Si mozilla veut aller plus loin, il faut monter un site qui présente 2 image parmi l'original et les 2 types de compression, et faire des statistiques sur les utilisateurs.
Est-ce que des tests de performances, avec la fréquence maximum ont été fait ? Sinon, c'est un peu logique que les mécanismes de baisse de fréquences introduisent des latences et de la lenteur.
Il y aussi l'histoire des pressions sur les pdg pour fournir les fadettes, l'un a refusé, il a perdu tout ses contrats avec l'état US. Snowden a aussi montré l'existence d'un programme de plusieurs millions de $ pour influencer la sécurité des logiciels propriétaires. L'aspect le plus connus a été le passage en norme d'un générateur de nombre aléatoire douteux. Vu que même Linus a reconnu avoir subit des pressions sur Linux et un autre kernel hacker avait eu des pressions d'Intel pour utiliser uniquement le générateur interne des cpus, on comprend mieux pourquoi maintenant.
Dans les slides du monde, ils disent que les flux passent par les chemins les moins chère et non les plus court, c'est ainsi que du traffic peut arriver au US,alors que cela a peu de sens.
Il suffirait qu'un journal publie une preuve d'écoute "économique" contre une entreprise française pour changer complètement les relations entre les géants américains de l'internet et les entreprises européennes. On en est encore qu'au stade du "doute sérieux". En gros, la NSA enregistre tout, et ses agents vont à la pêche dans les données pour des raisons de géostratégie ou de terrorisme. Il n'est pas encore question purement d’espionnage économique.
J'ai vu de la com d'une société d'inventeur issue d'un syndicat (cgt ?) qui réclamait un régime de droit d'auteur pour les inventions. Le but était d'avoir des royalties à vie !
Il faudrait comparer avec les CD. J'avais l'impression qu'il était beaucoup plus fiable que les DVD (le codage RS est assez fort, alors que le DVD comptait sur un codec vidéo qui s’accommodait des erreurs de décodage).
Pour les n-type de pointeur, il suffit qu'une spec les classe du plus cool pour le compilo au moins cool, et que le compilateur donne de bon message d'erreur en cas de mauvaise utilisation. Le pire est une mauvaise utilisation silencieuse.
Les "mouvement de référence" sont un typage linéaire qui permet de rendre le multi tache beaucoup plus facile à écrire. Il me semble que le message passing en utilisant les type linéaire avec un compilateur qui ne fait finalement pas de copie réel est la voie suivi par plusieurs langage. Il me semble que Ocaml va aussi vers l'intégration de type linéaire ce qui va rendre possible d'écrire du code parallèle (multi-process) rapide et simple (en gros, map/reduce, cela serait déjà énorme).
Non, c'était la justification de la construction de leur énorme nouveau datacenter : stocker tout ce qui fait plus de 100 bits pour les casser plus tard.
Je pense qu'ils ont des méthodes plus efficaces que le brut force, pour casser de l'aes. Déjà c'est connu que l'on peut réduire un peu la taille de la clef (qq bits), ensuite ils peuvent avoir des attaques statistiques sur le contenu du message (surtout si c'est du texte non compressé), ils peuvent aussi avoir des statistiques de générateur de nombre biaisé utilisé pour le mot de passe (genre une personne qui a utilisé le générateur random de java non crypto qui se base sur un nombre 32 bits), il peut y avoir aussi des attaques sur le mode CBC utilisé avec un vecteur d'initialisation non aléatoire, …
Le seul moyen que j'ai trouvé est d'essayer d'avoir une hiérarchie de mot de passe, mais c'est finalement difficile à suivre, du important au moins important :
- mot de passe stocké sur les machines personnels
- mot de passe du web mail
- mot de passe de site marchand ayant ma carte bancaire (Amazon)
- site marchand sans stockage de n° de carte bancaire
- site ayant un impact e-reputation (réseau sociaux, forum important, …)
- le reste
En gros, le mot de passe des sites moins important ne doivent pas servir à déduire le mot de passe des sites plus important.
C'est juste un boitier qui contient une clef asymétrique. La connerie de RSA a été d'utiliser une seul clef.
C'est le principe de la carte à puce, si jamais il y a une clef commune sur plusieurs cartes, le leak est inévitable, si cela vaut le cout.
En général pour casser une carte à puce, il en faut plusieurs, et trouver un moyen générique de casser une unique carte, est beaucoup plus difficile que d'extraire un secret présent sur une centaine de carte.
Laisse tomber ce site, il ne considère pas de "pattern humain" :
Length: 16
Strength: Reasonable
pour "0123456789azerty" qui doit pourtant être dans n'importe quel dictionnaire.
Pour s'identifier, on peut utiliser un truc que l'on connait, que l'on a, ou que l'on est (mot de passe, clef, biométrie).
Est-ce qu'en plus du mot de passe, on ne pourrait pas utiliser un fichier quelconque, et le système d'identification, fait un sha512 dessus pour générer un mot de passe (pas de transit sur le réseau), il reste toujours un mot de passe classique, car un simple fichier peut se voler. Mais cela rend inutile le cassage de mot de passe issue de dump de base de donné volé.
Tu n'as pas compris le principe. Sachant que les casseurs de mot de passe connaisse parfaitement les schémas habituelles, je prends en compte qu'il connaisse celui de xkcd.
5 mots séparé par une espace, issue d'un dictionnaire de 2000 mots par exemple. (212)
Le pattern est connu, il y a 25*12 combinaisons à tester, avec 1GH/S, cela dure plusieurs années (mais quelques heures pour la NSA si on estime qu'elle peut avoir des ordinateurs avec 1 millions de cpu ou gpu).
J'aurais tendance à prendre un dico français. De base, les outils gèrent surtout l'anglais. Le top du top étant les caractères spéciaux, qui changent l'alphabet à considérer(éèàç).
# site de comparaison ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Étude de Mozilla comparant les taux de compression de différents formats d'images. Évalué à 4.
Si mozilla veut aller plus loin, il faut monter un site qui présente 2 image parmi l'original et les 2 types de compression, et faire des statistiques sur les utilisateurs.
"La première sécurité est la liberté"
# max ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Amélioration des performances graphiques du noyau 3.12. Évalué à 4.
Est-ce que des tests de performances, avec la fréquence maximum ont été fait ? Sinon, c'est un peu logique que les mécanismes de baisse de fréquences introduisent des latences et de la lenteur.
"La première sécurité est la liberté"
[^] # Re: Comment oser?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à 9.
Il y aussi l'histoire des pressions sur les pdg pour fournir les fadettes, l'un a refusé, il a perdu tout ses contrats avec l'état US. Snowden a aussi montré l'existence d'un programme de plusieurs millions de $ pour influencer la sécurité des logiciels propriétaires. L'aspect le plus connus a été le passage en norme d'un générateur de nombre aléatoire douteux. Vu que même Linus a reconnu avoir subit des pressions sur Linux et un autre kernel hacker avait eu des pressions d'Intel pour utiliser uniquement le générateur interne des cpus, on comprend mieux pourquoi maintenant.
"La première sécurité est la liberté"
[^] # Re: Comment ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal [Multi bookmark] Le Monde dévoile sa collaboration (indirecte) avec Snowden. Évalué à 2.
Dans les slides du monde, ils disent que les flux passent par les chemins les moins chère et non les plus court, c'est ainsi que du traffic peut arriver au US,alors que cela a peu de sens.
"La première sécurité est la liberté"
# preuve ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal [Multi bookmark] Le Monde dévoile sa collaboration (indirecte) avec Snowden. Évalué à 4.
Il suffirait qu'un journal publie une preuve d'écoute "économique" contre une entreprise française pour changer complètement les relations entre les géants américains de l'internet et les entreprises européennes. On en est encore qu'au stade du "doute sérieux". En gros, la NSA enregistre tout, et ses agents vont à la pêche dans les données pour des raisons de géostratégie ou de terrorisme. Il n'est pas encore question purement d’espionnage économique.
"La première sécurité est la liberté"
# copyright ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Et pourquoi ne pas breveter les recettes de cuisine ?. Évalué à -1.
J'ai vu de la com d'une société d'inventeur issue d'un syndicat (cgt ?) qui réclamait un régime de droit d'auteur pour les inventions. Le but était d'avoir des royalties à vie !
"La première sécurité est la liberté"
[^] # Re: Conclusion
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Qualite des disques blu-ray enregistrables pour l’archivage des donnees numeriques. Évalué à 4.
Il faudrait comparer avec les CD. J'avais l'impression qu'il était beaucoup plus fiable que les DVD (le codage RS est assez fort, alors que le DVD comptait sur un codec vidéo qui s’accommodait des erreurs de décodage).
"La première sécurité est la liberté"
[^] # Re: Map
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Je crée mon jeu vidéo E03 : la version zéro !. Évalué à 2.
Si tu fais plein d'io disque pendant le jeu, tu risques d'avoir des mauvaises surprises comme des latences aléatoires.
"La première sécurité est la liberté"
[^] # Re: bashing du D
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Présentation de Rust 0.8. Évalué à 3.
Pour les n-type de pointeur, il suffit qu'une spec les classe du plus cool pour le compilo au moins cool, et que le compilateur donne de bon message d'erreur en cas de mauvaise utilisation. Le pire est une mauvaise utilisation silencieuse.
"La première sécurité est la liberté"
[^] # Re: dev français ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Présentation de Rust 0.8. Évalué à 9.
parmap fait un fork à chaque appel ! C'est donc réservé à du très gros grain.
"La première sécurité est la liberté"
[^] # Re: dev français ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Présentation de Rust 0.8. Évalué à 3.
Les enum de rust sont les types sommes d'Ocaml.
Les "mouvement de référence" sont un typage linéaire qui permet de rendre le multi tache beaucoup plus facile à écrire. Il me semble que le message passing en utilisant les type linéaire avec un compilateur qui ne fait finalement pas de copie réel est la voie suivi par plusieurs langage. Il me semble que Ocaml va aussi vers l'intégration de type linéaire ce qui va rendre possible d'écrire du code parallèle (multi-process) rapide et simple (en gros, map/reduce, cela serait déjà énorme).
"La première sécurité est la liberté"
[^] # Re: bashing du D
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Présentation de Rust 0.8. Évalué à 9.
Si Rust a le même genre de pattern matching que Ocaml et que le switch de D est le même que le C, la comparaison est plus que malhonnête.
"La première sécurité est la liberté"
# dev français ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Présentation de Rust 0.8. Évalué à 2.
Est-ce qu'il y a des dev français pour le langage ?
Qu'est-ce qui est mieux foutul que Ocaml vu que le codeur principal connaissait ce langage ?
"La première sécurité est la liberté"
[^] # Re: houla...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Non, c'était la justification de la construction de leur énorme nouveau datacenter : stocker tout ce qui fait plus de 100 bits pour les casser plus tard.
Je pense qu'ils ont des méthodes plus efficaces que le brut force, pour casser de l'aes. Déjà c'est connu que l'on peut réduire un peu la taille de la clef (qq bits), ensuite ils peuvent avoir des attaques statistiques sur le contenu du message (surtout si c'est du texte non compressé), ils peuvent aussi avoir des statistiques de générateur de nombre biaisé utilisé pour le mot de passe (genre une personne qui a utilisé le générateur random de java non crypto qui se base sur un nombre 32 bits), il peut y avoir aussi des attaques sur le mode CBC utilisé avec un vecteur d'initialisation non aléatoire, …
"La première sécurité est la liberté"
[^] # Re: houla...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Le seul moyen que j'ai trouvé est d'essayer d'avoir une hiérarchie de mot de passe, mais c'est finalement difficile à suivre, du important au moins important :
- mot de passe stocké sur les machines personnels
- mot de passe du web mail
- mot de passe de site marchand ayant ma carte bancaire (Amazon)
- site marchand sans stockage de n° de carte bancaire
- site ayant un impact e-reputation (réseau sociaux, forum important, …)
- le reste
En gros, le mot de passe des sites moins important ne doivent pas servir à déduire le mot de passe des sites plus important.
"La première sécurité est la liberté"
[^] # Re: fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
C'est juste un boitier qui contient une clef asymétrique. La connerie de RSA a été d'utiliser une seul clef.
C'est le principe de la carte à puce, si jamais il y a une clef commune sur plusieurs cartes, le leak est inévitable, si cela vaut le cout.
En général pour casser une carte à puce, il en faut plusieurs, et trouver un moyen générique de casser une unique carte, est beaucoup plus difficile que d'extraire un secret présent sur une centaine de carte.
"La première sécurité est la liberté"
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Laisse tomber ce site, il ne considère pas de "pattern humain" :
Length: 16
Strength: Reasonable
pour "0123456789azerty" qui doit pourtant être dans n'importe quel dictionnaire.
"La première sécurité est la liberté"
[^] # Re: fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Je sais bien. Mais ce n'est pas trop le sujet de mon poste :)
Changer de fichier clef, cela n'est pas difficile.
"La première sécurité est la liberté"
[^] # Re: On en est encore loin
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
"mais en plus leur enchaînement doit avoir un sens au moins pour leur auteur."
bah non surtout pas. il faut les choisir un ouvrant une page de dico au hasard.
"La première sécurité est la liberté"
# fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Pour s'identifier, on peut utiliser un truc que l'on connait, que l'on a, ou que l'on est (mot de passe, clef, biométrie).
Est-ce qu'en plus du mot de passe, on ne pourrait pas utiliser un fichier quelconque, et le système d'identification, fait un sha512 dessus pour générer un mot de passe (pas de transit sur le réseau), il reste toujours un mot de passe classique, car un simple fichier peut se voler. Mais cela rend inutile le cassage de mot de passe issue de dump de base de donné volé.
"La première sécurité est la liberté"
[^] # Re: ils ne trouveront jamais mon "toto52"
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
bonne arnaque.
Cela me rappelle que le dialogue entre 2 types, l'un affirmait à l'autre que la vidéo de rickroll avait été supprimé.
"La première sécurité est la liberté"
[^] # Re: On en est encore loin
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Tu n'as pas compris le principe. Sachant que les casseurs de mot de passe connaisse parfaitement les schémas habituelles, je prends en compte qu'il connaisse celui de xkcd.
5 mots séparé par une espace, issue d'un dictionnaire de 2000 mots par exemple. (212)
Le pattern est connu, il y a 25*12 combinaisons à tester, avec 1GH/S, cela dure plusieurs années (mais quelques heures pour la NSA si on estime qu'elle peut avoir des ordinateurs avec 1 millions de cpu ou gpu).
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 4.
essayes :)
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 3.
J'aurais tendance à prendre un dico français. De base, les outils gèrent surtout l'anglais. Le top du top étant les caractères spéciaux, qui changent l'alphabet à considérer(éèàç).
"La première sécurité est la liberté"
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 4.
Si il est découvert (sniff de clavier, lecture par dessus l'épaule), les accès sont ouvert pour un moment.
"La première sécurité est la liberté"