octane a écrit 830 commentaires

Si tu as encore le binaire, je le veux bien.

Je salue bien bas la performance et les qualités de ce nouveau format d'image, mais comme dit plus haut, je ne sais pas si ça va percer.

On met en avant la qualité des images même en cas de compression élevée. OK. Mais aujourd'hui ou le moindre site est rempli de centaines de ko, voire Mo de javascript dans tous les sens + du flash + des pubs + des css délirantes, qui irait d'ennuyait à recomprimer des images pour passer de 50ko à 15ko?

Deux fichiers, ça fait un peu léger effectivement.
La source est de taille faible (qq octets), il serait intéressant d'avoir également des fichiers de grosse taille (qq Mo).
--> ca permet d'avoir une idée de la taille de l'enveloppe versus taille des données

-1Mo de 'A'
-1Mo de random (plusieurs fois) afin de voir s'il y a un changement de taille
--> Ca permettra déjà de voir s'il y a des fonctions genre "compression avant chiffrement"

-plusieurs fois les mêmes données
--> Ca permet de voir s'il y a du salt avant chiffrement

etc..

Ensuite, vu les deux fichiers, et vu qu'il n'y a rien en commun, il me parait difficile de le casser uniquement avec des fichiers de sortie.. Il faudra vraiment prendre le logiciel en main (le reverser)

Après, évaluer le temps à passer sur quelque choses alors que l'on ne bosse pas dessus a plein temps: c'est dur

OK. J'ai mal vu, et je croyais qu'il s'agissait de 3 devs kernels DragonFly qui parlaient estimation. Donc je comprends mieux le 1 mois du coup :)
Et effectivement, celui qui est dedans tout le temps comme Dillon, peux coder en 2h (enfin faut être doué quand même) un truc qui prendrait 2j à un autre.

« Cela me prendra 4 bonnes heures à écrire » avait-il dit, mais voilà que 2 heures plus tard, le code était poussé dans master. Pour la petite histoire, Markus Pfeiffer estimait la charge à environ 2 jours de travail pour lui, alors que Baptiste Daroussin pensait pouvoir implémenter cela en 1 mois !

Il n'y a que moi que cela choque?

Il est toujours difficile d'estimer le travail à faire. Mais entre 1 mois et 2j, ça sent l'enfumage quand même quelque part.

Ensuite, je veux bien croire que Dillon bosse vite, mais faire tout en 2h alors qu'on a estimé 2j il y a pas un problème? C'est juste un proof of concept (preuve de concept) codée à l'arrache sur un coin de table?

Il est tout à fait possible d'ouvrir une CVE, mais dont le contenu n'est pas public, et ne la révéler que quand elle est intégrée, et distribuée !

Le problème, si j'ai bien compris, ce n'est pas le numéro de CVE, c'est l'analysabilité de la chose. Donc si le correctif est distribué en open source, alors il est analysable, CVE ou pas…

L'avantage de l'open source se voit sur le global : il y a plus d'yeux, donc de chance de trouver et de corriger des failles de sécurités.

Sauf que dans les faits, personne ne le fait. Ecrire du code, ça plait à tout le monde. Relire le code des autres, c'est pénible. Et généralement, lorsqu'il faut faire des audits de code, c'est tellement chiant qu'il faut payer des gens pour le faire. Close source payant => du budget pour payer des relecteurs. Opensource sans sous, pas de relecteurs, on compte sur la bonne volonté. Lorsqu'openBSD forke openssl, il tombe sur je ne sais plus combien de bugs. Moralité: personne n'a lu sérieusement openssl. Et c'est un peu pareil pour tout les logiciels open source.

il se peut qu'une faille trouvée, exploitée, ne soit jamais corrigée en amont

Ca oui. Le logiciel libre te permet de patcher toi même le code, indépendemment d'un éditeur quelconque. Et ça, c'est vraiment un plus énorme!

liste de diffusion dont je viens de zapper le nom

"full disclosure", et non la fermeture et réouverture n'avait rien à voir avec le disclosure, mais avec l'attitude pénible de certains contributeurs.

Il y a zerobin pour ce genre de choses, non?

http://sebsauvage.net/wiki/doku.php?id=php:zerobin

Deux remarques:
Tout d'abord, il n'y a sans doute pas que des sites porno (dont la facilité d'identification peut faire débat) qui peuvent être ciblés par des personnes peu soucieuses de ta vie privée.
Ensuite, on peut assimiler cette amélioration à la défense en profondeur chère aux spécialistes en sécurité. On complique la vie des traqueurs c'est toujours ça de pris.

Le vrai débat, c'est:

• est ce que cela sera transparent, facile d'accès, facile à implémenter et à débugger en cas de problème (sinon les admins le dégage)
• est ce que cette barrière de défense de la vie privée amène réellement un plus?

L'auteur du nourjal donne un lien : http://lwn.net/Articles/615173/ qui dit en parler, et cette page dirige vers http://lists.mindrot.org/pipermail/openssh-unix-dev/2014-April/032497.html

En gros:

• La cible Match du fichier de conf fait les choses mieux que TCPWrapper
• Cela enlève du vieux code qui tourne en mode préauthentification (le code le plus risqué)

Ce raisonnement, c'est comme si un vendeur t'agressait en entrant dans son magasin, alors que tu ne fais que regarder, et qu'en le repoussant il te crache que puisque tu n'achètes rien tu le fais couler.

Mais ça existe. J'ai vu ça chez un marchand de BD. Impossible de feuilleter plus d'une page sans avoir une remarque: "Il faut acheter pour lire la suite monsieur", et "Ce n'est pas une bibliothèque".
Je lui ai dit qu'il perdait une vente (j'étais venu acheter une BD précise), et un client.
C'est toujours étonnant ce comportement.

Du coup tu passes sur la défensive et tu demandes aux magasin de mettre un label "Vendeurs insultants, n'entrez que pour acheter sans avoir vu la marchandise".

bah ouais. C'est toujours curieux de se faire mettre dehors d'un magasin comme un malpropre.

J'ai deux PC (un desktop + un portable) , chacun avec un écran, chacun avec des écrans virtuels.

Et pour mixer le tout, j'utilise x11vnc pour avoir l'écran de l'un sur l'autre et vice-versa :)
Je voulais tout avoir sur le même écran, mais c'est finalement beaucoup plus pratique comme ça.

Bonjour,

si un modo peut nettoyer l'URL du suffixe #.etc
C'est un marqueur du site web addthis, traqueur publicitaire. addthis est particulièrement "collant", donc il vaut mieux s'en défaire.

c'était la minute: "je ne veux pas être pisté, merci". Vous pouvez mettre vos bash à jour, maintenant :)

Curieux, je suis à peu près sur d'avoir vu les détails publiquement pour ces CVE, je cite de mémoire:

octane@oldie:~$ bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF'
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
bash: warning: here-document at line 0 delimited by end-of-file (wanted `EOF')
Erreur de segmentation
octane@oldie:~$

Et l'autre est lié à une boucle for, mais je ne parviens pas à la retrouver.

avoir un service qui écoute le réseau et qui va exécuter bash.

Ou n'importe quel outil qui fait une commande system:
Par exemple, pour python:

    octane@oldie:~$ cat script.py 
    #! /usr/bin/python
    import os
    os.system("echo this is python")
    octane@oldie:~$ env x='() { :;}; echo pwned' ./script.py
    pwned
    this is python
    octane@oldie:~$

Ce n'est pas python qui est vulnérable, c'est la commande system qui lance "/bin/sh -c"

Donc attention, n'importe quel script (ou prog, ça marche aussi en C, etc..) peut sans qu'on s'en rende compte appeler /bin/sh (et par du fait des liens symboliques -> bash) même si bash n'apparaît pas explicitement.
Et même sans écouter le réseau, on peut imaginer un script qui va parser un fichier de log, ou autres joyeusetés, donc: mettez à jour

J'ai plussé ton commentaire, mais je suis un peu mitigé.
La signature a toujours été autorisée par la nétiquette, tant qu'elle n'est pas trop longue.

On a ici une signature, qui cite une entreprise. Le commentaire n'est pas une publicité éhontée.

D'un autre côté, on a un commentaire totalement nul, qui n'apporte rien au débat, dont on a l'impression qu'il sert juste de cache sexe à une publicité scandaleuse, portée par la signature. L'auteur pouvant toujours se retrancher derrière la nétiquette. Faut il pour autant lui tomber dessus? Il a commenté, il a signé. Bon.

Octane
Member of the royal penguin of La Havane, Chairman of tuxedo brothers, sister and cousins associated unlimited Co, CTO of Global Worldwide thinktank for manchot's evangelism, Benevolent administrator for life of Spheniscidae's family.

Debian est souvent une base pour la création d'une nouvelle distribution, si les outils et procédures sont si nules ?

Si j'avais à choisir, ce serait plus pour la pérennité de la distro et le nombre de mainteneurs que la qualité de leurs outils.

Sous slackware, un package, c'est un tgz contenant le nom et la version du soft.
Le build, c'est un script shell qui contient le slackbuild, par exemple pour netcat:
http://slackbuilds.org/slackbuilds/14.1/network/netcat/netcat.SlackBuild

Ca se modifie/hack à la main super facilement, les paquets binaires se modifient super facilement, on détar modifie et retar ensuite.
Comme on dit, c'est simple, ça marche.

Tu vas te faire moinsser sévère, mais tu as malheureusement raison.

Le projet Debian en préconise un parce qu'il faut en choisir un, mais dans les faits tu fais ce que tu veux.

On a quand même eu un grand moment entre aptitude et apt-get ou à peu près toutes les docs se contredisaient:

• faut utiliser aptitude toujours et tout le temps
• non faut utiliser apt-get, aptitude est deprecated
• faut prendre aptitude pour les distros upgrade et apt-get pour le reste
• non c'est l'inverse
• apt-get te cassera ta distrib!
• aptitude est deprecated
• etc..

Et d'ailleurs, j'ai jamais vraiment compris les tenants et aboutissants de ce chaos. Quoi qu'il en soit, apt-get fonctionne aujourd'hui. Et ça, je crois que mis à part deux ou trois debianistes fous furieux, personne n'a vraiment compris les raisons de ce truc. Et ça, il en reste des blogs entier conseillant l'un ou l'autre ce qui n'aide pas vraiment à la simplicité de la chose.

Soit ne pas mettre de données sensibles dans les nuages,

Et oui, mais le nuage est tellement pratique qu'une fois que l'user y a goûté, il est difficile de lui dire d'arrêter. Va dire à quelqu'un de ne plus se servir de son smartphone.

soit ne pas créer les dites données.

Eh oh, les gens sont libres quand même. C'est un peu le cliché 2.0 de "elle avait qu'à pas se mettre en jupe". J'ai reçu des pics NSFW envoyées volontairement de la part de l'autre pour le plaisir de mes yeux. Je ne vois pourquoi quelqu'un irait m'interdire de faire de même.

Malheureusement, pour les demoiselles|madames|messieurs, c'est sorti puisqu'on le lit dans le presse papier, jusque dans les gratuits données dans le métro.

PS: ça tombe bien, j'avais justement envie de me défouler. Merci pour le troll :)

De rien, ça me fait plaisir :) Je savais que ça plairait sur ce site

J'ai pensé à un système de "remainder". Le logiciel prends au hasard un des items de la liste

C'est précisément mon concept de zone "magma". Tu jettes tout un tas de bordel dedans, et le grand jeu de l'aléatoire t'en ressort quelques uns. A toi de les rejeter dans la zone magma, de les tagger correctement, ou de les poubelliser définitivement.

Euh, c'est moi l'admin, alors je sais pas à partir de quelle taille cela devient critique au point de rendre un admin débordé…

Mais bon, un bon admin:

• si il a fait les bons choix n'a qu'a regarder ses serveurs tourner et bosser sur de nouveaux projets

HA HA HA. Parceque tu crois qu'une fois que tout est réglé au millipoil, tout est figé dans le marbre? Pour avoir tâté du métier, je peux te dire que les Users des systèmes passent leur temps à tout te faire changer en permanence, et ce sont des changements autrement plus conséquents qu'une migration init -> systemd. Et ça va depuis la baie de disque à faire grossir, en passant par un bourrage papier sur l'imprimante, l'iPhone de la fille du boss à réparer, les windows à migrer (la partie difficile étant de convaincre les memes users), le DAF qui veut un rapport sur l'utilisation d'internet, et la RH qui veut du SSO et puis non, et puis en fait si, et puis finalement non sauf pour un groupe de users, c'est la course continuelle, le nouveau firewall à déballer, le déménagement de l'étage 3, retrouver le contrat de la clim' car elle a pétée, le site web à faire migrer car le CMS est obsolète, le plugin kikoo dont les commerciaux ont besoin pour faire un webinar. Donc bon, le mythe de l'admin qui joue aux cartes pendant que ses scripts monitorent des services qui ronronnent, c'est de la science fiction.

• se forme en dehors de son taf!

Bravo. J'en ai parlé dans un autre de mes nourjals, j'ai arrêté de me former en dehors du taf pour les beaux yeux de mon patron. Il faut arrêter de me prendre pour un abruti qui passe ses weeks-end à acquérir des connaissances que je vais donner à ma boîte.

Pas forcément. Il y a des choses qui peuvent se négocier, comme ajouter une grosse fonctionnalité.
Par contre, il y a pleins de petits trucs dont on discute de façon ouverte qui mérite d'être suivie, comme le fait de bouger un peu la CSS du frontend web. Donc on se dit: bah tiens, ouais, j'avais vu que ça bavait un peu sur le sous menu de l'onglet xyz. Donc faudrait laisser une petite note pour quando n retournerait coder un peu là dedans.
Ou bien: envoyer un mail le jour de la démo pour inviter toto qui est intéressé par le projet. Puis rappeler le médecin pour décaler le RDV. Etc, etc..

S'il s'agit vraiment d'un gros changement, on peut facilement monter une réu et en parler. Je pense plutôt à tous ces petits trucs qui passent par la tête et qu'on oublie aussi vite qu'on en parle.

C'est aussi pourquoi la zone "magma" est quelque chose qui serait vital dans mon idée d'utilisation de l'outil: tu jettes plein de trucs dedans, puis un jour tu tries par exemple avec: "CSS frontend projet abc", et hop, pleins de trucs qui remontent. Ou bien le matin, tu ouvres ton TODO manager, et en bas de fenêtre/Xterm, tu as trois taches du magma qui apparaissent: "rappeler laura", "compiler projet truc avec CLang" et "relancer proprio pour rappel de charge en retard" en plus de tout le reste qui est bien ordonné. Et ça, tu poubellises, ou tu oublies.

Mais en tout cas merci à tout le monde pour toutes ces bonnes idées de logiciel à tester.