En fait c'est l'inverse. Il est conseillé de zipper avant de chiffrer afin que la distribution des octets que tu chiffres soient compris dans l'intervalle [0-255] par octet.
Le problème de taille est secondaire lorsque tu veux chiffrer des documents. Le zip répond à un problème réél dû au chiffrement, c'est une solution élégante.
Par contre, je ne comprends pas, mais Valgrind se plaint de différents trucs lorsque je compile openssl.
Tiens, une variable non initialisée. (Sont nuls, ces devs, chez openssl).
12:48 df: bon je peux pas payer
12:48 df: *super visa*
12:48 df: ça me demande mon plat préféré
12:48 df: LA QUESTION DE SECURITE
12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
12:48 df: j’ai aucun recours
12:48 df: mais quelle grosse merde
12:50 df: ah mon navigateur s’en souvenait :)
12:50 usa: security fail
J'ai une question. Je lis souvent qu'un film tombe dans le domaine public 70 ans après sa création; ça tombe bien, j'adore les films des années 30-40.
Néanmoins, et après recherches, j'ai lu qu'un film est une oeuvre collaborative et que dans ce genre de situation, l'oeuvre tombe dans le domaine public 70 ans après la mort du dernier collaborateur.
Auquel cas, aucun espoir de voir un film de mon vivant tomber dans le domaine public..
Ceci dit, vu que Debian patche à tout va ce qui lui tombe sous la main avant de le packager, c'est inapplicable à cette distribution :+p
Je dirais que justement, c'est d'autant plus facile à attaquer!
On a vu qu'il n'est pas possible de trouver le même hash que le iceweasel d'origine.
Mais Debian passe son temps à ajouter des patches.
Donc, je suis dans la situation parfaite:
Je fournis un patch qui ajoute un petit truc, mais qui surtout rend la signature d'iceweasel (ou d'un autre prog) égale à un autre programme!
Donc pour l'attaquant, c'est du pain béni. A partir du moment ou tu as réussi à devenir developpeur debian, tu peux intégrer un patch soit disant 'inoffensif' dont le seul but est de faire concorder le paquet initial avec ton paquet 'evil'.
Exemple: tu reprends en main un vieux paquet tout pourri dont personne ne se sert (parceque iceweasel, ça va être dur à noyauter :) ). Tu fais deux trois màj, tu deviens dev debian. Tu ajoutes un patch de plus, ton paquet est signé automatiquement. Ce patch te donne le même hash que le hash d'un paquet 'login' amélioré :-) par tes soins.
Tu demandes la signature de ton paquet. Tu t'en sers pour le paquet 'login' qui te permet de passer root.
Arrive la seconde partie de ton attaque. Admettons que tu sois dans une université. Tu rebalances un bon vieux coup de DNS spoof pour faire pointer les serveurs de maj chez toi. Tu forces la maj du paquet 'login'. Petit à petit, toutes les debian de ton université se mettent à jour. La signature est validée, donc il n'y a pas la moindre protestation de la part d'apt etc...
---) tu es root sur toutes les debian.
Pour revenir au sujet initial, le problème des collisions de fonctions de hachage est un vrai problème, comme on peut le voir.
Aujourd'hui, (et c'est aussi le cas pour MD5), on ne sait pas produire un message dont son hash aurait une valeur fixé.
Donc si Iceweasel est signé, alors je ne peux pas trouver un autre programme dont le hash correspondrait au hash de iceweasel.
Néanmoins, il est possible de produire des collisions assez facilement (pour MD5 c'est le cas, pour SHA-1) ça ne saurait tarder.
Donc je peux écrire un programme iceweasel qui possède le même hash qu'un programme iseweasel-evil.
Je demande à faire signer iceweasel. J'utilise la signature donnée pour mon programme iceweasel-evil.
L'utilisateur installe le evil, et la signature est bone.
La limite de cette attaque, c'est que tu dois fournir les deux programmes. C'est toujours le même principe. Autant il est simple d'obtenir deux programmes dont le hash concorde, autant tu ne peux pas, à posteriori, retomber sur un hash existant.
Il me semble que justement on en parle dans un magazine en ce moment.
MD5 est moins secure que SHA-1.
Il est possible de calculer très rapidement des collisions sur MD5.
L'attaque sur SHA-1 indique qu'il est devenu théoriquement plus rapide de trouver des collisions que tout ce qui était connu jusqu'à présent.
Des applications cassant SHA-1 aussi bien qu'a pu le faire HashClash pour MD5, on a pas encore vu, mais ça ne saurait tarder.
Moralite:
N'utilisez plus MD5. Faute de mieux, utilisez SHA-1, mais prévoyez _très_ rapidement de migrer vers plus solide.
D'après ce que j'ai pu en lire, oracle permet de chiffrer de manière transparente les données.
De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.
Donc:
le pirate entre. Il active le chiffrement.
Les admins continuent de bosser, c'est transparent pour eux.
Ils font leurs sauvegardes (mais elles sont chiffrées..)
Le pirate attend.
Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.
Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
Il est bien dit: des abonnements spécifiques sur internet
Donc il suffit de ne pas prendre cet abonnement spécifique.
En gros, tu payes xxx euros par mois pour avoir accès à tout le catalogue de la maison de disque 'y'.
Avec un peu de streaming+java+flash, ils pourraient relativement blinder leur machin en plus interopérable (Voir même vendre aussi un player à la iTunes)
Le gugus moyen paye son forfait, écoute tout ce qu'il veut, il est heureux, la maison de disque est heureuse, le fric recoule à flot chez eux, et surtout ils me laissent un internet ouvert sans mouchard!
7. Les majors, qui ont déjà compris que la loi Hadopi ne marchera pas, sont en train de mettre en place la licence globale, à leur seul profit, en se préparant à offrir des abonnements spécifiques sur internet qui permettront d'avoir accès à la totalité de leur catalogue, pour un prix forfaitaire, sans que chacun paie pour le film ou la chanson qu'il télécharge.
Ok, parfait. Ça me convient. Les majors font leur sauce dans leur coin. Nickel, ils arrêteront d'aller faire du lobbying qui s'apparente à du déni de démocratie.
Qu'ils montent leurs plateformes, DRMisés, ou n'importe quoi, ou je m'en fous.
Je continuerai d'écouter de la musique libre, sur un réseau non surveillé sans payer de surtaxe globale.
Bien évidemment, les majors vont se casser la gueule car elles ne vont pas gagner de sous, mais vraiment, vraiment, je m'en contrefiche.
Faire des propositions alternatives concrètes pour lutter contre le piratage (i.e. assurer le respect du droit de propriété sur le net).
Assurer le respect du droit de propriété ou du droit d'auteur?
Le droit d'auteur, il est là, il est inaliénable, et je pense que personne ne veut le nier (sauf, hasard, les maisons de disques qui veulent absolument obtenir la paternité des oeuvres, les masters, etc...)
Si le chanteur gudule chante des paillardises (par exemple (attention, NSFW)), j'ai beau le copier mille fois, Gudule reste l'auteur de ses chansons.
Parlons du droit de propriété. Le droit de propriété est toujours présent. Je duplique ta chanson, tu l'as toujours. On duplique une troisième fois la chanson, tu as toujours l'original. Etc, etc..
Comme je ne veux pas faire des analogies avec les voitures, je vais revenir en arrière, à l'époque de la guerre du feu.
Lorsque tu as une flamme, un voisin peut venir te voler le feu. Tu ne l'as plus, c'est effectivement dommageable.
Il peut aussi venir avec sa fougère, l'enflammer et partir avec. Tu as toujours de quoi cuire ton steack de mammouth; et le voisin peut faire réchauffer sa soupe. Il peut te donner sa gratitude, un peu de graisse de phoque ou autre chose, peu importe. Tu n'as _rien_ perdu, le feu est toujours ta propriété.
Enfin, tu peux obliger tous les peuples alentours à ne brûler que du bois que tu leur vends (très cher) avec interdiction totale d'utiliser autre chose. Là, c'est clair tu vas être pété de thunes, tu vas pouvoir faire pression sur la police afin qu'ils vérifient tous les foyers alentours, les politiques vont venir te baiser les pieds.
Il n'y a rien qui te choque? L'analogie est quasiment transposable.
Aujourd'hui, le bois (la copie des fichiers) est à coût nul. Pourquoi est ce qu'un gus continuerait à vouloir vendre son matos? Surtout lorsque ce n'est pas celui qui a inventé la flamme (allumer le feu? ;) ), mais celui qui gère le transport de bois?
J'en recolle une couche, cette loi est obsolète avant l'heure, poussée par de mauvaises raisons.
iTunes se fait des c***illes en or.
Les sonneries de téléphone portable génèrent du cash à plus savoir qu'en faire.
Les salles de concert sont pleines.
Bienvenue chez les ch'tis a fait péter tous les scores.
Et on voudrait me condamner sur la foi d'une adresse IP? A ce rythme, autant mettre un impôt CMG cotisation musicale généralisée qui serait perçu directement par les maisons de disques.
Hop, un item de plus sur la liste.
http://www.univ-lyon2.fr/NPLA350_271/0/fiche___formation/
Je cite: La licence professionnelle « Communication, informatique libre et sources ouvertes » propose une formation permettant d'acquérir des connaissances sur l'environnement et les pratiques des organisations (administrations, collectivités territoriales, entreprises, ONG...) utilisant ou souhaitant migrer vers des outils logiciels et ressources libres.
Been there, done that.
Comme indiqué, la batterie à le temps de se vider que l'écran de login n'est pas arrivé. C'est inexploitable. Complètement.
De plus, l'écriture du journal risque de "tuer" extremement rapidement la flash. C'est un fichier, situé toujours à la même place qui est écrit en permanence.
(ext4 améliore ce point, à ce sujet)
Par contre, comment connaitre : les modes de transfert qu'elle [la clé USB] supporte correctement ? Là, ça m'intéresse.
Ce n'est pas firefox qui est chiffré, mais la clé USB. Donc de facto, firefox est situé sur un support chiffré.
Je me suis inspiré d'un article de linux magazine qui parlait du chiffrement de disque sous linux. Absolument _tout_ est chiffré. Chiffrer /home m'apparait hautement insuffisant. On ne sait jamais ce que contient /tmp ou /var/tmp ou /var/spool par exemple.
J'ai donc utilisé une clé USB de 4Go que j'ai coupé en deux:
900Mo en VFAT (/dev/sda1) en clair (qui contient le chargeur de boot, le noyau et l'initramfs)
le reste en ext2 chiffré (soit 2.8Go car les clés ne font pas 4Gio, mais 4Go)
Je détecte au boot si sur le disque local il y a une partition SWAP. Si oui, je chiffre, je mkswap et je l'utilise (a l'extinction, je fais l'inverse, je ferme le device chiffré, et je refais un mkswap sur le device réél) [1]
Donc absolument toute ma distribution est chiffrée, je peux utiliser la clé USB sur n'importe quelle machine (BSD, mac, et même windows, sisi) pour échanger des fichiers en clair à l'aide de la partition VFAT
J'ai fait le choix du chiffrement pour pleins de raisons que je n'évoquerai pas ici, en sachant bien que ça impacterait un peu les perfs.
[1] Cela peut poser des problèmes si je me branche sur une machine en hibernation. Le système est hiberné dans le swap, j'arrive, j'explose tout, je m'en vais, et le reboot de la machine d'origine passera mal :-)
je m'en vais améliorer le truc. Question: comment savoir qu'une partition swap a servi pour hiberner un système?
Toutou linux est déjà optimisé pour un support USB...
J'utilise une slackware12.2 sur un Acer Aspire One.
Le chiffrement consomme pas mal (j'ai souvent le kcryptd dans les process qui s'affole). L'utilisation d'ext3 est abominable (mais vraiment, du genre tu t'endors avant la fin du boot). L'utilisation d'ext2 va bien.
La lenteur était surtout ressentie avec firefox.
J'ai fait des essais avec openoffice3, et pas de problèmes.
J'ai encore des lenteurs au chargement de XFCE; mais au démarrage seulement, rien ensuite.
J'hésite à mettre d'autres répertoires en tmpfs comme /var/run ou /var/lock, ou des journaux messages.
J'ai énormément grossi mon script pour linuxfr afin qu'il soit le plus lisible possible.
(comme par exemple les echo "je ne fais rien")
Mais oui, ça fait perdre du temps. Curieusement, le plus gros ralentissement chez moi lors de l'utilisation d'un tar zxvf est dû au xterm.
100% CPU pour le xterm. Si je réduis le xterm, ça detarre bien plus vite.
Or cette base fait souvent des opération sync() qui sont une tuerie d'un point de vue performance IO.
Maintenant que tout est en RAM, les performances sont très acceptables.
Je crois qu'il existe aussi une clef de configuration pour changer cette manière de faire au détriment de la sécurité des données.
En fait, en cas de crash, avec ma méthode, on retombe sur un état sain (puisque les fichiers originaux sont toujours en place).
Je risque juste de perdre mon dernier historique.
Mais ça se tente, si quelqu'un connait cette clé (ou d'autres) permettant d'accélérer les perfs, je prends
oui. J'ai fait plusieurs fois le test sur du XP et du Vista. Et le fichier est bien copié, je peux supprimer la clé (et monter l'ISO dans mon cas).
J'ai testé différentes manières sur linux et sur Mac, mais c'est bien toujours cette durée. J'ai vérifié que c'est bien de l'USB2 (c'en est), mais pas moyen. Avec une autre clé sur le même linux, çest 20x plus rapide.
Je n'ai pas vraiment trouvé d'explications, mais je suis super déçu de mon achat (pas de windows chez moi, que du MAC et du linux), donc bon, se retrouver avec une clé qui se traine comme une tortue rhumatisante, bof :/
ce qu'on veut qu'elle reconnaisse c'est que le fait d'installer un binaire mouchard est complètement à l'opposé des principes mêmes du libre (code source disponible, possibilité de le modifier, etc).
D'ailleurs, j'aimerai poser un amendement (je ne peux pas, mais si un député me lit, SVP).
D'une part, nous avons Hadopi, création et internet, etc...
D'autre part, nous avons l'avenir.
L'avenir me parait sombre. Le gouvernement est en train de mettre en place un arsenal complet pour écraser une mouche (le téléchargement illégal).
J'ai _très_ peur que demain on profite de l'arsenal mis en place pour surveiller les méchants pédophiles. Puis les terroristes.
Puis les déviants. Puis ceux qui ne sont pas d'accord avec le gouvernement.
Cette installation m'apparait comme un tour de chauffe pour supprimer toute liberté sur internet.
Revenons à nos moutons, et à la loi.
Ils veulent faire cette loi, qu'ils y aillent. Je demande d'ajouter un amendement limitant éxtrêmement la portée possible de cette loi.
"cette loi ne pourra jamais être étendue dans le futur" "cette loi ne doit servir qu'a protéger l'industrie culturelle" (oui je suis cynique), etc... Que cette loi soit tellement encadrée, qu'elle ne puisse jamais servir à autre chose.
Concernant le mouchard: Ils disent "si vous n'avez rien à vous reprocher, installez le mouchard", OK, alors je veux le code source du mouchard, l'environnement de compilation et la possibilité d'installer mon code généré (qui sera vérifié via signature s'ils le souhaitent). Si _je_ n'ai rien à me reprocher, alors _ils_ n'ont rien à se reprocher.
Idem pour la haute autorité.
Ils n'ont rien à se reprocher? Je veux un compte rendu public de leur action. les personnes nommées, les décisions prises, etc. Je veux un commissaire au liberté public qui aura un droit de regard sur l'intégralité du travail fait auquel l'ensemble de la haute autorité devra se plier, qui pourra être saisi par le justiciable. On en revient à la défense.
Puisqu'il semble que la raison et le cartésianisme sont absents de nos politiques, attaquons les avec leurs armes.
Si l'amendement d'interdiction d'extension de loi passe, je pense que les défendeurs acharnés de cette loi se diront que finalement, ça ne les interesse plus.
Je fais mon Cassandre, j'espere que cette loi bancale n'est effectivement mise en place que pour protéger les marchés de l'industrie du disque, mais je ne peux m'empêcher de penser que ce n'est que le premier round du flicage d'internet.
Si je l'installe sur un disque dur IDE à bons vieux plateaux et un cable IDE <-> USB, j'ai des performances tout à fait correctes.
J'ai testé sur une clé USB. Les performances sont devenues abominables. Genre j'édite un fichier sous vi, et la machine entière freeze pendant 3 à 4s.
Firefox est inutilisable.
Je me suis rendu compte que le défaut venait de la clé USB en elle-même: ses perfs sont catastrophiques sous linux, catastrophiques sous mac OS et excellentes sous windows (je ne comprends pas pourquoi).
Bench, copier une image ISO sur la clé formattée en FAT32:
linux: 20mn
mac OS: 20mn
windows: 1mn
J'ai essayé avec une seconde clé USB aui a des débits corrects sous linux.
-> Même résultats catastrophiques! Le temps de boot a été multiplié par 8 ou 10 entre cette clé et le disque IDE en USB. J'ai supprimé le journal d'ext3 et le boot en ext2 s'est accéléré, mais pas de beaucoup :/
Je vais faire un test en jffs (ou autre chose, vous coneillez quoi comme fs autre qu'un de la série d'ext?), mais je veux savoir si j'ai des chances que ça fonctionne mieux?
Je voulais faire un test avec cet outil sur le disque IDE en USB et sur ma clé pour voir s'il y a une grosse différence; de plus, si cet outil me permet de faire pleins de tests qui me permettront de savoir quel est le meilleur fs ET quelle est ma meilleure clé, je prends! :)
J'ai du mal à comprendre.
Le driver se plante. OK.
Minix relance le pilote sans planter. Super.
Mais bon, rien n'empeche le driver de se revautrer dans la milliseconde.
Et minix va le relancer. Etc...
Sur le principe, je me dis qu'un pilote qui se vautre, ça signifie que ça sent mauvais. Dans certains cas, on peut vouloir que le driver qui part dans les étoiles n'embarque pas avec lui le reste de ma machine (si mon scanner USB se gamelle, je ne veux pas que mon noyau décide de faire harakiri en emportant les 10 lignes de textes non sauvegardées super importantes)
Mais pour d'autres, je ne vois pas; genre le driver disque. Pouf, ça redémarre, mais ça va chercher une copie du driver sur le disque, qui lui-même, pouf, etc, etc..
Mais le principe est intéressant, quelqu'un sait il comment minix gère ce cas?
Il est toujours intéressant de voir un projet repartir de zéro après un bon gros
rm -rf
:)
Ceci dit, j'ai une question? Sera t'il possible de faire du matching niveau 7?
J'aimerai vraiment pouvoir faire un genre de:
iptables -A OUT -p tcp --dport 80 --service HTTP -j ACCEPT
Le problème, c'est qu'ouvrir le port 80 revient à ouvrir pour n'importe quel type de flux qui utilise le port 80...
Si on pouvait spécifier le type de service, ça serait bien.
J'ai utilisé l7-filter, mais ça n'est pas vraiment pratique (enfin je trouve)
Je pense que l'appel à la réflexion et l'intelligence ne sera pas entendu de la part des députés.
A mon avis, ils sont beaucoup plus sensibles aux intentions de votes.
Déjà, j'ai été surpris de lire dans la presse que les internautes suivent de très près les débats. Le fait que les journalistes remontent cette info, c'est intéressant. Les politiques lisent les journaux, après tout.
Maintenant, l'idée consiste à appuyer ce fait.
<<<
Mr le député, nous suivons activement les débats sur hadopi. (liens vers différents sites).
Je suis très surpris que vous ne participiez pas à ce débat, ni même ne preniez position.
J'avais pourtant voté pour vous, étant confiant dans votre politique (glisser un peu de blabla ici).
Mr 'x' (prendre un député de l'opposition, pas forcément de la circonscription, mais de l'opposition) est présent, et nous écoutons attentivement ses interventions. Mr 'y' (prendre un gars éligible de sa circonscription) a répondu à nos mails et prend très à coeur ce problème. Il nous assure de son soutien concernant ces questions graves.
J'ai voté pour vous pour (xxx) raisons. Je tiens à vous dire que moi-même et (mettre un site web en question) sommes particulièrement déçu de votre manque d'engagement; Nous sommes internautes, et les questions relatives au réseau des réseaux représente un fort poids dans nos intentions de vote.
Je suis prêt à vous rencontrer pendant une de vos permanences pour discuter de ce sujet.
Cordialement,
>>>
Je pense que discuter technique avec un député n'a strictement aucun poids. Il n'y connait de toute façon rien.
Par contre, je pense que ces députés lorgnent sur les internautes. S'il pense pouvoir fédérer des individus autour des sites webs, ça va forcément le tenter.
Donc si l'entretien arrive, même chose. Ne surtout pas lui parler de technique, d'adresse IP, etc.. Juste lui parler avec des mots qu'il comprend: "intention de vote", "loi anticonstitutionnelle", "on vous regarde", etc..
Ceci dit, je n'ai pas (encore) eu de réponse de mon député :( Mais ça ne coute rien d'essayer..
[^] # Re: Simplicité
Posté par octane . En réponse au journal De l'utilité de formater plusieurs fois son disque dur. Évalué à 0.
Le problème de taille est secondaire lorsque tu veux chiffrer des documents. Le zip répond à un problème réél dû au chiffrement, c'est une solution élégante.
# Valgrind?
Posté par octane . En réponse au journal Valgrind fonctionnel sous OS X. Évalué à 10.
Par contre, je ne comprends pas, mais Valgrind se plaint de différents trucs lorsque je compile openssl.
Tiens, une variable non initialisée. (Sont nuls, ces devs, chez openssl).
Si je la supprime, ah bah ça marche mieux.
Je vais aller proposer un patch à Mac OS, tiens.
# Quelque fois, Security FAIL :)
Posté par octane . En réponse au journal Le nouveau jeu de Microsoft : Questions pour un Neuneu. Évalué à 3.
12:48 df: bon je peux pas payer
12:48 df: *super visa*
12:48 df: ça me demande mon plat préféré
12:48 df: LA QUESTION DE SECURITE
12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
12:48 df: j’ai aucun recours
12:48 df: mais quelle grosse merde
12:50 df: ah mon navigateur s’en souvenait :)
12:50 usa: security fail
Trouvé sur:
http://nonop.wordpress.com/2009/03/18/inscription-au-sstic/
[^] # Re: Et sinon quid du respect du droit d'auteur ?
Posté par octane . En réponse au journal Hadopi et les pastiches. Évalué à 2.
J'ai une question. Je lis souvent qu'un film tombe dans le domaine public 70 ans après sa création; ça tombe bien, j'adore les films des années 30-40.
Néanmoins, et après recherches, j'ai lu qu'un film est une oeuvre collaborative et que dans ce genre de situation, l'oeuvre tombe dans le domaine public 70 ans après la mort du dernier collaborateur.
Auquel cas, aucun espoir de voir un film de mon vivant tomber dans le domaine public..
Quelqu'un a un lien vers un texte officiel?
[^] # Re: "Aisé"?
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 6.
Je dirais que justement, c'est d'autant plus facile à attaquer!
On a vu qu'il n'est pas possible de trouver le même hash que le iceweasel d'origine.
Mais Debian passe son temps à ajouter des patches.
Donc, je suis dans la situation parfaite:
Je fournis un patch qui ajoute un petit truc, mais qui surtout rend la signature d'iceweasel (ou d'un autre prog) égale à un autre programme!
Donc pour l'attaquant, c'est du pain béni. A partir du moment ou tu as réussi à devenir developpeur debian, tu peux intégrer un patch soit disant 'inoffensif' dont le seul but est de faire concorder le paquet initial avec ton paquet 'evil'.
Exemple: tu reprends en main un vieux paquet tout pourri dont personne ne se sert (parceque iceweasel, ça va être dur à noyauter :) ). Tu fais deux trois màj, tu deviens dev debian. Tu ajoutes un patch de plus, ton paquet est signé automatiquement. Ce patch te donne le même hash que le hash d'un paquet 'login' amélioré :-) par tes soins.
Tu demandes la signature de ton paquet. Tu t'en sers pour le paquet 'login' qui te permet de passer root.
Arrive la seconde partie de ton attaque. Admettons que tu sois dans une université. Tu rebalances un bon vieux coup de DNS spoof pour faire pointer les serveurs de maj chez toi. Tu forces la maj du paquet 'login'. Petit à petit, toutes les debian de ton université se mettent à jour. La signature est validée, donc il n'y a pas la moindre protestation de la part d'apt etc...
---) tu es root sur toutes les debian.
Pour revenir au sujet initial, le problème des collisions de fonctions de hachage est un vrai problème, comme on peut le voir.
[^] # Re: "Aisé"?
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 5.
Aujourd'hui, (et c'est aussi le cas pour MD5), on ne sait pas produire un message dont son hash aurait une valeur fixé.
Donc si Iceweasel est signé, alors je ne peux pas trouver un autre programme dont le hash correspondrait au hash de iceweasel.
Néanmoins, il est possible de produire des collisions assez facilement (pour MD5 c'est le cas, pour SHA-1) ça ne saurait tarder.
Donc je peux écrire un programme iceweasel qui possède le même hash qu'un programme iseweasel-evil.
Je demande à faire signer iceweasel. J'utilise la signature donnée pour mon programme iceweasel-evil.
L'utilisateur installe le evil, et la signature est bone.
La limite de cette attaque, c'est que tu dois fournir les deux programmes. C'est toujours le même principe. Autant il est simple d'obtenir deux programmes dont le hash concorde, autant tu ne peux pas, à posteriori, retomber sur un hash existant.
Il me semble que justement on en parle dans un magazine en ce moment.
[^] # Re: Pas critique
Posté par octane . En réponse à la dépêche Nouvelles attaques sur SHA-1 : Debian pourrait migrer vers SHA-2. Évalué à 9.
Il est possible de calculer très rapidement des collisions sur MD5.
L'attaque sur SHA-1 indique qu'il est devenu théoriquement plus rapide de trouver des collisions que tout ce qui était connu jusqu'à présent.
Des applications cassant SHA-1 aussi bien qu'a pu le faire HashClash pour MD5, on a pas encore vu, mais ça ne saurait tarder.
Moralite:
N'utilisez plus MD5. Faute de mieux, utilisez SHA-1, mais prévoyez _très_ rapidement de migrer vers plus solide.
# Oracle?
Posté par octane . En réponse au journal 10 millions ou vous ne reverrez jamais vos données !. Évalué à 9.
De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.
Donc:
le pirate entre. Il active le chiffrement.
Les admins continuent de bosser, c'est transparent pour eux.
Ils font leurs sauvegardes (mais elles sont chiffrées..)
Le pirate attend.
Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.
Il écrit une page web, heu, originale dont une copie est visible ici:
http://riga.ax.lt/leak/virginia-ransom-2009.html
Il attend.
Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
[^] # Re: Mais c'est parfait :)
Posté par octane . En réponse au journal [HADOPI] Le point de vue de Jacques Attali. Évalué à 2.
des abonnements spécifiques sur internet
Donc il suffit de ne pas prendre cet abonnement spécifique.
En gros, tu payes xxx euros par mois pour avoir accès à tout le catalogue de la maison de disque 'y'.
Avec un peu de streaming+java+flash, ils pourraient relativement blinder leur machin en plus interopérable (Voir même vendre aussi un player à la iTunes)
Le gugus moyen paye son forfait, écoute tout ce qu'il veut, il est heureux, la maison de disque est heureuse, le fric recoule à flot chez eux, et surtout ils me laissent un internet ouvert sans mouchard!
# Mais c'est parfait :)
Posté par octane . En réponse au journal [HADOPI] Le point de vue de Jacques Attali. Évalué à 6.
Ok, parfait. Ça me convient. Les majors font leur sauce dans leur coin. Nickel, ils arrêteront d'aller faire du lobbying qui s'apparente à du déni de démocratie.
Qu'ils montent leurs plateformes, DRMisés, ou n'importe quoi, ou je m'en fous.
Je continuerai d'écouter de la musique libre, sur un réseau non surveillé sans payer de surtaxe globale.
Bien évidemment, les majors vont se casser la gueule car elles ne vont pas gagner de sous, mais vraiment, vraiment, je m'en contrefiche.
[^] # Re: Hadopi ou quoi ?
Posté par octane . En réponse au journal Hadopi (encore un peu). Évalué à 3.
Assurer le respect du droit de propriété ou du droit d'auteur?
Le droit d'auteur, il est là, il est inaliénable, et je pense que personne ne veut le nier (sauf, hasard, les maisons de disques qui veulent absolument obtenir la paternité des oeuvres, les masters, etc...)
Si le chanteur gudule chante des paillardises (par exemple (attention, NSFW)), j'ai beau le copier mille fois, Gudule reste l'auteur de ses chansons.
Parlons du droit de propriété. Le droit de propriété est toujours présent. Je duplique ta chanson, tu l'as toujours. On duplique une troisième fois la chanson, tu as toujours l'original. Etc, etc..
Comme je ne veux pas faire des analogies avec les voitures, je vais revenir en arrière, à l'époque de la guerre du feu.
Lorsque tu as une flamme, un voisin peut venir te voler le feu. Tu ne l'as plus, c'est effectivement dommageable.
Il peut aussi venir avec sa fougère, l'enflammer et partir avec. Tu as toujours de quoi cuire ton steack de mammouth; et le voisin peut faire réchauffer sa soupe. Il peut te donner sa gratitude, un peu de graisse de phoque ou autre chose, peu importe. Tu n'as _rien_ perdu, le feu est toujours ta propriété.
Enfin, tu peux obliger tous les peuples alentours à ne brûler que du bois que tu leur vends (très cher) avec interdiction totale d'utiliser autre chose. Là, c'est clair tu vas être pété de thunes, tu vas pouvoir faire pression sur la police afin qu'ils vérifient tous les foyers alentours, les politiques vont venir te baiser les pieds.
Il n'y a rien qui te choque? L'analogie est quasiment transposable.
Aujourd'hui, le bois (la copie des fichiers) est à coût nul. Pourquoi est ce qu'un gus continuerait à vouloir vendre son matos? Surtout lorsque ce n'est pas celui qui a inventé la flamme (allumer le feu? ;) ), mais celui qui gère le transport de bois?
J'en recolle une couche, cette loi est obsolète avant l'heure, poussée par de mauvaises raisons.
iTunes se fait des c***illes en or.
Les sonneries de téléphone portable génèrent du cash à plus savoir qu'en faire.
Les salles de concert sont pleines.
Bienvenue chez les ch'tis a fait péter tous les scores.
Et on voudrait me condamner sur la foi d'une adresse IP? A ce rythme, autant mettre un impôt CMG cotisation musicale généralisée qui serait perçu directement par les maisons de disques.
Hop, un item de plus sur la liste.
# Ca existe, pourtant.
Posté par octane . En réponse au journal Mise en place d'une formation aux logiciels libres.. Évalué à 2.
Je cite:
La licence professionnelle « Communication, informatique libre et sources ouvertes » propose une formation permettant d'acquérir des connaissances sur l'environnement et les pratiques des organisations (administrations, collectivités territoriales, entreprises, ONG...) utilisant ou souhaitant migrer vers des outils logiciels et ressources libres.
[^] # Re: Dans mon cas
Posté par octane . En réponse au journal Accélération de firefox sur support lent. Évalué à 2.
Been there, done that.
Comme indiqué, la batterie à le temps de se vider que l'écran de login n'est pas arrivé. C'est inexploitable. Complètement.
De plus, l'écriture du journal risque de "tuer" extremement rapidement la flash. C'est un fichier, situé toujours à la même place qui est écrit en permanence.
(ext4 améliore ce point, à ce sujet)
Par contre, comment connaitre : les modes de transfert qu'elle [la clé USB] supporte correctement ? Là, ça m'intéresse.
[^] # Re: Quelle distrib ?
Posté par octane . En réponse au journal Accélération de firefox sur support lent. Évalué à 4.
Ce n'est pas firefox qui est chiffré, mais la clé USB. Donc de facto, firefox est situé sur un support chiffré.
Je me suis inspiré d'un article de linux magazine qui parlait du chiffrement de disque sous linux. Absolument _tout_ est chiffré. Chiffrer /home m'apparait hautement insuffisant. On ne sait jamais ce que contient /tmp ou /var/tmp ou /var/spool par exemple.
J'ai donc utilisé une clé USB de 4Go que j'ai coupé en deux:
900Mo en VFAT (/dev/sda1) en clair (qui contient le chargeur de boot, le noyau et l'initramfs)
le reste en ext2 chiffré (soit 2.8Go car les clés ne font pas 4Gio, mais 4Go)
Je détecte au boot si sur le disque local il y a une partition SWAP. Si oui, je chiffre, je mkswap et je l'utilise (a l'extinction, je fais l'inverse, je ferme le device chiffré, et je refais un mkswap sur le device réél) [1]
Donc absolument toute ma distribution est chiffrée, je peux utiliser la clé USB sur n'importe quelle machine (BSD, mac, et même windows, sisi) pour échanger des fichiers en clair à l'aide de la partition VFAT
J'ai fait le choix du chiffrement pour pleins de raisons que je n'évoquerai pas ici, en sachant bien que ça impacterait un peu les perfs.
[1] Cela peut poser des problèmes si je me branche sur une machine en hibernation. Le système est hiberné dans le swap, j'arrive, j'explose tout, je m'en vais, et le reboot de la machine d'origine passera mal :-)
je m'en vais améliorer le truc. Question: comment savoir qu'une partition swap a servi pour hiberner un système?
[^] # Re: Quelle distrib ?
Posté par octane . En réponse au journal Accélération de firefox sur support lent. Évalué à 2.
J'utilise une slackware12.2 sur un Acer Aspire One.
Le chiffrement consomme pas mal (j'ai souvent le kcryptd dans les process qui s'affole). L'utilisation d'ext3 est abominable (mais vraiment, du genre tu t'endors avant la fin du boot). L'utilisation d'ext2 va bien.
La lenteur était surtout ressentie avec firefox.
J'ai fait des essais avec openoffice3, et pas de problèmes.
J'ai encore des lenteurs au chargement de XFCE; mais au démarrage seulement, rien ensuite.
J'hésite à mettre d'autres répertoires en tmpfs comme /var/run ou /var/lock, ou des journaux messages.
[^] # Re: Le mode verbose
Posté par octane . En réponse au journal Accélération de firefox sur support lent. Évalué à 4.
(comme par exemple les echo "je ne fais rien")
Mais oui, ça fait perdre du temps. Curieusement, le plus gros ralentissement chez moi lors de l'utilisation d'un tar zxvf est dû au xterm.
100% CPU pour le xterm. Si je réduis le xterm, ça detarre bien plus vite.
[^] # Re: sqlite
Posté par octane . En réponse au journal Accélération de firefox sur support lent. Évalué à 5.
Maintenant que tout est en RAM, les performances sont très acceptables.
Je crois qu'il existe aussi une clef de configuration pour changer cette manière de faire au détriment de la sécurité des données.
En fait, en cas de crash, avec ma méthode, on retombe sur un état sain (puisque les fichiers originaux sont toujours en place).
Je risque juste de perdre mon dernier historique.
Mais ça se tente, si quelqu'un connait cette clé (ou d'autres) permettant d'accélérer les perfs, je prends
[^] # Re: Intéressant
Posté par octane . En réponse au journal [SSD] Mesure de la latence d'écriture aléatoire sur disque. Évalué à 1.
oui. J'ai fait plusieurs fois le test sur du XP et du Vista. Et le fichier est bien copié, je peux supprimer la clé (et monter l'ISO dans mon cas).
J'ai testé différentes manières sur linux et sur Mac, mais c'est bien toujours cette durée. J'ai vérifié que c'est bien de l'USB2 (c'en est), mais pas moyen. Avec une autre clé sur le même linux, çest 20x plus rapide.
Je n'ai pas vraiment trouvé d'explications, mais je suis super déçu de mon achat (pas de windows chez moi, que du MAC et du linux), donc bon, se retrouver avec une clé qui se traine comme une tortue rhumatisante, bof :/
[^] # Re: A coté de la question
Posté par octane . En réponse au journal [vidéo] Albanel, pare-feu, open office et logiciel libre. Évalué à 5.
D'ailleurs, j'aimerai poser un amendement (je ne peux pas, mais si un député me lit, SVP).
D'une part, nous avons Hadopi, création et internet, etc...
D'autre part, nous avons l'avenir.
L'avenir me parait sombre. Le gouvernement est en train de mettre en place un arsenal complet pour écraser une mouche (le téléchargement illégal).
J'ai _très_ peur que demain on profite de l'arsenal mis en place pour surveiller les méchants pédophiles. Puis les terroristes.
Puis les déviants. Puis ceux qui ne sont pas d'accord avec le gouvernement.
Cette installation m'apparait comme un tour de chauffe pour supprimer toute liberté sur internet.
Revenons à nos moutons, et à la loi.
Ils veulent faire cette loi, qu'ils y aillent. Je demande d'ajouter un amendement limitant éxtrêmement la portée possible de cette loi.
"cette loi ne pourra jamais être étendue dans le futur" "cette loi ne doit servir qu'a protéger l'industrie culturelle" (oui je suis cynique), etc... Que cette loi soit tellement encadrée, qu'elle ne puisse jamais servir à autre chose.
Concernant le mouchard: Ils disent "si vous n'avez rien à vous reprocher, installez le mouchard", OK, alors je veux le code source du mouchard, l'environnement de compilation et la possibilité d'installer mon code généré (qui sera vérifié via signature s'ils le souhaitent). Si _je_ n'ai rien à me reprocher, alors _ils_ n'ont rien à se reprocher.
Idem pour la haute autorité.
Ils n'ont rien à se reprocher? Je veux un compte rendu public de leur action. les personnes nommées, les décisions prises, etc. Je veux un commissaire au liberté public qui aura un droit de regard sur l'intégralité du travail fait auquel l'ensemble de la haute autorité devra se plier, qui pourra être saisi par le justiciable. On en revient à la défense.
Puisqu'il semble que la raison et le cartésianisme sont absents de nos politiques, attaquons les avec leurs armes.
Si l'amendement d'interdiction d'extension de loi passe, je pense que les défendeurs acharnés de cette loi se diront que finalement, ça ne les interesse plus.
Je fais mon Cassandre, j'espere que cette loi bancale n'est effectivement mise en place que pour protéger les marchés de l'industrie du disque, mais je ne peux m'empêcher de penser que ce n'est que le premier round du flicage d'internet.
[^] # Re: Intéressant
Posté par octane . En réponse au journal [SSD] Mesure de la latence d'écriture aléatoire sur disque. Évalué à 2.
Si je l'installe sur un disque dur IDE à bons vieux plateaux et un cable IDE <-> USB, j'ai des performances tout à fait correctes.
J'ai testé sur une clé USB. Les performances sont devenues abominables. Genre j'édite un fichier sous vi, et la machine entière freeze pendant 3 à 4s.
Firefox est inutilisable.
Je me suis rendu compte que le défaut venait de la clé USB en elle-même: ses perfs sont catastrophiques sous linux, catastrophiques sous mac OS et excellentes sous windows (je ne comprends pas pourquoi).
Bench, copier une image ISO sur la clé formattée en FAT32:
linux: 20mn
mac OS: 20mn
windows: 1mn
J'ai essayé avec une seconde clé USB aui a des débits corrects sous linux.
-> Même résultats catastrophiques! Le temps de boot a été multiplié par 8 ou 10 entre cette clé et le disque IDE en USB. J'ai supprimé le journal d'ext3 et le boot en ext2 s'est accéléré, mais pas de beaucoup :/
Je vais faire un test en jffs (ou autre chose, vous coneillez quoi comme fs autre qu'un de la série d'ext?), mais je veux savoir si j'ai des chances que ça fonctionne mieux?
Je voulais faire un test avec cet outil sur le disque IDE en USB et sur ma clé pour voir s'il y a une grosse différence; de plus, si cet outil me permet de faire pleins de tests qui me permettront de savoir quel est le meilleur fs ET quelle est ma meilleure clé, je prends! :)
# Intéressant
Posté par octane . En réponse au journal [SSD] Mesure de la latence d'écriture aléatoire sur disque. Évalué à 1.
Mais j'ai du mal à comprendre son fonctionnement (le C n'est pas mon fort).
Je peux l'utiliser sur un SSD qui est déjà formaté? (i.e. je ne vais pas tout perdre?)
De plus, je suis aussi très déçu des perfs des SSD en général :/
On nous a annoncé monts et merveilles et au final, les perfs sont hypra décevantes (de manière totalement subjectives).
[^] # Re: Plantage
Posté par octane . En réponse à la dépêche MINIX 3 - Google Summer of Code. Évalué à 10.
Le driver se plante. OK.
Minix relance le pilote sans planter. Super.
Mais bon, rien n'empeche le driver de se revautrer dans la milliseconde.
Et minix va le relancer. Etc...
Sur le principe, je me dis qu'un pilote qui se vautre, ça signifie que ça sent mauvais. Dans certains cas, on peut vouloir que le driver qui part dans les étoiles n'embarque pas avec lui le reste de ma machine (si mon scanner USB se gamelle, je ne veux pas que mon noyau décide de faire harakiri en emportant les 10 lignes de textes non sauvegardées super importantes)
Mais pour d'autres, je ne vois pas; genre le driver disque. Pouf, ça redémarre, mais ça va chercher une copie du driver sur le disque, qui lui-même, pouf, etc, etc..
Mais le principe est intéressant, quelqu'un sait il comment minix gère ce cas?
# Filtrage accru
Posté par octane . En réponse au journal NFtables, successeur d'Iptables. Évalué à 7.
rm -rf
:)
Ceci dit, j'ai une question? Sera t'il possible de faire du matching niveau 7?
J'aimerai vraiment pouvoir faire un genre de:
iptables -A OUT -p tcp --dport 80 --service HTTP -j ACCEPT
Le problème, c'est qu'ouvrir le port 80 revient à ouvrir pour n'importe quel type de flux qui utilise le port 80...
Si on pouvait spécifier le type de service, ça serait bien.
J'ai utilisé l7-filter, mais ça n'est pas vraiment pratique (enfin je trouve)
Si nffilter le fait, j'adopte.
[^] # Re: Ben quoi ?
Posté par octane . En réponse au journal [vidéo pas sérieuse] EULA for friends. Évalué à 2.
Il ose dire qu'il va prendre Ken comme perso à Street Fighter IV.
C'est un outrage! Il faut bien sur utiliser Ryu.
[^] # Re: Ils vont avoir peur là....
Posté par octane . En réponse au journal [HADOPI ] - encore .... Pour montrer que ce n'est pas juste 5 gus dans un garage .... Évalué à 2.
A mon avis, ils sont beaucoup plus sensibles aux intentions de votes.
Déjà, j'ai été surpris de lire dans la presse que les internautes suivent de très près les débats. Le fait que les journalistes remontent cette info, c'est intéressant. Les politiques lisent les journaux, après tout.
Maintenant, l'idée consiste à appuyer ce fait.
<<<
Mr le député, nous suivons activement les débats sur hadopi. (liens vers différents sites).
Je suis très surpris que vous ne participiez pas à ce débat, ni même ne preniez position.
J'avais pourtant voté pour vous, étant confiant dans votre politique (glisser un peu de blabla ici).
Mr 'x' (prendre un député de l'opposition, pas forcément de la circonscription, mais de l'opposition) est présent, et nous écoutons attentivement ses interventions. Mr 'y' (prendre un gars éligible de sa circonscription) a répondu à nos mails et prend très à coeur ce problème. Il nous assure de son soutien concernant ces questions graves.
J'ai voté pour vous pour (xxx) raisons. Je tiens à vous dire que moi-même et (mettre un site web en question) sommes particulièrement déçu de votre manque d'engagement; Nous sommes internautes, et les questions relatives au réseau des réseaux représente un fort poids dans nos intentions de vote.
Je suis prêt à vous rencontrer pendant une de vos permanences pour discuter de ce sujet.
Cordialement,
>>>
Je pense que discuter technique avec un député n'a strictement aucun poids. Il n'y connait de toute façon rien.
Par contre, je pense que ces députés lorgnent sur les internautes. S'il pense pouvoir fédérer des individus autour des sites webs, ça va forcément le tenter.
Donc si l'entretien arrive, même chose. Ne surtout pas lui parler de technique, d'adresse IP, etc.. Juste lui parler avec des mots qu'il comprend: "intention de vote", "loi anticonstitutionnelle", "on vous regarde", etc..
Ceci dit, je n'ai pas (encore) eu de réponse de mon député :( Mais ça ne coute rien d'essayer..