Denis Montjoie a écrit 135 commentaires

Essaye lynis, tiger voir mieux yasat (http://yasat.sourceforge.net)

Au risque de passer pour un ralleur mais j'ai essayé xymon justement il y a pas longtemps.
Il a enchainé les segfault et j'ai voulu voir ce qui se passait.
Pour cela j'ai regardé le code et horreur....
Un logiciel qui test pas le retour de ces malloc peux il être qualifié de grand qualité ?
Et je parle pas des autres fonctions critiques qui sont a moitié testée (write etc...)
De même que le makefile qui supporte même pas la compilation parallele.

En mettant Urlwatch en cron, on obtient un diff des pages entre 2 moments.
Cela permet de surveiller notament les pages "download" des projets. (independament de leur systeme de version).
Seul probleme, les sites avec pubs aleatoires et/ou compteur de vistes.

Ca marche pour surveiller l'upstream de 90% des ebuilds que je maintient.

Enfin d'apres #grsecurity
<spender> you see that n--,buf++ change in 2001? :P
<spender> was the difference between always using only the first byte of entropy for its PRNG, and using the whole buffer that it was supposed to :p

Le commit avec la faille http://www.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c.diff?r1=1.35;r2=1.36

Et le correctif http://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/017_rnd.patch

Donc en gros la faille a ete presente 1 an.

"tu n'es pas sans savoir que la france".

Je dirais plutot l'équipe de France de football, car personnellement je ne me sens pas affecté par cette humiliation.

Mon pere utilise NVDA ( http://www.nvda-project.org/ http://www.nvda.fr/)
C'est un descripteur d'écran, c'est à dire que ca décrit ce qui s'affiche sur la fenetre active.

NVDA permet donc de lire l'affichage de firefox par exemple.
En matiere de navigation web c'est selon les sites malheuresement car ca décrit tous ce qu'il y a dans la page web.

Sur des sites épurés comme google ca passe, mais sur des sites remplis de pubs/liens c'est assez long.

Il me semble que jaws (pareil que NVDA mais propriétaire) avait les meme problemes.

Comment le logiciel pourrait deviner les liens/infos à lire des liens/infos inutiles (inutile étant subjectif en plus) ?

J'ai tenté avec des bloqueurs de pubs mais ca ne suffit pas.

En plus GRSecurity suivra aussi cette branche:

We will of course continue to follow the latest kernel releases in
addition to this long-term stable kernel support.

http://grsecurity.net/pipermail/grsecurity/2010-January/0010(...)

Pratique pour ceux qui veulent avoir grsecurity avec une même branche stable de Linux.
Il me semble que c'est la 1ere fois que GRSecuirty fait ca.

Encore une fois, il lance son exploit en contexte SELinux unconfined_t ce qui fait que SELinux est deja "desactivé" pour lui.
Et la 2eme video, j'ai pas vu de trace de SELinux.

Bon ok, a partir du moment où on passe en kernel land on fait ce qu'on veux.

Il a l'air de dire que SELinux c'est pourri mais son exploit ne marche que parseque il est executé en contexte unconfined_t, ce qui n'arriverais pas si SELinux était "vraiment" utlisé (aka utilisateur en user_t, pulseaudio en pulseaudio_t etc... )
(information confirmé sur #selinux)

PS: unconfined_t ca veux dire "pas confiné par SELinux", pour ceux qui n'en ont jamais fait.


UPDATE: not just that, SELinux lets any user in unconfined_t map at
0, overriding the mmap_min_addr restriction! pulseaudio is not
needed at all! Having SELinux enabled actually *WEAKENS* system
security for these kinds of exploits!

Super la sécurité de l'application aussi, avec des mots de passe en clair au lieu de md5/sha1/autre

Les doublages peuvent meme des fois être "meilleur".

Prenons l'exemple de la VF de ken le survivant avec les attaques hokuto à pain.

Il y a des RBL qui permettent de detecter les noeuds tor (exemple parmis d'autres http://efnetrbl.org/).
Et malheuresement sur IRC, beaucoup de petit rigolo utilise TOR pour faire chier. Donc a mon avis les RBL de efnet sont "efficaces" contre TOR. Au risque qu'une ip dynamique y reste à vie dans la RBL.

De plus beaucoup d'autres RBL blacklist (sans le savoir ?) des noeuds TOR. Je l'ai vu en testant diverses RBL, les noeuds TOR sont toujours au moins dans une autre RBL (spamhaus, drone rbl etc...).
Il suffit que 1 spammeur utilise un noeud de sortie TOR pour qu'il (le noeud de sortie) risque d'etre considéré comme machine piratée/spammeuse.

L'ipv4 n'est pas fait pour mutualiser les personnes sur une meme IP malheuresement. une personne qui fait le con = l'ip banni pour tous le monde.

Ouf, avec le titre, j'ai cru que Xorg allait implémenter un filesystem en mémoire de carte graphique en passant par FUSE.
Je suis rassuré.

Quoi que, sur un serveur, ca pourrait etre utile? Déjà que les GPU peuvent être détournés de leur utilisation première...

Bonjour

Vous avez oublié les liens vers le site de NVDA.
http://www.nvda-project.org/
et pourquoi pas le lien vers le site des utilisateurs Francophones http://www.nvda.fr/

NVDA est une synthése vocale d'un trés bon niveau.
D'aprés mon père (aveugle), elle est (pour son utilisation simple d'un ordinateur) aussi bien que JAWS. voir même mieux dans le support de firefox et thunderbird.
Une exelente alternative à la synthése JAWS (qui tous de facon ne marchait plus sur son nouveau PC à cause de la nouvelle carte vidéo... un comble pour un logiciel pour aveugle).

Diverses fonctionnalités de sécurité issues de la branche exec-shield maintenue par Ingo Molnar font leur entrée dans le noyau officiel.
On peut citer, pour l'architecture x86, la randomisation de la pile ou encore celle des exécutables.

Ce sont les mêmes types de randomisation que offrent grsecurity/pax ?

Et bien moi je dis que SI, la ligne de commande est accessible à tout le monde.

Et je le prouve:

J'étais formateur en Bac PRO en MRIM (reseaux et informatique) avec des eleves de 16 a 50 ans venant d'horizon tres divers (sanitaire et social, plombiers etc..).
Et ben la ligne de commande était plus facile pour eux qu'utiliser windows.
un clic = un resultat aleatoire (par aleatoire je veux dire on voit pas focement le resultat ilmédiat du clic) ( en plus cest clic gauche ou clic droit? ou double clique gauche ou double clic droit?).
La souris, il n'ya rien de pire pour derouter les débutants. Il save pas où cliquer et comment cliquer.

Alors que une commande = un resultat a lecran. Une commande c'est plus facile à noter sur un papier et à reternir.

Et je ne parle meme pas de mes parents qui sous dos était autonome et qui ne le sont plus depuis windows 98.

Tu as oublié le mot illégalle aprés saloperie.

> qu'elle a été votre participation (projet perso, traduction, patches...) ?
J'ai contribué au projet Lm_sensors et Linux sous forme de patches.
Mais une contribution très utile aussi est la relecture de patches d'autres personnes.

> Pour quelle raison avez-vous "tenu" à participer
J'avais besoin d'un driver pour mon serveur et il n'existait pas. Ca tombait bien car j'avais envie de bosser sur un projet sérieux et j'arrivais pas à me décider sur quoi.
C'est la qu'on voit l'importance du logiciel libre. Avec un système propriétaire je n'aurais jamais pu avoir mon driver aussi facilement/rapidement (voir pas avoir du tous). De plus mon travail profite aux autres.

> comment cela s'est-il passé?
Très très bien. Contribuer à un projet est très intéressant, je le recommande. On apprend plein de choses au contact d'autres programmeurs.
<Mode mégalo>
Et puis ca fait toujours classe de dire "j'ai fait un driver Linux".
</Mode mégalo>

> Ces sous serviront à payer autre chose. Ces autres choses ça fera aussi de l'emploi.

Pas sur, ca paiera/engraissera peut etre les actionnaires...

Apres va falloir que les actionnaires creent de l'emplois...

Mais vu l'état de la mode économique, j'ai cru comprendre que les actionnaires prefere virer du monde pour faire du bénéf..

Enlarge your communauté, use GPLv3.

Le futur c'est pas les version numérotés mais les versions avec des noms.
Même le web 14.5 ou le web 2008 sont en retard.

Moi j'attend le Web "NG"

Sinon qui veux programmer le plugin flash en ascii art/libcaca pour lynx ?

Pour l'homogénéité suffit d'utiliser les commandes shell ifconfig, route, ping ya pas plus homogene, même windows les a.
Et c'est pas plus compliqué de dire "tape ifconfig" que "clic bouton droit sur l'icone machin". Les utilisateurs de base se trompent toujours avec le clic droit/gauche/double clic/glisser déposer

Et ne dites pas "la ligne de commande c'est nul", mes parents en chient avec les modes graphiques alors que sous DOS ils étaient autonome.

Deja pour la renumeration il y a des limites légales (pas plus de 25% du SMIC par exemple (ce sont mes souvenirs le 25%))
Si dépassement de cette limite il y a, le stagiaire devra payer des impots dessus.
(A verifier, mais logiquement les responsables stages des écoles le savent et peuvent vous renseigner dessus)

Pour les écoles, tous etudiant en master 2 (ex DESS) dois faire un stage de 6 mois.
Plus qu'a trouver des écoles fesant des M2 :).

installe lspci.
Cest dans le package pciutils je crois.
En l'installant tu installe un fichier idquelqechose. (sous gentoo on voit le nom car il le telecharge)
Et dans ce fichier tu as tous les id reconnu.

et surtous quand tu tape lspci tu obtient tous ce qui est connu:
par exemple
00:00.0 Host bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] System Controller (rev 11)
00:01.0 PCI bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] AGP Bridge
00:07.0 ISA bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ISA (rev 04)
00:07.1 IDE interface: Advanced Micro Devices [AMD] AMD-768 [Opus] IDE (rev 04)
00:07.3 Bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ACPI (rev 03)
00:10.0 PCI bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] PCI (rev 04)
01:05.0 VGA compatible controller: ATI Technologies Inc Rage 128 Pro Ultra TF
02:05.0 Ethernet controller: National Semiconductor Corporation DP83815 (MacPhyter) Ethernet Controller


jarrive pas a retrouver le nom de ce fichier mais avec un find/locate tu devrais y arriver.

Si vous etes professeur de réseaux et systemes comme moi, inscrivez vos eleves .

Moi toutes mes classes sont presque forcés a le faire en TP :D
car le challenge securitech est un exellent moyen d'aprendre plein de choses.


PS: moi jai été dans le top 100 ya deux ans:D