaut-il mieux mettre les données dans /var/data/ ou dans /data/ ?

C'est pas plutôt le rôle du FSH ça? Amha la LSB c'est surtout pour les ABI (ce qui fait hurler SCO par ailleurs) c-à-d l'interopérabilité. Ceci dit je rejoins ton analyse sur l'urgence du problème mais attendrait demain avant de rendre ma copie, car il ne faut pas confondre urgence et précipitation. :)

> NdM : le commentaire jugé non fondé sur Debian et LSB a été supprimé

Qu'est-ce c'est que cette histoire? Il y a un système de vote pour définir la pertinence d'un commentaire non? Et puis s'il était non fondé il y aurait eu des contributeurs pour apporter des arguments autrement plus efficace qu'une simple note de modération vous ne croyez pas?
Ce commentaire (qui n'était pas de moi) était-il à ce point hors charte, violat-il la LEN ou est-ce qu'il portait atteinte à l'égo d'un modérateur?
Je crains que ce genre de méthode d'un autre age (qui rappelle l'esprit des foras compuserve) ne soit la porte ouverte à une dérive qui nous éloigne radicalement de l'esprit du Libre où c'est justement le partage de la connaissance et la discussion qui font avancer les pensées. Parce que la pensée [u,i]nique c'est justement le meilleur moyen de décrédibiliser les efforts de standardisation...

Lawrence Lessig qui fait souvent la une de /. n'en est pas à son coup d'essai. Ce professeur de droit à l'université de Stanford non content d'avoir déjà écrit 3 ouvrages sur le droit, la culture et les idées liés à l'explosion des nouvelles technologies (dont l'internet), est aussi le fondateur du 'Center for Internet and Society' et grand afficionado de la liberté du logiciel et des organisations associées (EFF, FSF).
Bien entendu il soutient activement les Creative Commons (license sous lequel son dernier livre est publié): http://www.free-culture.cc/freecontent/(...) et le bittorent: http://www.legaltorrents.com/bit/freeculture.zip.torrent(...)

Un concert organisé par Wired (dans lequel publie LL) en soutien pour les CC aura lieu le 21 Sept à New-York au Town Hall avec Gilberto Gil et David Byrne (Ex. Talking Heads). Qu'on se le dise...

Son propre site: http://www.lessig.org(...)
Le CIS: http://cyberlaw.stanford.edu/(...)
Le concert: http://creativecommons.org/weblog/entry/4370(...)

Merci Thomas pour cette excellente information, ce sont des gens comme lui qui peuvent faire avancer les choses. En avant pour la traduction !!!

> Donc en gros, tu me dis que scanner ca peut declancher des actions.

Oui mais quand même pas si facilement (Cf. http://www.portknocking.org/(...)). Quant à bloquer un démon parce que le port sur lequel il écoute a été scanné, je pense que l'admin devrait vite aller en formation, changer d'OS ou réfléchir à un firewall. Il y a tellement de paquets douteux qui se balladent sans que l'on sache vraiment d'où ils viennent que c'est quand même de la responsabilité de l'admin de vérifier que sa machine réagit correctement à ces situations. D'ailleurs il y a l'option Zombie avec nmap (-sI) qui permet de scanner par rebond...

> Demandes aux fabriquants de serveurs...

On a vraiment pas la même notion des serveurs...

> Ca permet d'accelerer les accès disques, t'as plein de controleurs sata-raid...

<Mode=nocomment>
Dito...
< /Mode>

> Achetes tes seveurs chez Dell par exemple, la carte réseau n'est supportée que par les drivers très récents, pareil pour les controleurs SATA...

Pascal avec tout le respect que je dois à quelqu'un qui oeuvre pour ce site, peux-tu me dire ce que le SATA vient faire sur un serveur???

> et d'autres comme Gentoo mises à jour en continu mais où l'on rencontre beaucoup plus de problèmes.

Jamais rencontré le moindre problème. Tout au juste le passage en unstable pour Cyrus-SASL pendant quelques semaines.

> tenir à jour son linux est important [...] il y a aussi les failles de sécurité

Et bien entendu ça necessite une nouvelle release? J'ai l'impression de rêver en lisant celà!

> ce serait bien que tu expliques en quoi linux te satisfait complétement aujourd'hui (et lequel tu utilises / comment tu l'utilises).

Oulà, c'est pas dans un journal mais dans un livre qu'il faudrait écrire ça! En 2 mots j'utilise essentiellement Linux comme OS pour les serveurs d'infrastructure, de données et d'applications. Principalement Debian et depuis maintenant un an, Gentoo avec qui je commence à très bien m'entendre. Dans tous les cas de figure, les applis sont mises à jour lorsque la nouvelle version correspond à un réel besoin et seulement après une période de test intensifs. Par exemple PostgreSQL 8 ne sera surement pas déployé avant plusieurs mois si tant est que la version finale voit le jour avant la fin de l'année.
En ce qui concerne les failles de sécurité, les GLSA (Gentoo Linux Security Advisories) arrivent directement par SMS et comme les crontab maintiennent les machines à jour, il ne reste qu'à faire un emerge ou un apt-get pour corriger la ou les failles en cas de besoin. SSH est notre ami.
Dans les deux cas de figure, pas besoin de nouvelle version pour avoir des serveurs toujours à jour.

Maintenant sur le poste de travail, les choses sont moins simples car celà dépend pour beaucoup des clients, et c'est aussi beaucoup plus hétérogène car il y a d'autres OS... Il n'en demeure pas moins que si je languis de voir la Sarge arriver, les distributions aptes à me satisfaire sont légions. J'ai récemment eu l'occasion de tester une Suse qui m'a beaucoup impressionné. Concernant Mandrake j'ai pas mal de bon échos, mais les souvenirs amers laissés par les versions 6 à 8 (voire 9 je ne sais plus avec tous ces N°s) ne me donnent pas l'envie de tenter à nouveau l'expérience.
Voilà.

> C'est mieux de supporter des machines achetées depuis moins d'un an, surtout pour une utilisation professionnelle où souvent on achête les machines quand on en a l'usage, pas pour les installer 6 mois plus tard ou mettre windows sur le serveur en attendant...

Je serai très curieux de savoir ce qui a changé depuis 6 mois dans le monde des serveurs pour nécessiter une nouvelle release. Ah mais oui suis-je bête, l'architecture NUMA! Bon, comment je fais pour tester la nouvelle Mandrake sur un E15K?

De plus, vu la rapidité d'évolution de la majorité des logiciels libres, c'est pas mal aussi d'avoir des logiciels relativement à jour...

Ce qui soit dit en passant est en totale contradiction avec l'attente d'une nouvelle release: un bon crontab fait ça très bien...

En dehors d'avoir posté une URL quelque peu amusante dans un journal, voici ce que l'on peut y lire en s'y rendant:

> Mandrakelinux 10.1 sera la seizième distributions Mandrakelinux[...]
Son développement a été marqué par la correction d'un grand nombre de petits problèmes plus que par d'importantes innovations

Bien, maintenant peut-on savoir si cette course effrenée à la nouvelle release correspond à une volonté technique ou marketing? Parce que sans vouloir faire de mauvais esprit, quand je lis celà quelques lignes plus haut, je me demande vraiment ce qui peut bien vous pousser à sortir autant de versions:

Bugs

* La console texte 1 est cassée à cause d'un souci dans le framebuffer.

Vous voulez dire que les autres fonctionnent???

> ou en remplissant le formulaire d'inscription à free (pas obliger de le valider)

Justement non. Et c'est un peu l'histoire de ma mésaventure:
Free ne connait de notre ligne téléphonique que ce que France Télécom a bien voulu mettre dans son serveur d'éligibilité. Or ce dernier n'est pas forcément à jour (ma ligne est soit-disant inutilisable pour l'ADSL alors que j'étais parmis le groupe des 1ers à participer aux bêtas test en 97)! Après contact avec un technicien, je suis à 1200m du central avec un affaiblissement de 32db. Mais cette info là FT se garde bien de la mettre à dispo de Free. :-(
Si au moins je pouvais bénéficier des bêtas-test pour l'ADSL2, parce que là en 512Kb (alors qu'on a eu du 2M pendant 2 ans!) à 45 eur depuis 5 ans je fulmine....

> Je sais pas si on peut l'obtenir autrement. (genre par un coup de fil à France Telecom par exemple ?)

Oui, en passant par le 1016 et en demandant un technicien (invoquer une raison valable) il connait exactement les caractéristiques de la ligne (longueur, affaiblissement, bruit, etc.).

> C'est marrant : on pourrait presque croire que tu considère que l'install de Gentoo est à la portée de l'utilisateur moyen.

En parlant de distribution 'avancée' c'est exactement le contraire que j'ai écris...

> si tu en doute on peut faire l'expèrience (et je te fait grâce des temps de compilation).

C'est gentil de me faire grace des temps de compilation d'un driver binaire... ;-)

>J'ai installé récemment pwcx et cela nécessite des compétences qui vont au dela de l'utilisateur moyen.

# emerge usb-pwcx

C'est drôle comme les distributions dites 'avancées' simplifient les choses!