Héhéhé, ils doivent engager des pigistes dont la fraîcheur n'est pas toujours garantie ...
Visiblement, ils ne connaissent pas les formats de compression vidéo, mais comme de toute façons ils ne maîtrisent pas non plus les standards réseau, ce n'est pas bien grave. Petite perle signalée par à l'époque par Zipiz (que je ne porte pourtant pas dans mon estime) à propos du fonctionnement des adresses IP:
« [Les points permettent de passer d'un réseau à l'autre]: Par exemple, l'adresse 192.10.24.87 désigne le réseau 87 du réseau 24 appartenant au réseau 10 lui-même sous-réseau du 192 ».
Les mots et l'adresse elle-même doivent être différents car je ne connais pas cet article par coeur (heureusement) mais le contenu était bien celui-ci.
Sacrés farceurs ! C'est dommage, parce que même si ce magazine a toujours été orienté bureautique et « utilisateur final », pour être pudique, l'éditeur précédent noous avait habitué à un contenu un poil plus creusé.
Si les serveurs hebergeant les sources de windows (euh pas sur que ce soit connecte au net mais bon...) etaient "rootés" microsoft serait il aussi reactif/transparent ?
Pourquoi se donner du mal ?
N'avaient-ils pas, tous seuls, (soi-disant) perdu les sources de Windows pendant le procès ?
L'objectif de ce post n'était pas de remettre en cause la messagerie sous Linux, mais bien de mettre en évidence le fait que se loguer en root est une très mauvaise idée ...
D'autre part, j'ai beau être un détracteur de Windows accompli (PasBill ne me contredira probablement pas), il faut reconnaître qu'avoir en soi une API qui permet d'accéder universellement à toutes les parties de n'importe quelle application est appréciable. Microsoft a appris à ses dépends qu'un environnement multiutilisateur ainsi qu'un bon chroot sont très utiles pour confiner l'exécution d'un programme potentiellement dangereux, mais cela aurait très bien pu nous arriver aussi. Tous les logiciels de messagerie conçus depuis lors font maintenant très attention à ce fait et c'est tant mieux, mais on ne saura jamais maintenant qui serait tombé dans le même piège.
je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges
C'est bien le problème, ce genre d'action n'est pas censé être possible. Pour que cela le devienne, il faut qu'il y ait une faille à la base A L'INTERIEUR du système. Soit c'est volontaire (backdoor), soit c'est dù à un bug ou une erreur de conception.
La difficulté réside dans le fait que même si tu vérifies et relis ton programme de bout en bout, en contrôlant tous les points que tu estimes sensibles, il n'y a rien qui te dit dès le départ que telle ou telle fonction ne va pas devenir dangereuse, une fois combinée à l'environnement dans lequel elle va s'exécuter. Un exemple (passé à l'époque sur rootshell):
Un logiciel de backup sur bande stockait ses messages dans un log, et offrait à l'utilisateur les possibilités de:
- Choisir le nom et l'emplacement de son log (généralement utile).
- Insérer manuellement une ligne dans le log avec une commande (utile aussi).
Parallèlement,
- le logiciel était SETUIDé pour toujours s'exécuter en tant que root, car il faisait des accès bas-niveau sur certains périphériques, et pour ce faire, avait besoin des privilèges du super-user.
A priori, rien d'inquiétant puisque seul le programme s'exécute en root, en aucun cas l'utilisateur qui a lancé le programme n'acquiert ces privilèges. Après tout, la commande passwd est elle aussi SETUIDée ...
Sauf que: L'utilisateur pernicieux va choisir un nom de log du style « /etc/passwd », et va y ajouter une entrée ressemblant à « toto::0:0:toto:/home:/bin/bash ». Comme le programme est root, il aura le droit de le faire. L'utilisateur n'aura ensuite qu'a se loguer normalement sous l'identité toto, sans mot de passe, pour avoir l'UID 0 et donc être root.
Et voila comment un pirate de base sans aucune connaissance en programmation peut prendre le contrôle d'une machine en 30 secondes si le logiciel en question est y installé.
Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?
Ce qui est dangereux, c'est d'ETREroot, pas de le devenir. Se loguer en root, cela revient à dire au pirate: « Pourquoi tu te fais suer ? C'est ouvert ! ».
Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus. Si tu utilises un compte de test, au pire seul ce compte est effacé, au mieux il ne se passera rien du tout car tu n'auras pas d'accès en écriture à la racine. Si tu fais la même chose sous root, en 3 minutes, tout ton disque dur est vierge.
Personnellement, je suis toujours étonné lorsque je constate le nombre de coders qui utilisent 2. C'est pour moi ce qu'il y a de plus illisible.
Au moins avec 3, le bloc d'instruction (assimilé à une seule instruction, principe de l'accolade) est aligné au même niveau que les autres instructions, et seul son contenu est indenté. Et au moins, les accolades ouvrantes sont alignées sur la même colonne que leur homologues fermantes. Pratique lorsque la totalité du bloc n'est pas visible sur une seule page.
Exceptionnellement, j'utilise 1 lorsque les instructions sont peu nombreuses, et que j'ai plusieurs clauses identiques qui se suivent. Cela permet d'aligner les cas sur les lignes du programmes, et de mettre les multiples effets dans des colonnes.
55 Le nombre de XPs que tu as accumulé
8 Le nombre de votes dont tu disposes chaque jour (en conséquence).
8 Le nombre de votes qu'il te reste pour la journée.
Si tu ne veux pas utiliser les ACL, tu peux déjà faire un chmod 773 sur le répertoire de dépot, ce qui empêche les utilisateurs de voir le contenu du répertoire, mais pas de faire des opérations sur les fichiers qui s'y trouvent s'ils connaissent leurs noms. Bref, pas génial.
Sinon, l'un des problèmes que tu vas rencontrer est que les fichiers déposés par les élèves leur appartiendront et donc mettront dessus les droits d'accès qui leur plaisent, y compris celui de t'autoriser/t'interdire de les lire. C'est le problème. Tu peux mettre des filtres sur les différents fichiers mais tu ne peux pas forcer la création d'un fichier sous l'identité d'un autre utilisateur (ce qui reviendrait à une usurpation), de même que tu ne peux pas non plus changer le propriétaire d'un fichier, même s'il t'appartient initialement, sans avoir de « Super Pouvoirs » (comprendre: ceux du root).
Tout cela permet d'éviter les situations inextricables du style « Je crée un fichier que je ne plus effacer » (ennuyeux lorsque l'on vient de remplir son quota d'espace disque par un malencontreux cat /dev/zero > fichier), voir même « J'ai créé un fichier que je ne peux pas mettre à jour » qui peut poser problème dans le cas présent (remise de devoirs notés). Il te faut donc devenir « Power User » comme on dit, lorsque tu en as besoin. Evidement, cela ne passe plus par le filesystem, pour les raisons que l'on vient d'évoquer. Le mieux est encore d'utiliser sudo.
Donc, déjà mets en place une structure qui te permette d'y accéder. Le mieux est de reprendre le principe de /home .
Crée un groupe « profs », et mets-y ton user et celui de ton assistant.
Crée un répertoire de dépot sous ton identité, et appartenant au groupe « profs »
Crée un sous-répertoire par élève, lui appartenant, et étant membre du groupe « profs ».
Fais un chmod 755 sur le répertoire de dépot (lecture/parcours pour tous, mais pas en écriture, sauf pour toi).
Fais un chmod 750 * à l'intérieur du répertoire de dépot, pour donner pour chaque sous répertoire les pleins pouvoirs à son propriétaire et les droit d'accès et de lecture pour les membres de « profs ».
Cela permet:
- à chaque éleve de faire ce qui lui plaît dans son sous-répertoire, mais pas d'effacer ce sous-répertoire (membre du rép de dépot qui t'appartient, et dont les droits en écriture ont été révoqués).
- d'accorder l'accès à tous les répertoires à tous les membres du groupe « profs ».
Les fichiers étant créés dans les conditions normales (c'est à dire par défaut, et sans que umask ait été spécifiquement modifié) en lecture seule pour tout le monde.
Tu as donc rempli la première étape: Créer une zone privée et inviolable pour chaque élève, en y appliquant toutefois un droit de regard pour quelques privilégiés. Ensuite, il te faut t'accorder des droits: man sudoers. Le plus simple est d'être membre de wheel mais tu peux faire un gestion bien plus fine des commandes et personnes autorisées.
Et d'une manière générale, il peut être bon de ne pas mettre un enfant devant un ordinateur trop longtemps avant un certain âge, également. Laissons-les vivre leur enfance et développer une vie sociale avant d'en faire tout de suite des geeks ...
Non, sans rire maintenant, ces deux-là sont des anti-héros par excellence ! Steve Ballmer plus crâne d'oeuf que jamais et Bill Gates qui disparaît presqu'entièrement derrière son imperméable en essayant de se la jouer à la Keanu Reeves ! Mouarf. Si Linus et Richard Stallman avaient fait la même chose, cela aurait fait rire aussi ...
Je suppose qu'ils ont fait cela pour rigoler, comme tout le monde, mais à ce niveau là, cela risque de leur faire de l'anti-publicité plus qu'autre chose ... :-)
[^] # Re: libcaca
Posté par Obsidian . En réponse au journal libcaca. Évalué à 0.
« \o/ R0x<>4 », comme on dit ici-bas en ce moment ...
# Re: SVM apprend les formats de compression
Posté par Obsidian . En réponse au journal SVM apprend les formats de compression. Évalué à 1.
Visiblement, ils ne connaissent pas les formats de compression vidéo, mais comme de toute façons ils ne maîtrisent pas non plus les standards réseau, ce n'est pas bien grave. Petite perle signalée par à l'époque par Zipiz (que je ne porte pourtant pas dans mon estime) à propos du fonctionnement des adresses IP:
« [Les points permettent de passer d'un réseau à l'autre]: Par exemple, l'adresse 192.10.24.87 désigne le réseau 87 du réseau 24 appartenant au réseau 10 lui-même sous-réseau du 192 ».
Les mots et l'adresse elle-même doivent être différents car je ne connais pas cet article par coeur (heureusement) mais le contenu était bien celui-ci.
Sacrés farceurs ! C'est dommage, parce que même si ce magazine a toujours été orienté bureautique et « utilisateur final », pour être pudique, l'éditeur précédent noous avait habitué à un contenu un poil plus creusé.
[^] # Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian . En réponse à la dépêche Du nouveau sur les serveurs Debian compromis. Évalué à 4.
Pourquoi se donner du mal ?
N'avaient-ils pas, tous seuls, (soi-disant) perdu les sources de Windows pendant le procès ?
[^] # Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian . En réponse à la dépêche Du nouveau sur les serveurs Debian compromis. Évalué à 5.
L'objectif de ce post n'était pas de remettre en cause la messagerie sous Linux, mais bien de mettre en évidence le fait que se loguer en root est une très mauvaise idée ...
D'autre part, j'ai beau être un détracteur de Windows accompli (PasBill ne me contredira probablement pas), il faut reconnaître qu'avoir en soi une API qui permet d'accéder universellement à toutes les parties de n'importe quelle application est appréciable. Microsoft a appris à ses dépends qu'un environnement multiutilisateur ainsi qu'un bon chroot sont très utiles pour confiner l'exécution d'un programme potentiellement dangereux, mais cela aurait très bien pu nous arriver aussi. Tous les logiciels de messagerie conçus depuis lors font maintenant très attention à ce fait et c'est tant mieux, mais on ne saura jamais maintenant qui serait tombé dans le même piège.
[^] # Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian . En réponse à la dépêche Du nouveau sur les serveurs Debian compromis. Évalué à 10.
C'est bien le problème, ce genre d'action n'est pas censé être possible. Pour que cela le devienne, il faut qu'il y ait une faille à la base A L'INTERIEUR du système. Soit c'est volontaire (backdoor), soit c'est dù à un bug ou une erreur de conception.
La difficulté réside dans le fait que même si tu vérifies et relis ton programme de bout en bout, en contrôlant tous les points que tu estimes sensibles, il n'y a rien qui te dit dès le départ que telle ou telle fonction ne va pas devenir dangereuse, une fois combinée à l'environnement dans lequel elle va s'exécuter. Un exemple (passé à l'époque sur rootshell):
Un logiciel de backup sur bande stockait ses messages dans un log, et offrait à l'utilisateur les possibilités de:
- Choisir le nom et l'emplacement de son log (généralement utile).
- Insérer manuellement une ligne dans le log avec une commande (utile aussi).
Parallèlement,
- le logiciel était SETUIDé pour toujours s'exécuter en tant que root, car il faisait des accès bas-niveau sur certains périphériques, et pour ce faire, avait besoin des privilèges du super-user.
A priori, rien d'inquiétant puisque seul le programme s'exécute en root, en aucun cas l'utilisateur qui a lancé le programme n'acquiert ces privilèges. Après tout, la commande passwd est elle aussi SETUIDée ...
Sauf que: L'utilisateur pernicieux va choisir un nom de log du style « /etc/passwd », et va y ajouter une entrée ressemblant à « toto::0:0:toto:/home:/bin/bash ». Comme le programme est root, il aura le droit de le faire. L'utilisateur n'aura ensuite qu'a se loguer normalement sous l'identité toto, sans mot de passe, pour avoir l'UID 0 et donc être root.
Et voila comment un pirate de base sans aucune connaissance en programmation peut prendre le contrôle d'une machine en 30 secondes si le logiciel en question est y installé.
Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?
Ce qui est dangereux, c'est d'ETRE root, pas de le devenir. Se loguer en root, cela revient à dire au pirate: « Pourquoi tu te fais suer ? C'est ouvert ! ».
Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus. Si tu utilises un compte de test, au pire seul ce compte est effacé, au mieux il ne se passera rien du tout car tu n'auras pas d'accès en écriture à la racine. Si tu fais la même chose sous root, en 3 minutes, tout ton disque dur est vierge.
[^] # Re: Le Bios vous observe...
Posté par Obsidian . En réponse au journal Le Bios vous observe.... Évalué à 3.
[^] # Re: Je suis resté longtemps perdu !
Posté par Obsidian . En réponse au journal Je suis resté longtemps perdu !. Évalué à 1.
[^] # Re: Le minitel
Posté par Obsidian . En réponse à la dépêche Brevets concernant la messagerie instantanée. Évalué à 1.
[^] # Re: Vous écrivez plutôt ...
Posté par Obsidian . En réponse au journal Vous écrivez plutôt ... Évalué à 1.
[^] # Re: Vous écrivez plutôt ...
Posté par Obsidian . En réponse au journal Vous écrivez plutôt ... Évalué à 3.
Personnellement, je suis toujours étonné lorsque je constate le nombre de coders qui utilisent 2. C'est pour moi ce qu'il y a de plus illisible.
Au moins avec 3, le bloc d'instruction (assimilé à une seule instruction, principe de l'accolade) est aligné au même niveau que les autres instructions, et seul son contenu est indenté. Et au moins, les accolades ouvrantes sont alignées sur la même colonne que leur homologues fermantes. Pratique lorsque la totalité du bloc n'est pas visible sur une seule page.
Exceptionnellement, j'utilise 1 lorsque les instructions sont peu nombreuses, et que j'ai plusieurs clauses identiques qui se suivent. Cela permet d'aligner les cas sur les lignes du programmes, et de mettre les multiples effets dans des colonnes.
[^] # Re: Microsoft n'en finit pas de me surprendre ;)
Posté par Obsidian . En réponse au journal Microsoft n'en finit pas de me surprendre ;). Évalué à 1.
# Re: J'ai le droit de vote!
Posté par Obsidian . En réponse au journal J'ai le droit de vote!. Évalué à 1.
http://perso.linuxfr.org/penso/moderation-linuxfr.txt(...)
Bon le document est un peu vieux et pas mal de modifications ont été faites depuis sa parution. Mais on y trouve notament:
« - 25% de chance d'avoir +2 une fois par jour si vous vous êtes logués dans les dernières 24 heures. ».
Ceal suffit pour atteindre la masse critique de 20XP nécessaire pour pouvoir voter.
[^] # Re: J'ai le droit de vote!
Posté par Obsidian . En réponse au journal J'ai le droit de vote!. Évalué à 1.
8 Le nombre de votes dont tu disposes chaque jour (en conséquence).
8 Le nombre de votes qu'il te reste pour la journée.
# Re: Ma bonne vieille Slackware !
Posté par Obsidian . En réponse au journal Ma bonne vieille Slackware !. Évalué à 3.
Debian + Fioritures™ garanties sans bavure !
# Re: Connaissez vous vos droits ?
Posté par Obsidian . En réponse au journal Connaissez vous vos droits ?. Évalué à 3.
Sinon, l'un des problèmes que tu vas rencontrer est que les fichiers déposés par les élèves leur appartiendront et donc mettront dessus les droits d'accès qui leur plaisent, y compris celui de t'autoriser/t'interdire de les lire. C'est le problème. Tu peux mettre des filtres sur les différents fichiers mais tu ne peux pas forcer la création d'un fichier sous l'identité d'un autre utilisateur (ce qui reviendrait à une usurpation), de même que tu ne peux pas non plus changer le propriétaire d'un fichier, même s'il t'appartient initialement, sans avoir de « Super Pouvoirs » (comprendre: ceux du root).
Tout cela permet d'éviter les situations inextricables du style « Je crée un fichier que je ne plus effacer » (ennuyeux lorsque l'on vient de remplir son quota d'espace disque par un malencontreux cat /dev/zero > fichier), voir même « J'ai créé un fichier que je ne peux pas mettre à jour » qui peut poser problème dans le cas présent (remise de devoirs notés). Il te faut donc devenir « Power User » comme on dit, lorsque tu en as besoin. Evidement, cela ne passe plus par le filesystem, pour les raisons que l'on vient d'évoquer. Le mieux est encore d'utiliser sudo.
Donc, déjà mets en place une structure qui te permette d'y accéder. Le mieux est de reprendre le principe de /home .
Crée un groupe « profs », et mets-y ton user et celui de ton assistant.
Crée un répertoire de dépot sous ton identité, et appartenant au groupe « profs »
Crée un sous-répertoire par élève, lui appartenant, et étant membre du groupe « profs ».
Fais un chmod 755 sur le répertoire de dépot (lecture/parcours pour tous, mais pas en écriture, sauf pour toi).
Fais un chmod 750 * à l'intérieur du répertoire de dépot, pour donner pour chaque sous répertoire les pleins pouvoirs à son propriétaire et les droit d'accès et de lecture pour les membres de « profs ».
Cela permet:
- à chaque éleve de faire ce qui lui plaît dans son sous-répertoire, mais pas d'effacer ce sous-répertoire (membre du rép de dépot qui t'appartient, et dont les droits en écriture ont été révoqués).
- d'accorder l'accès à tous les répertoires à tous les membres du groupe « profs ».
Les fichiers étant créés dans les conditions normales (c'est à dire par défaut, et sans que umask ait été spécifiquement modifié) en lecture seule pour tout le monde.
Tu as donc rempli la première étape: Créer une zone privée et inviolable pour chaque élève, en y appliquant toutefois un droit de regard pour quelques privilégiés. Ensuite, il te faut t'accorder des droits: man sudoers. Le plus simple est d'être membre de wheel mais tu peux faire un gestion bien plus fine des commandes et personnes autorisées.
Bon courage.
[^] # Re: Gates et Ballmer dans ... Matrix ;)
Posté par Obsidian . En réponse au journal Gates et Ballmer dans ... Matrix ;). Évalué à 3.
http://linuxfr.org/~ploum/6972.html(...)
et d'autre journaux encore ...
# Re: Jeu de simulation de vie de pingouin en ligne
Posté par Obsidian . En réponse au journal Jeu de simulation de vie de pingouin en ligne. Évalué à 1.
[^] # Re: Pub iPod
Posté par Obsidian . En réponse au journal Pub iPod. Évalué à 1.
[^] # Re: Voilà mon premier journal
Posté par Obsidian . En réponse au journal Voilà mon premier journal. Évalué à 3.
# Re: C'est Penso qui va être content ;)
Posté par Obsidian . En réponse au journal C'est Penso qui va être content ;). Évalué à 10.
[^] # Re: L'association "Innocence en danger" pour la mise au point d'un logiciel anti-pédophile
Posté par Obsidian . En réponse au journal L'association "Innocence en danger" pour la mise au point d'un logiciel anti-pédophile. Évalué à 7.
Et d'une manière générale, il peut être bon de ne pas mettre un enfant devant un ordinateur trop longtemps avant un certain âge, également. Laissons-les vivre leur enfance et développer une vie sociale avant d'en faire tout de suite des geeks ...
[^] # Re: Petit problème en C (free)
Posté par Obsidian . En réponse au journal Petit problème en C (free). Évalué à 1.
Si tu es limite en place mémoire, ton programme risque de segfaulter.
# Re: Logiciel de gravure libre sous windows.
Posté par Obsidian . En réponse au journal Logiciel de gravure libre sous windows.. Évalué à -7.
Bah y a gcombust, et xcdroast, livrés avec toute distrib qui se respecte. J'ai encore utilisé le premier pour graver deux CDs hier soir.
# Re: Délirant ! Néo Ballmer et Morphéus Gates sauvent la matrice !
Posté par Obsidian . En réponse au journal Délirant ! Néo Ballmer et Morphéus Gates sauvent la matrice !. Évalué à 2.
Non, sans rire maintenant, ces deux-là sont des anti-héros par excellence ! Steve Ballmer plus crâne d'oeuf que jamais et Bill Gates qui disparaît presqu'entièrement derrière son imperméable en essayant de se la jouer à la Keanu Reeves ! Mouarf. Si Linus et Richard Stallman avaient fait la même chose, cela aurait fait rire aussi ...
Je suppose qu'ils ont fait cela pour rigoler, comme tout le monde, mais à ce niveau là, cela risque de leur faire de l'anti-publicité plus qu'autre chose ... :-)
[^] # Re: J'ai failli me pisser dessus :)
Posté par Obsidian . En réponse au journal J'ai failli me pisser dessus :). Évalué à 2.