Un jour, on comprendra qu'il ne suffit pas d'un jour… C'est donner le bâton pour se faire battre aussi.
tu veux quoi, faire une semaine, plus ?
Des combats et des initiatives, y en a en dehors du 8 mars, des assoces, y en a qui marchent en permanence. Suffit de voir que des trolls sur le sujet, y en a tout le temps pour voir qu'en effet, tout le monde a compris qu'un jour ne suffit pas.
Mais je vois rarement des articles sur la défense de l'égalité des droits, sauf quand il s'agit de choses que certains considère comme leur droit, et que d'autres utilisent leur droit pour aller contre le leur.
Par exemple, si j'organise un événement et que je m'astreint à la parité homme/femme, quelqu'un va réussir à dire qu'il a le droit de rentrer au nom de l'égalité des droits, car bon, c'est bien plus porteur que de dire "je veux pouvoir rentrer car je suis contre la parité".
Mais l'égalité des droits, ça serait pour les hommes d'avoir autant de congé que les femmes pour la naissance d'un enfant, ou de demander à avoir autant de congés avant l'accouchement. Curieusement, j'ai pas vu le moindre journal sur ça, donc parler de l'égalité des droits, c'est juste façon de parler.
tester que ça marche est une chose ( en principe faisable, j'ai bien fait un script pour ça qui fait une install réseau et qui regarde si ça boote ). Tester que les paquets peuvent s'upgrader ou qu'il y a pas de deps cassés, c'est autre chose. Et des outils existent au moins pour les distros rpm et deb. Et y a rien de magique, suffit juste d'un serveur et d'un script.
Ensuite, peut etre que personne dans la communauté arch n'a de temps pour faire de la QA automatique, ce qui est triste.
Tu veux dire 3dfx, matrox, sgi ou sco ? Ou atari tellement grand que bladerunner prends ça comme exemple de multinational ?
j'ai du poster un article sur mon compte myspace à ce sujet, cherche le dans l'annuaire de yahoo.
Pour le moment, les drivers pour mir, c'est surtout les drivers existants. Comme tu l'as dit, j'ai le sentiment que Mir est plus un remplaçant à compiz qu'à X. Je comprends bien que Canonical ne soit pas complétement satisfait par les orientations de wayland ( notamment, la plupart du code de mir, c'est des tests, et je pense que Canonical veut aussi avoir un avantage compétitif ).
Mais je pense pas qu'ils vont réussir à terminer ça à temps sur leur planning. Déjà parce que tu as toujours des emmerdes, ensuite parce que je pense qu'avec le ramdam que ça fait ( et franchement, surtout pour le vUDS que le reste ), les ressources de la communauté sous forme de testeurs, etc va diminuer, ce qui va ralentir la cadence, et enfin, parce que je doute que les pilotes proprios soient par magie viable et stable, assez pour finir à temps.
Peut être dans ce cas qu'il faudrait avoir moins de logiciels aussi, et moins de libs. Si tout le monde faisait juste du C et du python, ça simplifierais grandement les choses.
Mais on me dit que les gens prennent les distribs sur la base des softs présents, et donc qu'il y a une incitation à en mettre le plus possible. Et que bien sur, tout le monde est d'accord sur le fait d'avoir moins de distribs, moins de softs, à condition de rien perdre.
Quand on voit comment les efforts d'unification comme pulseaudio ( qui a permis de virer esd et artsd ) ou systemd, je me dit qu'en effet, tout le monde veut bien de l'unification, mais n'a aucune idée à quoi ça ressemble. Ou gnome-shell aussi ( car unifier, ça veut aussi dire avoir un nombre minimal de façon de faire ).
Chacun va justifier de "oui, mais je veux faire différemment", et ensuite ça va parler des nazis.
Par exemple, le projet ne va pas révolutionner grand chose, contrairement à ce que disent les journalistes.
Et il reproche aux entités commerciales de ne pas jouer le jeu en gardant les samples jalousement. J'espére donc que le projet Davfi, une fois qu'il aura du code et des malwares, va faire le contraire et publier l'un et l'autre, afin que non seulement l'état, mais également tout un chacun puisse en bénéficier. Il est évident que faire le contraire serait un peu hypocrite, bien plus que les sociétés privés qui elles n'ont pas de vocation à la philanthropie.
Je pense qu'il y a en effet un marché, vu que Apple propose ça depuis grosso modo le début de l'iphone. Ensuite, je sais aussi qu'il y a déjà thales ( ou un autre du même genre ) qui a bossé sur un système Android à destination des militaires en opération ( si je me souviens bien ), et c'était en effet la catastrophe.
Faire un appstore, ça peut se faire sans souci, f-droid est la, l'infra est dispo, donc la valeur ajouté est assez facile à trouver, c'est dans la mise en place du service. C'est bien, c'est une rente continue, un système de souscription qui marche pas trop mal pour certains éditeurs.
Ensuite, on me dit aussi que ça parle d'android car une des personnes qui bossent dans le labo, Valentin Hamon, chercheur dans le labo de Eric Filliol, serait assez fan du dit système. D'un point de vue de la recherche, je ne peux que lui donner raison, Android concentre tout ce qui qu'il faut :
- du code rushé par les OEMs pour réduire le TTM time to market )
- une incitation forte à attaquer, vu le nombre d'info persos et la capacité à monétiser ça simplement ( faire 200 coups de fils au téléphone rose, ça rapporte plus vite que louer un bot net )
- un marché de la sécurité quasi inexistant
- un système assez ouvert pour fouiller, avec assez de code pour comprendre, et assez de code fermé moisi pour des failles
et c'est à la mode.
Mais je pense que c’est quand même se diversifier fortement et risquer de pas finir le projet par cause de budget limité. Je comprends bien qu'il faut rester créatif pour attirer des talents, et qu'un cadre trop rigide ( voir militaire ) va vite les faire partir ( surtout vu que c’est moins bien payé qu'un taf dans le privé et en général un chouia plus administratif et rébarbatif, et qu'il est toujours temps de revenir dans le public plus tard dans sa carrière, après avoir vu des choses ailleurs ).
De ce que j'ai vu, c'est plus que le temps n'est pas toujours laissé. Ça dépend grandement des équipes, mais il y a une pression assez grande pour remplir les objectifs des blueprints en temps et en heure, ce qui laisse peu de temps pour la discussion et le long terme.
Quand on regarde divers controverses ( exemple, python dans debian à l'époque ), on voit qu'il s'agit surtout de gens qui n'ont pas le temps, qu'ils veulent des résultats rapides.
Je tiens à souligner par ailleur que mir aujourd'hui c'est ~14 000lignes de code,
sur les 14 000 lignes de code, y a pas mal de déclarations de la GPL etc. J'ai vraiment été étonné du peu de code qu'il y a pour un projet qui a commencé il y a plus de 6 mois.
Dieu merci, les logiciels proprios vont être une fois de plus une démonstration d'un processus qualité industrielle comme on a pu si souvent le voir, et en aucun cas des trucs moches qui requiert des hacks crades ( comme changer le nom d'un windows manager pour ne pas déclencher d'erreur dans un driver AMD ) parce qu'ils ont besoin de sortir à toute vitesse pour des questions de time to market.
Je suis sur que les déboires tel que http://vizzzion.org/?blogentry=819 ne vont pas être de mise, tout comme les soucis qu'on a eu avec ndiswrapper et que Samsung va avoir entre temps embauché des codeurs capables de coder sans rajouter de souci de sécurité.
Et non, je pense que Canonical se soit fait toujours rejeter. Par exemple, il y a une personne payé par Canonical sur pulseaudio maintenant. Il y a pas de soucis sur network manager, et fedora/RHEL ont adopté upstart pendant un temps, RH a intégré openstack, projet fortement influencé par Canonical.
L'idée que les gens fassent des choix pour des raisons techniques et ne soit pas d'accord, en dehors d'un quelconque corporatisme semble vraiment être une idée passé. je sais qu'un monde avec 2 groupes en opposition est plus rassurant car plus facile à comprendre qu'un monde ou des humains ne sont pas d'accord pour des raisons trop techniques pour toi, mais ça ne veut pas dire que c'est la réalité.
Moi, je me souviens d'un outil de protection contre la copie appliquait sur le client windows de mon employeur, qui avait été détecté comme un virus chez ~30% des clients ( enfin chez 1 client ), parce qu'il utilisait justement le même genre de technique vielle d'il y a 10/15 ans ( virus polymorphe, qui se décode à la volée avec une clé, etc ) pour éviter la copie. Dieu merci, l’ingénierie à la rescousse, on a juste tenté de recompiler jusqu'à ce que ça passe, vu que contacter l'éditeur d'antivirus, c'était pas vu comme viable par le management.
C'est aussi le comportement par défaut d'un firewall correctement mis. C'est aussi le fonctionnement de selinux quand tu es un utilisateur confiné. Et autant pour le firewall, ça a fini par rentrer dans l'esprit des gens ( et encore ), autant pour selinux, ça a du mal. Donc j'imagine parfaitement le temps d'adaptation pour l'administration française.
Je sais que c'est mal de se moquer de gens qui travaillent dur, mais l'article est juste exceptionnel.
En outre, DAVFI devrait également proposer son propre marché d'applications. Un marché dont les applications auront
été vérifiées, et qui pourra être " nettoyé " en les amputant de quelques fonctions. Un exemple est donné à ce
niveau avec l'application Angry Birds qui collecte des données de géolocalisation du joueur, une fonction qui
pourrait être supprimée par DAVFI."
Une version pour Windows de DAVFI ne devrait pas se rendre disponible avant 2014. L'environnement moins ouvert de
Microsoft comparé à Android nécessitant davantage de travail et de coordination avec la firme de Redmond. Dans ce
sens, l'antivirus se présentera comme un logiciel à installer, et non un OS globalement sécurisé comme pour Android.
La, on lit entre les lignes "on va faire un os basé sur android sécurisé", sauf qu'il va toujours avoir besoin de discuter avec les OEMs, pour éviter les soucis style "oups, on a un driver avec un accès en lecture écriture sur toute la mémoire". Bien tenté mais non.
Le premier antivirus français devrait voir le jour dans le courant de cette année
Jêrome Notin, directeur de Nov'It et coordinateur du projet a partagé un avis bien tranché sur les solutions
antivirales aujourd'hui déployées : " Leur conception n'a pas changé depuis dix ans, alors qu'en face, les
créateurs de virus ont fait beaucoup de progrès ".
EN fait non. Des solutions d'IDS ont été mises en place, les outils d'analyses protocolaires existent de plus en plus ( genre, ceux que Qosmos a écrit ), et des approches de MAC ( selinux, etc ) sont déployés de plus en plus depuis 10 ans. Des outils d'analyses de malwares basé sur l'émulation ont été mis en place ( cf le lien du 25c3 que j'ai donné, ou le fonctionnement de viguard, des outils come systrace sur netbsd ), des outils de surveillances réseaux aussi ( exemple prelude, et autre outils de corrélation ). Des protections en profondeurs au niveau des OS ont également été mise en place, etc, etc. Ou le système de signature pour éviter les drivers moisis ( dans le cas de windows ), ou la mise en place du controversé secureboot.
En fait, le simple fait de voir que Norton vends maintenant un bundle "firewall + proxy filtrant + analyse de virus" montre bien que les éditeurs se sont adaptés. Les éditeurs font de la recherche, proposent des produits, des solutions ailleurs, et la montée des appstores est aussi une conséquence. En fait, dans la mesure ou le code des antivirus est fermé, je vois pas comment on peut affirmer que ça n'a pas changé depuis.
je vais arrêter de commenter, le niveau journalistique est si bas que je vais atterrir en Nouvelle Zélande si je creuse plus.
On a vu à quel point ça marche d'avoir des coups d'avance avec les antivirus classiques déjà sur le marché.
Ce qui compte, c'est pas d'avoir un coup d'avance, c'est d'avoir des ressources ( lire du pognon ). Je pense que dans ce cas, les attaquants ont plus de ressources depuis longtemps. Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus ( même si la plus grande dissémination des idées permettraient une meilleur protection et un développement plus rapide, mais c'est le monde de la sécurité, la coopération rentre pas dans l'état d'esprit de la plupart, remplacé par une paranoia malsaine )
Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.
Donc c'est un bête calcul statistique, avoir 10% de chance de perdre 1000 euros par rapport à 100% de chances d'en perdre 500, par exemple.
Et encore, la, je parle en terme purement monétaire, mais si jamais à cause de la liste blanche, tu ne donnes pas l'argent à temps pour un malade et qu'il meurt, on sort totalement du cadre monétaire, et personne ne prends jamais en compte ce genre de perte. Et en général, on se focalise sur le coté exceptionnel de l'attaque, en oubliant totalement les soucis à long terme ( exemple, les mesures de sécurité dans les aéroports ).
selinux peut le faire, en mettant des labels sur les process, les utilisateurs, les ports réseaux, etc. Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.
La façon dont les distribs utilisent selinux, c'est plus pour s'assurer que le processus toto n'a le droit d'utiliser que le port 80 et aucun autre, ou n'a le droit de faire que tel appel systéme, ou lire tel fichier avec tel label. Ça ne protège pas de tout ( par exemple, un serveur apache compromis va toujours avoir accès à ton certificat privé ), mais ça bloque pas mal d'attaque ( par exemple, ton serveur apache, même en root, va pas pouvoir piquer la clé ssh du serveur avec un politique selinux par défaut, sauf erreur de ma part ).
Si le but de davfi est de faire une sandbox, il y a déja plein de projet sur ça, basé sur apparmor, sur selinux, sur seccomp, etc. Chercher arkose, glimpse, libvirt-sandbox, ou voir les différentes présentations sur chrome, sur la séparation de privilège.
[^] # Re: BINGO
Posté par Misc (site web personnel) . En réponse au journal [HS] Un écart de 28 %. Enfin non, 18%. Enfin en comparant des choux et des carottes. Évalué à 5.
tu veux quoi, faire une semaine, plus ?
Des combats et des initiatives, y en a en dehors du 8 mars, des assoces, y en a qui marchent en permanence. Suffit de voir que des trolls sur le sujet, y en a tout le temps pour voir qu'en effet, tout le monde a compris qu'un jour ne suffit pas.
[^] # Re: Pareil pour la mairie de Paris
Posté par Misc (site web personnel) . En réponse au journal [HS] Un écart de 28 %. Enfin non, 18%. Enfin en comparant des choux et des carottes. Évalué à 2.
Pas plus que ça te vient à l'idée de citer les sources en même temps.
[^] # Re: Pourquoi ces critiques vis à vis des féministes
Posté par Misc (site web personnel) . En réponse au journal [HS] Un écart de 28 %. Enfin non, 18%. Enfin en comparant des choux et des carottes. Évalué à 2.
Mais je vois rarement des articles sur la défense de l'égalité des droits, sauf quand il s'agit de choses que certains considère comme leur droit, et que d'autres utilisent leur droit pour aller contre le leur.
Par exemple, si j'organise un événement et que je m'astreint à la parité homme/femme, quelqu'un va réussir à dire qu'il a le droit de rentrer au nom de l'égalité des droits, car bon, c'est bien plus porteur que de dire "je veux pouvoir rentrer car je suis contre la parité".
Mais l'égalité des droits, ça serait pour les hommes d'avoir autant de congé que les femmes pour la naissance d'un enfant, ou de demander à avoir autant de congés avant l'accouchement. Curieusement, j'ai pas vu le moindre journal sur ça, donc parler de l'égalité des droits, c'est juste façon de parler.
[^] # Re: Des trucs de ce genre ça m'est arrivé 1 fois sur 2 à chaque mise à jour de Arch ...
Posté par Misc (site web personnel) . En réponse au journal Les paquets, c'est merveilleux !. Évalué à 3.
tester que ça marche est une chose ( en principe faisable, j'ai bien fait un script pour ça qui fait une install réseau et qui regarde si ça boote ). Tester que les paquets peuvent s'upgrader ou qu'il y a pas de deps cassés, c'est autre chose. Et des outils existent au moins pour les distros rpm et deb. Et y a rien de magique, suffit juste d'un serveur et d'un script.
Ensuite, peut etre que personne dans la communauté arch n'a de temps pour faire de la QA automatique, ce qui est triste.
[^] # Re: Une alternative ? Tant mieux
Posté par Misc (site web personnel) . En réponse à la dépêche Mir, un serveur d’affichage de trop ?. Évalué à 1.
Tu veux dire 3dfx, matrox, sgi ou sco ? Ou atari tellement grand que bladerunner prends ça comme exemple de multinational ?
j'ai du poster un article sur mon compte myspace à ce sujet, cherche le dans l'annuaire de yahoo.
[^] # Re: Une alternative ? Tant mieux
Posté par Misc (site web personnel) . En réponse à la dépêche Mir, un serveur d’affichage de trop ?. Évalué à 1.
Pour le moment, les drivers pour mir, c'est surtout les drivers existants. Comme tu l'as dit, j'ai le sentiment que Mir est plus un remplaçant à compiz qu'à X. Je comprends bien que Canonical ne soit pas complétement satisfait par les orientations de wayland ( notamment, la plupart du code de mir, c'est des tests, et je pense que Canonical veut aussi avoir un avantage compétitif ).
Mais je pense pas qu'ils vont réussir à terminer ça à temps sur leur planning. Déjà parce que tu as toujours des emmerdes, ensuite parce que je pense qu'avec le ramdam que ça fait ( et franchement, surtout pour le vUDS que le reste ), les ressources de la communauté sous forme de testeurs, etc va diminuer, ce qui va ralentir la cadence, et enfin, parce que je doute que les pilotes proprios soient par magie viable et stable, assez pour finir à temps.
[^] # Re: Des trucs de ce genre ça m'est arrivé 1 fois sur 2 à chaque mise à jour de Arch ...
Posté par Misc (site web personnel) . En réponse au journal Les paquets, c'est merveilleux !. Évalué à 1.
Mais y a pas des gens pour mettre en place des tests d'upgrade avant de pousser les paquets sur les miroirs ?
[^] # Re: Déjà vu
Posté par Misc (site web personnel) . En réponse à la dépêche Mir, un serveur d’affichage de trop ?. Évalué à 4.
En même temps, je sais pas si c'est différent sur la plupart des OS. J'ai pas vraiment eu de mal à en faire un sous windows y a 10 ans.
si tu veux pouvoir avoir des raccourcis claviers globaux, tu as pas trop le choix ( genre guake ).
[^] # Re: Les dévs Wayland devraient être contents...
Posté par Misc (site web personnel) . En réponse au journal Mir, un serveur d'affichage de trop ?. Évalué à 5.
Peut être dans ce cas qu'il faudrait avoir moins de logiciels aussi, et moins de libs. Si tout le monde faisait juste du C et du python, ça simplifierais grandement les choses.
Mais on me dit que les gens prennent les distribs sur la base des softs présents, et donc qu'il y a une incitation à en mettre le plus possible. Et que bien sur, tout le monde est d'accord sur le fait d'avoir moins de distribs, moins de softs, à condition de rien perdre.
Quand on voit comment les efforts d'unification comme pulseaudio ( qui a permis de virer esd et artsd ) ou systemd, je me dit qu'en effet, tout le monde veut bien de l'unification, mais n'a aucune idée à quoi ça ressemble. Ou gnome-shell aussi ( car unifier, ça veut aussi dire avoir un nombre minimal de façon de faire ).
Chacun va justifier de "oui, mais je veux faire différemment", et ensuite ça va parler des nazis.
[^] # Re: Google +
Posté par Misc (site web personnel) . En réponse au journal Mir, un serveur d'affichage de trop ?. Évalué à 4.
Non, les devs de Centos n'ont pas vraiment été ennuyés.
http://www.channelregister.co.uk/2011/03/04/red_hat_twarts_oracle_and_novell_with_change_to_source_code_packaging/
Oracle et Suse, peut être plus, vu que c'était le but visiblement.
Certains devs Debian ont aussi pas aimé le coup, de ce que j'avais lu un jour.
# Une précision de plus
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 2.
Je suis tombé sur ça, ou un des developpeurs du projet rappelle des bases.
http://cvo-lab.blogspot.fr/2013/02/davfi-mise-au-point.html
Par exemple, le projet ne va pas révolutionner grand chose, contrairement à ce que disent les journalistes.
Et il reproche aux entités commerciales de ne pas jouer le jeu en gardant les samples jalousement. J'espére donc que le projet Davfi, une fois qu'il aura du code et des malwares, va faire le contraire et publier l'un et l'autre, afin que non seulement l'état, mais également tout un chacun puisse en bénéficier. Il est évident que faire le contraire serait un peu hypocrite, bien plus que les sociétés privés qui elles n'ont pas de vocation à la philanthropie.
[^] # Re: Une blague
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 2.
Je pense qu'il y a en effet un marché, vu que Apple propose ça depuis grosso modo le début de l'iphone. Ensuite, je sais aussi qu'il y a déjà thales ( ou un autre du même genre ) qui a bossé sur un système Android à destination des militaires en opération ( si je me souviens bien ), et c'était en effet la catastrophe.
Faire un appstore, ça peut se faire sans souci, f-droid est la, l'infra est dispo, donc la valeur ajouté est assez facile à trouver, c'est dans la mise en place du service. C'est bien, c'est une rente continue, un système de souscription qui marche pas trop mal pour certains éditeurs.
Ensuite, on me dit aussi que ça parle d'android car une des personnes qui bossent dans le labo, Valentin Hamon, chercheur dans le labo de Eric Filliol, serait assez fan du dit système. D'un point de vue de la recherche, je ne peux que lui donner raison, Android concentre tout ce qui qu'il faut :
- du code rushé par les OEMs pour réduire le TTM time to market )
- une incitation forte à attaquer, vu le nombre d'info persos et la capacité à monétiser ça simplement ( faire 200 coups de fils au téléphone rose, ça rapporte plus vite que louer un bot net )
- un marché de la sécurité quasi inexistant
- un système assez ouvert pour fouiller, avec assez de code pour comprendre, et assez de code fermé moisi pour des failles
et c'est à la mode.
Mais je pense que c’est quand même se diversifier fortement et risquer de pas finir le projet par cause de budget limité. Je comprends bien qu'il faut rester créatif pour attirer des talents, et qu'un cadre trop rigide ( voir militaire ) va vite les faire partir ( surtout vu que c’est moins bien payé qu'un taf dans le privé et en général un chouia plus administratif et rébarbatif, et qu'il est toujours temps de revenir dans le public plus tard dans sa carrière, après avoir vu des choses ailleurs ).
[^] # Re: Discussion entre un dev MIR et les dev Wayland
Posté par Misc (site web personnel) . En réponse au journal Mir, un serveur d'affichage de trop ?. Évalué à 2.
De ce que j'ai vu, c'est plus que le temps n'est pas toujours laissé. Ça dépend grandement des équipes, mais il y a une pression assez grande pour remplir les objectifs des blueprints en temps et en heure, ce qui laisse peu de temps pour la discussion et le long terme.
Quand on regarde divers controverses ( exemple, python dans debian à l'époque ), on voit qu'il s'agit surtout de gens qui n'ont pas le temps, qu'ils veulent des résultats rapides.
[^] # Re: Differences ?
Posté par Misc (site web personnel) . En réponse au journal Canonical: les fouteurs de merde, le retour. Évalué à 2.
sur les 14 000 lignes de code, y a pas mal de déclarations de la GPL etc. J'ai vraiment été étonné du peu de code qu'il y a pour un projet qui a commencé il y a plus de 6 mois.
[^] # Re: Ca pulse!
Posté par Misc (site web personnel) . En réponse au journal Canonical: les fouteurs de merde, le retour. Évalué à 5.
Dieu merci, les logiciels proprios vont être une fois de plus une démonstration d'un processus qualité industrielle comme on a pu si souvent le voir, et en aucun cas des trucs moches qui requiert des hacks crades ( comme changer le nom d'un windows manager pour ne pas déclencher d'erreur dans un driver AMD ) parce qu'ils ont besoin de sortir à toute vitesse pour des questions de time to market.
Je suis sur que les déboires tel que http://vizzzion.org/?blogentry=819 ne vont pas être de mise, tout comme les soucis qu'on a eu avec ndiswrapper et que Samsung va avoir entre temps embauché des codeurs capables de coder sans rajouter de souci de sécurité.
[^] # Re: Discussion entre un dev MIR et les dev Wayland
Posté par Misc (site web personnel) . En réponse au journal Mir, un serveur d'affichage de trop ?. Évalué à 10.
Wayland, c'est surtout du intel.
Et non, je pense que Canonical se soit fait toujours rejeter. Par exemple, il y a une personne payé par Canonical sur pulseaudio maintenant. Il y a pas de soucis sur network manager, et fedora/RHEL ont adopté upstart pendant un temps, RH a intégré openstack, projet fortement influencé par Canonical.
L'idée que les gens fassent des choix pour des raisons techniques et ne soit pas d'accord, en dehors d'un quelconque corporatisme semble vraiment être une idée passé. je sais qu'un monde avec 2 groupes en opposition est plus rassurant car plus facile à comprendre qu'un monde ou des humains ne sont pas d'accord pour des raisons trop techniques pour toi, mais ça ne veut pas dire que c'est la réalité.
[^] # Re: Une précision…
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 7.
ça fait 4 fois qu'il fait ça :
https://linuxfr.org/users/vida18/journaux/zorin-os-6-2
https://linuxfr.org/users/vida18/journaux/l-adn-le-stockage-de-demain
https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-open-source-made-in-france
https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-libre-francais
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
Nan, pour ça, faudrait que je fasse remarquer qu'il y a des gens qui iraient accuser certains de népotisme au sein du master lié à ce projet:
https://sites.google.com/site/esieanismaster/home/faculty-member
Ou que je fasse remarquer qu'un antivirus "français" fait en "france" pour la souveraineté nationale qui cherche à faire venir des étudiants d'indonésie pour les payer moins cher ( car 10 500 euros c'est pas cher ), ça fait tache
http://nismaster.blogspot.fr/2012/07/program-beasiswa-untuk-warganegara_26.html
ça, ça serait en effet dangereux.
Mais bon, vu que l'ESIA est rempli d'attaquants de haut niveau ( http://www.esiea.fr/Public/P/Esiea/Revue%20de%20presse/2013-03-01%20Sciences%20Avenir.pdf ), je suis sur qu'ils ont déjà eu le temps de pirater mon portable pour rajouter des preuves afin de tromper les magistrats.
[^] # Re: .
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 3.
Moi, je me souviens d'un outil de protection contre la copie appliquait sur le client windows de mon employeur, qui avait été détecté comme un virus chez ~30% des clients ( enfin chez 1 client ), parce qu'il utilisait justement le même genre de technique vielle d'il y a 10/15 ans ( virus polymorphe, qui se décode à la volée avec une clé, etc ) pour éviter la copie. Dieu merci, l’ingénierie à la rescousse, on a juste tenté de recompiler jusqu'à ce que ça passe, vu que contacter l'éditeur d'antivirus, c'était pas vu comme viable par le management.
[^] # Re: Une blague
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 2.
C'est aussi le comportement par défaut d'un firewall correctement mis. C'est aussi le fonctionnement de selinux quand tu es un utilisateur confiné. Et autant pour le firewall, ça a fini par rentrer dans l'esprit des gens ( et encore ), autant pour selinux, ça a du mal. Donc j'imagine parfaitement le temps d'adaptation pour l'administration française.
[^] # Re: SELinux ?
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 3.
Tu veux dire coder par des aveugles ?
# Une blague
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
Je sais que c'est mal de se moquer de gens qui travaillent dur, mais l'article est juste exceptionnel.
Donc en gros, DAVFI va aussi se lancer dans les appstores, et pour cela, va modifier les applications clientes. Est ce qu'ils savent que ç'est sans doute une violation de la licence de faire ce genre de choses ?
Ou alors, ça va juste faire ce que fait :
http://f-droid.org/repository/browse/?fdcategory=System&fdid=fr.keuse.rightsalert&fdpage=3
Ou juste automatiser http://intrepidusgroup.com/insight/2010/05/lock-down-your-android-apk-permissions/
La, on lit entre les lignes "on va faire un os basé sur android sécurisé", sauf qu'il va toujours avoir besoin de discuter avec les OEMs, pour éviter les soucis style "oups, on a un driver avec un accès en lecture écriture sur toute la mémoire". Bien tenté mais non.
non, viguard est le premier ( http://reflets.info/davfi-le-premier-antivirus-francais-on-va-vous-rafraichir-la-memoire/ ). Donc c'est le 2eme, si il sort un jour.
EN fait non. Des solutions d'IDS ont été mises en place, les outils d'analyses protocolaires existent de plus en plus ( genre, ceux que Qosmos a écrit ), et des approches de MAC ( selinux, etc ) sont déployés de plus en plus depuis 10 ans. Des outils d'analyses de malwares basé sur l'émulation ont été mis en place ( cf le lien du 25c3 que j'ai donné, ou le fonctionnement de viguard, des outils come systrace sur netbsd ), des outils de surveillances réseaux aussi ( exemple prelude, et autre outils de corrélation ). Des protections en profondeurs au niveau des OS ont également été mise en place, etc, etc. Ou le système de signature pour éviter les drivers moisis ( dans le cas de windows ), ou la mise en place du controversé secureboot.
En fait, le simple fait de voir que Norton vends maintenant un bundle "firewall + proxy filtrant + analyse de virus" montre bien que les éditeurs se sont adaptés. Les éditeurs font de la recherche, proposent des produits, des solutions ailleurs, et la montée des appstores est aussi une conséquence. En fait, dans la mesure ou le code des antivirus est fermé, je vois pas comment on peut affirmer que ça n'a pas changé depuis.
je vais arrêter de commenter, le niveau journalistique est si bas que je vais atterrir en Nouvelle Zélande si je creuse plus.
[^] # Re: Foutaises
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
On a vu à quel point ça marche d'avoir des coups d'avance avec les antivirus classiques déjà sur le marché.
Ce qui compte, c'est pas d'avoir un coup d'avance, c'est d'avoir des ressources ( lire du pognon ). Je pense que dans ce cas, les attaquants ont plus de ressources depuis longtemps. Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus ( même si la plus grande dissémination des idées permettraient une meilleur protection et un développement plus rapide, mais c'est le monde de la sécurité, la coopération rentre pas dans l'état d'esprit de la plupart, remplacé par une paranoia malsaine )
[^] # Re: AV
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 4.
Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.
Donc c'est un bête calcul statistique, avoir 10% de chance de perdre 1000 euros par rapport à 100% de chances d'en perdre 500, par exemple.
Et encore, la, je parle en terme purement monétaire, mais si jamais à cause de la liste blanche, tu ne donnes pas l'argent à temps pour un malade et qu'il meurt, on sort totalement du cadre monétaire, et personne ne prends jamais en compte ce genre de perte. Et en général, on se focalise sur le coté exceptionnel de l'attaque, en oubliant totalement les soucis à long terme ( exemple, les mesures de sécurité dans les aéroports ).
[^] # Re: SELinux ?
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
selinux peut le faire, en mettant des labels sur les process, les utilisateurs, les ports réseaux, etc. Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.
C'est tout le cœur des modèles de sécurité comme :
https://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model
La façon dont les distribs utilisent selinux, c'est plus pour s'assurer que le processus toto n'a le droit d'utiliser que le port 80 et aucun autre, ou n'a le droit de faire que tel appel systéme, ou lire tel fichier avec tel label. Ça ne protège pas de tout ( par exemple, un serveur apache compromis va toujours avoir accès à ton certificat privé ), mais ça bloque pas mal d'attaque ( par exemple, ton serveur apache, même en root, va pas pouvoir piquer la clé ssh du serveur avec un politique selinux par défaut, sauf erreur de ma part ).
Si le but de davfi est de faire une sandbox, il y a déja plein de projet sur ça, basé sur apparmor, sur selinux, sur seccomp, etc. Chercher arkose, glimpse, libvirt-sandbox, ou voir les différentes présentations sur chrome, sur la séparation de privilège.
Si l'idée, c'est de faire comme viguard, alors des outils libres existent déjà depuis 5 ans :
http://events.ccc.de/congress/2008/Fahrplan/events/3002.en.html
Et en cherchant un peu, tu va tomber sur des choses comme dirtbox, ou ce genre de post de blog :
http://nuald.blogspot.fr/2010/10/shellcode-detection-using-libemu.html