Faut voir aussi qu'on ne considérait que peu le service à l'époque, désormais l'humain est une ressource qui peut apporter de la croissance. Et sur ce domaine, on a encore pas mal de "matière première" ;)
les projections démographiques de la France à 100 ans
Comment on fait une projection à 100 ans ?
A 30 ans on n'y arrive pas (si j'étais mauvaise langue, je dirai même que les prévisions de croissance à 1 an sont toujours fausses ;) ), alors sur 100...
en fait j'avais eu le même prob sous xp
ceci dit, le problème n'apparait que lorsque jai 40.000 applis ouvertes ou que je sors de veille. Le problème vient donc peut être lorsque virtuawin est mis en swap ou un truc du genre
J'ai lu une doc de travers (même pas la rfc), mais il me semblait qu'il y avait quelques limites tout de même:
en fait tu n'as qu'une rootca, mais toujours une multitude de ca. De plus il me semble que la norme n'impose pas une séparation obligatoire de la zsk et de la ksk, ce qui implique que l'on aura un certain nombre de clés "exposés" (disons aussi exposé que la clé d'un serveur web). Tu es évidemment moins exposé (un dns n'étant responsable que de sa zone et indirectement de ses zones filles, et pas d'une multitude de sites comme avec ssl).
D'autres craintes que j'avais: les zsk ont une durée de vie très courte (quelques jours il me semble), je me demande si on ne verra pas un de ces 4 un cuak lors des renouvellements de clés.
J'avais aussi constaté dans la doc que j'avais lu que nulle part il n'était mentionné de procédure pour révoquer une clé, si c’est le cas on risque d’avoir des problèmes avec les clés dont l’invalidité n’est pas encore connue.
Bon je me trompe peut être complètement, mais tu m'as trouvé mon sujet d'occupation pour demain: me lire les rfc, et voir si je ne trouve pas 2/3 témoignages de déploiement.
Je ne vois pas trop la différence (enfin si, ça à tout de même l'air plus sur que dnssec)
La solution proposé passe par dnssec, donc elle implique également une confiance dans celui qui te fournira le certificat du racine. Evidemment l'aspect hyper centralisé fait que tu peux même apprendre le fingerprint par coeur, mais ça sera loin d'être le cas de tous.
De plus dnssec est encore peu testé, on a le temps d'y trouver des failles.
franchement je ne me rappelle plus des descriptions du livre, je vais donc te croire sur parole
Pour le coté homosexuel de la relation frodo/sam, j'avoue que je ne me souviens pas si c'est présent dans le livre.
En même temps, c'est ce qui est merveilleux dans les livres, chacun en a son interprétation.
Moi j'avais toujours vu sam comme le chien fidèle, c'est un peu son archétype. Mais toujours dans le livre, il me semble que justement frodo est toujours dans cette ambivalence chef/ami/amant/solitaire
Par exemple peux tu de mémoire distinguer merry de pippin et citer les différences de leurs caractères et de leurs motivations?
De mémoire c'était shrek et l'ane, toujours dans les mêmes conneries, mais l'un étant la conscience de l'autre
Est ce que ça fait d'eux des personnages à part entière pour autant, d'un point de vue psychologique ?
Non, ils ne sont jamais des personnages à part entière, comme je dis par la suite, ils n'existent que par les autres. Néanmoins se sont les seuls ressentant quelque chose, ça leur donne une plus value sur les autres, les buveurs de bière, les elfes froids, le héro sans peur ni reproche, ou le demi dieu
La caractérisque de frodo, c'est d'être vide
Complètement, mais c'est ce vide qui donne son relief, et justement son ambivalence, en fait c'est un pattern qu'on trouve dans beaucoup de romans de fantasy: le personnage sans caractère, qui de lui-même ne fait finalement pas grand-chose à par porté l'anneau et subir ce qu'on lui impose, qui ne décide même pas vraiment de son destin (à part bien sûr, lorsqu'il quitte la communauté). Dailleurs c'est un des thèmes: comment prendre la vague
... Ah! Ca! Ca aurait été moins glorieux, moins courageux, moins facile de faire tenir la jolie petite morale dans ce bordel. Sauf que, prend une communauté d'homme et de femmes, et regardes, c'est plein de ce genre d'évènement...
Euh oui, je ne nie pas le coté manichéen de l'histoire. C'est un conte. Est-ce ça qui te gène ?
Je ne prends pas le sda pour autre chose qu'il n'est, mais c'est pas pour autant que je ne le considère pas comme un excellent livre.
Ensuite j'admets que j'ai lu les livres il y a longtemps, et que mes souvenirs sont surement parasités par le film.
Je ne suis pas d'accord avec ça, les paysans c'est super drôle
Je dis pas le contraire, ce que je trouve chiant, c'est les chapitres interminables qui ne sont là que pour donner un peu plus de profondeur au monde. Mon imaginaire se démerde très bien pour ça.
C'est loin d'être faux, néanmoins je trouve frodo plus intéressant que ça, il est toujours dans une ambivalence: entre homo ou solitaire, entre la séduction de l'anneau et la fidélité. En fait je trouve que les hobbits sont les personnages avec le plus de relief.
Il est néanmoins vrai que chaque personnage est un archétype, chacun représentant une "valeur", un comportement, mais c'est finalement ce qui à mon avis l'histoire attachante: ils n'ont d'intérêt que par leurs interactions, le personnage en soit n'est qu'une représentation, la véritable entité/héro est la communauté. Comme des fourmis en fait.
À mon avis, il y a 2 raisons à ça: le sda est à la base un conte pour grands enfants, une suite logique de bilbo et tom bombabil, le lecteur ayant vieillit, le livre muri peu à peu avec lui, sans pour autant atteindre la maturité qui rendrait les persos plus profonds. La seconde raison, peut être le fait que le sda "ne soit qu'un détail de l'histoire" décrite dans le silmarillon, un cour épisode, qui à l'échelle des terres du milieu ne mérite pas une description plus complète des personnages.
Peut-on dire que tolkien soit raciste ? Je ne pense pas. Le "mal" du seigneur des anneaux est issu du bien: dans la mythologie de tolkien les orques sont issus des elfes
pas du tout de sexualité et que la seule joie de ce bouquin semble être la bière.
c'est très cohérent au contraire: trop de bière -> pas de sexualité ;)
si mon héros est en train de traverser à pied un monde médiéval, il devrait quand même rencontrer des paysans de temps en temps et pas que des trolls et des bombadills!
je dirai: parce que c'est chiant
Je ne connais pas le trône de fer (un peu lassé de l'* fantasy en ce moment, mais il faudra que je les lise un de ces 4), et je ne connais pas "les ficelles" d'un bon livre. Néanmoins les bouquins avec à chaque fois 50 pages de desriptifs inutiles ont tendance à me saouler, tout comme les bouquins qui abordent trop de thèmes.
Pour le seigneur des anneaux, je pense qu'à l'origine ça devait être un livre pour enfant (dans la droite suite de bilbo), d'où ce côté manichéen. Néanmoins ça reste une des mythologies et un des univers les plus complets que je connaisse.
Sous seven, chez moi , il plante peu, et est bien plus réactif que l'équivalent sexy de ms.
Néanmoins j'ai de temps en temps de lourds bugs, comme une fenêtre qui refuse de s'afficher, ou une qui reste sur tout les bureaux virtuels. Mais en attendant, sous windows il me semble qu'il n'y a pas mieu.
En même temps ce n'est pas très pertinent comme remarque, alsa et PA n'étant pas au même niveau, et ne font pas du tout la même chose
dailleurs on peut mettre PA par dessus OSS, comme ça tu as ta merde au dessus d'un lit de rose ;)
Soit pour 95, soit pour 98, je sais plus
Si j'en suis sur, cest qu'à l'époque 9x ne marchait pas, litestep m'a fait connaitre afterstep et faciliter mon passage à linux (quoique la difficulté de la transition n'était pas tant l'interface, mais plutot la configuration du son et de la vidéo, sans compter qu'il était compliqué de trouver une slack à l'époque... mais une fois cette étape passée, au moin c'était stable)
Ceci dit en relisant votre fil vous ne parlez pas vraiment de la même chose: adapter l'interface à ses besoins c'est bien, mais il me semble que tu parles d'adapter le système en entier à tes besoins, et pour ce il me semble qu'on ne trouve pas mieu que les unix libres (linux, bsd...)
Pardon, je parlais de syslog en géneral, je ne parlais plus de la "Journal" qui ne résoud en effet pas vraiment les problèmes soulevés
Faire un poisonning ARP c'est une ligne de script.
c'est aussi avoir obtenu les accès nécessaire sur la machine
Non, il reçoit un message qui possède un contenu dont une section "IP" avec une adresse. Lui il enregistre le message sans y toucher. La seule chose qui intéresse syslog c'est le numéro de processus, le reste tu fais ce que tu veux.
Il ne touche pas le contenu du message, mais l'interprète tout de même: si tu ne renseignes pas d'ip, il prend celle de la connection. Je lui reproche de pas toujours avoir ce comportement...
Vu qu'à part les deux fournis par Microsoft, je n'en ai jamais trouvé d'autre, j'ai l'impression que ça revient à bien peu.
litestep; bb4win, talisman, geoshell... il y en avait tout de même tout un stock.
C'est dailleurs en essayant un de ces ihm que j'ai été convaincu de passer à linux
Oui et non
dans son cas il met son bootloader sur sa clé usb, donc tu évites l'attaque de type evil maid (ou presque, dans l'idéal il faut bloquer le bios pour qu'il ne boot pas sur le dur)
Donc tu as raison, l'attaque n'est pas spécifique windows ou truecrypt, néanmoins la souplesse de linux permet de la bloqué
Parce que sans vouloir être méchant le moins du monde, ce type de problème d'absence d'authentification on les rencontre à tous les niveaux dans le cadre d'un réseau local.
c'est vrai, il n'empêche qu'améliorer la sécurité me parait toujours une bonne idée. Ensuite signer ses messages si n'importe qui de branché sur ton switch est capable de les intercepter et de les faire disparaitre c'est plus que balo.
Néanmoins les attaques que tu donnes impliquent déjà un haut niveau d'accès, spammer le serveur de syslog non.
Alors evidement la signature et l'authentification ne garantissent pas une protection à toute épreuve, néanmoins compliquer la vie de l'attaquant et augmenter son niveau de confiance dans ton système de log me parait important
... à moins de faire IPSec/Kerberos c'est très difficile d’authentifier une machine de façon non trivialement contournable
monter une petite pki, ou un système à la ssh n'est pas très complexe à mettre en oeuvre
Un sysloger se doit de loguer ce qu'on lui envoie, il n'est pas là pour interpréter.
Interpreter c'est justement ce que je lui reproche, de remplacer l'ip de l'émetteur par celle du message
En fait je ne pensais pas spécifiquement au pid, mais également à l'envoi de syslog sur le réseau, le filtrage des caractères d'échappement, etc...
Bien sur on peut cumuler les couches pour avoir une sécurité correcte (par ex utilisé ipsec par exemple pour authentifié les machines émettrices), mais je pense que c'est tout de même mieu si le service gère cela par lui même.
Je me suis mal exprimé : je suis pour , mais pas au détriment de la compatibilité.
C'est en effet problématique, casser la compatibilité pose toujours des problèmes dans les périodes de transitions. Mais AMHA, c'est surtout d'avoir un consensus ou une norme. Casser la compatibilité pour un truc nouveau, mais qui serait normé et utilisé par tout les unix me gênerait pas, avoir quelque chose spécifique qui n'est géré que par un OS (soit il aussi répandu que linux) me pose plus de problème.
Si un attaquant est capable de faire ça, à mon humble avis, le fait de te faire pourrir tes logs est le dernier de tes soucis !
N'importe qui est capable de faire ça, c'est bien le problème.
Accessoirement, je pense aussi à l'après attaque, quand il faudra procéder à l'analyse pour connaitre le pérmiètre de l'attaque et découvrir qui est l'attaquant.
Tu veux mettre de la sécurité en plus, mais pour quoi faire? Etre sur que le pid qui émet ce message ets bien celui qui devrait l'émettre ?
Ca veux dire que tu as déjà un gros problème : un programme qui fonctionne qui se fait passer pour un autre!
En même temps faire un peu de défense en profondeur, ça ne fait pas de mal. Surtout pour le forensic qui suivra l'attaque.
La "sécurité" qu'un système de log a besoin, c'est la non réupudiation et la non modification.
Et l'intégrité, ce qui inclut la non modification, mais également la validité des données. Si un attaquant te rempli ton syslog de n'importe quoi (ou plutôt d'infos sous son contrôle), ton log n'est plus intègre.
J'ai pas compris son problème avec la sécurité. Tu envois tes log sur un serveur central qui est blindé...
Ben justement, tu peux envoyer n'importe quoi à ton serveur syslog, sans authent ni signature. Bizarrement si tu indiques une ip dans le message que tu lui envois, il indiquera celle-ci dans les logs plutôt que celle de ma machine émettrice, j'ai vu également des cas avec des injections de caractères d'échappement forçant l'émulateur de terminal à écrire des fichiers.
En fait dans l'idéal, cest à ton client mail de créer les règles sieve pour toi, dans ton exemple évolution devrait créer la règle sieve et l'envoyer sur le serveur. Ainsi tu retrouves la même arborescence sur tout tes clients mails
Par contre, il me semble que seul kmail faisait çela, et ça ne marchait pas toujours bien.
De plus sieve permet-il de faire apparaitre un mail dans plusieurs dossiers differents ?
Bonne question, zimbra le fait, et zimbra3 le faisait en créant des règles sieve qui étaient stockées sur le serveur ldap, je ne sais pas si c'est toujours le cas. Je suppose que cela doit dépendre également de l'implémentation du serveur mail.
[^] # Re: Syndrome de la compatibilité ascendante
Posté par Alex . En réponse au journal Que faut-il penser de Lennart qui casse tout ?. Évalué à 3.
parce qu'en fait, dire tout fichier est un abus de langage, il faudrait dire tout est file descriptor
mais bon, cest du chipotage
[^] # Re: C'est beau
Posté par Alex . En réponse au journal L'Europe est en récession.. Évalué à 4.
Faut voir aussi qu'on ne considérait que peu le service à l'époque, désormais l'humain est une ressource qui peut apporter de la croissance. Et sur ce domaine, on a encore pas mal de "matière première" ;)
[^] # Re: A bas l'impérialisme linguistique !
Posté par Alex . En réponse au journal Cour de justice européenne: le droit d'auteur ne couvre ni les fonctionnalités, ni le langage. Évalué à 0.
Arf, en effet, je le saurai pour la prochaine fois
Vu que je n’avais pas de joli Nimage, j'ai voulu mettre une jolie Nitation, ça m'apprendra...
[^] # Re: c'est marrant #2
Posté par Alex . En réponse au journal L'Europe est en récession.. Évalué à 7.
Quand même, il y a énormément de paramètres à considérer, des conséquences à réintégrer, voir même un peu de socio
[^] # Re: c'est marrant
Posté par Alex . En réponse au journal L'Europe est en récession.. Évalué à 2.
Comment on fait une projection à 100 ans ?
A 30 ans on n'y arrive pas (si j'étais mauvaise langue, je dirai même que les prévisions de croissance à 1 an sont toujours fausses ;) ), alors sur 100...
[^] # Re: Ou pas
Posté par Alex . En réponse à la dépêche Entretien avec Andrew Tanenbaum à propos de MINIX. Évalué à 1.
en fait j'avais eu le même prob sous xp
ceci dit, le problème n'apparait que lorsque jai 40.000 applis ouvertes ou que je sors de veille. Le problème vient donc peut être lorsque virtuawin est mis en swap ou un truc du genre
[^] # Re: 1984 et Wikipedia
Posté par Alex . En réponse au journal La mort de Knol est annoncée. Évalué à 2.
J'ai lu une doc de travers (même pas la rfc), mais il me semblait qu'il y avait quelques limites tout de même:
en fait tu n'as qu'une rootca, mais toujours une multitude de ca. De plus il me semble que la norme n'impose pas une séparation obligatoire de la zsk et de la ksk, ce qui implique que l'on aura un certain nombre de clés "exposés" (disons aussi exposé que la clé d'un serveur web). Tu es évidemment moins exposé (un dns n'étant responsable que de sa zone et indirectement de ses zones filles, et pas d'une multitude de sites comme avec ssl).
D'autres craintes que j'avais: les zsk ont une durée de vie très courte (quelques jours il me semble), je me demande si on ne verra pas un de ces 4 un cuak lors des renouvellements de clés.
J'avais aussi constaté dans la doc que j'avais lu que nulle part il n'était mentionné de procédure pour révoquer une clé, si c’est le cas on risque d’avoir des problèmes avec les clés dont l’invalidité n’est pas encore connue.
Bon je me trompe peut être complètement, mais tu m'as trouvé mon sujet d'occupation pour demain: me lire les rfc, et voir si je ne trouve pas 2/3 témoignages de déploiement.
[^] # Re: 1984 et Wikipedia
Posté par Alex . En réponse au journal La mort de Knol est annoncée. Évalué à 2.
Je ne vois pas trop la différence (enfin si, ça à tout de même l'air plus sur que dnssec)
La solution proposé passe par dnssec, donc elle implique également une confiance dans celui qui te fournira le certificat du racine. Evidemment l'aspect hyper centralisé fait que tu peux même apprendre le fingerprint par coeur, mais ça sera loin d'être le cas de tous.
De plus dnssec est encore peu testé, on a le temps d'y trouver des failles.
[^] # Re: ...
Posté par Alex . En réponse au journal Anne McCaffrey bronsonisée. Évalué à 2.
franchement je ne me rappelle plus des descriptions du livre, je vais donc te croire sur parole
En même temps, c'est ce qui est merveilleux dans les livres, chacun en a son interprétation.
Moi j'avais toujours vu sam comme le chien fidèle, c'est un peu son archétype. Mais toujours dans le livre, il me semble que justement frodo est toujours dans cette ambivalence chef/ami/amant/solitaire
De mémoire c'était shrek et l'ane, toujours dans les mêmes conneries, mais l'un étant la conscience de l'autre
Non, ils ne sont jamais des personnages à part entière, comme je dis par la suite, ils n'existent que par les autres. Néanmoins se sont les seuls ressentant quelque chose, ça leur donne une plus value sur les autres, les buveurs de bière, les elfes froids, le héro sans peur ni reproche, ou le demi dieu
Complètement, mais c'est ce vide qui donne son relief, et justement son ambivalence, en fait c'est un pattern qu'on trouve dans beaucoup de romans de fantasy: le personnage sans caractère, qui de lui-même ne fait finalement pas grand-chose à par porté l'anneau et subir ce qu'on lui impose, qui ne décide même pas vraiment de son destin (à part bien sûr, lorsqu'il quitte la communauté). Dailleurs c'est un des thèmes: comment prendre la vague
Euh oui, je ne nie pas le coté manichéen de l'histoire. C'est un conte. Est-ce ça qui te gène ?
Je ne prends pas le sda pour autre chose qu'il n'est, mais c'est pas pour autant que je ne le considère pas comme un excellent livre.
Ensuite j'admets que j'ai lu les livres il y a longtemps, et que mes souvenirs sont surement parasités par le film.
[^] # Re: ...
Posté par Alex . En réponse au journal Anne McCaffrey bronsonisée. Évalué à 2.
Je dis pas le contraire, ce que je trouve chiant, c'est les chapitres interminables qui ne sont là que pour donner un peu plus de profondeur au monde. Mon imaginaire se démerde très bien pour ça.
[^] # Re: ...
Posté par Alex . En réponse au journal Anne McCaffrey bronsonisée. Évalué à 2.
C'est loin d'être faux, néanmoins je trouve frodo plus intéressant que ça, il est toujours dans une ambivalence: entre homo ou solitaire, entre la séduction de l'anneau et la fidélité. En fait je trouve que les hobbits sont les personnages avec le plus de relief.
Il est néanmoins vrai que chaque personnage est un archétype, chacun représentant une "valeur", un comportement, mais c'est finalement ce qui à mon avis l'histoire attachante: ils n'ont d'intérêt que par leurs interactions, le personnage en soit n'est qu'une représentation, la véritable entité/héro est la communauté. Comme des fourmis en fait.
À mon avis, il y a 2 raisons à ça: le sda est à la base un conte pour grands enfants, une suite logique de bilbo et tom bombabil, le lecteur ayant vieillit, le livre muri peu à peu avec lui, sans pour autant atteindre la maturité qui rendrait les persos plus profonds. La seconde raison, peut être le fait que le sda "ne soit qu'un détail de l'histoire" décrite dans le silmarillon, un cour épisode, qui à l'échelle des terres du milieu ne mérite pas une description plus complète des personnages.
Peut-on dire que tolkien soit raciste ? Je ne pense pas. Le "mal" du seigneur des anneaux est issu du bien: dans la mythologie de tolkien les orques sont issus des elfes
bon c'est juste des théories à la con
[^] # Re: ...
Posté par Alex . En réponse au journal Anne McCaffrey bronsonisée. Évalué à 2.
c'est très cohérent au contraire: trop de bière -> pas de sexualité ;)
je dirai: parce que c'est chiant
Je ne connais pas le trône de fer (un peu lassé de l'* fantasy en ce moment, mais il faudra que je les lise un de ces 4), et je ne connais pas "les ficelles" d'un bon livre. Néanmoins les bouquins avec à chaque fois 50 pages de desriptifs inutiles ont tendance à me saouler, tout comme les bouquins qui abordent trop de thèmes.
Pour le seigneur des anneaux, je pense qu'à l'origine ça devait être un livre pour enfant (dans la droite suite de bilbo), d'où ce côté manichéen. Néanmoins ça reste une des mythologies et un des univers les plus complets que je connaisse.
[^] # Re: Ou pas
Posté par Alex . En réponse à la dépêche Entretien avec Andrew Tanenbaum à propos de MINIX. Évalué à 3.
Sous seven, chez moi , il plante peu, et est bien plus réactif que l'équivalent sexy de ms.
Néanmoins j'ai de temps en temps de lourds bugs, comme une fenêtre qui refuse de s'afficher, ou une qui reste sur tout les bureaux virtuels. Mais en attendant, sous windows il me semble qu'il n'y a pas mieu.
# ...
Posté par Alex . En réponse au journal Anne McCaffrey bronsonisée. Évalué à 6.
Avec Zelazny, une des personnes qui m'aura donné le goût de la lecture, finalement plus que Bazin ou Stendhal
[^] # Re: systemd
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 3.
En même temps ce n'est pas très pertinent comme remarque, alsa et PA n'étant pas au même niveau, et ne font pas du tout la même chose
dailleurs on peut mettre PA par dessus OSS, comme ça tu as ta merde au dessus d'un lit de rose ;)
[^] # Re: Ou pas
Posté par Alex . En réponse à la dépêche Entretien avec Andrew Tanenbaum à propos de MINIX. Évalué à 3.
Soit pour 95, soit pour 98, je sais plus
Si j'en suis sur, cest qu'à l'époque 9x ne marchait pas, litestep m'a fait connaitre afterstep et faciliter mon passage à linux (quoique la difficulté de la transition n'était pas tant l'interface, mais plutot la configuration du son et de la vidéo, sans compter qu'il était compliqué de trouver une slack à l'époque... mais une fois cette étape passée, au moin c'était stable)
Ceci dit en relisant votre fil vous ne parlez pas vraiment de la même chose: adapter l'interface à ses besoins c'est bien, mais il me semble que tu parles d'adapter le système en entier à tes besoins, et pour ce il me semble qu'on ne trouve pas mieu que les unix libres (linux, bsd...)
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 1.
Pardon, je parlais de syslog en géneral, je ne parlais plus de la "Journal" qui ne résoud en effet pas vraiment les problèmes soulevés
c'est aussi avoir obtenu les accès nécessaire sur la machine
Il ne touche pas le contenu du message, mais l'interprète tout de même: si tu ne renseignes pas d'ip, il prend celle de la connection. Je lui reproche de pas toujours avoir ce comportement...
[^] # Re: Ou pas
Posté par Alex . En réponse à la dépêche Entretien avec Andrew Tanenbaum à propos de MINIX. Évalué à 4.
litestep; bb4win, talisman, geoshell... il y en avait tout de même tout un stock.
C'est dailleurs en essayant un de ces ihm que j'ai été convaincu de passer à linux
[^] # Re: Ou pas
Posté par Alex . En réponse à la dépêche Entretien avec Andrew Tanenbaum à propos de MINIX. Évalué à 3.
Oui et non
dans son cas il met son bootloader sur sa clé usb, donc tu évites l'attaque de type evil maid (ou presque, dans l'idéal il faut bloquer le bios pour qu'il ne boot pas sur le dur)
Donc tu as raison, l'attaque n'est pas spécifique windows ou truecrypt, néanmoins la souplesse de linux permet de la bloqué
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 1.
c'est vrai, il n'empêche qu'améliorer la sécurité me parait toujours une bonne idée. Ensuite signer ses messages si n'importe qui de branché sur ton switch est capable de les intercepter et de les faire disparaitre c'est plus que balo.
Néanmoins les attaques que tu donnes impliquent déjà un haut niveau d'accès, spammer le serveur de syslog non.
Alors evidement la signature et l'authentification ne garantissent pas une protection à toute épreuve, néanmoins compliquer la vie de l'attaquant et augmenter son niveau de confiance dans ton système de log me parait important
monter une petite pki, ou un système à la ssh n'est pas très complexe à mettre en oeuvre
Interpreter c'est justement ce que je lui reproche, de remplacer l'ip de l'émetteur par celle du message
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 2.
En fait je ne pensais pas spécifiquement au pid, mais également à l'envoi de syslog sur le réseau, le filtrage des caractères d'échappement, etc...
Bien sur on peut cumuler les couches pour avoir une sécurité correcte (par ex utilisé ipsec par exemple pour authentifié les machines émettrices), mais je pense que c'est tout de même mieu si le service gère cela par lui même.
C'est en effet problématique, casser la compatibilité pose toujours des problèmes dans les périodes de transitions. Mais AMHA, c'est surtout d'avoir un consensus ou une norme. Casser la compatibilité pour un truc nouveau, mais qui serait normé et utilisé par tout les unix me gênerait pas, avoir quelque chose spécifique qui n'est géré que par un OS (soit il aussi répandu que linux) me pose plus de problème.
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 4.
N'importe qui est capable de faire ça, c'est bien le problème.
Accessoirement, je pense aussi à l'après attaque, quand il faudra procéder à l'analyse pour connaitre le pérmiètre de l'attaque et découvrir qui est l'attaquant.
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 1.
En même temps faire un peu de défense en profondeur, ça ne fait pas de mal. Surtout pour le forensic qui suivra l'attaque.
Et l'intégrité, ce qui inclut la non modification, mais également la validité des données. Si un attaquant te rempli ton syslog de n'importe quoi (ou plutôt d'infos sous son contrôle), ton log n'est plus intègre.
[^] # Re: ce type il devrait arrêter de bosser su GNU/Linux
Posté par Alex . En réponse au journal Lennart casse les logs!. Évalué à 3.
Ben justement, tu peux envoyer n'importe quoi à ton serveur syslog, sans authent ni signature. Bizarrement si tu indiques une ip dans le message que tu lui envois, il indiquera celle-ci dans les logs plutôt que celle de ma machine émettrice, j'ai vu également des cas avec des injections de caractères d'échappement forçant l'émulateur de terminal à écrire des fichiers.
[^] # Re:Journal—Trides mails
Posté par Alex . En réponse au journal Tri des mails. Évalué à 2.
En fait dans l'idéal, cest à ton client mail de créer les règles sieve pour toi, dans ton exemple évolution devrait créer la règle sieve et l'envoyer sur le serveur. Ainsi tu retrouves la même arborescence sur tout tes clients mails
Par contre, il me semble que seul kmail faisait çela, et ça ne marchait pas toujours bien.
Bonne question, zimbra le fait, et zimbra3 le faisait en créant des règles sieve qui étaient stockées sur le serveur ldap, je ne sais pas si c'est toujours le cas. Je suppose que cela doit dépendre également de l'implémentation du serveur mail.