Et non, je pense que Canonical se soit fait toujours rejeter. Par exemple, il y a une personne payé par Canonical sur pulseaudio maintenant. Il y a pas de soucis sur network manager, et fedora/RHEL ont adopté upstart pendant un temps, RH a intégré openstack, projet fortement influencé par Canonical.
L'idée que les gens fassent des choix pour des raisons techniques et ne soit pas d'accord, en dehors d'un quelconque corporatisme semble vraiment être une idée passé. je sais qu'un monde avec 2 groupes en opposition est plus rassurant car plus facile à comprendre qu'un monde ou des humains ne sont pas d'accord pour des raisons trop techniques pour toi, mais ça ne veut pas dire que c'est la réalité.
Moi, je me souviens d'un outil de protection contre la copie appliquait sur le client windows de mon employeur, qui avait été détecté comme un virus chez ~30% des clients ( enfin chez 1 client ), parce qu'il utilisait justement le même genre de technique vielle d'il y a 10/15 ans ( virus polymorphe, qui se décode à la volée avec une clé, etc ) pour éviter la copie. Dieu merci, l’ingénierie à la rescousse, on a juste tenté de recompiler jusqu'à ce que ça passe, vu que contacter l'éditeur d'antivirus, c'était pas vu comme viable par le management.
C'est aussi le comportement par défaut d'un firewall correctement mis. C'est aussi le fonctionnement de selinux quand tu es un utilisateur confiné. Et autant pour le firewall, ça a fini par rentrer dans l'esprit des gens ( et encore ), autant pour selinux, ça a du mal. Donc j'imagine parfaitement le temps d'adaptation pour l'administration française.
Je sais que c'est mal de se moquer de gens qui travaillent dur, mais l'article est juste exceptionnel.
En outre, DAVFI devrait également proposer son propre marché d'applications. Un marché dont les applications auront
été vérifiées, et qui pourra être " nettoyé " en les amputant de quelques fonctions. Un exemple est donné à ce
niveau avec l'application Angry Birds qui collecte des données de géolocalisation du joueur, une fonction qui
pourrait être supprimée par DAVFI."
Une version pour Windows de DAVFI ne devrait pas se rendre disponible avant 2014. L'environnement moins ouvert de
Microsoft comparé à Android nécessitant davantage de travail et de coordination avec la firme de Redmond. Dans ce
sens, l'antivirus se présentera comme un logiciel à installer, et non un OS globalement sécurisé comme pour Android.
La, on lit entre les lignes "on va faire un os basé sur android sécurisé", sauf qu'il va toujours avoir besoin de discuter avec les OEMs, pour éviter les soucis style "oups, on a un driver avec un accès en lecture écriture sur toute la mémoire". Bien tenté mais non.
Le premier antivirus français devrait voir le jour dans le courant de cette année
Jêrome Notin, directeur de Nov'It et coordinateur du projet a partagé un avis bien tranché sur les solutions
antivirales aujourd'hui déployées : " Leur conception n'a pas changé depuis dix ans, alors qu'en face, les
créateurs de virus ont fait beaucoup de progrès ".
EN fait non. Des solutions d'IDS ont été mises en place, les outils d'analyses protocolaires existent de plus en plus ( genre, ceux que Qosmos a écrit ), et des approches de MAC ( selinux, etc ) sont déployés de plus en plus depuis 10 ans. Des outils d'analyses de malwares basé sur l'émulation ont été mis en place ( cf le lien du 25c3 que j'ai donné, ou le fonctionnement de viguard, des outils come systrace sur netbsd ), des outils de surveillances réseaux aussi ( exemple prelude, et autre outils de corrélation ). Des protections en profondeurs au niveau des OS ont également été mise en place, etc, etc. Ou le système de signature pour éviter les drivers moisis ( dans le cas de windows ), ou la mise en place du controversé secureboot.
En fait, le simple fait de voir que Norton vends maintenant un bundle "firewall + proxy filtrant + analyse de virus" montre bien que les éditeurs se sont adaptés. Les éditeurs font de la recherche, proposent des produits, des solutions ailleurs, et la montée des appstores est aussi une conséquence. En fait, dans la mesure ou le code des antivirus est fermé, je vois pas comment on peut affirmer que ça n'a pas changé depuis.
je vais arrêter de commenter, le niveau journalistique est si bas que je vais atterrir en Nouvelle Zélande si je creuse plus.
On a vu à quel point ça marche d'avoir des coups d'avance avec les antivirus classiques déjà sur le marché.
Ce qui compte, c'est pas d'avoir un coup d'avance, c'est d'avoir des ressources ( lire du pognon ). Je pense que dans ce cas, les attaquants ont plus de ressources depuis longtemps. Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus ( même si la plus grande dissémination des idées permettraient une meilleur protection et un développement plus rapide, mais c'est le monde de la sécurité, la coopération rentre pas dans l'état d'esprit de la plupart, remplacé par une paranoia malsaine )
Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.
Donc c'est un bête calcul statistique, avoir 10% de chance de perdre 1000 euros par rapport à 100% de chances d'en perdre 500, par exemple.
Et encore, la, je parle en terme purement monétaire, mais si jamais à cause de la liste blanche, tu ne donnes pas l'argent à temps pour un malade et qu'il meurt, on sort totalement du cadre monétaire, et personne ne prends jamais en compte ce genre de perte. Et en général, on se focalise sur le coté exceptionnel de l'attaque, en oubliant totalement les soucis à long terme ( exemple, les mesures de sécurité dans les aéroports ).
selinux peut le faire, en mettant des labels sur les process, les utilisateurs, les ports réseaux, etc. Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.
La façon dont les distribs utilisent selinux, c'est plus pour s'assurer que le processus toto n'a le droit d'utiliser que le port 80 et aucun autre, ou n'a le droit de faire que tel appel systéme, ou lire tel fichier avec tel label. Ça ne protège pas de tout ( par exemple, un serveur apache compromis va toujours avoir accès à ton certificat privé ), mais ça bloque pas mal d'attaque ( par exemple, ton serveur apache, même en root, va pas pouvoir piquer la clé ssh du serveur avec un politique selinux par défaut, sauf erreur de ma part ).
Si le but de davfi est de faire une sandbox, il y a déja plein de projet sur ça, basé sur apparmor, sur selinux, sur seccomp, etc. Chercher arkose, glimpse, libvirt-sandbox, ou voir les différentes présentations sur chrome, sur la séparation de privilège.
Bien sur, faire un projet libre, ça impliquerais de suivre les bonnes pratiques, comme "envoyer les patchs pour publication et revue auprès des externes", et pas "coder dans notre coin puis faire un produit semi proprio". Enfin, tant que Davfi ne tente pas de poser des brevets à l'étranger sur ses "innovations" ça devrait aller. Ça serait quand même un truc qui risquerait de ternir sa réputation auprès des libristes, ça. Et ça serait un peu nulle de l'avoir dit dans un événement du libre un jour à quelqu'un.
Donc motivé, sans doute. Qui connait son sujet, ça dépend fortement du sujet. Il a dit avoir cassé AES, mais en fait non ( cf http://eprint.iacr.org/2003/022.ps ) . Il a dit avoir cassé tor, mais en fait, non. Ou plutôt, l'attaque, c'est "si je rajoute assez de noeud compromis, le réseau est compromis". Comme dirait un collègue, "no shit sherlock". Mais c'est une attaque connu ( à savoir celle d'un attaquant global avec assez de noeuds ), et il a monté toute la sauce autour de ça en utilisant des choses complexes comme "utiliser un virus pour infecter les relais sous windows pour compromettre le code de tor par injection dans le process", ce qui est plus vendeur que "remplacer le binaire de tor via un exploit IE". Et j'invite les gens à lire ce post de blog, et à suivre les liens : https://blog.torproject.org/blog/rumors-tors-compromise-are-greatly-exaggerated
Et pour la petite histoire, mon commentaire a amené un des responsable du projet à venir me parler lors de l'Open WOrld Forum pour ce que j'ai personnellement pris pour des menaces, en me demandant d’arrêter sinon des choses seront mises en place. Après enquête rapide ( car bon, quand on connait vraiment du monde, ça va plus vite ), ce que j'ai compris, c'est surtout que quelqu'un a fait remarquer à quelqu'un de l'APRIL que le projet est pas si libre qu'on veut nous le faire croire, et qu'il y a eu discussion entre des gens de l'APRIL et le dit responsable, et il pense que c'est moi qui a tuyauté et donc sali la réputation du logiciel auprès de l'association. N'importe qui capable de lire les annonces va voir que le projet est pas clair du tout et que le qualifier de libre ou d'opensource, c'est juste un raccourci marketing. Ou alors va falloir revoir le jugement sur github et mac os x à ce niveau si il suffit d'avoir juste un morceau sous une licence potable pour que tout soit libre.
Et vue qu'on a déjà bien entamé 2013 mine de rien, je trouve curieux de voir que les fiches de recrutements sont encore la depuis plus de 8 mois ( http://www.davfi.fr/recrutement.html ) et qu'il y a pour le moment que de la communication autour du projet. Peut être qu'il y a pas assez de personne pour mettre à jour le site. C'est vrai que 5 millions de cash, ça permet pas de payer un webmaster.
Oui, et puis, c'est pas parce que tu peux avoir un truc gratuitement qu'il n'a pas de valeur, ou que quelqu'un n'a pas passé du temps et de l’énergie dessus.
Mandriva s'en sortait pas si mal avec le club ( ou du moins, était en bonne voie ), avant que Canonical n'arrive, ne réduise le marché du desktop à zero ( en sciant aussi la branche sur laquelle elle voulait s’assoir dans le futur )
50€ par an, c'est largement moins que le crédit que tu rembourses sur un iphone par exemple. Mais bon, c'est aussi vachement moins hype, je comprends que les gens préfèrent financer l'innovation chez Apple que la maintenance chez d'autres ( car Suse propose aussi le même genre d'offre ).
Ben si personne ne paye, forcément, personne ne va se dire que ça vaut le coup d'investir la dedans. En fait, faut pas chercher plus loin le pourquoi personne investit dans le poste de travail pour particulier.
Alors j'ai chopé la vidéo, et pendant 5 minutes, y a pas de son ( ce qui m'a fait chercher pendant 30 secondes le problème )
Sinon, à 23/24 minutes : "Jessy, the next release, we will probably use sysvinit on most system".
"In gnome 3, I think, we will start to depend on systemd, and that will create lots of interesting flamewar."
"By default, I think, we will likely see sysvinit as still the default, systemd is going to be supported. If we can move to a single init system for jessy, that would make me very happy, but I don't think that's gonna fly politically. because this is as much a political question as a technical question."
Donc en gros, systemd supporté officiellement, mais pas installé par défaut.
Suivi d'une discussion sur le passage de jessie à logind pour l'équipe gnome, avec un impact inconnu pour kfreebsd. Ils n'ont pas les ressources pour maintenir consolekit et pas d'utilisateur de kfreebsd et de gnome, ce qui leur prends du temps pour rien d’après un des 2 conférenciers.
Ensuite, Tolef ( je crois ), explique qu'ils veulent rendre systemd plus facile à packager ( outil systemd aware, synchronisation de l'état des systems d'init ), et il y a une question de l'assistance.
De ce que je sais, l'équipe ovirt serait intéressé par quelqu'un pour faire le paquet debian, et pour le moment, il y a juste des instructions sur le web ( http://www.ovirt.org/Ovirt_build_on_debian/ubuntu ).
Par contre, je vois pas le support de SAP pour Debian, du coup, j'ai du mal à voir en quoi Debian serait si en avance. Et la comparaison entre un système avec une durée de vie de 2 à 3 ans comme Debian, et un truc à plus longue durée ( genre 10 ans ) comme SLES ou RHEL me parait aussi curieuse. Du coup, le qualificatif "blaireaux" me semble un chouia mal trouvé.
Novell et Suse sont 2 business unit séparés maintenant.
Et c'était plus un accord commercial de vente conjointe de support linux et windows, ce qui en soit me semble pas totalement déconnant dans un environnement mixte. C'est pas comme si les SSIIs ou les revendeurs n'étaient pas déja tous en train de faire ça depuis des années.
Alors pour tout ceux qui comme moi n'ont jamais entendu parler de quoi parle ce journal, et dans le but d'essayer d'aider Samuel à être pertinent :
Delta Lloyd Lebensversicherung AG est visiblement un courtier en assurance allemand. En fait, c'est la filiale d'une filiale d'une banque présente dans 3 pays, le 6eme assureur des pays bas. J'ai pas trouvé grand chose sur la filiale mais on parle d'une migration d'un parc de 60 serveurs en RHEL.
Les chiffres proviennent directement d'un pdf sur le site de novell ( www.novell.com/docrep/2013/01/delta_lloyd_lebensversicherung_ee.pdf ). Le pdf souffre d'un manque de précision, il parle de cout de license au lieu de cout de souscription ( la différence est subtile ), et il oublie des détails. Par exemple, pourquoi l'interface de Suse Manager ressemble à celle de RHN ( ce qui évite donc les couts de formation ), ou pourquoi se concentrer sur l'OS alors que les couts d'Oracle et de SAP sont souvent les plus importants ( et ceci sans compter les 70 à 90% de réductions par rapport au prix public, je pige pas pourquoi personne ne proteste contre ça auprès des autorités ).
Pour ceux qui n'ont jamais entendu parler de Suse manager ( car c'est quand même une offre assez peu connu ), c'est une version de Spacewalk ( http://spacewalk.redhat.com/ ), le produit à la base de satellite ( qui est l'offre commercial de Red Hat du code de spacewalk, cad avec un travail de stabilisation, de documentation, de support sur une version "figé" dans le temps ), mais proposé par Suse. Satelitte ayant été annoncé comme projet communautaire en 2008 lors du RH Summit à Boston, il a donc fallu un peu de temps pour que des gens se penchent dessus.
Les 2 sociétés travaillent main dans la main sur l'engineering d'un produit libre, ça n'arrive pas si souvent hélas.
A noter qu'une version plus moderne est en cours d'écriture sous le nom de Katello ( http://www.katello.org/ ) avec pulp, candlepin, etc. J'ai pas encore compris comment tout s'emboite exactement, vu que c'est encore en cours d'écriture et dispo officiellement dans aucune distribution, mais les gens qui s'intéressent au sujet peuvent regarder en détail.
En fait, le coup de faire une modif de contab, c'est de pas avoir de locking. Je suppose qu'il y a peu de risque en pratique, mais je pense que /etc/cron.d est plus sur à ce niveau la.
Pour moi lorsque Misc me sous entend [il n'a pas dit] que systemd = 16/20 et init 12/20
je m'attends à une révolution.
Donc attends, tu inventes ce que je dit, puis tu dit que ça correspond pas à la réalité. Et ensuite tu dit que tu n'utilises pas d'argument de l'homme de paille, vraiment ?
Donc, si je vous suis bien, lorsque chez google ils utilisent le format json-like (je me souviens plus du nom du
format) ce sont des idiots.
Vu que visiblement, tes arguments ne s'encombrent pas de précision, je vais compléter pour toi.
Le format que tu cherches, c'est protobuf : http://code.google.com/p/protobuf/
Bien que tu ne donnes pas de définition de ton neologisme "json-like", je suppose que tu parles de ça à cause des '{' et '}' servant de délimiteurs. Ça n'a rien de json, car l'avantage du json, c'est de se lire directement presque partout. La, il faut un parser spécifique pour le .proto, par exemple.
Encore une fois, la configuration d'un service n'a pas besoin d'une structure complexe, quoi que des années de java ont réussi à faire croire. Tu définit des variables simples pour définir ce que tu veux, et le reste dépend du logiciel. Donc à partir de la, un simple format clé/valeur doit suffire. D'ailleurs, il a suffit pendant des années pour justement la fameuse philosophie unix à base de variable d'environnement ( modulo le besoin d'avoir des tableaux comme $PATH, $LS_COLORS, mais c'est minoritaire )
Donc non, je pense que chaque format a ses avantages, et à partir de la, il faut choisir.
par exemple, mon blog, je pense qu'il a pas besoin d'être en permanence entre de prendre de la ram pour 10 visites par jour. Ou un phpmyadmin par exemple.
Donc le moins de ram on prends, le mieux c'est, surtout sur des trucs genre beagleboard, raspberrypi, etc, ou sur des serveurs ou on paye à la ram, genre amazon ec2, gandi, etc…
Ensuite, on rentre aussi dans la sémantique. par exemple, dire que tout ce qui n'est pas interdit est autorisé. Et c'est pas interdit d'avoir d'autres repertoire haut niveau, et que les liens permettent de garder la compatibilité. Dire que si tu trouves ton soft dans /bin/ alors les executables pour booter y sont.
Enfin, je pense que personne ne suit à la lettre la FHS. Exemple gentoo à /usr/portage ( alors que ça devrait être dans /var ), Debian a du /usr/games, avec des régles en plus, Fedora/RHEL ont longtemps eu /selinux, et ont toujours /usr/libexec ( suivant les gnu coding standards http://www.gnu.org/prep/standards/html_node/Directory-Variables.html ).
Donc au final, c'est aussi pour ça que je trouve l'auteur du blog comme se focalisant sur les détails "visibles", alors qu'il y avait déjà plein de problème. Le fait d'avoir un /usr/libexec pose des soucis pour les outils qui codent en dur les chemins tout comme /usr/games. ( et c'est juste les détails que j'ai en tête un dimanche matin avant le fosdem ).
[^] # Re: Discussion entre un dev MIR et les dev Wayland
Posté par Misc (site web personnel) . En réponse au journal Mir, un serveur d'affichage de trop ?. Évalué à 10.
Wayland, c'est surtout du intel.
Et non, je pense que Canonical se soit fait toujours rejeter. Par exemple, il y a une personne payé par Canonical sur pulseaudio maintenant. Il y a pas de soucis sur network manager, et fedora/RHEL ont adopté upstart pendant un temps, RH a intégré openstack, projet fortement influencé par Canonical.
L'idée que les gens fassent des choix pour des raisons techniques et ne soit pas d'accord, en dehors d'un quelconque corporatisme semble vraiment être une idée passé. je sais qu'un monde avec 2 groupes en opposition est plus rassurant car plus facile à comprendre qu'un monde ou des humains ne sont pas d'accord pour des raisons trop techniques pour toi, mais ça ne veut pas dire que c'est la réalité.
[^] # Re: Une précision…
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 7.
ça fait 4 fois qu'il fait ça :
https://linuxfr.org/users/vida18/journaux/zorin-os-6-2
https://linuxfr.org/users/vida18/journaux/l-adn-le-stockage-de-demain
https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-open-source-made-in-france
https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-libre-francais
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
Nan, pour ça, faudrait que je fasse remarquer qu'il y a des gens qui iraient accuser certains de népotisme au sein du master lié à ce projet:
https://sites.google.com/site/esieanismaster/home/faculty-member
Ou que je fasse remarquer qu'un antivirus "français" fait en "france" pour la souveraineté nationale qui cherche à faire venir des étudiants d'indonésie pour les payer moins cher ( car 10 500 euros c'est pas cher ), ça fait tache
http://nismaster.blogspot.fr/2012/07/program-beasiswa-untuk-warganegara_26.html
ça, ça serait en effet dangereux.
Mais bon, vu que l'ESIA est rempli d'attaquants de haut niveau ( http://www.esiea.fr/Public/P/Esiea/Revue%20de%20presse/2013-03-01%20Sciences%20Avenir.pdf ), je suis sur qu'ils ont déjà eu le temps de pirater mon portable pour rajouter des preuves afin de tromper les magistrats.
[^] # Re: .
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 3.
Moi, je me souviens d'un outil de protection contre la copie appliquait sur le client windows de mon employeur, qui avait été détecté comme un virus chez ~30% des clients ( enfin chez 1 client ), parce qu'il utilisait justement le même genre de technique vielle d'il y a 10/15 ans ( virus polymorphe, qui se décode à la volée avec une clé, etc ) pour éviter la copie. Dieu merci, l’ingénierie à la rescousse, on a juste tenté de recompiler jusqu'à ce que ça passe, vu que contacter l'éditeur d'antivirus, c'était pas vu comme viable par le management.
[^] # Re: Une blague
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 2.
C'est aussi le comportement par défaut d'un firewall correctement mis. C'est aussi le fonctionnement de selinux quand tu es un utilisateur confiné. Et autant pour le firewall, ça a fini par rentrer dans l'esprit des gens ( et encore ), autant pour selinux, ça a du mal. Donc j'imagine parfaitement le temps d'adaptation pour l'administration française.
[^] # Re: SELinux ?
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 3.
Tu veux dire coder par des aveugles ?
# Une blague
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
Je sais que c'est mal de se moquer de gens qui travaillent dur, mais l'article est juste exceptionnel.
Donc en gros, DAVFI va aussi se lancer dans les appstores, et pour cela, va modifier les applications clientes. Est ce qu'ils savent que ç'est sans doute une violation de la licence de faire ce genre de choses ?
Ou alors, ça va juste faire ce que fait :
http://f-droid.org/repository/browse/?fdcategory=System&fdid=fr.keuse.rightsalert&fdpage=3
Ou juste automatiser http://intrepidusgroup.com/insight/2010/05/lock-down-your-android-apk-permissions/
La, on lit entre les lignes "on va faire un os basé sur android sécurisé", sauf qu'il va toujours avoir besoin de discuter avec les OEMs, pour éviter les soucis style "oups, on a un driver avec un accès en lecture écriture sur toute la mémoire". Bien tenté mais non.
non, viguard est le premier ( http://reflets.info/davfi-le-premier-antivirus-francais-on-va-vous-rafraichir-la-memoire/ ). Donc c'est le 2eme, si il sort un jour.
EN fait non. Des solutions d'IDS ont été mises en place, les outils d'analyses protocolaires existent de plus en plus ( genre, ceux que Qosmos a écrit ), et des approches de MAC ( selinux, etc ) sont déployés de plus en plus depuis 10 ans. Des outils d'analyses de malwares basé sur l'émulation ont été mis en place ( cf le lien du 25c3 que j'ai donné, ou le fonctionnement de viguard, des outils come systrace sur netbsd ), des outils de surveillances réseaux aussi ( exemple prelude, et autre outils de corrélation ). Des protections en profondeurs au niveau des OS ont également été mise en place, etc, etc. Ou le système de signature pour éviter les drivers moisis ( dans le cas de windows ), ou la mise en place du controversé secureboot.
En fait, le simple fait de voir que Norton vends maintenant un bundle "firewall + proxy filtrant + analyse de virus" montre bien que les éditeurs se sont adaptés. Les éditeurs font de la recherche, proposent des produits, des solutions ailleurs, et la montée des appstores est aussi une conséquence. En fait, dans la mesure ou le code des antivirus est fermé, je vois pas comment on peut affirmer que ça n'a pas changé depuis.
je vais arrêter de commenter, le niveau journalistique est si bas que je vais atterrir en Nouvelle Zélande si je creuse plus.
[^] # Re: Foutaises
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
On a vu à quel point ça marche d'avoir des coups d'avance avec les antivirus classiques déjà sur le marché.
Ce qui compte, c'est pas d'avoir un coup d'avance, c'est d'avoir des ressources ( lire du pognon ). Je pense que dans ce cas, les attaquants ont plus de ressources depuis longtemps. Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus ( même si la plus grande dissémination des idées permettraient une meilleur protection et un développement plus rapide, mais c'est le monde de la sécurité, la coopération rentre pas dans l'état d'esprit de la plupart, remplacé par une paranoia malsaine )
[^] # Re: AV
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 4.
Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.
Donc c'est un bête calcul statistique, avoir 10% de chance de perdre 1000 euros par rapport à 100% de chances d'en perdre 500, par exemple.
Et encore, la, je parle en terme purement monétaire, mais si jamais à cause de la liste blanche, tu ne donnes pas l'argent à temps pour un malade et qu'il meurt, on sort totalement du cadre monétaire, et personne ne prends jamais en compte ce genre de perte. Et en général, on se focalise sur le coté exceptionnel de l'attaque, en oubliant totalement les soucis à long terme ( exemple, les mesures de sécurité dans les aéroports ).
[^] # Re: SELinux ?
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
selinux peut le faire, en mettant des labels sur les process, les utilisateurs, les ports réseaux, etc. Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.
C'est tout le cœur des modèles de sécurité comme :
https://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model
La façon dont les distribs utilisent selinux, c'est plus pour s'assurer que le processus toto n'a le droit d'utiliser que le port 80 et aucun autre, ou n'a le droit de faire que tel appel systéme, ou lire tel fichier avec tel label. Ça ne protège pas de tout ( par exemple, un serveur apache compromis va toujours avoir accès à ton certificat privé ), mais ça bloque pas mal d'attaque ( par exemple, ton serveur apache, même en root, va pas pouvoir piquer la clé ssh du serveur avec un politique selinux par défaut, sauf erreur de ma part ).
Si le but de davfi est de faire une sandbox, il y a déja plein de projet sur ça, basé sur apparmor, sur selinux, sur seccomp, etc. Chercher arkose, glimpse, libvirt-sandbox, ou voir les différentes présentations sur chrome, sur la séparation de privilège.
Si l'idée, c'est de faire comme viguard, alors des outils libres existent déjà depuis 5 ans :
http://events.ccc.de/congress/2008/Fahrplan/events/3002.en.html
Et en cherchant un peu, tu va tomber sur des choses comme dirtbox, ou ce genre de post de blog :
http://nuald.blogspot.fr/2010/10/shellcode-detection-using-libemu.html
[^] # Re: ClamWin
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
bah, suffirait pour les gens de davfi de bosser sur clamav directement au lieu de repartir de 0 en se disant "je fait mieux que tout le monde".
Ah non, on me dit qu'il s'agit d'un antivirus sur la base de clamav :
http://pro.clubic.com/it-business/securite-et-donnees/actualite-449556-securite-davfi-projet-antivirus-francais-open-source.html
Bien sur, faire un projet libre, ça impliquerais de suivre les bonnes pratiques, comme "envoyer les patchs pour publication et revue auprès des externes", et pas "coder dans notre coin puis faire un produit semi proprio". Enfin, tant que Davfi ne tente pas de poser des brevets à l'étranger sur ses "innovations" ça devrait aller. Ça serait quand même un truc qui risquerait de ternir sa réputation auprès des libristes, ça. Et ça serait un peu nulle de l'avoir dit dans un événement du libre un jour à quelqu'un.
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 10.
Ah aha ah.
pardon.
Donc motivé, sans doute. Qui connait son sujet, ça dépend fortement du sujet. Il a dit avoir cassé AES, mais en fait non ( cf http://eprint.iacr.org/2003/022.ps ) . Il a dit avoir cassé tor, mais en fait, non. Ou plutôt, l'attaque, c'est "si je rajoute assez de noeud compromis, le réseau est compromis". Comme dirait un collègue, "no shit sherlock". Mais c'est une attaque connu ( à savoir celle d'un attaquant global avec assez de noeuds ), et il a monté toute la sauce autour de ça en utilisant des choses complexes comme "utiliser un virus pour infecter les relais sous windows pour compromettre le code de tor par injection dans le process", ce qui est plus vendeur que "remplacer le binaire de tor via un exploit IE". Et j'invite les gens à lire ce post de blog, et à suivre les liens :
https://blog.torproject.org/blog/rumors-tors-compromise-are-greatly-exaggerated
Je pourrait aussi parler de perseus ou seclamav.
Et en fait, plutot que de me répéter, j'ai déjà dit tout ce que je pense de Davfi sur le premier journal, avec déjà le même type de titre, fait par la même personne :
https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-open-source-made-in-france
Et pour la petite histoire, mon commentaire a amené un des responsable du projet à venir me parler lors de l'Open WOrld Forum pour ce que j'ai personnellement pris pour des menaces, en me demandant d’arrêter sinon des choses seront mises en place. Après enquête rapide ( car bon, quand on connait vraiment du monde, ça va plus vite ), ce que j'ai compris, c'est surtout que quelqu'un a fait remarquer à quelqu'un de l'APRIL que le projet est pas si libre qu'on veut nous le faire croire, et qu'il y a eu discussion entre des gens de l'APRIL et le dit responsable, et il pense que c'est moi qui a tuyauté et donc sali la réputation du logiciel auprès de l'association. N'importe qui capable de lire les annonces va voir que le projet est pas clair du tout et que le qualifier de libre ou d'opensource, c'est juste un raccourci marketing. Ou alors va falloir revoir le jugement sur github et mac os x à ce niveau si il suffit d'avoir juste un morceau sous une licence potable pour que tout soit libre.
Et vue qu'on a déjà bien entamé 2013 mine de rien, je trouve curieux de voir que les fiches de recrutements sont encore la depuis plus de 8 mois ( http://www.davfi.fr/recrutement.html ) et qu'il y a pour le moment que de la communication autour du projet. Peut être qu'il y a pas assez de personne pour mettre à jour le site. C'est vrai que 5 millions de cash, ça permet pas de payer un webmaster.
[^] # Re: redhat en poste de travail
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Red Hat Enterprise Linux 6.4. Évalué à 5.
Oui, et puis, c'est pas parce que tu peux avoir un truc gratuitement qu'il n'a pas de valeur, ou que quelqu'un n'a pas passé du temps et de l’énergie dessus.
Mandriva s'en sortait pas si mal avec le club ( ou du moins, était en bonne voie ), avant que Canonical n'arrive, ne réduise le marché du desktop à zero ( en sciant aussi la branche sur laquelle elle voulait s’assoir dans le futur )
50€ par an, c'est largement moins que le crédit que tu rembourses sur un iphone par exemple. Mais bon, c'est aussi vachement moins hype, je comprends que les gens préfèrent financer l'innovation chez Apple que la maintenance chez d'autres ( car Suse propose aussi le même genre d'offre ).
[^] # Re: c'est donc bien votre faute à tous
Posté par Misc (site web personnel) . En réponse au sondage Quel est votre niveau d'utilisation du libre ?. Évalué à 2.
Bah attends, si tu as la solution, pourquoi tu poses la question :/
[^] # Re: redhat en poste de travail
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Red Hat Enterprise Linux 6.4. Évalué à 6.
Ben si personne ne paye, forcément, personne ne va se dire que ça vaut le coup d'investir la dedans. En fait, faut pas chercher plus loin le pourquoi personne investit dans le poste de travail pour particulier.
# 5 premières minutes sans son
Posté par Misc (site web personnel) . En réponse au journal Systemd dans Debian, la vidéo. Évalué à 10.
Alors j'ai chopé la vidéo, et pendant 5 minutes, y a pas de son ( ce qui m'a fait chercher pendant 30 secondes le problème )
Sinon, à 23/24 minutes : "Jessy, the next release, we will probably use sysvinit on most system".
"In gnome 3, I think, we will start to depend on systemd, and that will create lots of interesting flamewar."
"By default, I think, we will likely see sysvinit as still the default, systemd is going to be supported. If we can move to a single init system for jessy, that would make me very happy, but I don't think that's gonna fly politically. because this is as much a political question as a technical question."
Donc en gros, systemd supporté officiellement, mais pas installé par défaut.
Suivi d'une discussion sur le passage de jessie à logind pour l'équipe gnome, avec un impact inconnu pour kfreebsd. Ils n'ont pas les ressources pour maintenir consolekit et pas d'utilisateur de kfreebsd et de gnome, ce qui leur prends du temps pour rien d’après un des 2 conférenciers.
Ensuite, Tolef ( je crois ), explique qu'ils veulent rendre systemd plus facile à packager ( outil systemd aware, synchronisation de l'état des systems d'init ), et il y a une question de l'assistance.
Le reste attendras.
[^] # Re: Hein
Posté par Misc (site web personnel) . En réponse au journal Delta Lloyd Lebensversicherung AG fait confiance à SUSE pour gérer ses serveurs Redhat. Évalué à 8.
De ce que je sais, l'équipe ovirt serait intéressé par quelqu'un pour faire le paquet debian, et pour le moment, il y a juste des instructions sur le web ( http://www.ovirt.org/Ovirt_build_on_debian/ubuntu ).
Visiblement, il y a aussi une équipe autour de freeipa ( http://qa.debian.org/developer.php?login=pkg-freeipa-devel@lists.alioth.debian.org )
Et spacewalk supporte debian.
Par contre, je vois pas le support de SAP pour Debian, du coup, j'ai du mal à voir en quoi Debian serait si en avance. Et la comparaison entre un système avec une durée de vie de 2 à 3 ans comme Debian, et un truc à plus longue durée ( genre 10 ans ) comme SLES ou RHEL me parait aussi curieuse. Du coup, le qualificatif "blaireaux" me semble un chouia mal trouvé.
[^] # Re: Vla le débat
Posté par Misc (site web personnel) . En réponse au journal Delta Lloyd Lebensversicherung AG fait confiance à SUSE pour gérer ses serveurs Redhat. Évalué à 2.
Novell et Suse sont 2 business unit séparés maintenant.
Et c'était plus un accord commercial de vente conjointe de support linux et windows, ce qui en soit me semble pas totalement déconnant dans un environnement mixte. C'est pas comme si les SSIIs ou les revendeurs n'étaient pas déja tous en train de faire ça depuis des années.
# Plus de précision
Posté par Misc (site web personnel) . En réponse au journal Delta Lloyd Lebensversicherung AG fait confiance à SUSE pour gérer ses serveurs Redhat. Évalué à 10.
Alors pour tout ceux qui comme moi n'ont jamais entendu parler de quoi parle ce journal, et dans le but d'essayer d'aider Samuel à être pertinent :
Delta Lloyd Lebensversicherung AG est visiblement un courtier en assurance allemand. En fait, c'est la filiale d'une filiale d'une banque présente dans 3 pays, le 6eme assureur des pays bas. J'ai pas trouvé grand chose sur la filiale mais on parle d'une migration d'un parc de 60 serveurs en RHEL.
Les chiffres proviennent directement d'un pdf sur le site de novell ( www.novell.com/docrep/2013/01/delta_lloyd_lebensversicherung_ee.pdf ). Le pdf souffre d'un manque de précision, il parle de cout de license au lieu de cout de souscription ( la différence est subtile ), et il oublie des détails. Par exemple, pourquoi l'interface de Suse Manager ressemble à celle de RHN ( ce qui évite donc les couts de formation ), ou pourquoi se concentrer sur l'OS alors que les couts d'Oracle et de SAP sont souvent les plus importants ( et ceci sans compter les 70 à 90% de réductions par rapport au prix public, je pige pas pourquoi personne ne proteste contre ça auprès des autorités ).
Pour ceux qui n'ont jamais entendu parler de Suse manager ( car c'est quand même une offre assez peu connu ), c'est une version de Spacewalk ( http://spacewalk.redhat.com/ ), le produit à la base de satellite ( qui est l'offre commercial de Red Hat du code de spacewalk, cad avec un travail de stabilisation, de documentation, de support sur une version "figé" dans le temps ), mais proposé par Suse. Satelitte ayant été annoncé comme projet communautaire en 2008 lors du RH Summit à Boston, il a donc fallu un peu de temps pour que des gens se penchent dessus.
Les 2 sociétés travaillent main dans la main sur l'engineering d'un produit libre, ça n'arrive pas si souvent hélas.
Le logiciel permet de voir à quel niveau d'update sont les serveurs, d'installer des paquets, de gérer les dépôts et les migrations ( genre test => production, etc ), via une interface web, mais également via une API tout ce qu'il y a de plus classique.
Plus d'info sur la doc, soit de suse manager :
https://www.suse.com/documentation/suse_manager/book_susemanager_quickstart/data/art_susemanager_quick.html
ou les documentations du produit original :
https://access.redhat.com/knowledge/docs/Red_Hat_Network_Satellite/?locale=en-US
A noter qu'une version plus moderne est en cours d'écriture sous le nom de Katello ( http://www.katello.org/ ) avec pulp, candlepin, etc. J'ai pas encore compris comment tout s'emboite exactement, vu que c'est encore en cours d'écriture et dispo officiellement dans aucune distribution, mais les gens qui s'intéressent au sujet peuvent regarder en détail.
[^] # Re: Mauvaise interprétation
Posté par Misc (site web personnel) . En réponse au journal Systemd dans Debian. Évalué à 2.
ou EDITOR="perl -e + stuff " crontab -e
En fait, le coup de faire une modif de contab, c'est de pas avoir de locking. Je suppose qu'il y a peu de risque en pratique, mais je pense que /etc/cron.d est plus sur à ce niveau la.
[^] # Re: Vraiment ?
Posté par Misc (site web personnel) . En réponse au journal Systemd: tuons les mythes. Évalué à 3.
Donc attends, tu inventes ce que je dit, puis tu dit que ça correspond pas à la réalité. Et ensuite tu dit que tu n'utilises pas d'argument de l'homme de paille, vraiment ?
Vu que visiblement, tes arguments ne s'encombrent pas de précision, je vais compléter pour toi.
Le format que tu cherches, c'est protobuf :
http://code.google.com/p/protobuf/
Bien que tu ne donnes pas de définition de ton neologisme "json-like", je suppose que tu parles de ça à cause des '{' et '}' servant de délimiteurs. Ça n'a rien de json, car l'avantage du json, c'est de se lire directement presque partout. La, il faut un parser spécifique pour le .proto, par exemple.
Encore une fois, la configuration d'un service n'a pas besoin d'une structure complexe, quoi que des années de java ont réussi à faire croire. Tu définit des variables simples pour définir ce que tu veux, et le reste dépend du logiciel. Donc à partir de la, un simple format clé/valeur doit suffire. D'ailleurs, il a suffit pendant des années pour justement la fameuse philosophie unix à base de variable d'environnement ( modulo le besoin d'avoir des tableaux comme $PATH, $LS_COLORS, mais c'est minoritaire )
Donc non, je pense que chaque format a ses avantages, et à partir de la, il faut choisir.
[^] # Re: Mauvaise interprétation
Posté par Misc (site web personnel) . En réponse au journal Systemd dans Debian. Évalué à 2.
C'est le cas car tout le monde est passé à cronie, qui a pris le patch debian sur le sujet.
IE, la version cron d'avant ( ie, vixie cron ), non maintenu, n'a jamais fait ça de base.
[^] # Re: Mauvaise interprétation
Posté par Misc (site web personnel) . En réponse au journal Systemd dans Debian. Évalué à 2.
Mais seulement pour root, via /etc/cron.d .
[^] # Re: Intégration de LXC
Posté par Misc (site web personnel) . En réponse au journal Systemd dans Debian. Évalué à 3.
En F18, y a déjà http://danwalsh.livejournal.com/59144.html
Mais c'est vrai que le lancement à la demande d'un containeur , comme montrer ici : http://savanne.be/articles/deploying-node-js-with-systemd/ , ça permet d'envisager faire des trucs sympas en auto hebergement.
par exemple, mon blog, je pense qu'il a pas besoin d'être en permanence entre de prendre de la ram pour 10 visites par jour. Ou un phpmyadmin par exemple.
Donc le moins de ram on prends, le mieux c'est, surtout sur des trucs genre beagleboard, raspberrypi, etc, ou sur des serveurs ou on paye à la ram, genre amazon ec2, gandi, etc…
[^] # Re: Je ne suis toujours pas convaincu
Posté par Misc (site web personnel) . En réponse au journal Systemd: tuons les mythes. Évalué à 3.
Ensuite, on rentre aussi dans la sémantique. par exemple, dire que tout ce qui n'est pas interdit est autorisé. Et c'est pas interdit d'avoir d'autres repertoire haut niveau, et que les liens permettent de garder la compatibilité. Dire que si tu trouves ton soft dans /bin/ alors les executables pour booter y sont.
Enfin, je pense que personne ne suit à la lettre la FHS. Exemple gentoo à /usr/portage ( alors que ça devrait être dans /var ), Debian a du /usr/games, avec des régles en plus, Fedora/RHEL ont longtemps eu /selinux, et ont toujours /usr/libexec ( suivant les gnu coding standards http://www.gnu.org/prep/standards/html_node/Directory-Variables.html ).
Donc au final, c'est aussi pour ça que je trouve l'auteur du blog comme se focalisant sur les détails "visibles", alors qu'il y avait déjà plein de problème. Le fait d'avoir un /usr/libexec pose des soucis pour les outils qui codent en dur les chemins tout comme /usr/games. ( et c'est juste les détails que j'ai en tête un dimanche matin avant le fosdem ).