J'ai l'impression qu'il y a un flottement dans le texte entre le one time password et l'authentification forte. Je connais mal les one time password. Je connais mieux les PKI.
Voici mes deux euro-cents sur l'authentification forte et les tokens matériels:
Question: comment garantir de la crypto forte?
-> première sous question: que veut on protéger?
Réponse: 3 grandes familles existent: le chiffrement, la signature, et l'authentification.
Ces trois familles reposent sur le mécanisme de clé privée / clé publique. Ce concept de clé privée /publiques est celui qui nous intéresse ici. Associé aux clés publiques, un certificat qui ajoute des informations comme l'adresse mail du possesseur de la clé publique, des dates de validité, etc..
La clé privée est privée et ne doit être connue que du possesseur de la clé. Le certificat (et la clé publique associée) sont publics, (ie diffusables partout)
Cette crypto est communément appelée PKI, et la PKI correspond à une mise en oeuvre de ces mécanismes. De très nombreuses RFC définissent ce qu'il faut faire pour construire une PKI. Dans le logiciel libre openssl a tout ce qu'il faut pour batir une PKI.
En gros:
-on génére une autorité (un couple de clé et certificat).
-On génére des couples clés privés/publics pour chacun de nos utilisateurs.
-Les certificats sont signés par l'autorité (comprendre authentifiés par l'autorité)
Puis, toute personne qui souhaite utiliser notre PKI doit agréer l'autorité, en gros faire confiance a cette autorité, et par la, faire confiance aux certificats signés par celle ci.
Donc un user peut récuperer un certificat quelquepart, vérifier son authenticité, puis l'utiliser.
Ca, c'est pour la théorie. Je passe les mécanismes de révocation de certificats, de mécanisme permettant l'authent, la signature et le chiffrement.
Bref.
Venons en au point qui nous intéresse, les cartes à puce (ou token USB).
Un point crucial concernant ces PKI concerne la clé privée. Si elle est diffusée, forcément, elle ne sert à rien.
Et survient un paradoxe: comment être persuadé que la clé privée ne fuite jamais dans aucun cas alors qu'il faut l'utiliser?
La solution réside dans l'utilisation d'une carte à puce. Une carte à puce est un ordinateur complet, et donc, la clé privée ne sort jamais de la carte à puce. Toutes les opérations crypto sont réalisées par la carte à puce, depuis le tirage des clés, jusqu'aux opérations de chiffrement/déchiffrement. La clé privée est donc parfaitement protégée, et la carte à puce elle même peut protéger des brute force en détruisant la clé au bout de trois tentatives de code PIN.
C'est donc génial (du point de vue crypto). Mais.
Mais tout n'est pas si évident. Et entre autre vient le point noir de la communication entre un programme local au PC et la carte à puce. Une norme de communication existe et s'appelle la norme PKCS#11. Les constructeurs de carte à puce fournissent donc un middleware (un driver, quoi) permettant de présenter une interface PKCS#11 à un programme du PC. Et ces middleware existent uniquement sous windows. Certains middleware ont existé sous linux (je pense au clés token USB rainbow ikey1000) mais sous la forme de blobs binaires, attachés à une certaine version de noyau.
Bref:
la solution serait effectivement d'implémenter:
-premièrement d'une couche PKCS#11
-deuxièmement du pilote spécifique pour une carte particulière
-troisièmement une couche applicative (un add-on pour openssl ? )
Maintenant, que celui qui ne s'est jamais trompé me lance la première pierre...
Je suis d'accord; quelle a été la plus belle bêtise que vous avez faite?
Je démarre dans le mode <mavie>:
On me prévient que le site web a des problèmes. Je me connecte en vitesse en ssh, et effectivement tout est en vrac.
Des vieilles versions du site qui trainent, des vieux trucs, des services zarb qui tournent, une arborescence qui a été modifié, le souk complet.
Sueurs.
Je vais chercher des backups, je remonte le bin's, en plus le serveur rame comme pas permis, le service ftp est ouvert, le service smtp, j'espère qu'on s'est pas fait pirater. Je me rends compte que la base SQL est en vrac aussi, je remonte le minimum, je me déchire, j'arrive a faire un truc qui tourne sur trois pattes bien crado, mais bon.
Et là, je me rends compte que je me suis trompé d'adresse IP... J'étais connecté sur un vieux bouzin qui servait à faire du dev et non pas sur le serveur de prod.
10litres de sueur et 4h de perdues parceque je me suis précipité bêtement sans m'assurer de là ou j'étais.
Ca alors, cela veut dire que dans le code php ils font un
partenaires_$LANG.gif ?
Ca n'est pas précisé comme étant une grosse faille de sécurité? Hein? les pros? qu'est ce qui se passe si je met
LANG=plop";system("cat /etc/passwd");hop ? Hein? c'est pas une faille aussi grosse?
Une petite soeur de 27 ans qui va utiliser du nunux, mais elle est célibataire au moins ? :D
Ahhh, ça la regarde, mais tu te doutes bien que je ne l'avouerai jamais publiquement sur un forum. J'aurais bien trop peur qu'un geek passant par là n'aille lui proposer des cours de nain ternet ;)
Et sinon, concernant la remarque que j'ai pu voir dans de nombreux posts: Avec un dégroupage total, tu n'as pas d'abonnement FT à payer tous les mois. Il faut juste ouvrir la ligne.
bah oui, mais elle n'a même pas d'arrivée de cable de téléphone dans son appartement. Le néant. Il faut donc qu'elle demande a FT de cabler son appart, puis éventuellement de changer d'opérateur après. Enfin, c'est ce que lui ont dit les opérateurs. D'ou le surcout non négligeable pour obtenir une internet-box. Enfin, on s'égare du topic, là.
Merci, à tous, je vais lui proposer la solution eeePC + écran/clavier/souris, ça devrait le faire.
Ok, mais le problème du portable c'est le suivant:
-il faut que je lui fasse une distrib ad-hoc, ce qui prend du temps.
je lui met quoi? une ubuntu? une slack? une mandriva?
-elle n'aura pas l'accès au net, donc ça coute encore plus cher, ouverture de ligne chez FT, inscription chez le FAI etc.. les lignes 3G classiques, c'est 70euros par mois en vachement limité.
Le eeePC, finalement, c'est une distrib neuneu-proof, et elle a internet out-of-the-box pour pas plus cher qu'une box.
Ah oué, mais le but, c'est que justement elle bidouille pas du tout. La distro de base pour surfer sur le ouaibe, envoyer des mails.
D'ici peu elle me parlera de MSN, mais y'a déjà ce qui faut.
par contre, pour le coup du clavier et de l'ecran externe, ça donne quoi? Toujours en 800x480? ou la résolution monte?
Ah bah tiens, depuis que je suis passé sous firefox 2.0.0.12 plus moyen de consulter mes données en ligne.
J'ai un message qui me dit d'activer les cookies de session, ce qui est fait.
Le premier lien qui mène vers l'aide indique comment faire sous IE, le second lien emmène vers une 404.
Ne dites surtout pas à ma mère que je suis informaticien, elle croit que je suis pianiste dans un bordel.
A part ça, je ne dis jamais non plus que je suis informaticien; il est plus simple de dire "je travaille sous linux dans les réseaux". Le pauvre gus qui pensait te demander de l'aide ne comprend meme pas ce que tu lui dis, donc pour pas passer pour un con, il se tait. Et s'il s'entete, tu peux en rajouter des couches
-ah? Mais j'ai un problème avec word, etc...
-Mais mon garçon, ça c'est de la bureautique, et ça j'y connais rien
-ah? Mais pourtant sous windows, je...
-Mais je n'utilise pas windows, je fais du réseau
-Parceque dans voisinage réseau, je...
-Mais tu me parles de netbios et je ne travaille qu'en IPv4, tu n'es pas en IPv6 a tout hasard? non? oui? tu sais pas? donc la, je ne sais pas
-Et je...
-mais non, le vmsplice du kernel ne routera pas la BdD transactionnelle quand la hashtable mémoire est en ring0 du paravirtualisateur, voyons, c'est évident! Laisses moi plutôt parler à mademoiselle à ta gauche, hein.
etc..
Sinon, sur une plus grande échelle contre les DRM.
Systématiquement, quand vous allez à la FNAC, virgin, etc.. tous ceux qui vendent des CD, faites ça:
Avec vos courses, repérez des CD marqués "copy protected" ou "DRM", etc..
Arrivés à la caisse, faites mine de vous rendre compte au moment de payer que:
-oh! mais j'avais pas vu, ce CD est protégé.
Faites une esclandre (enfin pas trop quand meme), signalez à vos voisins de la file d'attente que ces CD sont pourris, illisibles, que le remboursement ne fonctionne pas, etc. Ramenez les CD au rayon, demandez au vendeur des trucs sans DRM (peu importe que vous les preniez ou pas, hein, le but consiste juste à faire du bruit).
Puis achetez ce que vous vouliez acheter.
Si nous sommes des milliers à le faire, ça remontera forcément aux oreilles des décideurs.
Dans le linux mag du mois dernier, il y avait une methode qui ressemblait étrangement à cette possibilité:
on planque dans une partition une seconde partition, et hop, indétectable.
Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
alors qu'il n'y a pas de port ethernet? Je n'ai jamais tenté le netboot via wifi, mais ca doit etre relativement acrobatique :-)
Si l'idée de rendre le lecteur optique externe n'est pas nouvelle (voir les SONY Vaio de 2001), ne pas le fournir en standard avec la machine lors de l'achat en est une autre ! Il faut ajouter 99$ à l'ardoise déjà salée pour bénéficier du lecteur...c'est proprement scandaleux...
Oui mais c'est toujours le cas avec Apple. Tout les portables ont eu ca. Pas de modem? zou, xxx$ en plus. Pas de cable sortie video -> VGA et hop, portefeuille encore. etc, etc..
Pour pallier a ce probleme, j'utilise un petit hack.
Je crée un répertoire /Applications
Dans ce répertoire, un lien vers xpdf, vers mplayer, vers openoffice, etc..
Dans mon répertoire perso, un fichier gtk-bookmarks
$ cat .gtk-bookmarks
file:///Applications Applications
file:///usr/src src
file:///home/share/Musique Musique
Ce qui permet dans la boite de dialogue GTK un point d'entree direct vers
le repertoire de mon choix.
Soit ouvrir avec... et je clique sur Application, et la j'ai la dizaine d'applis utile.
Soit enregistrer sous... et j'ai soit un lien vers mon programme source, soit
vers des activites, euh, culturelles.
L'avantage, c'est que cela fonctionne avec n'importe quelle boite de dialogue basée sur GTK.
Je vais voir, alors tu mets:
boot=/dev/sdb
disk=/dev/sdb
bios=0x80
root=/dev/hda1
delay=20
vga=normal
Je vais retourner voir avec mon autre carte flash ce que ca donne.
Il faut peut-etre que je retourne creuser du cote du parametre bios=. Le root= doit etre inutile à ce point du lilo.conf (à vérifier), le delay=20 me surprend. Puisque le noyau boote par defaut et que tu n'as pas active l'affichage de lilo via le port série, ca fait juste attendre 2s..
Amusons nous aux dépends des utilisateurs de lilo. Tu utilises lilo? Alors avant de taper ces commandes, assures toi de bien les comprendre:
su -
cd /boot
mv bzImage a (holy crap! plus de noyal)
cp a bzImage (ah, le voila de nouveau)
shred a (bah oui, a quoi sert ce vieux fichier a pourri?)
reboot
et boum! a pu reboot. OMG! La question est: et pourquoi donc? Le noyau est toujours situé dans /boot pourtant? Mais que s'est il passé? (hint: la meme manip avec grub se passe comme un charme).
mais bon tu as l'air d'avoir toujours raison.
he non. Et a ce niveau la, linux c'est une tres bonne ecole de l'humilite. Quand je vois ce qu'il me reste a apprendre face au peu que je sais, ca donne le vertige.
Donc je suis toujours preneur de lecons a ecouter. Et si quelqu'un a la solution pour lilo, et le deplacement de disque, je prends.
les chemins vers le noyau et initrd sont sous la forme /boot/bzimage /boot/initrd donc peu importe la partition sur laquelle cela se trouve. puis il suffit de lui dire de s'installer sur /dev/hdc c'est boot=/dev/hdc (de memoire)
certes, certes..
image = /boot/bzimage
label = linux
root = /dev/hda1 (et non pas hdc1 boulet)
Sauf que même écrit /dev/hdc1 ou même, soyons fou /dev/hdd42, le but consise à lancer un noyau. Au pire, tu te choppes un méchant kernel panic car la racine n'est pas la bonne, mais ça se corrige sur la ligne de commande lilo.
Mais bah, mon problème c'est que le noyau n'est pas lancé. Si tu commences a réfléchir à mettre la charrue avant les baufs, on est pas rendu.
ta carte se transforme en hda lors du boot, ce n'est pas grave puisque /boot/bzimage seras toujours /boot/bzimage quelque soit le /dev/hdx. de plus tu as anticiper le deplacement de la carte en mettant root = hda1 et non pas hdc1
Félicitation, si tant est que ta méthode eu marché, tu viens de vautrer le boot. Le système n'est _pas_ sur /dev/hda1 (la carte flash qui n'a qu'un noyau et un initrd copié dessus), mais sur /dev/hdb1. La carte flash n'est là que pour booter un noyau. Le système est sur le disque dur.
De plus lilo n'utilise le filesystem que lors de son installation dans le MBR pour trouver le noyau. Apres, /boot n'a plus aucune signification pour lui lors du boot. Enfin, ca reste du detail.
L'essentiel reste que j'ai testé différents trucs comme ça, et c'est niet, ca ne boute pas.
Pas de bol, hein. Il doit y avoir une subtilité qui m'échappe.
en fait tu complique trop, l'utilisation de qemu le prouve.
Donnes moi une autre méthode pour valider mon installation à cette instant.
Il aurait au contraire été largement plus simple de faire toute l'installation de cette manière, mais l'enchainement des étapes en a décidé autrement.
-> Ah, pardon, j'ai reussi a installer linux malgré: un syslinux foireux, un demi grub, un script udev zarb, un manque cruel de module reseau, un bug dans l'installeur, vraisamblablement un bug dans gtkterm et une succession de manque de bol incroyable. Donc administrer linux, ca va je me débrouille, petit gars, mais bon on va pas faire un concours de bite non plus, hein.
Je m'étonne qu'un admin tel que toi n'aie pas simplement tappé un
screen /dev/ttyS0
Il est de notoriété publique que screen m'ajoute les modules réseaux manquants, me corrige syslinux, me corrige le programme dialog fourni, et fasse le café. En fait, je vais te dire, je n'ai pas utilisé screen parceque j'avais peur qu'en plus il me fasse gagner au loto.
Une autre raison beaucoup plus pragmatique est que j'ignorais que screen servait de terminal série. Mais bon, on en apprend tous les jours, hein? BTW, mon man me signale que le -s signifie:
-s sets the default shell to the program specified, instead of the value in the environment variable $SHELL (or "/bin/sh" if not defined). This can also be defined through the "shell" .screenrc command.
Bref, rien qui ne vaille autant de *plaign*, je suis fatigué de cette mode de s'épancher sur la place publique.
T'en a pas marre de t'épancher sur la place publique que les gens qui se plaignent te fatiguent?
La carte passe de hdc sur mon portable en hda sur la soekris.
oui et alors, c'est un peu normal non ?
Tout à fait. Et partant de là, comment écrire un lilo.conf qui va s'installer dans le disque hdc, et qui va prendre en compte le fait que le disque sera ensuite booté en tant que hda? Je ramasse les copies dans 10mn.
Or donc, si on écarte lilo, que reste t'il? Un bootloader indépendant du device sur lequel il est. Vous en connaissez beaucoup? Bah sur ma slack, il n'y a pas de grub, mais il y a syslinux. Il sait booter un noyau et un initrd situé sur un device en FAT. Il s'agit du candidat parfait. J'ai pas mal joué dans le temps avec pour me faire des clés USB linux bootables (à l'aide de zipslack aujourd'hui disparu).
Maintenant si quelqu'un peut me dire pourquoi malgré la présence d'un flag bootable et du ldlinux.sys, la carte ne boote absolument pas, je suis preneur.
Y a un but à ce journal autre que de montrer ton incompétence profonde en matière de recherche documentaire ainsi que d'administration Linux ?
-> Ah, pardon, j'ai reussi a installer linux malgré: un syslinux foireux, un demi grub, un script udev zarb, un manque cruel de module reseau, un bug dans l'installeur, vraisamblablement un bug dans gtkterm et une succession de manque de bol incroyable. Donc administrer linux, ca va je me débrouille, petit gars, mais bon on va pas faire un concours de bite non plus, hein.
Y a whatmille Howto's qui expliquent comment se servir d'un port série et régler la vitesse
-> Aucun probleme n'est venu du réglage de la vitesse du port série, et si tu connaissais un peu soekris, tu saurais qu'ils travaillent par défaut en 9600bps. Donc un minimum de culture t'aurait fait comprendre en lisant des 38400 partout que oh surprise, la configuration de vitesse ne m'a pas posé de problème...
netbooter un soekris
-> je sais netbooter des machines, mais comme j'avais des flash sous la main, j'ai preferé les utiliser. De plus, ma derniere installation en netboot avait été impossible: problème de taille du fichier initrd.img du à une limitation interne du programme yaboot, eh ouais, p'tit gars ça arrive. L'expérience sert a ne pas répéter les mêmes erreurs; donc là, j'ai vachement privilégié la solution boot depuis carte flash.
De plus, comme dit plus, on installe OpenBSD sur ces babasses
-> merci, et tu vas bientot me dire quelle couleur de calecon je dois mettre? Si je veux mettre un linux, je colle un linux. Si en plus je veux une slack, je colle une slack, et ce n'est pas parceque trois blaireaux dans ton genre me dise "gnagnagna openBSD" que je vais changer de système. La slack est installée, et elle roulaize.
La prochaine fois, lis la doc et garde tes aigreurs pour un post dans un forum quelquonque.
-> Je n'ai fait que lire de la doc mon grand. Masi bon, il faut croire que l'humour passe mal en fin d'année. Encore un peu de dinde au foie gras pour faire digérer?
Cordialement
-> Cordialement aussi, bonne année, et que toute la joie des petits lutins innonde ton petit coeur.
J'ai pris un cours de developpement objet, la j'ai fait du java, c'est plus normal. J'ai eu 17/20. Mais ca commence a etre lointain (2 ans et demi)
J'ai pris un cours de reseau, j'ai du faire du java. (et j'ai eu, je sais plus, 16 je crois). Le but du cours etait de faire un bon vieux serveur de chat, projet que tous les etudiants en info ont du connaitre.
Je pensais en avoir fini avec java. Je reprends un cours de "systeme et applications reparties".
Et hop, bis repetita, one more time, again, 2, le retour du fils vengeur, la suite, on prend les memes et on recommence, bam, devinez quoi, il faut faire du java!
Donc bon, on remet le couvert une fois de plus, je vais bouffer du java une fois de plus, mais la j'ai du mal a avoir une vision d'ensemble, d'ou ma question sous forme de boutade. Autant la prog java, une fois qu'on a capté ce qu'est un objet, c'est OK (c'est des méthode et des attributs); autant un serveur de chat, ça ne m'a pas posé de problème parceque je connaissais bien le réseau, mais là, je me noie un peu.
J'ai trouve des tutoriaux sympathiques sur java et eclipse, mais j'ai besoin de java et netbeans.
L'internet est rempli de bonnes docs, pedagogiques et tout, mais la, je ne trouve pas le saint graal qui saurait expliquer, ni en 300 pages, ni en 300 lignes de code sans commentaires, comment fonctionne Jonas, comment ajouter un bean ecrit sous netbeans et comment un client lambda derriere son firefox peut voir du Acheuteumeuleuh. Je suis sur que parmi les lecteurs de linuxfr il y en a qui se sont posés ces questions et qui ont trouvé de bonnes références, voire même ecrit eux-mêmes leur doc.
Dans un deuxieme temps, je verrais comment un bean peut taper dans une base de donnees.
Ce que je raconte montre peut etre ma grande ignorance dans ce sujet, mais j'ai besoin d'un peu d'aide, justement..
[^] # Re: Comment nous aider
Posté par octane . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 4.
Voici mes deux euro-cents sur l'authentification forte et les tokens matériels:
Question: comment garantir de la crypto forte?
-> première sous question: que veut on protéger?
Réponse: 3 grandes familles existent: le chiffrement, la signature, et l'authentification.
Ces trois familles reposent sur le mécanisme de clé privée / clé publique. Ce concept de clé privée /publiques est celui qui nous intéresse ici. Associé aux clés publiques, un certificat qui ajoute des informations comme l'adresse mail du possesseur de la clé publique, des dates de validité, etc..
La clé privée est privée et ne doit être connue que du possesseur de la clé. Le certificat (et la clé publique associée) sont publics, (ie diffusables partout)
Cette crypto est communément appelée PKI, et la PKI correspond à une mise en oeuvre de ces mécanismes. De très nombreuses RFC définissent ce qu'il faut faire pour construire une PKI. Dans le logiciel libre openssl a tout ce qu'il faut pour batir une PKI.
En gros:
-on génére une autorité (un couple de clé et certificat).
-On génére des couples clés privés/publics pour chacun de nos utilisateurs.
-Les certificats sont signés par l'autorité (comprendre authentifiés par l'autorité)
Puis, toute personne qui souhaite utiliser notre PKI doit agréer l'autorité, en gros faire confiance a cette autorité, et par la, faire confiance aux certificats signés par celle ci.
Donc un user peut récuperer un certificat quelquepart, vérifier son authenticité, puis l'utiliser.
Ca, c'est pour la théorie. Je passe les mécanismes de révocation de certificats, de mécanisme permettant l'authent, la signature et le chiffrement.
Bref.
Venons en au point qui nous intéresse, les cartes à puce (ou token USB).
Un point crucial concernant ces PKI concerne la clé privée. Si elle est diffusée, forcément, elle ne sert à rien.
Et survient un paradoxe: comment être persuadé que la clé privée ne fuite jamais dans aucun cas alors qu'il faut l'utiliser?
La solution réside dans l'utilisation d'une carte à puce. Une carte à puce est un ordinateur complet, et donc, la clé privée ne sort jamais de la carte à puce. Toutes les opérations crypto sont réalisées par la carte à puce, depuis le tirage des clés, jusqu'aux opérations de chiffrement/déchiffrement. La clé privée est donc parfaitement protégée, et la carte à puce elle même peut protéger des brute force en détruisant la clé au bout de trois tentatives de code PIN.
C'est donc génial (du point de vue crypto). Mais.
Mais tout n'est pas si évident. Et entre autre vient le point noir de la communication entre un programme local au PC et la carte à puce. Une norme de communication existe et s'appelle la norme PKCS#11. Les constructeurs de carte à puce fournissent donc un middleware (un driver, quoi) permettant de présenter une interface PKCS#11 à un programme du PC. Et ces middleware existent uniquement sous windows. Certains middleware ont existé sous linux (je pense au clés token USB rainbow ikey1000) mais sous la forme de blobs binaires, attachés à une certaine version de noyau.
Bref:
la solution serait effectivement d'implémenter:
-premièrement d'une couche PKCS#11
-deuxièmement du pilote spécifique pour une carte particulière
-troisièmement une couche applicative (un add-on pour openssl ? )
[^] # Re: Mise au point
Posté par octane . En réponse au journal Migration foirée. Évalué à 5.
Je suis d'accord; quelle a été la plus belle bêtise que vous avez faite?
Je démarre dans le mode <mavie>:
On me prévient que le site web a des problèmes. Je me connecte en vitesse en ssh, et effectivement tout est en vrac.
Des vieilles versions du site qui trainent, des vieux trucs, des services zarb qui tournent, une arborescence qui a été modifié, le souk complet.
Sueurs.
Je vais chercher des backups, je remonte le bin's, en plus le serveur rame comme pas permis, le service ftp est ouvert, le service smtp, j'espère qu'on s'est pas fait pirater. Je me rends compte que la base SQL est en vrac aussi, je remonte le minimum, je me déchire, j'arrive a faire un truc qui tourne sur trois pattes bien crado, mais bon.
Et là, je me rends compte que je me suis trompé d'adresse IP... J'étais connecté sur un vieux bouzin qui servait à faire du dev et non pas sur le serveur de prod.
10litres de sueur et 4h de perdues parceque je me suis précipité bêtement sans m'assurer de là ou j'étais.
[^] # Re: Des infos du coté de leurs brevets ...
Posté par octane . En réponse au journal Société de recherche de contenu protégé sur internet. Évalué à 3.
http://www.advestigo.com/advestigo_technologie.php?men=1&(...)
Je n'ai pas pu m'empêcher de taper:
http://www.advestigo.com/advestigo_technologie.php?men=1&(...)
quelle ne fut pas ma surprise en voyant des liens:
http://www.advestigo.com/Images/advestigo/partenaires_ENU.gi(...)
Ca alors, cela veut dire que dans le code php ils font un
partenaires_$LANG.gif ?
Ca n'est pas précisé comme étant une grosse faille de sécurité? Hein? les pros? qu'est ce qui se passe si je met
LANG=plop";system("cat /etc/passwd");hop ? Hein? c'est pas une faille aussi grosse?
(rappel le piratage de site web est interdit)
[^] # Re: Re:
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 1.
Ahhh, ça la regarde, mais tu te doutes bien que je ne l'avouerai jamais publiquement sur un forum. J'aurais bien trop peur qu'un geek passant par là n'aille lui proposer des cours de nain ternet ;)
Et sinon, concernant la remarque que j'ai pu voir dans de nombreux posts:
Avec un dégroupage total, tu n'as pas d'abonnement FT à payer tous les mois. Il faut juste ouvrir la ligne.
bah oui, mais elle n'a même pas d'arrivée de cable de téléphone dans son appartement. Le néant. Il faut donc qu'elle demande a FT de cabler son appart, puis éventuellement de changer d'opérateur après. Enfin, c'est ce que lui ont dit les opérateurs. D'ou le surcout non négligeable pour obtenir une internet-box. Enfin, on s'égare du topic, là.
Merci, à tous, je vais lui proposer la solution eeePC + écran/clavier/souris, ça devrait le faire.
[^] # Re: Attendre un peu ?
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 2.
-il faut que je lui fasse une distrib ad-hoc, ce qui prend du temps.
je lui met quoi? une ubuntu? une slack? une mandriva?
-elle n'aura pas l'accès au net, donc ça coute encore plus cher, ouverture de ligne chez FT, inscription chez le FAI etc.. les lignes 3G classiques, c'est 70euros par mois en vachement limité.
Le eeePC, finalement, c'est une distrib neuneu-proof, et elle a internet out-of-the-box pour pas plus cher qu'une box.
pour le flash, ça ne le lit pas à 600MHz?
[^] # Re: quelques réponses
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 1.
D'ici peu elle me parlera de MSN, mais y'a déjà ce qui faut.
par contre, pour le coup du clavier et de l'ecran externe, ça donne quoi? Toujours en 800x480? ou la résolution monte?
[^] # Re: Lien indirect
Posté par octane . En réponse au journal Je fais déjà la vaisselle ... et vous ?. Évalué à 5.
Bah elle ne court pas derrière moi dans la rue ne léchant le trottoir ou j'ai posé mes pas.
Pas au point, ta méthode.
[^] # Re: Il y a aussi la Banque postale
Posté par octane . En réponse au journal [HS] Banques. Évalué à 2.
J'ai un message qui me dit d'activer les cookies de session, ce qui est fait.
Le premier lien qui mène vers l'aide indique comment faire sous IE, le second lien emmène vers une 404.
C'est arrivé à d'autres gens?
# La tribune moulesque
Posté par octane . En réponse au journal Page d'accueil HS. Évalué à 2.
[16:09:18] Putifuto
- 16:08:34 oui, on reboote la matrice de templeet
Je pense que c'est lié, et que c'est reviendu.
# Ne dites pas à ma mère...
Posté par octane . En réponse au journal [ Un peu HS ] Et vous, vous dites quoi lorsqu'on vous demande ?. Évalué à 5.
A part ça, je ne dis jamais non plus que je suis informaticien; il est plus simple de dire "je travaille sous linux dans les réseaux". Le pauvre gus qui pensait te demander de l'aide ne comprend meme pas ce que tu lui dis, donc pour pas passer pour un con, il se tait. Et s'il s'entete, tu peux en rajouter des couches
-ah? Mais j'ai un problème avec word, etc...
-Mais mon garçon, ça c'est de la bureautique, et ça j'y connais rien
-ah? Mais pourtant sous windows, je...
-Mais je n'utilise pas windows, je fais du réseau
-Parceque dans voisinage réseau, je...
-Mais tu me parles de netbios et je ne travaille qu'en IPv4, tu n'es pas en IPv6 a tout hasard? non? oui? tu sais pas? donc la, je ne sais pas
-Et je...
-mais non, le vmsplice du kernel ne routera pas la BdD transactionnelle quand la hashtable mémoire est en ring0 du paravirtualisateur, voyons, c'est évident! Laisses moi plutôt parler à mademoiselle à ta gauche, hein.
etc..
[^] # Re: Il faut menacer
Posté par octane . En réponse au journal Ébauche du projet de loi de lutte contre le téléchargement illégal. Évalué à 2.
Systématiquement, quand vous allez à la FNAC, virgin, etc.. tous ceux qui vendent des CD, faites ça:
Avec vos courses, repérez des CD marqués "copy protected" ou "DRM", etc..
Arrivés à la caisse, faites mine de vous rendre compte au moment de payer que:
-oh! mais j'avais pas vu, ce CD est protégé.
Faites une esclandre (enfin pas trop quand meme), signalez à vos voisins de la file d'attente que ces CD sont pourris, illisibles, que le remboursement ne fonctionne pas, etc. Ramenez les CD au rayon, demandez au vendeur des trucs sans DRM (peu importe que vous les preniez ou pas, hein, le but consiste juste à faire du bruit).
Puis achetez ce que vous vouliez acheter.
Si nous sommes des milliers à le faire, ça remontera forcément aux oreilles des décideurs.
Et les DRM disparaitront d'eux meme.
[^] # Re: sténographie
Posté par octane . En réponse au journal TrueCrypt 5.0 met les manchots à l'honneur !. Évalué à 1.
on planque dans une partition une seconde partition, et hop, indétectable.
Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
[^] # Re: Le rat porc avec DLFP ?
Posté par octane . En réponse au journal Une nouvelle révolution dans l'informatique et électronique grand public !. Évalué à 4.
alors qu'il n'y a pas de port ethernet? Je n'ai jamais tenté le netboot via wifi, mais ca doit etre relativement acrobatique :-)
Si l'idée de rendre le lecteur optique externe n'est pas nouvelle (voir les SONY Vaio de 2001), ne pas le fournir en standard avec la machine lors de l'achat en est une autre ! Il faut ajouter 99$ à l'ardoise déjà salée pour bénéficier du lecteur...c'est proprement scandaleux...
Oui mais c'est toujours le cas avec Apple. Tout les portables ont eu ca. Pas de modem? zou, xxx$ en plus. Pas de cable sortie video -> VGA et hop, portefeuille encore. etc, etc..
[^] # Re: Et pour choisir l'application de son choix ?
Posté par octane . En réponse au journal Firefox et linux. Évalué à 10.
Je crée un répertoire /Applications
Dans ce répertoire, un lien vers xpdf, vers mplayer, vers openoffice, etc..
Dans mon répertoire perso, un fichier gtk-bookmarks
$ cat .gtk-bookmarks
file:///Applications Applications
file:///usr/src src
file:///home/share/Musique Musique
Ce qui permet dans la boite de dialogue GTK un point d'entree direct vers
le repertoire de mon choix.
Soit ouvrir avec... et je clique sur Application, et la j'ai la dizaine d'applis utile.
Soit enregistrer sous... et j'ai soit un lien vers mon programme source, soit
vers des activites, euh, culturelles.
L'avantage, c'est que cela fonctionne avec n'importe quelle boite de dialogue basée sur GTK.
[^] # Re: toujours plus loin pour obtenir le chiffrement de toutes les partiti
Posté par octane . En réponse à la dépêche Revue de presse - janvier 2008. Évalué à 1.
[^] # Re: Un peu facile...
Posté par octane . En réponse au journal Youpi !!!. Évalué à 10.
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
boot=/dev/sdb
disk=/dev/sdb
bios=0x80
root=/dev/hda1
delay=20
vga=normal
Je vais retourner voir avec mon autre carte flash ce que ca donne.
Il faut peut-etre que je retourne creuser du cote du parametre bios=. Le root= doit etre inutile à ce point du lilo.conf (à vérifier), le delay=20 me surprend. Puisque le noyau boote par defaut et que tu n'as pas active l'affichage de lilo via le port série, ca fait juste attendre 2s..
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 0.
Si, tout a fait. Mais le message complet est:
"amusons nous aux depends des utilisateurs de lilo" puis "pas de reboot".
# logiciel open source
Posté par octane . En réponse au journal Le logiciel Open Source qui me donne du plaisir ..... Évalué à 1.
-mplayer
-mame
Mais posé différemment, quel est le logiciel qui vous manque le plus?
je citerais pour moi:
-irfan view
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
eh non..
Amusons nous aux dépends des utilisateurs de lilo. Tu utilises lilo? Alors avant de taper ces commandes, assures toi de bien les comprendre:
su -
cd /boot
mv bzImage a (holy crap! plus de noyal)
cp a bzImage (ah, le voila de nouveau)
shred a (bah oui, a quoi sert ce vieux fichier a pourri?)
reboot
et boum! a pu reboot. OMG! La question est: et pourquoi donc? Le noyau est toujours situé dans /boot pourtant? Mais que s'est il passé? (hint: la meme manip avec grub se passe comme un charme).
mais bon tu as l'air d'avoir toujours raison.
he non. Et a ce niveau la, linux c'est une tres bonne ecole de l'humilite. Quand je vois ce qu'il me reste a apprendre face au peu que je sais, ca donne le vertige.
Donc je suis toujours preneur de lecons a ecouter. Et si quelqu'un a la solution pour lilo, et le deplacement de disque, je prends.
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
tu m'en diras tant.
les chemins vers le noyau et initrd sont sous la forme /boot/bzimage /boot/initrd donc peu importe la partition sur laquelle cela se trouve. puis il suffit de lui dire de s'installer sur /dev/hdc c'est boot=/dev/hdc (de memoire)
certes, certes..
image = /boot/bzimage
label = linux
root = /dev/hda1 (et non pas hdc1 boulet)
Sauf que même écrit /dev/hdc1 ou même, soyons fou /dev/hdd42, le but consise à lancer un noyau. Au pire, tu te choppes un méchant kernel panic car la racine n'est pas la bonne, mais ça se corrige sur la ligne de commande lilo.
Mais bah, mon problème c'est que le noyau n'est pas lancé. Si tu commences a réfléchir à mettre la charrue avant les baufs, on est pas rendu.
ta carte se transforme en hda lors du boot, ce n'est pas grave puisque /boot/bzimage seras toujours /boot/bzimage quelque soit le /dev/hdx. de plus tu as anticiper le deplacement de la carte en mettant root = hda1 et non pas hdc1
Félicitation, si tant est que ta méthode eu marché, tu viens de vautrer le boot. Le système n'est _pas_ sur /dev/hda1 (la carte flash qui n'a qu'un noyau et un initrd copié dessus), mais sur /dev/hdb1. La carte flash n'est là que pour booter un noyau. Le système est sur le disque dur.
De plus lilo n'utilise le filesystem que lors de son installation dans le MBR pour trouver le noyau. Apres, /boot n'a plus aucune signification pour lui lors du boot. Enfin, ca reste du detail.
L'essentiel reste que j'ai testé différents trucs comme ça, et c'est niet, ca ne boute pas.
Pas de bol, hein. Il doit y avoir une subtilité qui m'échappe.
en fait tu complique trop, l'utilisation de qemu le prouve.
Donnes moi une autre méthode pour valider mon installation à cette instant.
Il aurait au contraire été largement plus simple de faire toute l'installation de cette manière, mais l'enchainement des étapes en a décidé autrement.
[^] # Re: pourquoi blamer le matériel quand l'erreur est entre la chaise et l
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
Je m'étonne qu'un admin tel que toi n'aie pas simplement tappé un
screen /dev/ttyS0
Il est de notoriété publique que screen m'ajoute les modules réseaux manquants, me corrige syslinux, me corrige le programme dialog fourni, et fasse le café. En fait, je vais te dire, je n'ai pas utilisé screen parceque j'avais peur qu'en plus il me fasse gagner au loto.
Une autre raison beaucoup plus pragmatique est que j'ignorais que screen servait de terminal série. Mais bon, on en apprend tous les jours, hein? BTW, mon man me signale que le -s signifie:
-s sets the default shell to the program specified, instead of the value in the environment variable $SHELL (or "/bin/sh" if not defined). This can also be defined through the "shell" .screenrc command.
Bref, rien qui ne vaille autant de *plaign*, je suis fatigué de cette mode de s'épancher sur la place publique.
T'en a pas marre de t'épancher sur la place publique que les gens qui se plaignent te fatiguent?
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
La carte passe de hdc sur mon portable en hda sur la soekris.
oui et alors, c'est un peu normal non ?
Tout à fait. Et partant de là, comment écrire un lilo.conf qui va s'installer dans le disque hdc, et qui va prendre en compte le fait que le disque sera ensuite booté en tant que hda? Je ramasse les copies dans 10mn.
Or donc, si on écarte lilo, que reste t'il? Un bootloader indépendant du device sur lequel il est. Vous en connaissez beaucoup? Bah sur ma slack, il n'y a pas de grub, mais il y a syslinux. Il sait booter un noyau et un initrd situé sur un device en FAT. Il s'agit du candidat parfait. J'ai pas mal joué dans le temps avec pour me faire des clés USB linux bootables (à l'aide de zipslack aujourd'hui disparu).
Maintenant si quelqu'un peut me dire pourquoi malgré la présence d'un flag bootable et du ldlinux.sys, la carte ne boote absolument pas, je suis preneur.
[^] # Re: pourquoi blamer le matériel quand l'erreur est entre la chaise et l
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
-> Ah, pardon, j'ai reussi a installer linux malgré: un syslinux foireux, un demi grub, un script udev zarb, un manque cruel de module reseau, un bug dans l'installeur, vraisamblablement un bug dans gtkterm et une succession de manque de bol incroyable. Donc administrer linux, ca va je me débrouille, petit gars, mais bon on va pas faire un concours de bite non plus, hein.
Y a whatmille Howto's qui expliquent comment se servir d'un port série et régler la vitesse
-> Aucun probleme n'est venu du réglage de la vitesse du port série, et si tu connaissais un peu soekris, tu saurais qu'ils travaillent par défaut en 9600bps. Donc un minimum de culture t'aurait fait comprendre en lisant des 38400 partout que oh surprise, la configuration de vitesse ne m'a pas posé de problème...
netbooter un soekris
-> je sais netbooter des machines, mais comme j'avais des flash sous la main, j'ai preferé les utiliser. De plus, ma derniere installation en netboot avait été impossible: problème de taille du fichier initrd.img du à une limitation interne du programme yaboot, eh ouais, p'tit gars ça arrive. L'expérience sert a ne pas répéter les mêmes erreurs; donc là, j'ai vachement privilégié la solution boot depuis carte flash.
De plus, comme dit plus, on installe OpenBSD sur ces babasses
-> merci, et tu vas bientot me dire quelle couleur de calecon je dois mettre? Si je veux mettre un linux, je colle un linux. Si en plus je veux une slack, je colle une slack, et ce n'est pas parceque trois blaireaux dans ton genre me dise "gnagnagna openBSD" que je vais changer de système. La slack est installée, et elle roulaize.
La prochaine fois, lis la doc et garde tes aigreurs pour un post dans un forum quelquonque.
-> Je n'ai fait que lire de la doc mon grand. Masi bon, il faut croire que l'humour passe mal en fin d'année. Encore un peu de dinde au foie gras pour faire digérer?
Cordialement
-> Cordialement aussi, bonne année, et que toute la joie des petits lutins innonde ton petit coeur.
[^] # Re: To fight the bug, you must understand the bug
Posté par octane . En réponse au journal javabean != réseau ?. Évalué à 6.
J'ai pris un cours de reseau, j'ai du faire du java. (et j'ai eu, je sais plus, 16 je crois). Le but du cours etait de faire un bon vieux serveur de chat, projet que tous les etudiants en info ont du connaitre.
Je pensais en avoir fini avec java. Je reprends un cours de "systeme et applications reparties".
Et hop, bis repetita, one more time, again, 2, le retour du fils vengeur, la suite, on prend les memes et on recommence, bam, devinez quoi, il faut faire du java!
Donc bon, on remet le couvert une fois de plus, je vais bouffer du java une fois de plus, mais la j'ai du mal a avoir une vision d'ensemble, d'ou ma question sous forme de boutade. Autant la prog java, une fois qu'on a capté ce qu'est un objet, c'est OK (c'est des méthode et des attributs); autant un serveur de chat, ça ne m'a pas posé de problème parceque je connaissais bien le réseau, mais là, je me noie un peu.
J'ai trouve des tutoriaux sympathiques sur java et eclipse, mais j'ai besoin de java et netbeans.
L'internet est rempli de bonnes docs, pedagogiques et tout, mais la, je ne trouve pas le saint graal qui saurait expliquer, ni en 300 pages, ni en 300 lignes de code sans commentaires, comment fonctionne Jonas, comment ajouter un bean ecrit sous netbeans et comment un client lambda derriere son firefox peut voir du Acheuteumeuleuh. Je suis sur que parmi les lecteurs de linuxfr il y en a qui se sont posés ces questions et qui ont trouvé de bonnes références, voire même ecrit eux-mêmes leur doc.
Dans un deuxieme temps, je verrais comment un bean peut taper dans une base de donnees.
Ce que je raconte montre peut etre ma grande ignorance dans ce sujet, mais j'ai besoin d'un peu d'aide, justement..