pappy a écrit 279 commentaires

J'adore ;)
Et pourtant je ne suis pas une flèche en orthographe ... mais là, je suis fan (je te mets même un + rien que pour ça :)

C'est un avis qui n'engage que moi bien sûr, mais ce que je préfère dans Internet, c'est la liberté.

Je suis peut-être naïf, mais je trouve qu'on y fait des rencontres de personnes avec lesquelles on n'aurait jamais pu discuter, il y a des tonnes d'informations sur tous les sujets possibles (bon, ok, tout n'est pas pertinent) ... mais pour moi, c'est un lieu d'échange et d'apprentissage.

Je suis un fervent adpete de la liberté totale sur Internet. Je suis convaincu que le système est capable de s'auto-réguler pour limiter les dérives... Il n'y a qu'à voir les XPs qui parviennent pas trop mal à distinguer les messages.

Pour mémoire, voici ce que j'avais écrit au début de l'année :
http://linuxfr.org/view_attach.php3?id=74(...)

Je continue à y croire...

Internet ne fait pas peur qu'aux dictatures !
Nos chères démocraties également prennent des mesures pour contrôler ce qui se passe, comme par exemple en Angleterre avec la RIP Act qui autorise les autorités à fouiller dans les boîtes-à-lettres électroniques sans même recourir à un mandat.

Ce n'est d'ailleurs probablement pas un hasard si, au moment de la sortie de l'ADSL à Paris, noos^H^H^H^H cybercable a baissé à 512 son débit en download :(((

Il y a un terme qui revient souvent dans les propos de l'OMC : "libre concurence"

Mon oeil oui ! Ca me fait plutôt penser à une entente ...

petites précisions :

• les echo-request ne sont pas les seuls paquets ICMP


• il existe d'autres protocoles que tcp, udp, ip et icmp

Sur ce, je vous quitte ;)

Comme l'a dit pappy, c'est du "hijhicking" (mais c'est marrant, je l'aurais pas écrit comme ca !!!!).

Bon, comme dirais quelqu'un que je ne nomerait pas, c'est de l'orthographe quantique ;)

Bien sur, si le gars au milieu y est depuis le début de la connexion, et si tu as betement répondu "oui" quand ton client SSH t'a signalé que la cle du serveur a changé et t'a demandé s'il ait accepter la nouvelle.... ben on peut plus rien pour toi, désolé

Là, on change de domaine, c'est une attaque appelée Man in the middle

non, je ne dirai rien ... mais avec ta vonfiguration (pas de ping, pas de serveur), tu limites les risques ... mais il reste des solutions ;)

Petite précision : les serveur de echo-request, ça n'existe pas.

Chez noos aussi, pas de serveurs sur les machines ... pourtant, je t'assure que je vois bcp de IIS touner.

Concernant l'autre sujet, je suis tout à fait d'accord avec toi ... mais je trouve dommage que pour 3 <CENSURE> tout le monde en pâtisse.

ca, c'est du tcp hijhicking ... mais ce n'est pas aussi simple que ça ;)

Le logicile dont il parle est sans doute hunt.

Sur noos, il y a déjà qqc de similaire : le compteur ! Tout ce qui sort de ta machine est comptbilisé et tu as droit à 250Mo par mois (+4Mo non comptabilisé par jour).

Bien sûr, c'est complètement débile (tu peux très facilement faire monter le compteur du voisin - non, je ne dirai pas comment ;) mais :

1. c'est quand même utilisé par un grand groupe parce que ça rapporte


2. ca a même été validé par un bureau officiel qui a dû être bien payé pour ça (ben non, pourquoi ça fausserait les résultats ;)

Bref, même si un truc est techniquement irréalisable, ça n'empêche pas certains de vouloir l'utiliser pour s'en mettre pleins les fouilles :(((

bon, répondre sur des arguments aussi constructifs ne va pas être simple !

Tout d'abord, l'inria fonctionne partiellement sur des fonds publics. Les autres proviennent de contrat avec des industriels qui paient (assez peu chers comparativement à d'autres pays) pour un savoir-faire qu'ils ne possèdent pas.

Pour mon cas personnel, oui, je dispose d'une bourse de thèse publique et suis donc rémunéré par tes impôts si tu en payes.

Concernant la dégradation de la musique, cher ami mélomane, je suis certain que ce rappel ne te servira à rien, mais pour les autres : d'un point de vu accoustique, le CD n'est pas la qualité optimale, on peut faire mieux. Les solutions de tatouage qui existent (mais sont inefficaces je le rappelle:) utilisent un modèle psycho-acoustique qui fait que pratiquement personne ne peut entendre une différence dans des conditions optimales d'écoute, entre un médium vierge et un médium marqué (les quelques exceptions sont les personnes possédant une oreille parfaite ET entrainée).

Enfin, j'ajouterai un point que tu as oublié : à qui profite cette recherche ? Pour moi, grand idéaliste, elle permettra à de <<petits musiciens>> (comprendre ceux qui ne sont pas couverts par une major) de se protéger de ces mêmes majors, un peu comme le rôle initila des brevets qui devait protéger les petits inventeurs des grosses firmes. Cependant, "science sans conscience n'est que ruine de l'âme" (Rabelais) et je ne peux m'empêcher de me poser des questions éthiques sur l'utilisation réelle de ces travaux. Oui, bien sûr, les majors s'en serviront... mais je dois avouer que je doute qu'on parvienne à mettre au point une solution efficace.

Je ne cherche pas à te convaincre de quoique ce soit, tu me sembles déjà avoir un avis bien tranché. Je donne juste mon opinion personnelle qui n'engage que moi-même.

J'espère que tu m'excuseras d'avoir pris du temps pour te répondre, après tout le temps, c'est de l'argent et comme tu me fournis mon salaire ... je ne voudrais pas que tu croies que tes impôts sont complètement gaspillés.

<pub>
Tu peux toujours t'abonner ;)
Mais tu n'aurais quand même pas l'excellent hors-série sur la sécurité informatique :(

Dépéchez-vous il est en vente jusqu'au 17 Septembre ;)
</pub>

<I>Le pire c'est que tes contributions sont en général marqués du sceau de la qualité !<I>

Comment ça, <<en général>> ;)

Sinon, arrête, je rougis :)
Merci.

C'est completement utopique, il faudrait une bdd de signatures de chaque oeuvre dans tous les formats pour chaque unitee de stockage. Sans parler du probleme de mise a jour...

Partiellement faux. Un problème très à la mode en ce moment chez les scientifiques (et je sais de quoi je parle, je bosse là-dessus) s'appelle le tatouage de médium. L'idée est d'insérer une marque imperceptible dans un médium (son, image, vidéo), indépendamment de son format de stockage. Cette marque doit aussi être robuste pour résister à la compression et à qq autres opérations (filtrage, transformations géométriques...).

• http://www-rocq.inria.fr/codes/Watermarking/(...) : présentation générale du tatouage


• http://www.julienstern.org/(...) : J. Stern est un de ceux qui a cassé le challenge SDMI (cf. news précédente). Sur sa page, il y a aussi sa thèse dans laquelle il présente des méthodes de tatouage


• http://www.cl.cam.ac.uk/~fapp2/steganography/(...) : information hiding homepage. La page de F. Peticolas, en Anglais


• http://mantis.free.fr/(...) : une autre page très bien faite sur ce sujet (en Fr)

Sinon, il y a aussi le fingerprinting dont le but est de "traquer" les copies illégales. En gros, chaque fois qu'un médium est distribué à un client, le vendeur met l'empreinte du client dans le médium. Comme ça, si on retrouve une copie du médium, on sait d'où elle vient.


Bon, maintenant, si on revient à la vraie vie, il n'y a pas encore de solution qui fonctionne réellement : certaines résistent très bien à qq attaques, mais on en trouve tjs qui permettent de retirer la marque ou l'empreinte.

En plus, il y a des problèmes de protocoles, c-a-d au-delà de la difficulté à insérer la marque ou l'empreinte qui font que les schémas actuelles ne sont pas valides. Par exemple, la <<copy attack>> permet d'estimer , sans aucune information préalable (clé, marque ou médium initial), la marque présente dans un médium puis de la recopier dans un autre, encore vierge.

Il faudrait aussi penser à récompenser les artistes qui dessinent les logos. Pour ma part, je suis assez admiratif du travail qu'ils réalisent.

On pourrait imaginer un <<pool>> de logos où chacun pourrait voter pour favoriser ses logos préférés (avec les mêmes votes que ceux destinés aux commentaires). Celui qui serait afficher sur la page principale serait celui qui a le plus de votes à un moment donné. Les dessinateurs seraient récompenser de la même manière que pour un commentaire.

Qu'en dites-vous ?

Les XPs ne devraient pas correspondre uniquement aux commentaires, mais aussi aux news et astuces postées, bref, tout ce qui fait vivre linuxfr :)

Bcp de personnes se plaignent de ne pas savoir pour qui ils votent. Pour ma part, ça m'est égal car je regarde le contenu du message et ça m'est déjà arrivé de donner des + et des - à ne même personne. Pour ma part, j'ai résolu la question avec ma signature qui contient mon identité.

La question sous-jacente est : est-ce que tout le monde est capable de voter en jugeant uniquement le contenu d'un message et non son auteur ?

le pote de Diffie s'appelle Hellman. Ils ont, entre autre, mis au point n protocole d'échange de clés qui sert par exemple dans ssh.

Quelques précisions techniques :

1. il n'y a pas forcément besoin de détacher la pièce jointe : bcp de mailers exécutent directement une commande d'aprèsz l'extension de la pière jointe (mutt, (e)xmh, ...)


2. je connais bcp de firewall pas très bien configurés qui ne bloquent que les ports <1024 et qq autres plus élevés en entrée et aucun en sortie


3. un firewall n'est pas l'arme absolu anti-attaque :
   
   
   
   • un certains nombre d'entre eux se sont révélés "troués" ces derniers mois (voir sur bugtraq)
   
   
   • il existe des techniques pour contourner le filtrage (essaye ça http://www.google.com/search?hl=en&safe=off&q=firewalk+fire(...) )
   
   

Bien évidemment, il reste aussi le "facteur humain" et je pense, cmme toi, qu'il y a (presque;) autant de personnes sous Linux que sous Windows qui cliqueront sur un pièce jointe sans regarder ce que c'est avant :(

Excuse moi mais la crypto n'est pas non plus LA solution à tous les problèmes (et je sais de quoi je parle, je bosse là-dessus).

Par exemple, avec ssh, c'est bien joli d'avoir sa clé (idem avec gpg et autres), mais encore faut-il savoir la protéger. Sans rigoler, j'ai déjà vu des comptes sur lesquels le fichier ~/.ssh/id_dsa (clé privée DSA) était en 644 ! Du coup, tu as autant de protection qu'avec ce bon vieux .rhosts, c'est-à-dire à peu près aucune vu que sshd ne gère pas les liste de révocation des clés :(

La crpyto fournit des solutions "théoriques" efficace, voire calculatoirement inviolable ... mais reste le problème de la mise en oeuvre, et ce n'est pas une mince affaire.

Echelon est gêannt à plus d'un titre. En particulier, ce qui me pose problème, c'est au niveau de la violation de la vie privée (sans parler de l'espionnage industriel).

Mais Echelon n'est pas le seul dans son genre, et les Etats se donnent les moyens (comprendre ils mettent en place des lois qui légalisent ces pratiques) d'arriver à surveiller leur population.

En Nouvelle-Zélande, un projet de loi, actuellement en discussion, permettrait aux autorités d'intercepter les courriers électroniques, ainsi que leurs versions instantanées (Chat, IRC, Messengers), et d'aller sur n'importe quel ordinateur pour en contrôler le contenu. En Grande-Bretagne, cette loi existe déjà : la "Regulation of Investigatory Powers Act" (ou RIP Act) autorise les autorités à fouiller dans les boîtes-à-lettres électroniques sans même recourir à un mandat. Toujours outre Manche, la loi anti-terroriste vise certains internautes : toute personne détenant des informations relatives à la <<sécurité informatique>> est suspectée d'aider les pirates de l'Internet, voire d'en être un. Ainsi, le simple fait de recevoir un message parlant de la dernière vulnérabilité présente dans un serveur web ou une mise en garde contre un virus suffit.

Voilà, c'était juste mon coup de gueule du matin ... et je n'ai pas abordé les sociétés qui planquent des mouchards dans leurs programmes :-/

Pappy

j'avais raté ça dans le brouhaha général ;)
Merci Lefinnois ... Tiens, aller, je vote pour toi :)

Pappy

Je profite du passage de cette news pour vous rappeler que ce webzine recherche des traducteurs. Les articles sont disponibles dans de nombreuses langues (français, anglais, allemand, espagnol,...) grâce à un travail de traduction.

Pour l'édition Française, c'est Georges T., un des éditeurs, qu'il faut remercier (remerciements que je renouvelle encore ici).

Le connaissant, je sais qu'il ne refusera pas un coup de main (son email est sur la partie Française du site). Alors si vous voulez contribuez à LF soit avec vos propres articles, soit en traduisant ceux disponibles, soyez les bienvenus :)

Pappy

Merci à tous:)
Pour les articles (le contenu), nous avons essayé de couvrir un large panorama ... mais il reste encore bcp à dire.

Les articles sur les logiciels (apache, proftp et bind) sont plus à voir comme des "fiches techniques", brèves mais complètes. Elles ne décrivent pas comment configurer un serveur, mais comment éviter les mauvaises configuration.

Pour la forme (orthographe, grammaire), ça a été dur ... mais je suis content que qq'un le remarque :) Sinon, nous avons essayé de faire des articles vraiment pédagogiques, et il semble que ça ait réussi d'après les commentaires lus/reçus.

Si vous avez des suggestions, elles seront écoutées attentivement :

Pappy - pappy@linuxmag-france.org

ce qui est le plus "louche", c'est qu'il y a (au moins) 2 canaux cachés dans ssh (je parle du protocole, pas de l'implémentation openssh en particulier).

Dans le cas du bourrage, tous les cryptographes du monde savent parfaitement qu'il ne faut pas mettre du bourrage aléatoire ... et la norme dit explicitement de le faire !

Là, il y a vraiment un truc qui m'échappe...

A propos de sécurité, quels sont les commentaires (bien évidemment constructifs ;) sur le hors série de linux mag consacré à ce thème.

Si je demande ça, c'est parce que je m'interroge, en tant que responsable de ce HS, sur ce qui a plu et/ou déplu afin de l'améliorer pour une suite éventuelle ...

Je signe ouvertement :

Pappy