olosta a écrit 418 commentaires

C'est vrai mais pas forcément. Et ensuite faire de la force brute sur un mot de passe est déjà _beaucoup_ plus accessible que casser RSA. Et il ne s'agit pas d'envoyer des emails de ta machine il s'agit juste de la pénétrer, de prendre le fichier de la clé privée et de casser le mot le passe tranquillement chez soi. Une fois que ta clé est chez un spammeur ton réseau de confiance inclus désormais des gens qui vendent du viagra, des fils de dictateur...

Donc pour marcher ton réseau de confiance tu ne doit accepter _que_ des gens qui protègent très bien leur machine et qui savent qu'il ne faut pas prendre la date de naissance de son chien comme mot de passe pour une clé.

Ne recevoir des mails _que_ de ces gens là me fait froid dans le dos. :-)

D'après (un lien du dernier lien) :

http://www.boingboing.net/2005/07/27/security_researcher_.html(...)

Lynn outlined a way to take control of an IOS-based router, using a buffer overflow or a heap overflow, two types of memory vulnerabilities. He demonstrated the attack using a vulnerability that Cisco fixed in April. While that flaw is patched, he stressed that the attack can be used with any new buffer overrun or heap overflow, adding that running code on a router is a serious threat.

Voila ce que je comprend :

En fait, la présentation expliquait les techniques pour profiter d'une vulnérabilité pour prendre le contrôle du routeur. La vulnérabilité initiale est patchée mais les techniques de Lynn s'appliqueront à n'importe quelle faille future. Donc, d'après les informations disponibles les versions actuelles sont sûres (il faut patcher) mais la moindre vulnérabilité future est critique.

La je vois pas trop, à part les trucs cons :
- le réseau marche bien ?
- tu peux joindre les sites correspondant ?
- t'aurais pas besoin d'un proxy par hasard ?

Tu as oublié de dire qu'il prennent aussi compte les dons :-)

N'empêche que ce serait cool d'au moins savoir la note initiale d'un commentaire pour savoir si il a mal été noté parce qu'il est mauvais ou si il a mal été noté parce que son auteur "purge sa peine".

ou faire un "dpkg-reconfigure <nom du paquet xorg>"

On ne peut pas "prendre la clé de quelqu'un".

Bien sur que si on peut, il suffit d'aller chez lui et de la prendre. Le problème du système c'est que dès que quelqu'un se fait corrompre sa machine, sa clé est corrompue aussi et tout le système s'effondre.

Arrêtez moi si je dit une bêtise mais ubuntu n'a pas vraiment de "panneau de contrôle" particulier, elle utilise les outils de configuration de GNOME donc ça semble logique.

Et bien, je n'ai pas le droit de déposer un brevet maintenant, vu que j'ai déja diffusé des application pratiques l'utilisant. Donc cet argument que tu avance du brevet n'est pas valable.

Si cet argument n'était pas valable je n'en aurais pas grand chose a faire des brevets logiciels. Le problème est que, même avec un brevet bancal, un bon avocat peut faire durer un procès assez longtemps pour décourager une petite boite ou un particulier (donc une grande partie des développeurs de LL).

Histoire de faire avancer le débat :

On dit bruxelloise ou brusselloise ?

C'est peu probable, mais si tu as la distrib Mandriva 2005 LE

D'autant qu'on est sur Linux.debian :-)

OK, pour je ne sais quelle sombre raison j'avais pensé que ces machins marchait avec les driver mouse. Mais ça n'est pas le cas. Après un peu de google je suis tombé sur cette page :

http://www.stz-softwaretechnik.de/~ke/lifebook/(...)

On dirait que l'option s'appelle "SwapY" pour le driver evtouch. Je trouve quand même particulièrement dommage que l'option ne reprenne pas le même nom que pour le driver mouse...

La phrase est citée dans la BD de Delisle et je l'ai retrouvée dans un rapport de MSF :

http://www.msf.fr/documents/base/2001-08-07-Terry.pdf(...)

(en haut de la page 4)

Que pol pot ait sortit un truc dans le genre ne serait toutefois pas très étonnant.

Tu le précise pas mais je suppose que tu t'en sert avec X. Y a une option "InvY" dans le fichier de conf de X qui à l'air de faire ce que tu veux.

man 4x mouse

Un bouffon qui a dit publiquement :

Pour reconstruire une société victorieuse, seul 30% de la population à besoin de survivre

Désolé, _aucun_ état actuel n'est a son niveau, quel que soit la mesure.

A ce propos, j'ai relu hier l'excellente bande déssinée de Guy Delisle : Pyongyang (éditions l'Association). C'est un carnet de voyage dans la capitale de corée du nord. C'est vraiment interessant pour voir comment le régime essaye de se présenter aux rares étranger qui entrent sur le territoire.

Il y a aussi :

http://sourceforge.net/projects/ext2fsd(...)

Ca permet carrément de monter les partitions ext2 (et 3 aussi) et de les voir comme un disque normal.

Moi même, j'ai vu à mon niveau de français baisser énormément depuis que je ne suis plus scolarisé (donc peu corrigé)

Exactement, on progresse quand on est corrigé...

Le gros problème des jeux (propriétaires) sous Linux c'est leur nombre. Le problème n'est pas vraiment technique, la preuve est que quelques gros jeux tournent sous Linux comme Doom 3 ou UT2004.

Seulement le marché est juste un peu restreint pour ces éditeurs.

Si tu veux voir un peu ce qu'il se fait :

http://www.tuxgames.com/(...)

Pour le service RPC je ne vois pas pourquoi quelqu'un aurait besoin de faire tourner un service de RPC écoutant sur Internet. C'est inutile et dangereux, le fait qu'on ne puisse pas l'enlever montre bien que testing fait mieux que XP sur certains points.

C'est aussi ce que se disent la plupart des utilisateurs de MS Windows, ils pensent que le risque est acceptable.

Si tu as des cas concrêt de gens qui ont eu des problèmes de sécurité avec une Debian Testing ou des logiciels utilisé dans Debian Testing montre moi. Tant que ça marche ou que je n'ai pas de menace sérieuse je considère comme préférable d'avoir le lag sur les mises a jour plutot que de me retrouver avec un système qui ne fonctionne plus (je me suis déjà retrouvé sans X après une mise à jour d'une sid) ou que d'avoir des logiciels qui vieillissent.

Perso, je vois pas l'intérêt de passer à Linux si c'est pour avoir la même approche de la sécurité que sous MS Windows.

Je n'ai pas la même approche de sécurité que sous MS Windows :

- Je n'utilise pas un compte root pour lire mes mails
- Je n'ai pas de service de RPC qu'on ne peut pas enlever

Et quand bien même, l'intêret je le verrais encore :

- Le principe de liberté ;
- Le fait de mieux contrôler ce qui se passe (J'aime bien bidouiller) ;
- L'utilisation de logiciels et d'outils sans équivalent sous Windows ;
- Le fait que tous les logiciels soient gratuits (c'est con mais ça compte).

Pour le problème de win XP c'est surtout qu'un XP brut de fonderie démarre(rait ?) avec un paquet de service inutile et dangereux. Ce qui n'est pas le cas d'une Debian desktop qui n'a pas vraiment besoin de faire tourner beaucoup de service. Voir Ubuntu qui n'en lance aucun par défaut.

Reste les applis genre GAIM, Firefox... Voila il y a des failles de temps en temps mais je n'ai jamais eu de problème et je pense que le risque est acceptable. Redemande moi dans un ou deux ans j'aurais peut-etre changé d'avis.

C'est exactement ça, mais le fait est que testing a un problème de sécurité car les upstream arrivent bien plus tard que sur sid.

C'est vrai mais ce que je sit est pour une utilisation desktop sur une machine ou tu es en général tout seul ou alors les autres utilisateurs c'est ta famille ou tes amis donc les seuls problème de sécurité concernent les failles de navigateurs par exemple ou genre un serveur ssh. C'est assez limité et acceptable a mon avis.

Le mieux est peut-être d'utiliser la Stable en attendant que le support de la sécurité soit amélioré dans Testing.

Surtout que actuellement etch a pas encore beaucoup bougé par rapport à sarge.

T'as essayé de faire un update après avoir rajouté ces lignes ?

Parce que le message d'erreur dit qu'il a pas en cache la liste des paquets de ces sources. Si tu vient de les ajouter ca semble logique.

En fait si c'est possible, en nommant tes "sujets" (c'est le terme pour les mot-clés) avec des noms du genre :

Programmation->C++

Dans le menu signet tu aura un sous-menu "programmation" et les signets dans ce sujet apparaitrons après une recherche sur "Programmation" ou "C++". Par contre cette hiérarchisation se limite à un seul niveau.

Tu ne peux donc pas faire de sujet :

Programmation->Langage->C+

j'ai peur que unstable soit trop proche de Sid et donc vraiment instable.

C'est sur qu'elles vont être proche étant donné que c'est _exactement_ la même chose.

Moi je maintient que testing (etch) est une bonne solution, tu n'as pas besoin de croiser les doigts a chaque upgrade et les nouvelles versions de paquets arrivent. Pour la reconnaissance de matériel je ne sais pas, cela dépend vraiment de ton matos et sarge n'a pas encore deux mois.