Mais c'est quoi "raisonnable" ? Tu ne sais pas quelle est la taille de ton plus gros chunk disponible dans l'espace memoire, tu ne sais pas si le systeme a du swap/ram physique dispo pour garantir ton chunk.
Le seul moyen de savoir si tu as de la place pour ton alloc c'est de … faire l'alloc.
C'est quoi la longueur maximum alors ? Lorsque ton systeme est sous pression memoire, c'est quoi la longueur maximum que tu peux accepter ? Parce que t'auras pas besoin d'une allocation de 2Gb pour exploser ton allocation a ce moment la.
Lorsque ton protocole te passe une collection de structures tu fais quoi ? Tu fais un comptage manuel de combien de memoire tu as dispo (bonne chance pour ca vu que les autres threads/processus changeront ca sous tes pieds) a chaque allocation pour savoir a quel point c'est trop ?
Evidemment que non, la solution restante est de verifier la valeur de retour de malloc…
Toi tu n'as visiblement jamais eu a ecrire du code serveur ou tu recois une requete avec un champs decrivant la longueur et les donnees derriere.
Tu t'amuserais a faire quoi si le champs longueur est tellement grand que ta requete d'allocation echoue ? Tu tues le serveur et toutes les connections qui sont en cours ?
Embarquer des donnees sur la clef, c'est tres limitatif : espace disponible, savoir quand la clef est enlevee, absence de communication 2-ways contrairement a la radio pour command & control, etc…
Tu me montres ou ils recommandent Linux/OpenBSD/jenesaisquoi plutot que Windows ?
Ah oui, nulle part. Tu preferes prendre absence de recommendation comme une accusation, sans meme chercher a voir qu'ils ne recommandent aucun autre systeme.
Tu penses sincèrement qu'ils l'utilisent partout, y compris pour les plus hauts niveau de sécurité ? Non parce que sinon (discussion de bas étage), il suffit qu'il y ait un cuisinier allemand dans une base militaire qui utilise un système de gestion de stocks de nourriture pour la cantine basé sous windows pour dire que le ministère de la défense allemande utilise windows, hein…
PARTOUT non, dans la plupart des endroits, y compris des elements sensibles, oui.
There's been enough backlash on Patrick's article that the German Federal Office for security in information technology has provided an actual press release to set the story straight. The press release is HERE, but I've included the translated bits below.
The press release states that the German government did not warn against using Windows 8. It only highlighted that steps needed to be taken to ensure that Windows 8, with TPM, provided a safe computing environment****
J'ai cité IBM avec Lotus Notes. En remontant plus loin, IBM avait poussé le standard DES qui était volontairement affaibli par la NSA (clef de 56 bits au lieu de 64, soit 256 fois plus faciles à péter).
De nouveau, du blabla qui ne vaut rien. La loi etait claire et publique : a l'international l'entropie etait limitee a 40bits. Les societes US vendaient les softs avec des elements crypto repondant a ces criteres, qui etaient publiques, les clients savaient ce qu'ils achetaient. Rien de cache, pas de backdoor dissimulee.
Accessoirement, tous les services en ligne (donc offerts à l'étranger) d'industriels américains renommés (y compris ceux de Microsoft) sont accessibles à la NSA, d'après les documents fuités par Snowden.
De nouveau, je ne vois pas le rapport avec le soft. Les fournisseurs de services sont lies a des lois specifiques, auquelles l'edition de soft n'est pas soumis.
Sans déconner, la première clef serait détruite par inadvertance ou perdue ? Et il faudrait utiliser la deuxième, qu'on met donc en double chez tous les clients ?? Tu ne te foutrais pas de tous ceux qui suivent la conversation (et de moi en particulier) ?
Non du tout, c'est l'explication, et elle a ete donnee publiquement par MS. Je t'ai mis le lien precedemment, mais visiblement tu n'as pas estime qu'il fallait lire la version de MS.
Si la première clef, qui sert régulièrement (grosso modo à chaque mise à jour, pour les signatures), qui fait maximum 4Ko (c'est large) et peut donc être stockée sur deux feuilles A4 dans 36 banques différentes, est perdue, que dire de la deuxième, qui selon tes dires n'aura servi à rien jusqu'ici ?
J'imagines bien qu'ils la gardaient separement.
Et Microsoft ne serait pas capable de conserver ne serait-ce que 4 kilo-octets aussi sensibles ?
J'en sais rien, je sais pas quelle infrastructure ils avaient a l'epoque, visiblement il devait y avoir une crainte, et j'imagines bien que dans les annees 90 MS n'etait pas le mastodonte avec une organisation rigoureuse qu'il est aujourd'hui.
Ben dis moi, vous étiez mauvais à ce point chez Microsoft à l'époque ? Il ne me semble pas avoir entendu parler de beaucoup de mails détruits chez les utilisateurs hotmail, par exemple… Et ça représentait un peu plus que 4 Ko.
Les pertes de donnees ca arrive partout, les annees 90 c'est pas les annees 2000, les societes murissent, s'organisent mieux… Tu remarqueras que les versions recentes de l'OS n'ont pas de clefs de backup.
a) Les allemands et les francais utilisent Windows dans leur departement de la defense depuis plus de 10 ans, ca suffit pour voir a quel point ils en ont peur…
b) Tu es le seul ici a dire que d'autres industriels americains exportent des produits compromis par la NSA et qu'ils le savent/ont collabore.
Dans le cas de l'AS/400 les agences gouvernementales n'ont effectivement pas « forcé » IBM. Mais, elles ont quand même imposé certaines caractéristiques de l'OS pour accepter de l'utiliser. Ce n'est pas n'importe quel client qui peut formuler de telles demandes.
N'importe quel client qui represente un gros pourcentage de ventes le peut, c'est le cas du gouvernement, et ajouter cela ne pose aucun risque a IBM envers ses autres clients donc ils le font, normal.
Si la première clef n'est pas révoquée, autant continuer à l'utiliser, même si elle est compromise, et pas besoin d'une deuxième clef.
Mais pourquoi parles tu de compromission ?! Je t'ai dit depuis le debut que la 2eme clef est la au cas ou la 1ere est PERDUE
Je te dis pas qu'elle est volee, mais qu'elle est perdue (tremblement de terre qui explose le lieu ou elle est stockee, etc…)
Dans ce cas la, il n'y a aucun besoin de revoquer la 1ere clef.
Note : pour bien nous comprendre, on ne perd jamais une clef au sens "l'oublier", "avoir perdu l'unique papier sur lequel elle était écrite" ; surtout une clef de cette importance, qui sert très régulièrement.
Elle peut etre detruite, et c'est bien ca le risque qui a amene la 2eme clef, cela a ete dit clairement.
Supputation encore, tu as simplement absolument envie de croire que MS l'a fait, et tu t'amuses a sauter plein de barrieres pour arriver a ta conclusion, reviens quand tu as du solide, d'ici la, formes tes phrases en tant qu'hypotheses plutot qu'affirmations.
Tu n'en sais rien, tu presumes, tu supputes, et tu n'as rien pour le soutenir, depuis le debut. Reviens quand tu as un truc un peu solide et on en reparlera.
Faudrait peut-etre aussi comprendre de quoi il parle avant de sortir n'importe quoi ?
Va chercher ce que Common Criteria et EAL sont, tu comprendras que que les agences gouvernementales US ont demande des lors. Ils ont des standards pour la securite des softs qu'ils utilisent, et les softs doivent repondre a ca pour etre adopte dans des agences.
Que des agences gouvernementales US fassent des demandes aux editeurs de softs ne veut pas dire que c'est forcement des backdoors qu'ils demandent hein.
et elle s'étend donc à tout Microsoft jusqu'à preuve du contraire.
Ca encore c'est une belle connerie.
La NSA a un mandat sur certains aspects du commerce (export crypto notamment), et tu en profites pour etendre cela a l'ensemble de ce que la NSA fait sans aucun element le justifiant.
De nouveau, cela n'engage que toi et ta vision du monde, ca n'en fait pas une realite.
Que la NSA les ait vole d'une maniere ou d'une autre je peux tout a fait l'imaginer.
Que MS les ait donne, bcp moins.
Sinon j'ai rien vu dans les docs de Snowden disant que les societes US donnaient quoi que ce soit de ce genre a la NSA. J'y ai surtout vu parler de la NSA influencant des organismes comme NIST, s'infiltrant dans les boites pour prendre ce dont il a besoin, …
Si les ingés ne veulent pas suivre et qu'ils se cassent, c'est autant de voix d'opposition en moins.
Si ils se cassent, la boite n'arrivera pas a atteindre ses objectifs, et finira dans le mur…
Quand t'as du monde en dessous, tu ne vois plus s'ils sont bons ou pas. Tu vois des managers/directeurs qui te font des rapports, et tu ne descends pas voir les ingénieurs pour leur demander si "c'est vraiment vrai ce qu'il y a là-dedans?"
Les gens marchent dans les couloirs, ils se rencontrent, parlent autour de la machine a cafe. Faut arreter de croire que c'est des sas etanches.
Je ne sais pas quel niveau hiérarchique tu occupes, mais ton chef te refile toujours les présentations qu'il fait à son propre chef? Je pense que non.
Pas toutes non, mais son chef il etait dans le couloir a 100 metres de moi, on se croisait souvent et on causait de x, y, z
Si moi ou un autre voyait un truc qui cloche, on avait toute lattitude pour en parler avec lui, ou meme la personne au dessus.
Et son chef, tu as la moindre petite idée de ce qu'il rapporte sur votre équipe au niveau encore au-dessus?
De nouveau, idem. Les gens se parlent.
Et même si c'est trop transparent dans la hiérarchie, on peut encore sortir une autre arme: on recrute un consultant, qui a une mission officielle mais à qui on a déjà discrètement expliqué ce que devra être sa conclusion.
De nouveau, en isolation oui. Dans un contexte reel c'est tres dur car cela se voit quand la source d'opposition vient d'un lieu central.
Ah oui c'est rigolo, tout le monde l'a implemente, y compris la librairie cherie du libre, mais tu arrives a focaliser tout le negatif sur MS, qui sont pourtant les seuls a avoir signale un probleme dans dual_ec_drbg…
Tout a fait oui, parce que tu te contentes d'accuser, lancer des hypotheses, sans rien de solide derriere. Je peux te lancer une hypothese demontrant que Francois Hollande est un pretre pedophile extra-terrestre en suivant le meme genre logique.
Tu lances une hypothese, c'est une hypothese jusqu'a ce que tu aies quelque chose de solide qui demontre sa realite.
Ca c'est la belle theorie qui marche a peu pres de nos jours.
Elle marchait bcp moins bien dans les annees 90 quand peu de gens avaient internet et un moyen de verifier les listes de revocation. Sans parler du fait que revoquer la 1ere aurait entraine l'impossibilite de charger le moindre module (tout etait signe avec), et qu'il aurait donc fallu aussi resigner tous les modules et les envoyer a tout le monde, ce qui a l'epoque des modems 28k aurait ete une sacree gageure.
Cela a ete explique par MS : la NSA est l'autorite de regulation pour l'export d'element cryptographiques, et cette cle etait utilisee pour valider le chargement d'extensions a CryptoAPI.
Tu noteras que c'est une deuxieme clef (MS l'a mise comme backup au cas ou la partie privee de la 1ere est perdue), si MS voulait autoriser la NSA a charger ce qu'il veut, il lui aurait largement suffi de signer ce que la NSA veut avec sa 1ere clef, inserer une backdoor dans le code lors d'un patch, etc… bref, cette clef n'apporte rien a la NSA qu'il n'aurait pu avoir d'une autre maniere.
[^] # Re: Laissez malloc tranquille !
Posté par pasBill pasGates . En réponse à la dépêche Le langage Go fête ses 4 ans. Évalué à 0.
Mais c'est quoi "raisonnable" ? Tu ne sais pas quelle est la taille de ton plus gros chunk disponible dans l'espace memoire, tu ne sais pas si le systeme a du swap/ram physique dispo pour garantir ton chunk.
Le seul moyen de savoir si tu as de la place pour ton alloc c'est de … faire l'alloc.
[^] # Re: Laissez malloc tranquille !
Posté par pasBill pasGates . En réponse à la dépêche Le langage Go fête ses 4 ans. Évalué à 4.
C'est quoi la longueur maximum alors ? Lorsque ton systeme est sous pression memoire, c'est quoi la longueur maximum que tu peux accepter ? Parce que t'auras pas besoin d'une allocation de 2Gb pour exploser ton allocation a ce moment la.
Lorsque ton protocole te passe une collection de structures tu fais quoi ? Tu fais un comptage manuel de combien de memoire tu as dispo (bonne chance pour ca vu que les autres threads/processus changeront ca sous tes pieds) a chaque allocation pour savoir a quel point c'est trop ?
Evidemment que non, la solution restante est de verifier la valeur de retour de malloc…
[^] # Re: Laissez malloc tranquille !
Posté par pasBill pasGates . En réponse à la dépêche Le langage Go fête ses 4 ans. Évalué à 4.
Un processus par requete ? Vive le design pourri qui ne monte pas en charge…
[^] # Re: Laissez malloc tranquille !
Posté par pasBill pasGates . En réponse à la dépêche Le langage Go fête ses 4 ans. Évalué à 0.
Toi tu n'as visiblement jamais eu a ecrire du code serveur ou tu recois une requete avec un champs decrivant la longueur et les donnees derriere.
Tu t'amuserais a faire quoi si le champs longueur est tellement grand que ta requete d'allocation echoue ? Tu tues le serveur et toutes les connections qui sont en cours ?
[^] # Re: I love you
Posté par pasBill pasGates . En réponse au journal sauter l'airgap avec des ultrasons. Évalué à -1.
clef ou autre oui.
Embarquer des donnees sur la clef, c'est tres limitatif : espace disponible, savoir quand la clef est enlevee, absence de communication 2-ways contrairement a la radio pour command & control, etc…
[^] # Re: I love you
Posté par pasBill pasGates . En réponse au journal sauter l'airgap avec des ultrasons. Évalué à 3.
T'as pas compris l'objectif.
L'objectif est de permettre l'extraction de donnees d'un reseau isole ('airgap'). En ayant 2 machines infectees et proches : une dedans, une dehors.
Maintenant que cela ait ete utilise dans le monde reel, aucune idee… mais cela a definitivement un interet.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Je ne vois nulle part ou ils disent de ne pas utiliser Windows et d'utiliser autre chose.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Et de nouveau du grand blabla…
Tu me montres ou ils recommandent Linux/OpenBSD/jenesaisquoi plutot que Windows ?
Ah oui, nulle part. Tu preferes prendre absence de recommendation comme une accusation, sans meme chercher a voir qu'ils ne recommandent aucun autre systeme.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tu penses sincèrement qu'ils l'utilisent partout, y compris pour les plus hauts niveau de sécurité ? Non parce que sinon (discussion de bas étage), il suffit qu'il y ait un cuisinier allemand dans une base militaire qui utilise un système de gestion de stocks de nourriture pour la cantine basé sous windows pour dire que le ministère de la défense allemande utilise windows, hein…
PARTOUT non, dans la plupart des endroits, y compris des elements sensibles, oui.
Tiens et sinon, les allemands en reviennent, pour toutes leurs administrations centrales : http://www.wpcentral.com/german-government-calls-security-within-windows-8-unacceptable-continues-switching-their-machines
LOL ! Ou comment poster un lien sans meme savoir de quoi il en revient : http://windowsitpro.com/industry/germany-has-its-own-snowden
There's been enough backlash on Patrick's article that the German Federal Office for security in information technology has provided an actual press release to set the story straight. The press release is HERE, but I've included the translated bits below.
The press release states that the German government did not warn against using Windows 8. It only highlighted that steps needed to be taken to ensure that Windows 8, with TPM, provided a safe computing environment****
J'ai cité IBM avec Lotus Notes. En remontant plus loin, IBM avait poussé le standard DES qui était volontairement affaibli par la NSA (clef de 56 bits au lieu de 64, soit 256 fois plus faciles à péter).
De nouveau, du blabla qui ne vaut rien. La loi etait claire et publique : a l'international l'entropie etait limitee a 40bits. Les societes US vendaient les softs avec des elements crypto repondant a ces criteres, qui etaient publiques, les clients savaient ce qu'ils achetaient. Rien de cache, pas de backdoor dissimulee.
Accessoirement, tous les services en ligne (donc offerts à l'étranger) d'industriels américains renommés (y compris ceux de Microsoft) sont accessibles à la NSA, d'après les documents fuités par Snowden.
De nouveau, je ne vois pas le rapport avec le soft. Les fournisseurs de services sont lies a des lois specifiques, auquelles l'edition de soft n'est pas soumis.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Sans déconner, la première clef serait détruite par inadvertance ou perdue ? Et il faudrait utiliser la deuxième, qu'on met donc en double chez tous les clients ?? Tu ne te foutrais pas de tous ceux qui suivent la conversation (et de moi en particulier) ?
Non du tout, c'est l'explication, et elle a ete donnee publiquement par MS. Je t'ai mis le lien precedemment, mais visiblement tu n'as pas estime qu'il fallait lire la version de MS.
Si la première clef, qui sert régulièrement (grosso modo à chaque mise à jour, pour les signatures), qui fait maximum 4Ko (c'est large) et peut donc être stockée sur deux feuilles A4 dans 36 banques différentes, est perdue, que dire de la deuxième, qui selon tes dires n'aura servi à rien jusqu'ici ?
J'imagines bien qu'ils la gardaient separement.
Et Microsoft ne serait pas capable de conserver ne serait-ce que 4 kilo-octets aussi sensibles ?
J'en sais rien, je sais pas quelle infrastructure ils avaient a l'epoque, visiblement il devait y avoir une crainte, et j'imagines bien que dans les annees 90 MS n'etait pas le mastodonte avec une organisation rigoureuse qu'il est aujourd'hui.
Ben dis moi, vous étiez mauvais à ce point chez Microsoft à l'époque ? Il ne me semble pas avoir entendu parler de beaucoup de mails détruits chez les utilisateurs hotmail, par exemple… Et ça représentait un peu plus que 4 Ko.
Les pertes de donnees ca arrive partout, les annees 90 c'est pas les annees 2000, les societes murissent, s'organisent mieux… Tu remarqueras que les versions recentes de l'OS n'ont pas de clefs de backup.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
a) Les allemands et les francais utilisent Windows dans leur departement de la defense depuis plus de 10 ans, ca suffit pour voir a quel point ils en ont peur…
b) Tu es le seul ici a dire que d'autres industriels americains exportent des produits compromis par la NSA et qu'ils le savent/ont collabore.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Dans le cas de l'AS/400 les agences gouvernementales n'ont effectivement pas « forcé » IBM. Mais, elles ont quand même imposé certaines caractéristiques de l'OS pour accepter de l'utiliser. Ce n'est pas n'importe quel client qui peut formuler de telles demandes.
N'importe quel client qui represente un gros pourcentage de ventes le peut, c'est le cas du gouvernement, et ajouter cela ne pose aucun risque a IBM envers ses autres clients donc ils le font, normal.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Si la première clef n'est pas révoquée, autant continuer à l'utiliser, même si elle est compromise, et pas besoin d'une deuxième clef.
Mais pourquoi parles tu de compromission ?! Je t'ai dit depuis le debut que la 2eme clef est la au cas ou la 1ere est PERDUE
Je te dis pas qu'elle est volee, mais qu'elle est perdue (tremblement de terre qui explose le lieu ou elle est stockee, etc…)
Dans ce cas la, il n'y a aucun besoin de revoquer la 1ere clef.
Note : pour bien nous comprendre, on ne perd jamais une clef au sens "l'oublier", "avoir perdu l'unique papier sur lequel elle était écrite" ; surtout une clef de cette importance, qui sert très régulièrement.
Elle peut etre detruite, et c'est bien ca le risque qui a amene la 2eme clef, cela a ete dit clairement.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Supputation encore, tu as simplement absolument envie de croire que MS l'a fait, et tu t'amuses a sauter plein de barrieres pour arriver a ta conclusion, reviens quand tu as du solide, d'ici la, formes tes phrases en tant qu'hypotheses plutot qu'affirmations.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tu n'en sais rien, tu presumes, tu supputes, et tu n'as rien pour le soutenir, depuis le debut. Reviens quand tu as un truc un peu solide et on en reparlera.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Faudrait peut-etre aussi comprendre de quoi il parle avant de sortir n'importe quoi ?
Va chercher ce que Common Criteria et EAL sont, tu comprendras que que les agences gouvernementales US ont demande des lors. Ils ont des standards pour la securite des softs qu'ils utilisent, et les softs doivent repondre a ca pour etre adopte dans des agences.
Que des agences gouvernementales US fassent des demandes aux editeurs de softs ne veut pas dire que c'est forcement des backdoors qu'ils demandent hein.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
et elle s'étend donc à tout Microsoft jusqu'à preuve du contraire.
Ca encore c'est une belle connerie.
La NSA a un mandat sur certains aspects du commerce (export crypto notamment), et tu en profites pour etendre cela a l'ensemble de ce que la NSA fait sans aucun element le justifiant.
De nouveau, cela n'engage que toi et ta vision du monde, ca n'en fait pas une realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Ah l'amas de connerie dans ce post…
Si c'est pas backup, c'est backdoor… Tu ferais vraiment n'importe quoi pour justifier ton insistance a mettre un truc nocif sur le dos de MS.
C'est une 2eme clef au cas ou la 1ere est perdue. Revoquer la 1ere n'est pas necessaire si la 1ere est perdue plutot que volee.
Ensuite tu tiens absolument a l'appeler backdoor parce que ca entre mieux dans ta notion du monde, libre a toi, ca n'en fait pas une realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Oui sans probleme.
Imagines que la fondation n'achete aucune action de BP, Shell, Exxon, …
Voila, aucune.
Qu'est ce qui a change sur la planete ? Ah oui, rien.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Que la NSA les ait vole d'une maniere ou d'une autre je peux tout a fait l'imaginer.
Que MS les ait donne, bcp moins.
Sinon j'ai rien vu dans les docs de Snowden disant que les societes US donnaient quoi que ce soit de ce genre a la NSA. J'y ai surtout vu parler de la NSA influencant des organismes comme NIST, s'infiltrant dans les boites pour prendre ce dont il a besoin, …
[^] # Re: Nos Généraux sont des traîtres
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Si les ingés ne veulent pas suivre et qu'ils se cassent, c'est autant de voix d'opposition en moins.
Si ils se cassent, la boite n'arrivera pas a atteindre ses objectifs, et finira dans le mur…
Quand t'as du monde en dessous, tu ne vois plus s'ils sont bons ou pas. Tu vois des managers/directeurs qui te font des rapports, et tu ne descends pas voir les ingénieurs pour leur demander si "c'est vraiment vrai ce qu'il y a là-dedans?"
Les gens marchent dans les couloirs, ils se rencontrent, parlent autour de la machine a cafe. Faut arreter de croire que c'est des sas etanches.
Je ne sais pas quel niveau hiérarchique tu occupes, mais ton chef te refile toujours les présentations qu'il fait à son propre chef? Je pense que non.
Pas toutes non, mais son chef il etait dans le couloir a 100 metres de moi, on se croisait souvent et on causait de x, y, z
Si moi ou un autre voyait un truc qui cloche, on avait toute lattitude pour en parler avec lui, ou meme la personne au dessus.
Et son chef, tu as la moindre petite idée de ce qu'il rapporte sur votre équipe au niveau encore au-dessus?
De nouveau, idem. Les gens se parlent.
Et même si c'est trop transparent dans la hiérarchie, on peut encore sortir une autre arme: on recrute un consultant, qui a une mission officielle mais à qui on a déjà discrètement expliqué ce que devra être sa conclusion.
De nouveau, en isolation oui. Dans un contexte reel c'est tres dur car cela se voit quand la source d'opposition vient d'un lieu central.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html
iOS, Cisco, OpenSSL, …
Ah oui c'est rigolo, tout le monde l'a implemente, y compris la librairie cherie du libre, mais tu arrives a focaliser tout le negatif sur MS, qui sont pourtant les seuls a avoir signale un probleme dans dual_ec_drbg…
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tout a fait oui, parce que tu te contentes d'accuser, lancer des hypotheses, sans rien de solide derriere. Je peux te lancer une hypothese demontrant que Francois Hollande est un pretre pedophile extra-terrestre en suivant le meme genre logique.
Tu lances une hypothese, c'est une hypothese jusqu'a ce que tu aies quelque chose de solide qui demontre sa realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Ca c'est la belle theorie qui marche a peu pres de nos jours.
Elle marchait bcp moins bien dans les annees 90 quand peu de gens avaient internet et un moyen de verifier les listes de revocation. Sans parler du fait que revoquer la 1ere aurait entraine l'impossibilite de charger le moindre module (tout etait signe avec), et qu'il aurait donc fallu aussi resigner tous les modules et les envoyer a tout le monde, ce qui a l'epoque des modems 28k aurait ete une sacree gageure.
Bref, il y a la theorie, et la pratique.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Cela a ete explique par MS : la NSA est l'autorite de regulation pour l'export d'element cryptographiques, et cette cle etait utilisee pour valider le chargement d'extensions a CryptoAPI.
Tu noteras que c'est une deuxieme clef (MS l'a mise comme backup au cas ou la partie privee de la 1ere est perdue), si MS voulait autoriser la NSA a charger ce qu'il veut, il lui aurait largement suffi de signer ce que la NSA veut avec sa 1ere clef, inserer une backdoor dans le code lors d'un patch, etc… bref, cette clef n'apporte rien a la NSA qu'il n'aurait pu avoir d'une autre maniere.