Je salue la démarche, mais a mon avis il y a deux problèmes pour l'auto hébérgement pour les masses.
Le premier concerne la mise en oeuvre. Ca peut être long et ardu. Pour des geeks comme nous ça peut être amusant, source d'enseignements et valorisant comme boulot.
Pour le commun des mortels qui installent des ubuntu, si l'installation d'un serveur dépasse le clic sur synaptics, ça va les saouler. Ceci dit, ils ne sont sans doute pas concernés.
Et vient un second point, qui recouvre largement le premir. Il s'agit de la sécurité. Il me paraît difficile de faire l'impasse sur ce sujet. Parceque autant installer un serveur c'est intéressant, autant suivre le rythme des mises à jour, ça peut prendre énormément de temps.
Et enfin, en ces temps ou Hadopi rôde, le risque de voir transformer son petit serveur d'autohébergement en relais à SPAM et/ou dépôt de warez est plutôt grand. Et le risque également.
En prenant l'exemple de l'autohébergement de type blog, c'est même le plus gros problème.. Comment suivre les mises à jour de sa plateforme, empêcher les bots de poster des milliers de liens, vérifier que sa conf apache est béton, etc.. ça me semble difficile... Déjà que pour des pros, ça n'est pas évident, alors pour de l'autohébergement ça va être chaud.
Quelles solutions dans ce cas? Je pense qu'il faudrait mettre en place un énorme outil de sécurité autour d'un projet d'auto hébergement.
Sécurité réseau (règle de bande passante par ex, interdiction d'envoi de mails), sécurité d'accès (limite /IP ou par), et intégrité de la machine pour commencer (pas d'ajout de fichiers, surveillance de la CPU consommée)
etc..
Posté par octane .
En réponse au journal Google OS.
Évalué à 4.
Mouais, j'ai pensé la même chose lors de l'arrivée des netbooks.
J'ai un aspire one, et la carte wifi ne fonctionne complètement qu'avec le noyau (patché) livré avec la distro.
Avec un noyau de chez kernel.org, les leds ne fonctionnent pas (le wifi, oui, mais depuis peu, il fallait utiliser un truc CVS de madwifi dans le temps). Le constructeur fournit _un_ patch pour _une_ version de noyau pour faire fonctionner son bouzin. Après, il s'en fout.
Donc bon, conserve tes illusions, mais j'ai perdu les miennes :)
Pourquoi est-ce que google hacks ne remonte pas la page wikisource?
Mais c'est écrit. Noir sur blanc. La recherche se base donc sur une page dont le titre contient 'Index of', etc.. La page wikisource ne le contient pas.
Tes liens terminent en php ou htm pour trois d'entre eux qui sont explicitement ôtés des recherches.
Le google hacks consiste surtout à chercher des répertoires contenant des listes de fichiers. Le bon vieil 'index of' trié par taille, date, etc.. des fichiers d'un répertoire lorsque le fichier index par défaut n'est pas présent (et que la conf autorise cet affichage, bien sur). Les créateurs de google hacks pensent que les utilisateurs vont facilement mettre une grande liste de fichiers sans index, lorsqu'il s'agit d'une bibliothèque quelconque (films, mp3, etc..) ce qui est souvent le cas.
L'astuce consiste à donner le type de fichier et un nom. Google Hacks est juste une méthode rapide pour ajouter un grand nombre de sélecteurs de recherche afin de cibler une requête. Il en existe d'autres, comme le filetype:mp3 pour ne chercher que des fichiers au format mp3, etc...
Ensuite, mon commentaire ne cherchait pas à promouvoir ce genre de recherche que tout un chacun peut faire. Elle cherche juste à rebondir sur l'actualité. Pirate Bay permet d'accéder à du contenu copyrighté, fermons Pirate Bay. Je trouve le raccourci rapide. Donc je généralise en prenant un autre logiciel permettant la fourniture de contenu copyrighté. Dans ce cas là, qui faut il condamner?
-Google qui indexe le web?
-Les gens qui mettent des fichiers en partage?
-Google qui propose un outil facilitant la recherche de ce genre de fichiers?
-L'utilisateur final qui va utiliser google hacks plutôt que sa carte bleue?
Bien sûr, google Hacks n'est pas un renouvellement fracassant sur la manière de trouver des documents sur internet. Je constate par cette recherche (Theophile Gautier) qu'effectivement trouver des livres au format pdf est plus difficile que trouver des mp3. Les lecteurs de littérature sont peut-être mieux ordonnés et ne laissent pas en vrac un apache indexer un répertoire, qui sait.
Pas au point, non. Google indexe seulement les pages existantes.
J'ai sciemment cherché Jackson et X-Men, sachant pertinement que j'allais trouver des réponses. Des films plus 'art et essai' ne se trouvent _jamais_. Le seul endroit pour trouver des 'introuvables' était justement Emule. Nous avons connu un certain age d'or il y a quelques années ou il était possible de se forger une culture cinématographique. J'aime entre autre Marx Brothers et Laurel et Hardy (oui, j'aime beaucoup cette période du cinéma qui se trouver de plus être dans le domaine public; néanmoins, il n'existe aucune offre légale pour voir ces beaux films). Internet était le seul endroit ou ces films étaient disponible, partagés par trois internautes et demis :)
Aujourd'hui, c'est terminé, le principe consiste à vite télécharger, vite voir, vite jeter.
Pour revenir à ta recherche, une remarque, les accents passent mal. Ainsi, th=C3=A9ophile gautier n'est pas un auteur français :-) Il est facile de corriger cela, toutefois.
De plus, j'essaierai plutôt avec le titre de l'oeuvre plutôt que l'auteur même si pour le coup, j'ai essayé par exemple avec Le capitaine Fracasse, Fracasse, Gautier, Theophile, Theophile Gautier, et rien :-/
Peut-être en anglais plus de choix existe, je ne sais.
Comme quoi, la culture déserte internet. Par contre, je suis sûr qu'on peut trouver le bouquin du dernier blaireau à la mode. Je ne regarde même pas, mais un bouquin d'harry potter ou da vinci code doit se trouver.
Au hasard, hein, je suis allé sur les google code pages.
Je tombe sur le 'google hacks'. Google hacks offre une interface simplifiée pour certains types de recherches.
Pour vous faire une idée, l'interface ressemble à ça: http://lifehacker.com/assets/resources/2007/08/GHacks-Update(...)
(l'image n'est pas de moi, c'est juste une image que j'ai trouvée sur google). Bref, sélectionné par défaut:
recherche: Music
File type:mp3
Si je tape un nom comme Jackson, un artiste dont on parle un peu en ce moment, paf je tombe sur _toute_ la discographie téléchargeable en mp3. Pourquoi utiliser un torrent ou emule?
On continue?
Je clique sur Video, puis .mpg, .avi et .divx. Hop, je cherche X-men, et là, c'est le drame. Je tombe sur:
Results 1 - 10 of about 685
685 pages remplies de répertoires librement téléchargeables, comme, au hasard, http://www.##############.com/movies/movies-2008-11/ (ce n'est pas de la censure, c'est juste pour éviter que linuxfr linke ce site, de toute façon il est dans les premiers liens de google hacks.)
Avant on avait le droit à la pub sur fixe, genre
-'cuisine machine, bonjouuuuur'.
Maintenant, on a le droit d'attendre:
-(voix nasillarde): 'vous allez être mis en communication avec un opérateur, ne quittez pas'
Moralité: c'est à nous d'attendre qu'un opérateur vienne nous vendre ses bouzes. C'est énorme, quand même.
La solution, c'est de faire du greylisting. Le téléphone sonne, je décroche, je raccroche. Si c'est important, le gars rappelle, si le gars connaît il rappelle, si c'est un telemarketeur, il ne rappelle pas.
J'ai pu moi aussi bénéficier d'un _nettoyage_ en règle de mes informations confidentielles sur internet.
Mais je n'y suis pour rien. C'est juste un homonyme, qui devient vachement plus célèbre que moi. Dans un domaine qui n'est absolument pas le mien.
Donc lorsque les gens tapent mon nom et prénom sur internet, ils tombent sur ce type. Il est évident que ce n'est pas moi (trop grande différence d'âge, autre domaine d'activité) et les curieux s'arrêtent là. Ca m'a même été confirmé par un recruteur pour un boulot qui m'a dit avoir cherché des infos sur moi sur google sans en trouver.
Au début, j'étais en colère: 'quoi, google ne me référence, plus, moi!'; puis plus le temps passe, plus je suis content de cette discrétion.
Hélas tout le monde n'a pas la chance d'avoir un homonyme célèbre dans un domaine 'neutre'. Le pire aurait pu arriver avec un homonyme genre contestataire, ou politique, ou condamné à un procès retentissant, etc...
On pourrait envoyer aussi un mail hadopi à nos députés.
Exemple: Vous avez été detecté en flagrant délit de vote de loi inepte le 14 mai 2009.
Vous avez le choix entre payer une amende, installer un mouchard qui surveillera vos faits et gestes ou vous serez privé d'assemblée nationale pendant une durée allant d'un mois à un an.
Toutefois, la justice pourra dans tous les cas prendre contact avec vous pour un procès qui sera long, inutile, et coûteux.
Ce mail est un mail automatique envoyé depuis un canon à SPAM, inutile d'y répondre, 10000 mails comme celui-ci sont postés par jour, nous ne les lisons pas.
Nous avons raison, et de toute façon, vous n'avez pas le choix ni le moyen même de vouloir ou pouvoir prouver votre innocence.
Ceci dit, comme le conseil constitutionnel vient d'invalider la loi Hadopi, les citoyens français n'auront jamais le bonheur de recevoir ce genre de mail. Ca aurait été dommage, non?
En fait c'est l'inverse. Il est conseillé de zipper avant de chiffrer afin que la distribution des octets que tu chiffres soient compris dans l'intervalle [0-255] par octet.
Le problème de taille est secondaire lorsque tu veux chiffrer des documents. Le zip répond à un problème réél dû au chiffrement, c'est une solution élégante.
Par contre, je ne comprends pas, mais Valgrind se plaint de différents trucs lorsque je compile openssl.
Tiens, une variable non initialisée. (Sont nuls, ces devs, chez openssl).
12:48 df: bon je peux pas payer
12:48 df: *super visa*
12:48 df: ça me demande mon plat préféré
12:48 df: LA QUESTION DE SECURITE
12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
12:48 df: j’ai aucun recours
12:48 df: mais quelle grosse merde
12:50 df: ah mon navigateur s’en souvenait :)
12:50 usa: security fail
J'ai une question. Je lis souvent qu'un film tombe dans le domaine public 70 ans après sa création; ça tombe bien, j'adore les films des années 30-40.
Néanmoins, et après recherches, j'ai lu qu'un film est une oeuvre collaborative et que dans ce genre de situation, l'oeuvre tombe dans le domaine public 70 ans après la mort du dernier collaborateur.
Auquel cas, aucun espoir de voir un film de mon vivant tomber dans le domaine public..
Ceci dit, vu que Debian patche à tout va ce qui lui tombe sous la main avant de le packager, c'est inapplicable à cette distribution :+p
Je dirais que justement, c'est d'autant plus facile à attaquer!
On a vu qu'il n'est pas possible de trouver le même hash que le iceweasel d'origine.
Mais Debian passe son temps à ajouter des patches.
Donc, je suis dans la situation parfaite:
Je fournis un patch qui ajoute un petit truc, mais qui surtout rend la signature d'iceweasel (ou d'un autre prog) égale à un autre programme!
Donc pour l'attaquant, c'est du pain béni. A partir du moment ou tu as réussi à devenir developpeur debian, tu peux intégrer un patch soit disant 'inoffensif' dont le seul but est de faire concorder le paquet initial avec ton paquet 'evil'.
Exemple: tu reprends en main un vieux paquet tout pourri dont personne ne se sert (parceque iceweasel, ça va être dur à noyauter :) ). Tu fais deux trois màj, tu deviens dev debian. Tu ajoutes un patch de plus, ton paquet est signé automatiquement. Ce patch te donne le même hash que le hash d'un paquet 'login' amélioré :-) par tes soins.
Tu demandes la signature de ton paquet. Tu t'en sers pour le paquet 'login' qui te permet de passer root.
Arrive la seconde partie de ton attaque. Admettons que tu sois dans une université. Tu rebalances un bon vieux coup de DNS spoof pour faire pointer les serveurs de maj chez toi. Tu forces la maj du paquet 'login'. Petit à petit, toutes les debian de ton université se mettent à jour. La signature est validée, donc il n'y a pas la moindre protestation de la part d'apt etc...
---) tu es root sur toutes les debian.
Pour revenir au sujet initial, le problème des collisions de fonctions de hachage est un vrai problème, comme on peut le voir.
Aujourd'hui, (et c'est aussi le cas pour MD5), on ne sait pas produire un message dont son hash aurait une valeur fixé.
Donc si Iceweasel est signé, alors je ne peux pas trouver un autre programme dont le hash correspondrait au hash de iceweasel.
Néanmoins, il est possible de produire des collisions assez facilement (pour MD5 c'est le cas, pour SHA-1) ça ne saurait tarder.
Donc je peux écrire un programme iceweasel qui possède le même hash qu'un programme iseweasel-evil.
Je demande à faire signer iceweasel. J'utilise la signature donnée pour mon programme iceweasel-evil.
L'utilisateur installe le evil, et la signature est bone.
La limite de cette attaque, c'est que tu dois fournir les deux programmes. C'est toujours le même principe. Autant il est simple d'obtenir deux programmes dont le hash concorde, autant tu ne peux pas, à posteriori, retomber sur un hash existant.
Il me semble que justement on en parle dans un magazine en ce moment.
MD5 est moins secure que SHA-1.
Il est possible de calculer très rapidement des collisions sur MD5.
L'attaque sur SHA-1 indique qu'il est devenu théoriquement plus rapide de trouver des collisions que tout ce qui était connu jusqu'à présent.
Des applications cassant SHA-1 aussi bien qu'a pu le faire HashClash pour MD5, on a pas encore vu, mais ça ne saurait tarder.
Moralite:
N'utilisez plus MD5. Faute de mieux, utilisez SHA-1, mais prévoyez _très_ rapidement de migrer vers plus solide.
D'après ce que j'ai pu en lire, oracle permet de chiffrer de manière transparente les données.
De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.
Donc:
le pirate entre. Il active le chiffrement.
Les admins continuent de bosser, c'est transparent pour eux.
Ils font leurs sauvegardes (mais elles sont chiffrées..)
Le pirate attend.
Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.
Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
Il est bien dit: des abonnements spécifiques sur internet
Donc il suffit de ne pas prendre cet abonnement spécifique.
En gros, tu payes xxx euros par mois pour avoir accès à tout le catalogue de la maison de disque 'y'.
Avec un peu de streaming+java+flash, ils pourraient relativement blinder leur machin en plus interopérable (Voir même vendre aussi un player à la iTunes)
Le gugus moyen paye son forfait, écoute tout ce qu'il veut, il est heureux, la maison de disque est heureuse, le fric recoule à flot chez eux, et surtout ils me laissent un internet ouvert sans mouchard!
7. Les majors, qui ont déjà compris que la loi Hadopi ne marchera pas, sont en train de mettre en place la licence globale, à leur seul profit, en se préparant à offrir des abonnements spécifiques sur internet qui permettront d'avoir accès à la totalité de leur catalogue, pour un prix forfaitaire, sans que chacun paie pour le film ou la chanson qu'il télécharge.
Ok, parfait. Ça me convient. Les majors font leur sauce dans leur coin. Nickel, ils arrêteront d'aller faire du lobbying qui s'apparente à du déni de démocratie.
Qu'ils montent leurs plateformes, DRMisés, ou n'importe quoi, ou je m'en fous.
Je continuerai d'écouter de la musique libre, sur un réseau non surveillé sans payer de surtaxe globale.
Bien évidemment, les majors vont se casser la gueule car elles ne vont pas gagner de sous, mais vraiment, vraiment, je m'en contrefiche.
Faire des propositions alternatives concrètes pour lutter contre le piratage (i.e. assurer le respect du droit de propriété sur le net).
Assurer le respect du droit de propriété ou du droit d'auteur?
Le droit d'auteur, il est là, il est inaliénable, et je pense que personne ne veut le nier (sauf, hasard, les maisons de disques qui veulent absolument obtenir la paternité des oeuvres, les masters, etc...)
Si le chanteur gudule chante des paillardises (par exemple (attention, NSFW)), j'ai beau le copier mille fois, Gudule reste l'auteur de ses chansons.
Parlons du droit de propriété. Le droit de propriété est toujours présent. Je duplique ta chanson, tu l'as toujours. On duplique une troisième fois la chanson, tu as toujours l'original. Etc, etc..
Comme je ne veux pas faire des analogies avec les voitures, je vais revenir en arrière, à l'époque de la guerre du feu.
Lorsque tu as une flamme, un voisin peut venir te voler le feu. Tu ne l'as plus, c'est effectivement dommageable.
Il peut aussi venir avec sa fougère, l'enflammer et partir avec. Tu as toujours de quoi cuire ton steack de mammouth; et le voisin peut faire réchauffer sa soupe. Il peut te donner sa gratitude, un peu de graisse de phoque ou autre chose, peu importe. Tu n'as _rien_ perdu, le feu est toujours ta propriété.
Enfin, tu peux obliger tous les peuples alentours à ne brûler que du bois que tu leur vends (très cher) avec interdiction totale d'utiliser autre chose. Là, c'est clair tu vas être pété de thunes, tu vas pouvoir faire pression sur la police afin qu'ils vérifient tous les foyers alentours, les politiques vont venir te baiser les pieds.
Il n'y a rien qui te choque? L'analogie est quasiment transposable.
Aujourd'hui, le bois (la copie des fichiers) est à coût nul. Pourquoi est ce qu'un gus continuerait à vouloir vendre son matos? Surtout lorsque ce n'est pas celui qui a inventé la flamme (allumer le feu? ;) ), mais celui qui gère le transport de bois?
J'en recolle une couche, cette loi est obsolète avant l'heure, poussée par de mauvaises raisons.
iTunes se fait des c***illes en or.
Les sonneries de téléphone portable génèrent du cash à plus savoir qu'en faire.
Les salles de concert sont pleines.
Bienvenue chez les ch'tis a fait péter tous les scores.
Et on voudrait me condamner sur la foi d'une adresse IP? A ce rythme, autant mettre un impôt CMG cotisation musicale généralisée qui serait perçu directement par les maisons de disques.
Hop, un item de plus sur la liste.
http://www.univ-lyon2.fr/NPLA350_271/0/fiche___formation/
Je cite: La licence professionnelle « Communication, informatique libre et sources ouvertes » propose une formation permettant d'acquérir des connaissances sur l'environnement et les pratiques des organisations (administrations, collectivités territoriales, entreprises, ONG...) utilisant ou souhaitant migrer vers des outils logiciels et ressources libres.
# Et la sécurité?
Posté par octane . En réponse à la dépêche Un wiki sur l'auto-hébergement. Évalué à 10.
Le premier concerne la mise en oeuvre. Ca peut être long et ardu. Pour des geeks comme nous ça peut être amusant, source d'enseignements et valorisant comme boulot.
Pour le commun des mortels qui installent des ubuntu, si l'installation d'un serveur dépasse le clic sur synaptics, ça va les saouler. Ceci dit, ils ne sont sans doute pas concernés.
Et vient un second point, qui recouvre largement le premir. Il s'agit de la sécurité. Il me paraît difficile de faire l'impasse sur ce sujet. Parceque autant installer un serveur c'est intéressant, autant suivre le rythme des mises à jour, ça peut prendre énormément de temps.
Et enfin, en ces temps ou Hadopi rôde, le risque de voir transformer son petit serveur d'autohébergement en relais à SPAM et/ou dépôt de warez est plutôt grand. Et le risque également.
En prenant l'exemple de l'autohébergement de type blog, c'est même le plus gros problème.. Comment suivre les mises à jour de sa plateforme, empêcher les bots de poster des milliers de liens, vérifier que sa conf apache est béton, etc.. ça me semble difficile... Déjà que pour des pros, ça n'est pas évident, alors pour de l'autohébergement ça va être chaud.
Quelles solutions dans ce cas? Je pense qu'il faudrait mettre en place un énorme outil de sécurité autour d'un projet d'auto hébergement.
Sécurité réseau (règle de bande passante par ex, interdiction d'envoi de mails), sécurité d'accès (limite /IP ou par), et intégrité de la machine pour commencer (pas d'ajout de fichiers, surveillance de la CPU consommée)
etc..
[^] # Re: Support matériel
Posté par octane . En réponse au journal Google OS. Évalué à 4.
J'ai un aspire one, et la carte wifi ne fonctionne complètement qu'avec le noyau (patché) livré avec la distro.
Avec un noyau de chez kernel.org, les leds ne fonctionnent pas (le wifi, oui, mais depuis peu, il fallait utiliser un truc CVS de madwifi dans le temps). Le constructeur fournit _un_ patch pour _une_ version de noyau pour faire fonctionner son bouzin. Après, il s'en fout.
Donc bon, conserve tes illusions, mais j'ai perdu les miennes :)
[^] # Re: fonctionnalites^W
Posté par octane . En réponse au journal VLC 1.0.0. Évalué à 3.
Je ne sais pas si la même chose existe avec VLC.
http://mplayerplug-in.sourceforge.net/
[^] # Re: TPB
Posté par octane . En réponse au journal ThePirateBay.org racheté. Évalué à 3.
Mais c'est écrit. Noir sur blanc. La recherche se base donc sur une page dont le titre contient 'Index of', etc.. La page wikisource ne le contient pas.
Tes liens terminent en php ou htm pour trois d'entre eux qui sont explicitement ôtés des recherches.
Le google hacks consiste surtout à chercher des répertoires contenant des listes de fichiers. Le bon vieil 'index of' trié par taille, date, etc.. des fichiers d'un répertoire lorsque le fichier index par défaut n'est pas présent (et que la conf autorise cet affichage, bien sur). Les créateurs de google hacks pensent que les utilisateurs vont facilement mettre une grande liste de fichiers sans index, lorsqu'il s'agit d'une bibliothèque quelconque (films, mp3, etc..) ce qui est souvent le cas.
L'astuce consiste à donner le type de fichier et un nom. Google Hacks est juste une méthode rapide pour ajouter un grand nombre de sélecteurs de recherche afin de cibler une requête. Il en existe d'autres, comme le filetype:mp3 pour ne chercher que des fichiers au format mp3, etc...
Ensuite, mon commentaire ne cherchait pas à promouvoir ce genre de recherche que tout un chacun peut faire. Elle cherche juste à rebondir sur l'actualité. Pirate Bay permet d'accéder à du contenu copyrighté, fermons Pirate Bay. Je trouve le raccourci rapide. Donc je généralise en prenant un autre logiciel permettant la fourniture de contenu copyrighté. Dans ce cas là, qui faut il condamner?
-Google qui indexe le web?
-Les gens qui mettent des fichiers en partage?
-Google qui propose un outil facilitant la recherche de ce genre de fichiers?
-L'utilisateur final qui va utiliser google hacks plutôt que sa carte bleue?
Bien sûr, google Hacks n'est pas un renouvellement fracassant sur la manière de trouver des documents sur internet. Je constate par cette recherche (Theophile Gautier) qu'effectivement trouver des livres au format pdf est plus difficile que trouver des mp3. Les lecteurs de littérature sont peut-être mieux ordonnés et ne laissent pas en vrac un apache indexer un répertoire, qui sait.
[^] # Re: TPB
Posté par octane . En réponse au journal ThePirateBay.org racheté. Évalué à 1.
J'ai sciemment cherché Jackson et X-Men, sachant pertinement que j'allais trouver des réponses. Des films plus 'art et essai' ne se trouvent _jamais_. Le seul endroit pour trouver des 'introuvables' était justement Emule. Nous avons connu un certain age d'or il y a quelques années ou il était possible de se forger une culture cinématographique. J'aime entre autre Marx Brothers et Laurel et Hardy (oui, j'aime beaucoup cette période du cinéma qui se trouver de plus être dans le domaine public; néanmoins, il n'existe aucune offre légale pour voir ces beaux films). Internet était le seul endroit ou ces films étaient disponible, partagés par trois internautes et demis :)
Aujourd'hui, c'est terminé, le principe consiste à vite télécharger, vite voir, vite jeter.
Pour revenir à ta recherche, une remarque, les accents passent mal. Ainsi, th=C3=A9ophile gautier n'est pas un auteur français :-) Il est facile de corriger cela, toutefois.
De plus, j'essaierai plutôt avec le titre de l'oeuvre plutôt que l'auteur même si pour le coup, j'ai essayé par exemple avec Le capitaine Fracasse, Fracasse, Gautier, Theophile, Theophile Gautier, et rien :-/
Peut-être en anglais plus de choix existe, je ne sais.
Comme quoi, la culture déserte internet. Par contre, je suis sûr qu'on peut trouver le bouquin du dernier blaireau à la mode. Je ne regarde même pas, mais un bouquin d'harry potter ou da vinci code doit se trouver.
[^] # Re: TPB
Posté par octane . En réponse au journal ThePirateBay.org racheté. Évalué à 3.
Au hasard, hein, je suis allé sur les google code pages.
Je tombe sur le 'google hacks'. Google hacks offre une interface simplifiée pour certains types de recherches.
Pour vous faire une idée, l'interface ressemble à ça:
http://lifehacker.com/assets/resources/2007/08/GHacks-Update(...)
(l'image n'est pas de moi, c'est juste une image que j'ai trouvée sur google). Bref, sélectionné par défaut:
recherche: Music
File type:mp3
Si je tape un nom comme Jackson, un artiste dont on parle un peu en ce moment, paf je tombe sur _toute_ la discographie téléchargeable en mp3. Pourquoi utiliser un torrent ou emule?
On continue?
Je clique sur Video, puis .mpg, .avi et .divx. Hop, je cherche X-men, et là, c'est le drame. Je tombe sur:
Results 1 - 10 of about 685
685 pages remplies de répertoires librement téléchargeables, comme, au hasard,
http://www.##############.com/movies/movies-2008-11/ (ce n'est pas de la censure, c'est juste pour éviter que linuxfr linke ce site, de toute façon il est dans les premiers liens de google hacks.)
$ lynx -dump http://www.###.com/movies/movies-2008-11/ | grep avi | wc -l
500
Et des pages commes celles-ci, il y en a, oulalala... Beaucoup.
Bon, et là, on fait un procès à qui? à google? Au site web? A google hacks?
# Pub sur fixe
Posté par octane . En réponse au journal À mort les arnaques téléphoniques. Évalué à 9.
-'cuisine machine, bonjouuuuur'.
Maintenant, on a le droit d'attendre:
-(voix nasillarde): 'vous allez être mis en communication avec un opérateur, ne quittez pas'
Moralité: c'est à nous d'attendre qu'un opérateur vienne nous vendre ses bouzes. C'est énorme, quand même.
La solution, c'est de faire du greylisting. Le téléphone sonne, je décroche, je raccroche. Si c'est important, le gars rappelle, si le gars connaît il rappelle, si c'est un telemarketeur, il ne rappelle pas.
[^] # Re: tiens cela me fait penser
Posté par octane . En réponse au journal De la sécurité des informations personnelles sur Internet. Évalué à 6.
Mais je n'y suis pour rien. C'est juste un homonyme, qui devient vachement plus célèbre que moi. Dans un domaine qui n'est absolument pas le mien.
Donc lorsque les gens tapent mon nom et prénom sur internet, ils tombent sur ce type. Il est évident que ce n'est pas moi (trop grande différence d'âge, autre domaine d'activité) et les curieux s'arrêtent là. Ca m'a même été confirmé par un recruteur pour un boulot qui m'a dit avoir cherché des infos sur moi sur google sans en trouver.
Au début, j'étais en colère: 'quoi, google ne me référence, plus, moi!'; puis plus le temps passe, plus je suis content de cette discrétion.
Hélas tout le monde n'a pas la chance d'avoir un homonyme célèbre dans un domaine 'neutre'. Le pire aurait pu arriver avec un homonyme genre contestataire, ou politique, ou condamné à un procès retentissant, etc...
[^] # Re: Linux magazine?
Posté par octane . En réponse à la dépêche ext3 est mort ? Vive ext4 !. Évalué à 3.
Page 10, il y a bien eu un article sur ext4, après celui sur ZFS.
# Linux magazine?
Posté par octane . En réponse à la dépêche ext3 est mort ? Vive ext4 !. Évalué à 4.
[^] # Re: On aime l'humour rue Montpensier
Posté par octane . En réponse au journal Censure du dispositif de riposte graduée de la loi HADOPI. Évalué à 10.
Exemple:
Vous avez été detecté en flagrant délit de vote de loi inepte le 14 mai 2009.
Vous avez le choix entre payer une amende, installer un mouchard qui surveillera vos faits et gestes ou vous serez privé d'assemblée nationale pendant une durée allant d'un mois à un an.
Toutefois, la justice pourra dans tous les cas prendre contact avec vous pour un procès qui sera long, inutile, et coûteux.
Ce mail est un mail automatique envoyé depuis un canon à SPAM, inutile d'y répondre, 10000 mails comme celui-ci sont postés par jour, nous ne les lisons pas.
Nous avons raison, et de toute façon, vous n'avez pas le choix ni le moyen même de vouloir ou pouvoir prouver votre innocence.
Ceci dit, comme le conseil constitutionnel vient d'invalider la loi Hadopi, les citoyens français n'auront jamais le bonheur de recevoir ce genre de mail. Ca aurait été dommage, non?
[^] # Re: Déclaration
Posté par octane . En réponse au journal Le Sénat veut affirmer que l'adresse IP est une donnée personnelle. Évalué à 3.
# Si, ça marche
Posté par octane . En réponse au journal Site d'offre d'emplois sur le logiciel libre / LOLIX?. Évalué à 5.
[^] # Re: Simplicité
Posté par octane . En réponse au journal De l'utilité de formater plusieurs fois son disque dur. Évalué à 0.
Le problème de taille est secondaire lorsque tu veux chiffrer des documents. Le zip répond à un problème réél dû au chiffrement, c'est une solution élégante.
# Valgrind?
Posté par octane . En réponse au journal Valgrind fonctionnel sous OS X. Évalué à 10.
Par contre, je ne comprends pas, mais Valgrind se plaint de différents trucs lorsque je compile openssl.
Tiens, une variable non initialisée. (Sont nuls, ces devs, chez openssl).
Si je la supprime, ah bah ça marche mieux.
Je vais aller proposer un patch à Mac OS, tiens.
# Quelque fois, Security FAIL :)
Posté par octane . En réponse au journal Le nouveau jeu de Microsoft : Questions pour un Neuneu. Évalué à 3.
12:48 df: bon je peux pas payer
12:48 df: *super visa*
12:48 df: ça me demande mon plat préféré
12:48 df: LA QUESTION DE SECURITE
12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
12:48 df: j’ai aucun recours
12:48 df: mais quelle grosse merde
12:50 df: ah mon navigateur s’en souvenait :)
12:50 usa: security fail
Trouvé sur:
http://nonop.wordpress.com/2009/03/18/inscription-au-sstic/
[^] # Re: Et sinon quid du respect du droit d'auteur ?
Posté par octane . En réponse au journal Hadopi et les pastiches. Évalué à 2.
J'ai une question. Je lis souvent qu'un film tombe dans le domaine public 70 ans après sa création; ça tombe bien, j'adore les films des années 30-40.
Néanmoins, et après recherches, j'ai lu qu'un film est une oeuvre collaborative et que dans ce genre de situation, l'oeuvre tombe dans le domaine public 70 ans après la mort du dernier collaborateur.
Auquel cas, aucun espoir de voir un film de mon vivant tomber dans le domaine public..
Quelqu'un a un lien vers un texte officiel?
[^] # Re: "Aisé"?
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 6.
Je dirais que justement, c'est d'autant plus facile à attaquer!
On a vu qu'il n'est pas possible de trouver le même hash que le iceweasel d'origine.
Mais Debian passe son temps à ajouter des patches.
Donc, je suis dans la situation parfaite:
Je fournis un patch qui ajoute un petit truc, mais qui surtout rend la signature d'iceweasel (ou d'un autre prog) égale à un autre programme!
Donc pour l'attaquant, c'est du pain béni. A partir du moment ou tu as réussi à devenir developpeur debian, tu peux intégrer un patch soit disant 'inoffensif' dont le seul but est de faire concorder le paquet initial avec ton paquet 'evil'.
Exemple: tu reprends en main un vieux paquet tout pourri dont personne ne se sert (parceque iceweasel, ça va être dur à noyauter :) ). Tu fais deux trois màj, tu deviens dev debian. Tu ajoutes un patch de plus, ton paquet est signé automatiquement. Ce patch te donne le même hash que le hash d'un paquet 'login' amélioré :-) par tes soins.
Tu demandes la signature de ton paquet. Tu t'en sers pour le paquet 'login' qui te permet de passer root.
Arrive la seconde partie de ton attaque. Admettons que tu sois dans une université. Tu rebalances un bon vieux coup de DNS spoof pour faire pointer les serveurs de maj chez toi. Tu forces la maj du paquet 'login'. Petit à petit, toutes les debian de ton université se mettent à jour. La signature est validée, donc il n'y a pas la moindre protestation de la part d'apt etc...
---) tu es root sur toutes les debian.
Pour revenir au sujet initial, le problème des collisions de fonctions de hachage est un vrai problème, comme on peut le voir.
[^] # Re: "Aisé"?
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 5.
Aujourd'hui, (et c'est aussi le cas pour MD5), on ne sait pas produire un message dont son hash aurait une valeur fixé.
Donc si Iceweasel est signé, alors je ne peux pas trouver un autre programme dont le hash correspondrait au hash de iceweasel.
Néanmoins, il est possible de produire des collisions assez facilement (pour MD5 c'est le cas, pour SHA-1) ça ne saurait tarder.
Donc je peux écrire un programme iceweasel qui possède le même hash qu'un programme iseweasel-evil.
Je demande à faire signer iceweasel. J'utilise la signature donnée pour mon programme iceweasel-evil.
L'utilisateur installe le evil, et la signature est bone.
La limite de cette attaque, c'est que tu dois fournir les deux programmes. C'est toujours le même principe. Autant il est simple d'obtenir deux programmes dont le hash concorde, autant tu ne peux pas, à posteriori, retomber sur un hash existant.
Il me semble que justement on en parle dans un magazine en ce moment.
[^] # Re: Pas critique
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 9.
Il est possible de calculer très rapidement des collisions sur MD5.
L'attaque sur SHA-1 indique qu'il est devenu théoriquement plus rapide de trouver des collisions que tout ce qui était connu jusqu'à présent.
Des applications cassant SHA-1 aussi bien qu'a pu le faire HashClash pour MD5, on a pas encore vu, mais ça ne saurait tarder.
Moralite:
N'utilisez plus MD5. Faute de mieux, utilisez SHA-1, mais prévoyez _très_ rapidement de migrer vers plus solide.
# Oracle?
Posté par octane . En réponse au journal 10 millions ou vous ne reverrez jamais vos données !. Évalué à 9.
De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.
Donc:
le pirate entre. Il active le chiffrement.
Les admins continuent de bosser, c'est transparent pour eux.
Ils font leurs sauvegardes (mais elles sont chiffrées..)
Le pirate attend.
Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.
Il écrit une page web, heu, originale dont une copie est visible ici:
http://riga.ax.lt/leak/virginia-ransom-2009.html
Il attend.
Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
[^] # Re: Mais c'est parfait :)
Posté par octane . En réponse au journal [HADOPI] Le point de vue de Jacques Attali. Évalué à 2.
des abonnements spécifiques sur internet
Donc il suffit de ne pas prendre cet abonnement spécifique.
En gros, tu payes xxx euros par mois pour avoir accès à tout le catalogue de la maison de disque 'y'.
Avec un peu de streaming+java+flash, ils pourraient relativement blinder leur machin en plus interopérable (Voir même vendre aussi un player à la iTunes)
Le gugus moyen paye son forfait, écoute tout ce qu'il veut, il est heureux, la maison de disque est heureuse, le fric recoule à flot chez eux, et surtout ils me laissent un internet ouvert sans mouchard!
# Mais c'est parfait :)
Posté par octane . En réponse au journal [HADOPI] Le point de vue de Jacques Attali. Évalué à 6.
Ok, parfait. Ça me convient. Les majors font leur sauce dans leur coin. Nickel, ils arrêteront d'aller faire du lobbying qui s'apparente à du déni de démocratie.
Qu'ils montent leurs plateformes, DRMisés, ou n'importe quoi, ou je m'en fous.
Je continuerai d'écouter de la musique libre, sur un réseau non surveillé sans payer de surtaxe globale.
Bien évidemment, les majors vont se casser la gueule car elles ne vont pas gagner de sous, mais vraiment, vraiment, je m'en contrefiche.
[^] # Re: Hadopi ou quoi ?
Posté par octane . En réponse au journal Hadopi (encore un peu). Évalué à 3.
Assurer le respect du droit de propriété ou du droit d'auteur?
Le droit d'auteur, il est là, il est inaliénable, et je pense que personne ne veut le nier (sauf, hasard, les maisons de disques qui veulent absolument obtenir la paternité des oeuvres, les masters, etc...)
Si le chanteur gudule chante des paillardises (par exemple (attention, NSFW)), j'ai beau le copier mille fois, Gudule reste l'auteur de ses chansons.
Parlons du droit de propriété. Le droit de propriété est toujours présent. Je duplique ta chanson, tu l'as toujours. On duplique une troisième fois la chanson, tu as toujours l'original. Etc, etc..
Comme je ne veux pas faire des analogies avec les voitures, je vais revenir en arrière, à l'époque de la guerre du feu.
Lorsque tu as une flamme, un voisin peut venir te voler le feu. Tu ne l'as plus, c'est effectivement dommageable.
Il peut aussi venir avec sa fougère, l'enflammer et partir avec. Tu as toujours de quoi cuire ton steack de mammouth; et le voisin peut faire réchauffer sa soupe. Il peut te donner sa gratitude, un peu de graisse de phoque ou autre chose, peu importe. Tu n'as _rien_ perdu, le feu est toujours ta propriété.
Enfin, tu peux obliger tous les peuples alentours à ne brûler que du bois que tu leur vends (très cher) avec interdiction totale d'utiliser autre chose. Là, c'est clair tu vas être pété de thunes, tu vas pouvoir faire pression sur la police afin qu'ils vérifient tous les foyers alentours, les politiques vont venir te baiser les pieds.
Il n'y a rien qui te choque? L'analogie est quasiment transposable.
Aujourd'hui, le bois (la copie des fichiers) est à coût nul. Pourquoi est ce qu'un gus continuerait à vouloir vendre son matos? Surtout lorsque ce n'est pas celui qui a inventé la flamme (allumer le feu? ;) ), mais celui qui gère le transport de bois?
J'en recolle une couche, cette loi est obsolète avant l'heure, poussée par de mauvaises raisons.
iTunes se fait des c***illes en or.
Les sonneries de téléphone portable génèrent du cash à plus savoir qu'en faire.
Les salles de concert sont pleines.
Bienvenue chez les ch'tis a fait péter tous les scores.
Et on voudrait me condamner sur la foi d'une adresse IP? A ce rythme, autant mettre un impôt CMG cotisation musicale généralisée qui serait perçu directement par les maisons de disques.
Hop, un item de plus sur la liste.
# Ca existe, pourtant.
Posté par octane . En réponse au journal Mise en place d'une formation aux logiciels libres.. Évalué à 2.
Je cite:
La licence professionnelle « Communication, informatique libre et sources ouvertes » propose une formation permettant d'acquérir des connaissances sur l'environnement et les pratiques des organisations (administrations, collectivités territoriales, entreprises, ONG...) utilisant ou souhaitant migrer vers des outils logiciels et ressources libres.