Merci! Juste merci pour ce texte tellement juste :)
J'ai tellement vu de développeurs complètement ramassés avec le réseau, à ne pas comprendre pourquoi on ne passait pas par le routeur lorsqu'on est sur le même réseau, qui ne savaient pas ce qu'était un port TCP (bah, je clique sur 'deploy' et mon appli est déployé, je suis développeur réseau, alors taggle), et qui font connerie sur connerie (ne jamais, jamais, mais alors jamais laisser un développeur jouer avec bind() ou socket ou je ne sais quoi).
Ton texte devrait être imprimé en gros, times new roman 256, et collé sur tous les murs des équipes de dev \o/
Ce n'est pas forcément connu, mais on peut jouer pareil en IPv4.
Par exemple, si vous cliquez sur http://0xc0a80101 il y a de grandes chances que vous tombiez sur votre routeur d'accès.
Explication: un navigateur sait se connecter sur une adress IP et non un nom de domaine. Les adresses IP peuvent s'écrire 192.168.1.1 ou en hexadécimal c0.a8.01.01, ce qui donne 0xc0a80101
Si j'étais riche comme facebook, j'aurai acheté 0xfaceb00c comme @ IP :)
Ca pourrait être la classe d'avoir comme nom de site web 0xdeadf00d ou 0xcafebabe ; on pourrait dire: "mon site marche sans DNS" \o/
-Annonce directement à l'audience que tu n'es pas à l'aise avec la prise de parole en public, ça modérera les attentes.
Je suis pas forcément d'accord avec ça. J'ai toujours été plus mal à l'aise avec les orateurs qui commencent par s'excuser "j'ai jamais fait ça" ou "je suis en stress, soyez cool".
Déjà, les gens viennent te voir, ils n'ont pas de raison d'être négatif (au pire, ils s'en vont, hein), ensuite ça n'amène pas grand chose au propos…
Pour la répétition, oui. Pour les antisèches, oui aussi. L'idée ça peut être aussi de préparer 3 à 4 fois plus de matières que ce que tu peux dire. Genre 2h de conférences pour 30mn de prise de parole. Ca permet d'oublier des trucs sans risques, ça permet de rebondir facilement et de répondre aux questions sans stress. Il faut par contre ne pas se forcer à tout dire (forcément), et à parler len_te_ment. Beaucoup de personnes ne connaissent que peu ou mal ton sujet et il faut leur laisser le temps de souffler.
La forme de Riendf est détestable, et très pénible.
Mais là, c'est au delà de la forme. Un auteur comme Zenitram a une forme un peu pénible. Mais il n'attaque jamais la personne, il défend ses arguments, il propose des idées, avance etc.. Donc on le lit (il ferait un poil d'effort sur la forme, ça serait bien, mais bon :) ). Riendf, la forme est pénible et le fond est creux: ça se résume à de l'attaque ad hominem permanente.
Alors oui, un jour, il a eu un +2. La belle affaire. A la maternelle ou j'allais il y avait un grand con qui cassait la gueule à tous les plus petits que lui et tout le monde le détestait. Un jour, il a aidé la maitresse a effacer le tableau. C'est quand même resté un gros con.
Mais usenet a un énorme avantage: le Kill-File. Pour avoir navigué un peu sur usenet il y a quelque temps, je n'aurai jamais pu surnager sans le plonk:
- on peut plonker un casse-bonbon
- on peut plonker un sujet (un fil de discussion)
- on peut plonker un sous fil de discussion
ariasuni, tu devrais vraiment t'intéresser à occulter les commentaires de ce genre de personnes. Ils ne sont pas la pour débattre, ils ne sont pas là pour discuter, ils ne sont pas là pour argumenter, ils sont là uniquement car ça leur fait plaisir de faire chier.
Un grand penseur disait: discuter avec ces gars, c'est comme se battre dans la boue avec des cochons. Au bout d'un moment, tu te rends compte que les cochons aiment réellement la boue. Autant les laisser dedans
Une histoire ancienne, sur un chan IRC ou un bot était programmé pour être "gentil". A chaque fois qu'un pseudo connu entrait sur le chan, il le saluait (plusieurs formes de politesses étaient possibles), il répondait à des questions simples et pouvait chercher des liens sur google.
Le rigolo dans l'histoire, c'est quand on s'est rendu compte que ce bot passait très très mal auprès des autres personnes du chan. Ce bot se faisait flooder d'insultes du genre:
-pourquoi tu me dis jamais bonjour!
-t'es qui? pourquoi t'es là?
-t'as pas de vie!
-je te /msg et tu dis rien?! alors que te dis bonjour à l'autre con, je sais que t'es là!
etc, etc..
Pas vraiment une guerre de bot, mais un effet de bord complètement inattendu
Et pourtant dans les papiers de la NSA il y a pleins de hack de matériels: firmwares de disque durs, firmwares d'appliances réseaux etc..
Il existe aussi le computrace: c'est un firmware de BIOS qui va patcher ton OS à la volée et appeler au besoin une IP, ça sert dans le cas de vol d'ordinateurs.
Ensuite, tu n'as pas toujours besoin que ce soit la machine qui contacte un serveur: ça peut être un service en écoute qui attend un "magic packet" pour s'activer (cas des CISCO trojanisés par la NSA). Ca peut être une requête DNS innocente, comme par exemple allsportfootball.com. C'est légitime? Malicieux? Qui peut répondre?
Et si un malware s'implante dans le firmware de ta carte réseau, bonne chance pour toi pour 1/ t'en apercevoir, 2/ l'éradiquer
Donc oui, un trojan dans le matériel a beaucoup, beaucoup d'intérêt.
par exemple, on peut pas se permettre d’avoir une adresse IP ou un domaine à contacter coder en dur dans la puce, sinon, une fois le point de contact découvert, il devient trivial de le bloquer via un firewall.
Il faut le découvrir (c'est pas gagné, ça peut durer des années). Pour les noms de domaines, ils peuvent être générés dynamiquement (c'est ce que font déjà une pléthore de malwares). Donc, si si, on peut utiliser des @IP ou des noms de domaines dans des malwares, matériels ou logiciels.
Je ne veux pas mettre de l'huile sur le feu, mais ma question initiale portait sur les entrées de capitaux dans des logiciels libre, et le risque que cela faisait courir au projet.
Bon, apparemment pour cozycloud ce n'est pas lié au grand méchant capital, c'est pour ça que je trouve l'info importante. Je voulais juste prendre cozycloud en exemple, mais ça semble être un mauvais exemple du coup.
Pour les grands comptes, c'est une réflexion et du prototype d'apps cozy pour les services innovation qui veulent utiliser les données d'utilisateurs auxquelles ils n'auraient pas accès normalement.
Il n'y a que moi que cette phrase choque? Un service "innovation" qui accède à des données "auxquelles ils n'auraient pas accès normalement"?
Si je met ma carte bleue, ou mes contacts, ou mon fichier privé aquaponey_2.avi, les grands comptes innovants vont y avoir accès?
Merci pour ces réponses claires. (Plus claires que le site en tout cas)
Et effectivement j'ai l'impression que des entreprises se servent de robot-me. On voit abondance de pseudo finissant par 42, il y a des séries de stagiaire1 stagiaire 2 etc…
root-me j'aime bien, j'y vais souvent, c'est vraiment génial d'avoir une plateforme comme ça.
Mais j'ai une ou deux questions:
-il est dit qu'on rémunère les challenges. Très bien, pourquoi pas. Mais pour être rémunéré, il faut être membre de l'assoce (?), donc il faut payer d'abord pour être payé éventuellement, si le challenge plait. C'est bizarre.
-sur le site root-me pro, il est écrit "L'intelligence collective d'une communauté de 35000 membres au service de votre sécurité". Un peu plus bas, il est écrit: "Faites tester la sécurité de vos applications métiers en toute sérénité par une communauté d'expert".
mouais mouais mouais. Ca veut dire quoi? Que si je suis inscrit sur root-me, je fais partie des 35000 experts qui va tester l'ppli métier d'un client? De quel client? Et le client paye qui? Et comment ça se passe? Il va y avoir un challenge "allez péter l'appli métier de la société X, vous aurez 20 points"? Je me suis inscrit pour m'amuser et apprendre des trucs en sécurité, pas pour servir de main d'oeuvre gratuite à un client inconnu.
Que root-me se professionalise, très bien. Que les admins utilisent la renommée de root-me pour fonder une boite pro, pas de problème avec ça. Que les admins se vantent comme expert en sécurité informatique, on ne peut leur nier, et c'est vrai.
Mais qu'ils embarquent les membres de root-me asso comme caution d'intelligence et de réservoirs de testeurs, ça m'interpelle un peu..
Wut? Non, il est en train de devenir minoritaire. Une faille firefox, elle est en plus multiplateforme (Win, Mac, Linux, etc..)
En contrepartie, une faille sur Chrome ou Safari représente des milliards de périphériques
bah non., regarde les stats des navigateurs.
Et comme le dit très bien l'article, Firefox ne s'intéresse actuellement qu'aux changements cosmétiques. La sécurité est laissée en second plan. Il n'y a plus vraiment de challenge.
On peut lire ça différemment: Firefox met tellement de temps à corriger les failles qui lui sont remontées, et s'en fout tellement de la sécu que la majorité des boites qui font de l'exploit en ont un paquet sous le coude.
Donc faire un chall ça n'amène rien si ce n'est perdre du fric dans des failles qui seront corrigées dans, oulala, longtemps, après avoir pris 8 versions pour modifier la couleur de l'icone d'un sous-sous menu et pété la gestion des menus.
Ok, un très grand merci pour l'explication, tout commence à devenir plus clair.
Bon, il faut que je track un peu les connexions, mais l'essentiel est là, et je suis bien sous debian.
Dommage qu'on ne puisse pas mettre +10 sur ton commentaire :)
Il me reste à vider le cache des certificats présents sous mon Chrome.
Je dirais bien merci Nal, mais là, il faut dire merci gouttegd
Je compte 6 certificats pour arriver au top CA:
Builtin Object Token: AddTrust External Root
UTN - DATACorp SGC
AddTrust External CA Root
USERTrust RSA Certification Authority
Gandi Standard SSL CA 2
*.linuxfr.org
C'est fort étrange.
Je prends un proxy, même navigateur, une IP SFR: http://i.imgur.com/Pn0QWLn.png
Et j'ai 4 niveau d'autorités
Builtin Object Token: AddTrust External Root
USERTrust RSA Certification Authority
Gandi Standard SSL CA 2
*.linuxfr.org
Si je résume:
-avec mon IP free : certificat révoqué, 6 niveaux de certification
-avec une IP SFR: certificat OK, 4 niveaux
Mon cher Nal, je vais bouffer les murs si ça continue, et je n'y comprends vraiment toujours rien
Je suis curieusement super content de voir la photo de la bête (ne me faites pas dire que j'aime les photos de zobe).
C'est toujours intéressant de voir que derrière un site distant, il y a du matos, des gens qui s'en occupent: a force d'entendre parler de cloud de nuage et tout ça, on oublie l'aspect matériel. J'avais vu aussi la photo du serveur du lip6 il y a quelques années, c'était sympa :)
Tu es gentil, mais le fuzzing, je bosse dedans, justement :)
Donc oui, Sage, je connais, egas aussi, j'ai pas mal discuté avec son auteur. Et je maintiens ce que je dis: Sage, c'est une espèce de tank couplé à une usine à gaz pour décapsuler une cannette de bière. Ca marche, c'est long, ça a demandé des années de mise en oeuvre et ça fait à peu près le job. Mais écoute pasbillpasgates: moi qui bosse depuis 13 ans là dedans, il me faut 1h pour lancer une campagne de fuzz. Whah! Imagine un dev qui te dise qu'il code depuis 13 ans dans un langage et qui a besoin d'1h pour écrire Hello World. Tu dirais que ce langage n'a pas l'air simple.
Je crois que c'est surtout une affaire d'ego. Tu es face à des gens qui ont eu comme leitmotiv pendant des années la seule phrase: "le fuzzing aléatoire c'est de la merde".
Ils ont passé des années à développer un bouzin, à inventer des technos, à faire du beau logiciel, ça a donné beaucoup de papiers de recherches, et ils sont toujours fier d'annoncer que Sage a trouvé 1/3 des bugs dans je ne sais plus quel composant d'Office. Le gars qui a fait Egas, c'est amusant, c'est toujours la première chose qu'il sort: "si si, say génial, ça a trouvé le 1/3 des bugs d'office" sans plus de détails. Va voir une de ses présentations à une conf, la moitié de la présentation sert surtout à dire que c'est mieux que les autres et que les fuzzers n'arriveront jamais à trouver tous les bugs (sage non plus, mais ça les choque moins). L'autre moitié de la prez sert à expliquer comment ça marche, et allez les lire, ça n'a rien de simple.
Je comprends que c'est un peu difficile de se remettre en question: les devs de sage ont fait un gros bouzin, de la taille d'une montagne, et un gus sorti de nulle part publie un soft de quelques lignes qui explose en facilité leur tank.
Première réaction: quoi, un fuzzer aléatoire? Mais ça fait dix ans qu'on répète que c'est de la merde, alors c'est de la merde.
Deuxième réaction: de toute façon, notre fuzzer est beaucoup mieux.
Troisième réaction: moi j'y ai bossé 10 ans dessus, alors c'est mieux et je sais de quoi je parle.
oui, bah tu vas dans mon sens. On a une communication opaque qui dit que Sage c'est génial et mieux que les autres. Vas sur fulldisclosure, sur le MITRE, et cherche les bugs trouvés par Sage.
1/3 des bugs trouvés dans les composants desktop & multimedia de Windows 7 l'ont été par SAGE. Ca inclue tout ce qui est PNG/JPG/MPG/
oui, et afl qui a mouliné quelques jpg a trouvé de nouveaux bugs dans des produits microsoft. OMG! le fuzzer le plus perfectionné au monde qui ne travaille pas au hasard et qui prend tous les branchements de code aurait laissé passé un bug? Mais comment est-ce possible?
Imagine, tu as une fonction a(), une fonction b().
Sage va être capable de te dire que tu es allé dans a(), que tu es allé dans b(). Et ne trouve aucun crash. Et il s'arrête là. 100% de code coverage. 100% de branchements d'exécutions. Le solveur a bien travaillé et a trouvé comment aller dans a() et dans b(). Mais le résultat, c'est 0 crash.
afl, tout simple et bête qu'il est, va être capable de dire, tiens le chemin d'exécution:
a() -> b() est différent de b() -> a(). Et différent de a() -> a() -> a() -> b() -> a() -> crash!
Mais ne te méprends pas. Je trouve que Sage, c'est très bien. C'est juste une réponse incroyablement complexe à un problème simple (explorer efficacement le code compilé). Et c'est génial (si si). Mais incroyablement compliqué. Sage, ça reste ardu à mettre en oeuvre. Les équivalents, idem. C'est lourd, c'est long, ça demande un temps délirant à démarrer et il faut 25 ingénieurs qui le surveillent en permanence.
A côté de ça, face au même problème: explorer efficacement le code compilé, tu as des fuzzers comme afl qui éclatent littéralement tous les autres fuzzers en terme de facilité d'utilisation, et qui trouvent des bugs, même lorsque Sage est passé par là!!
Un fuzzer "dumb" à la radmasa, oui, ça a beaucoup de limites. Pour faire péter ces limites, tu peux faire Sage. Combien d'années de recherches à MS? Combien d'années.hommes? Et tu as afl. Quelques semaines de taf d'une personne. Nombre de bugs trouvés: énormes. Il faudrait que MS research porte afl sur leurs produits et teste un coup. Je serais très curieux du résultat.
Tout d'abord, Sage est closed source, et on en sait que ce que les gens veulent bien en dire…
Ensuite, Sage fait de la résolution de contraintes, ce qui implique un solveur (Z3). Et généralement, les papiers qui en parlent disent que la résolution de contraintes sur un projet trop gros a tendance à exploser et donc on limite le scope à un sous ensemble, ou une sous fonction, ce qui limite beaucoup la chance de trouver des bugs.
Dans le monde réél, je ne crois pas avoir lu: "This bug has been found with Sage". Par contre, j'ai beaucoup lu "Alors le bug machin qui a été trouvé, on a essayé de le reproduire avec Sage, on a monitoré la fonction coupable et on a réussi à retrouver la faille, regardez comme Sage c'est génial et ça écrase les fuzzers".
Pour résumer, on a Sage qui est apparemment génial, qui demande un bac+18 pour être mis en oeuvre, sur un sous-ensemble réduit de fonctionnalités.
De l'autre, on a afl. On prend un prog, on le recompile (ou pas), on le balance à afl même si on ne connait rien à son format d'entrée, on attend un peu et il trouve des bugs, des vrais, et il en trouve vite, et beaucoup.
On pourrait croire que je suis anti-Sage, mais non, je veux juste dire que afl et Sage n'ont rien à voir. Afl, c'est bon, c'est simple, ça augmente réellement la qualité de vos programmes.
Sage, bah tant que ça restera cantonné chez MS research, ça fournira des papiers enthousiastes, ça n'augmentera pas la sécurité de vos programmes.
Le papier que tu cites en commentaire, si on le prends page 2:
void top(char input[4]) {
int cnt=0;
if (input[0] == ’b’) cnt++;
if (input[1] == ’a’) cnt++;
if (input[2] == ’d’) cnt++;
if (input[3] == ’!’) cnt++;
if (cnt >= 3) abort(); // error
} le papier dit: Random fuzzing ne trouvera jamais la condition.
Bah si, afl le trouve, et très vite même. Sage le trouve encore plus vite, oui. Mais fuzzer un programme de 8 lignes, ça n'intéresse personne (même moi, sans ordinateur rien qu'en lisant le code source je peux trouver la condition d'erreur \o/ )
Comment choisir le bon serveur ? (définir ses objectifs, critères importants à regarder,…)
Que faire juste après la réception de ses codes d'accès ? (changer le mot de passe root, mettre sa clé SSH,…)
Sécuriser le serveur :
sécurisation externe
sécurisation interne
Configuration du socle principal
(pas de 5e étape?)
je ne connais pas le contenu, mais le point le plus problématique consiste à conserver le serveur sécurisé.
Le jour de l'install, on est jeune, on est fou, on est plein de bonnes volontés, et on configure aux petits oignons le serveur, on est heureux, il est beau, il est neuf, il est on-line.
Généralement, 3 ans plus tard, on retrouve le même serveur, vaguement mis à jour, avec une configuration super laxiste car "tu comprends, le beau frère à Duduche ne pouvait pas y accéder avec son smartphone alors j'ai modifié un truc (alternative: le big boss voulait synchroniser son smartphone avec le serveur)", et surtout rempli de virus, bots, etc…
C'est faux : « un impôt plus efficace, plus simple, et surtout plus juste, ce qui nécessite de réintroduire de la progressivité partout où elle a disparu ».
blablablabla. Cite moi un seul homme politique qui déclare:
"Mon parti vous promet un impot moins efficace, plus compliqué, et moins juste!"
je ne prends pas la peine de chercher, mais sois en sûr, tu retrouveras les mêmes termes chez les républicains, les verts, la LCR, etc..
il n'y aura moins d'impôts que « si la situation économique des finances publiques le permet (, l’objectif sera de réduire ce taux) ».
Ah bah oui, moi aussi je peux en faire des promesses de campagne: "Si tout va mieux et qu'on a plein de sous, alors je vais baisser vos impôts \o/ Votez pour moi, vous voyez, je l'ai dit: "baisse d'impôt", croyez-y!"
etc, etc, etc…
Ce qui me sidère, chez les gens qui citent le FN à tout bout de champ, c'est cette espèce d'innocence gentillette qui déborde en permanence: "mais non, ils disent que l'impot sera juste! et ils aiment les homosexuels, mais si! Et ils s'intéressent au problème X ou Y de très près. etc..". Chez un enfant, c'est touchant de naïveté. Chez un adulte, c'est toujours étonnant.
On parle bien "d'inventeur" pour quelqu'un qui trouve un trésor.
C'est toujours rigolo de lire ça: et on écoute machin, inventeur de la grotte de Lascaux, ou bidule, inventeur de la tombe paléochrétienne :)
[^] # Re: Capté
Posté par octane . En réponse au journal Programmer ça craint. Évalué à 1.
Merci! Juste merci pour ce texte tellement juste :)
J'ai tellement vu de développeurs complètement ramassés avec le réseau, à ne pas comprendre pourquoi on ne passait pas par le routeur lorsqu'on est sur le même réseau, qui ne savaient pas ce qu'était un port TCP (bah, je clique sur 'deploy' et mon appli est déployé, je suis développeur réseau, alors taggle), et qui font connerie sur connerie (ne jamais, jamais, mais alors jamais laisser un développeur jouer avec bind() ou socket ou je ne sais quoi).
Ton texte devrait être imprimé en gros, times new roman 256, et collé sur tous les murs des équipes de dev \o/
# pareil en IPv4
Posté par octane . En réponse au journal Jouons un peu avec les adresses IPv6…. Évalué à 10.
Ce n'est pas forcément connu, mais on peut jouer pareil en IPv4.
Par exemple, si vous cliquez sur http://0xc0a80101 il y a de grandes chances que vous tombiez sur votre routeur d'accès.
Explication: un navigateur sait se connecter sur une adress IP et non un nom de domaine. Les adresses IP peuvent s'écrire 192.168.1.1 ou en hexadécimal c0.a8.01.01, ce qui donne 0xc0a80101
Si j'étais riche comme facebook, j'aurai acheté 0xfaceb00c comme @ IP :)
Ca pourrait être la classe d'avoir comme nom de site web 0xdeadf00d ou 0xcafebabe ; on pourrait dire: "mon site marche sans DNS" \o/
[^] # Re: Quelques trucs pour la timidité
Posté par octane . En réponse au journal J-7 avant de faire mes premières conférences. Évalué à 6.
Je suis pas forcément d'accord avec ça. J'ai toujours été plus mal à l'aise avec les orateurs qui commencent par s'excuser "j'ai jamais fait ça" ou "je suis en stress, soyez cool".
Déjà, les gens viennent te voir, ils n'ont pas de raison d'être négatif (au pire, ils s'en vont, hein), ensuite ça n'amène pas grand chose au propos…
Pour la répétition, oui. Pour les antisèches, oui aussi. L'idée ça peut être aussi de préparer 3 à 4 fois plus de matières que ce que tu peux dire. Genre 2h de conférences pour 30mn de prise de parole. Ca permet d'oublier des trucs sans risques, ça permet de rebondir facilement et de répondre aux questions sans stress. Il faut par contre ne pas se forcer à tout dire (forcément), et à parler len_te_ment. Beaucoup de personnes ne connaissent que peu ou mal ton sujet et il faut leur laisser le temps de souffler.
[^] # Re: Je ne suis pas sur de comprendre le probléme
Posté par octane . En réponse au journal Comme d'habitude, l'UMP l'a voulu, le PS l'a fait, et vice versa. Évalué à 3.
Le terme n'existe pas sur bitoduc, mais tu peux sans doute faire une fusiodemande.
http://www.bitoduc.fr
[^] # Re: Modération laxiste
Posté par octane . En réponse au sondage La modération a posteriori des contenus et commentaires problématiques sur LinuxFr.org. Évalué à 7.
La forme de Riendf est détestable, et très pénible.
Mais là, c'est au delà de la forme. Un auteur comme Zenitram a une forme un peu pénible. Mais il n'attaque jamais la personne, il défend ses arguments, il propose des idées, avance etc.. Donc on le lit (il ferait un poil d'effort sur la forme, ça serait bien, mais bon :) ). Riendf, la forme est pénible et le fond est creux: ça se résume à de l'attaque ad hominem permanente.
Alors oui, un jour, il a eu un +2. La belle affaire. A la maternelle ou j'allais il y avait un grand con qui cassait la gueule à tous les plus petits que lui et tout le monde le détestait. Un jour, il a aidé la maitresse a effacer le tableau. C'est quand même resté un gros con.
[^] # Re: Modération laxiste
Posté par octane . En réponse au sondage La modération a posteriori des contenus et commentaires problématiques sur LinuxFr.org. Évalué à 3.
Ce texte est tout à fait approprié.
Mais usenet a un énorme avantage: le Kill-File. Pour avoir navigué un peu sur usenet il y a quelque temps, je n'aurai jamais pu surnager sans le plonk:
- on peut plonker un casse-bonbon
- on peut plonker un sujet (un fil de discussion)
- on peut plonker un sous fil de discussion
ariasuni, tu devrais vraiment t'intéresser à occulter les commentaires de ce genre de personnes. Ils ne sont pas la pour débattre, ils ne sont pas là pour discuter, ils ne sont pas là pour argumenter, ils sont là uniquement car ça leur fait plaisir de faire chier.
Un grand penseur disait: discuter avec ces gars, c'est comme se battre dans la boue avec des cochons. Au bout d'un moment, tu te rends compte que les cochons aiment réellement la boue. Autant les laisser dedans
# Bot IRC
Posté par octane . En réponse au journal Chroniques de l'automatisation : la guerre des bots. Évalué à 10.
Une histoire ancienne, sur un chan IRC ou un bot était programmé pour être "gentil". A chaque fois qu'un pseudo connu entrait sur le chan, il le saluait (plusieurs formes de politesses étaient possibles), il répondait à des questions simples et pouvait chercher des liens sur google.
Le rigolo dans l'histoire, c'est quand on s'est rendu compte que ce bot passait très très mal auprès des autres personnes du chan. Ce bot se faisait flooder d'insultes du genre:
-pourquoi tu me dis jamais bonjour!
-t'es qui? pourquoi t'es là?
-t'as pas de vie!
-je te /msg et tu dis rien?! alors que te dis bonjour à l'autre con, je sais que t'es là!
etc, etc..
Pas vraiment une guerre de bot, mais un effet de bord complètement inattendu
[^] # Re: Manger sa propre nourriture
Posté par octane . En réponse à la dépêche Le logiciel libre au-delà de x86. Évalué à 6.
Et pourtant dans les papiers de la NSA il y a pleins de hack de matériels: firmwares de disque durs, firmwares d'appliances réseaux etc..
Il existe aussi le computrace: c'est un firmware de BIOS qui va patcher ton OS à la volée et appeler au besoin une IP, ça sert dans le cas de vol d'ordinateurs.
Ensuite, tu n'as pas toujours besoin que ce soit la machine qui contacte un serveur: ça peut être un service en écoute qui attend un "magic packet" pour s'activer (cas des CISCO trojanisés par la NSA). Ca peut être une requête DNS innocente, comme par exemple allsportfootball.com. C'est légitime? Malicieux? Qui peut répondre?
Et si un malware s'implante dans le firmware de ta carte réseau, bonne chance pour toi pour 1/ t'en apercevoir, 2/ l'éradiquer
Donc oui, un trojan dans le matériel a beaucoup, beaucoup d'intérêt.
Il faut le découvrir (c'est pas gagné, ça peut durer des années). Pour les noms de domaines, ils peuvent être générés dynamiquement (c'est ce que font déjà une pléthore de malwares). Donc, si si, on peut utiliser des @IP ou des noms de domaines dans des malwares, matériels ou logiciels.
[^] # Re: La version officielle
Posté par octane . En réponse au journal Cozy cloud, maif et licenciement du CTO???. Évalué à 3.
Je ne veux pas mettre de l'huile sur le feu, mais ma question initiale portait sur les entrées de capitaux dans des logiciels libre, et le risque que cela faisait courir au projet.
Bon, apparemment pour cozycloud ce n'est pas lié au grand méchant capital, c'est pour ça que je trouve l'info importante. Je voulais juste prendre cozycloud en exemple, mais ça semble être un mauvais exemple du coup.
[^] # Re: La version officielle
Posté par octane . En réponse au journal Cozy cloud, maif et licenciement du CTO???. Évalué à 4.
Merci (vraiment) pour cette information.
[^] # Re: Société est trop général
Posté par octane . En réponse au journal Pourquoi une petite société a intérêt à contribuer et produire du libre... mais pas que. Évalué à 5.
Il n'y a que moi que cette phrase choque? Un service "innovation" qui accède à des données "auxquelles ils n'auraient pas accès normalement"?
Si je met ma carte bleue, ou mes contacts, ou mon fichier privé aquaponey_2.avi, les grands comptes innovants vont y avoir accès?
[^] # Re: Les réponses classiques
Posté par octane . En réponse au sondage Quels sont les mots que vous employez le plus dans un contexte d'engagement ?. Évalué à 2.
"Hyperboloïde"
Un lecteur de Léonard? :)
[^] # Re: oui, mais
Posté par octane . En réponse à la dépêche Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro. Évalué à 3.
Merci pour ces réponses claires. (Plus claires que le site en tout cas)
Et effectivement j'ai l'impression que des entreprises se servent de robot-me. On voit abondance de pseudo finissant par 42, il y a des séries de stagiaire1 stagiaire 2 etc…
# oui, mais
Posté par octane . En réponse à la dépêche Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro. Évalué à 8.
root-me j'aime bien, j'y vais souvent, c'est vraiment génial d'avoir une plateforme comme ça.
Mais j'ai une ou deux questions:
-il est dit qu'on rémunère les challenges. Très bien, pourquoi pas. Mais pour être rémunéré, il faut être membre de l'assoce (?), donc il faut payer d'abord pour être payé éventuellement, si le challenge plait. C'est bizarre.
-sur le site root-me pro, il est écrit "L'intelligence collective d'une communauté de 35000 membres au service de votre sécurité". Un peu plus bas, il est écrit: "Faites tester la sécurité de vos applications métiers en toute sérénité par une communauté d'expert".
mouais mouais mouais. Ca veut dire quoi? Que si je suis inscrit sur root-me, je fais partie des 35000 experts qui va tester l'ppli métier d'un client? De quel client? Et le client paye qui? Et comment ça se passe? Il va y avoir un challenge "allez péter l'appli métier de la société X, vous aurez 20 points"? Je me suis inscrit pour m'amuser et apprendre des trucs en sécurité, pas pour servir de main d'oeuvre gratuite à un client inconnu.
Que root-me se professionalise, très bien. Que les admins utilisent la renommée de root-me pour fonder une boite pro, pas de problème avec ça. Que les admins se vantent comme expert en sécurité informatique, on ne peut leur nier, et c'est vrai.
Mais qu'ils embarquent les membres de root-me asso comme caution d'intelligence et de réservoirs de testeurs, ça m'interpelle un peu..
[^] # Re: Ceci n'est pas un troll !
Posté par octane . En réponse au journal Iceweasel is dead!. Évalué à 3.
Wut? Non, il est en train de devenir minoritaire. Une faille firefox, elle est en plus multiplateforme (Win, Mac, Linux, etc..)
bah non., regarde les stats des navigateurs.
Et comme le dit très bien l'article, Firefox ne s'intéresse actuellement qu'aux changements cosmétiques. La sécurité est laissée en second plan. Il n'y a plus vraiment de challenge.
On peut lire ça différemment: Firefox met tellement de temps à corriger les failles qui lui sont remontées, et s'en fout tellement de la sécu que la majorité des boites qui font de l'exploit en ont un paquet sous le coude.
Donc faire un chall ça n'amène rien si ce n'est perdre du fric dans des failles qui seront corrigées dans, oulala, longtemps, après avoir pris 8 versions pour modifier la couleur de l'icone d'un sous-sous menu et pété la gestion des menus.
Just my 2 cents
[^] # Re: Changement de racine chez Comodo
Posté par octane . En réponse au journal Paranoïa, certificat SSL et tracasseries.. Évalué à 2.
Ok, un très grand merci pour l'explication, tout commence à devenir plus clair.
Bon, il faut que je track un peu les connexions, mais l'essentiel est là, et je suis bien sous debian.
Dommage qu'on ne puisse pas mettre +10 sur ton commentaire :)
Il me reste à vider le cache des certificats présents sous mon Chrome.
Je dirais bien merci Nal, mais là, il faut dire merci gouttegd
[^] # Re: Changement de racine chez Comodo
Posté par octane . En réponse au journal Paranoïa, certificat SSL et tracasseries.. Évalué à 7.
Alors, avec Chrome, depuis l'IP chez free:
http://i.imgur.com/ROlGTwV
Je compte 6 certificats pour arriver au top CA:
Builtin Object Token: AddTrust External Root
UTN - DATACorp SGC
AddTrust External CA Root
USERTrust RSA Certification Authority
Gandi Standard SSL CA 2
*.linuxfr.org
C'est fort étrange.
Je prends un proxy, même navigateur, une IP SFR:
http://i.imgur.com/Pn0QWLn.png
Et j'ai 4 niveau d'autorités
Builtin Object Token: AddTrust External Root
USERTrust RSA Certification Authority
Gandi Standard SSL CA 2
*.linuxfr.org
Si je résume:
-avec mon IP free : certificat révoqué, 6 niveaux de certification
-avec une IP SFR: certificat OK, 4 niveaux
Mon cher Nal, je vais bouffer les murs si ça continue, et je n'y comprends vraiment toujours rien
# Merci pour la photo
Posté par octane . En réponse à la dépêche Actualités de l'association LinuxFr. Évalué à 10.
Je suis curieusement super content de voir la photo de la bête (ne me faites pas dire que j'aime les photos de zobe).
C'est toujours intéressant de voir que derrière un site distant, il y a du matos, des gens qui s'en occupent: a force d'entendre parler de cloud de nuage et tout ça, on oublie l'aspect matériel. J'avais vu aussi la photo du serveur du lip6 il y a quelques années, c'était sympa :)
Merci pour le compte rendu :)
[^] # Re: Rien de nouveau
Posté par octane . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 10.
Tu es gentil, mais le fuzzing, je bosse dedans, justement :)
Donc oui, Sage, je connais, egas aussi, j'ai pas mal discuté avec son auteur. Et je maintiens ce que je dis: Sage, c'est une espèce de tank couplé à une usine à gaz pour décapsuler une cannette de bière. Ca marche, c'est long, ça a demandé des années de mise en oeuvre et ça fait à peu près le job. Mais écoute pasbillpasgates: moi qui bosse depuis 13 ans là dedans, il me faut 1h pour lancer une campagne de fuzz. Whah! Imagine un dev qui te dise qu'il code depuis 13 ans dans un langage et qui a besoin d'1h pour écrire Hello World. Tu dirais que ce langage n'a pas l'air simple.
Je crois que c'est surtout une affaire d'ego. Tu es face à des gens qui ont eu comme leitmotiv pendant des années la seule phrase: "le fuzzing aléatoire c'est de la merde".
Ils ont passé des années à développer un bouzin, à inventer des technos, à faire du beau logiciel, ça a donné beaucoup de papiers de recherches, et ils sont toujours fier d'annoncer que Sage a trouvé 1/3 des bugs dans je ne sais plus quel composant d'Office. Le gars qui a fait Egas, c'est amusant, c'est toujours la première chose qu'il sort: "si si, say génial, ça a trouvé le 1/3 des bugs d'office" sans plus de détails. Va voir une de ses présentations à une conf, la moitié de la présentation sert surtout à dire que c'est mieux que les autres et que les fuzzers n'arriveront jamais à trouver tous les bugs (sage non plus, mais ça les choque moins). L'autre moitié de la prez sert à expliquer comment ça marche, et allez les lire, ça n'a rien de simple.
Je comprends que c'est un peu difficile de se remettre en question: les devs de sage ont fait un gros bouzin, de la taille d'une montagne, et un gus sorti de nulle part publie un soft de quelques lignes qui explose en facilité leur tank.
Première réaction: quoi, un fuzzer aléatoire? Mais ça fait dix ans qu'on répète que c'est de la merde, alors c'est de la merde.
Deuxième réaction: de toute façon, notre fuzzer est beaucoup mieux.
Troisième réaction: moi j'y ai bossé 10 ans dessus, alors c'est mieux et je sais de quoi je parle.
[^] # Re: Rien de nouveau
Posté par octane . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 3.
Je snippe tout, ce n'est pas intéressant. Ca continue dans la lancée: "tu n'y connais rien, say génial et tu n'y connais rien".
Non, c'est le manque de communication à ce sujet, mais peut-être qu'un ingénieur qui a passé 13 ans chez Microsoft pourra pallier à cette absence.
[^] # Re: Rien de nouveau
Posté par octane . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 8.
oui je sais, merci :)
oui, bah tu vas dans mon sens. On a une communication opaque qui dit que Sage c'est génial et mieux que les autres. Vas sur fulldisclosure, sur le MITRE, et cherche les bugs trouvés par Sage.
oui, et afl qui a mouliné quelques jpg a trouvé de nouveaux bugs dans des produits microsoft. OMG! le fuzzer le plus perfectionné au monde qui ne travaille pas au hasard et qui prend tous les branchements de code aurait laissé passé un bug? Mais comment est-ce possible?
Imagine, tu as une fonction a(), une fonction b().
Sage va être capable de te dire que tu es allé dans a(), que tu es allé dans b(). Et ne trouve aucun crash. Et il s'arrête là. 100% de code coverage. 100% de branchements d'exécutions. Le solveur a bien travaillé et a trouvé comment aller dans a() et dans b(). Mais le résultat, c'est 0 crash.
afl, tout simple et bête qu'il est, va être capable de dire, tiens le chemin d'exécution:
a() -> b() est différent de b() -> a(). Et différent de a() -> a() -> a() -> b() -> a() -> crash!
Mais ne te méprends pas. Je trouve que Sage, c'est très bien. C'est juste une réponse incroyablement complexe à un problème simple (explorer efficacement le code compilé). Et c'est génial (si si). Mais incroyablement compliqué. Sage, ça reste ardu à mettre en oeuvre. Les équivalents, idem. C'est lourd, c'est long, ça demande un temps délirant à démarrer et il faut 25 ingénieurs qui le surveillent en permanence.
A côté de ça, face au même problème: explorer efficacement le code compilé, tu as des fuzzers comme afl qui éclatent littéralement tous les autres fuzzers en terme de facilité d'utilisation, et qui trouvent des bugs, même lorsque Sage est passé par là!!
Un fuzzer "dumb" à la radmasa, oui, ça a beaucoup de limites. Pour faire péter ces limites, tu peux faire Sage. Combien d'années de recherches à MS? Combien d'années.hommes? Et tu as afl. Quelques semaines de taf d'une personne. Nombre de bugs trouvés: énormes. Il faudrait que MS research porte afl sur leurs produits et teste un coup. Je serais très curieux du résultat.
[^] # Re: Rien de nouveau
Posté par octane . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 3.
oui, mais non. Sage n'a rien à voir.
Tout d'abord, Sage est closed source, et on en sait que ce que les gens veulent bien en dire…
Ensuite, Sage fait de la résolution de contraintes, ce qui implique un solveur (Z3). Et généralement, les papiers qui en parlent disent que la résolution de contraintes sur un projet trop gros a tendance à exploser et donc on limite le scope à un sous ensemble, ou une sous fonction, ce qui limite beaucoup la chance de trouver des bugs.
Dans le monde réél, je ne crois pas avoir lu: "This bug has been found with Sage". Par contre, j'ai beaucoup lu "Alors le bug machin qui a été trouvé, on a essayé de le reproduire avec Sage, on a monitoré la fonction coupable et on a réussi à retrouver la faille, regardez comme Sage c'est génial et ça écrase les fuzzers".
Pour résumer, on a Sage qui est apparemment génial, qui demande un bac+18 pour être mis en oeuvre, sur un sous-ensemble réduit de fonctionnalités.
De l'autre, on a afl. On prend un prog, on le recompile (ou pas), on le balance à afl même si on ne connait rien à son format d'entrée, on attend un peu et il trouve des bugs, des vrais, et il en trouve vite, et beaucoup.
On pourrait croire que je suis anti-Sage, mais non, je veux juste dire que afl et Sage n'ont rien à voir. Afl, c'est bon, c'est simple, ça augmente réellement la qualité de vos programmes.
Sage, bah tant que ça restera cantonné chez MS research, ça fournira des papiers enthousiastes, ça n'augmentera pas la sécurité de vos programmes.
Le papier que tu cites en commentaire, si on le prends page 2:
void top(char input[4]) {
int cnt=0;
if (input[0] == ’b’) cnt++;
if (input[1] == ’a’) cnt++;
if (input[2] == ’d’) cnt++;
if (input[3] == ’!’) cnt++;
if (cnt >= 3) abort(); // error
}
Bah si, afl le trouve, et très vite même. Sage le trouve encore plus vite, oui. Mais fuzzer un programme de 8 lignes, ça n'intéresse personne (même moi, sans ordinateur rien qu'en lisant le code source je peux trouver la condition d'erreur \o/ )
# sécurisé ?
Posté par octane . En réponse au journal Conférence en ligne - 5 étapes clés pour choisir et installer un serveur Linux sécurisé. Évalué à 9.
Le titre dit:
un serveur Linux sécurisé
et les 5 étapes sont:
je ne connais pas le contenu, mais le point le plus problématique consiste à conserver le serveur sécurisé.
Le jour de l'install, on est jeune, on est fou, on est plein de bonnes volontés, et on configure aux petits oignons le serveur, on est heureux, il est beau, il est neuf, il est on-line.
Généralement, 3 ans plus tard, on retrouve le même serveur, vaguement mis à jour, avec une configuration super laxiste car "tu comprends, le beau frère à Duduche ne pouvait pas y accéder avec son smartphone alors j'ai modifié un truc (alternative: le big boss voulait synchroniser son smartphone avec le serveur)", et surtout rempli de virus, bots, etc…
[^] # Re: Pas vu, pas pris
Posté par octane . En réponse au journal 2017 : On change les têtes et on fait le grand ménage avant que le vent tourne. Évalué à 2.
ROFL ROFL ROFL ROFL.
blablablabla. Cite moi un seul homme politique qui déclare:
"Mon parti vous promet un impot moins efficace, plus compliqué, et moins juste!"
Alooooors, un coup de google:
http://www.parti-socialiste.fr/articles/davantage-de-justice-dans-les-impots
Tu vois, même eux le disent jusque dans le titre de leur article: "davantage de justice dans les impots"
je ne prends pas la peine de chercher, mais sois en sûr, tu retrouveras les mêmes termes chez les républicains, les verts, la LCR, etc..
Ah bah oui, moi aussi je peux en faire des promesses de campagne: "Si tout va mieux et qu'on a plein de sous, alors je vais baisser vos impôts \o/ Votez pour moi, vous voyez, je l'ai dit: "baisse d'impôt", croyez-y!"
etc, etc, etc…
Ce qui me sidère, chez les gens qui citent le FN à tout bout de champ, c'est cette espèce d'innocence gentillette qui déborde en permanence: "mais non, ils disent que l'impot sera juste! et ils aiment les homosexuels, mais si! Et ils s'intéressent au problème X ou Y de très près. etc..". Chez un enfant, c'est touchant de naïveté. Chez un adulte, c'est toujours étonnant.
[^] # Re: Pinaillage inutile donc vendrediesque
Posté par octane . En réponse au journal Interview de Louis Pouzin sur l'informatique des années 60. Évalué à 5.
On parle bien "d'inventeur" pour quelqu'un qui trouve un trésor.
C'est toujours rigolo de lire ça: et on écoute machin, inventeur de la grotte de Lascaux, ou bidule, inventeur de la tombe paléochrétienne :)