le bug dans la zlib est un double free. Ce genre de bug peu avoir des effets completement differents selon l'implementation de malloc/free dans le système.
Linux est completement vulnerable, le double free peu mener a un bel exploit, mais windows utilise une implementation de gestion mémoire assez différente (pour notre plus grand bonheur vu les perfs :-).
Il se pourrait bien que free() chez eux s'appercoive que la zone est déjà dé-allouée et ne fasse rien par exemple. Pour le moment l'article Cnet dit qu'ils verifient si c'est un probleme chez eux. D'après ce que j'ai lu sur bugtrack, il a des chances que sous windows ce genre de bug soit juste un bug de plus et pas un trou de sécurité ...
Que ceux qui ont des preuves avancent, que les autres attendent d'en savoir plus, mais de grace restons calmes avant de devenir ridicules.
qui n a aucune tolérance envers les erreurs de code html (ce qui veut dire que plein de sites ne s affichent pas normalement)
hummm ... que veut dire s'afficher normalement ??
moi je trouve pas forcement normal d'interpreter les erreurs et de les corriger a la volée. C'est une interpretation de la norme pas forcement standard. Comme d'habitude, on corrige le probleme avec une rustine au lieu de l'attaquer a la source (la page pas standard). Et comme d'habitude, ca a des consequences ailleurs: ca pousse les auteurs HTML a travailler comme des gorets :-)
En fait la norme n'est pas complete. Elle devrait inclure le message d'insulte a produire obligatoirement si la page est pourrie.
Effectivement, y en un 1 qui suit :-)
Ma remarque n'etait pas motivée par le bug en question uniquement (en fait le bug porte sur un masque qui a "oublie" de fixer l'IP destination).
Il faudrait ameliorer les modules conntrack pour decortiquer les protocoles qui passent dans le port ouvert. Si j'autorise le DCC irc, y a pas de raison de laisser passer du SSL natif (bon ok, avec une machine complice a l'exterieur, tout est toujours possible, par exemple encapsuler le SSL dans des faux fichiers qui passent en vrai DCC).
Bref la securite c'est pas simple quand les utilisateurs veulent avoir accès a tout un tas de protocoles.
Si j'avais du temps, je me pencherai bien sur la validation des protocoles. Il faudrait pouvoir dire: j'ai autorisé le port 80, si c'est autre chose que de l'HTTP couic on ferme.
d'ailleur cela devrait etre en userland a brancher sur le module iptables qui demande la validation a un process userland ....
humm, c'est un peu simpliste ton histoire.
On peux se servir de cette faille pour "s'échapper" d'un firewall.
Par exemple imaginons que je veuille faire du napster. sympa mais personne ne peux se connecter sur ma machine parceque ce p...n d'admin qui fait le malin avec son linux a mis un firewall debian fait a la main.
comme il a laissé le module conntrack_irc, je vais fabriquer un paquet irc spécial qui va demander au firewall de laisser entrer le port qui va bien pour toutes les machines internes et toute la boite pourra faire partie du reseau napster ...
meme chose avec le port 80, 25, 21 ... voir 23 tien, pourquoi je laisserai pas mon poste carrement ouvert a l'exterieur en telnet ??
d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse faire tout ce qu'il veut en passant par mon proxy. NA.
Bon de toutes manieres, laisser irc sur un firewall avec un vrai LAN derriere ... c'est le résultat de politiques comme "notre interface reflechit pour vous, pas besoin d'etre admin pour ca", en clair ca ne devrait pas exister sous linux d'ailleur cette faille n'a pas fait de bruit...
les bench ne sont valables que dans les memes conditions que celles de leur réalisation.
en clair, ce que disent les bench est faux chez toi.
pour les db, en changeant de requettes, de bases, de hardware, de reseau .... tu donnes l'avantage a l'un ou a l'autre.
donc a moins d'utiliser les memes requetes sur les memes données et avec le meme materiel sur le meme reseau, ce résultat est simplement "indicatif" et non reproductible chez toi.
maintenant, une difference de x18 ou x22, ca merite quand meme explication ... il y a forcement un loup soit dans la méthode soit un bug dans .Net qu'oracle c'est dépeché de mettre a profit :-)
(quand on voit le bench réalisé par MS, on se dit qu'il faut vraiment pas prendre les resultats de bench au pied de la lettre).
Tout ce que j'ai lu comme systeme 802.11b sur 15km se basait sur des antennes directionnelle. Cela signifie qu'il faudrait "viser" très précisement le bus. quasiement impossible si il n'est pas garé exactement a la meme place tous les jours, ou si l'antenne a l'interieur du bus n'est pas fixée non plus.
Bref je ne pense pas que ce soit la bonne solution.
il y a la solution "kit de refroidissement liquide" comme sur les mobilettes (vu dans la news d'hier sur le nouvel AMD).
sinon, mon firewall est planqué dans un placard (dans la salle de bain - je sais c'est pas le meilleur endroit mais apres 2 ans je pense que ca va tenir !!). Je l'ai bricolé pour qu'il fasse moins de bruit:
-pas besoin d'un athlon a 1Ghz )=> un pentium sans ventilo sur le cpu suffit.
-j'ai remplacé le ventilo de l'alim d'origine par un ventilo avec roulements pris sur un vieux PC serveur. Ce ventilo fait du bruit quand il tourne normalement, mais une fois branché en 5V au lieu de 12V, il ne fait plus de bruit du tout et son diametre propulse quand meme pas mal d'air.
pour le switch qui fait du bruit, j'ai décidé que les ventilo ne servaient a rien dans un switch et je les ai tout simplement débranché ... il y a 18mois. apparement j'avais raison.
A la limite, le plus simple ce serait de prendre un vieux portable pentium pour faire un firewall.
peu de bruit, peu de place, port pcmcia deja inclu pour le 802.11 ... a voir
Pourtant de mon cote je me suis laisse seduire par la publicite de ESR sur cml2. Ca a l'air bien son truc, sur le papier tout du moins, je ne l'ai pas testé.
Je pense qu'il faudra bien l'integrer un jour ...
ce serai dommage de jeter ce travail si il est pas mal fait. Il devra surement le scinder en petits patchs ou alors Linus va finalement accepter (sur le 2.5 c'est quand meme pas trop risque surtout que c'est le debut du 2.5).
Il y avait le meme probleme pour les patchs pcmcia, ou meme usb il me semble. soit ils ont ete integre petit a petit (scindés donc), soit Linus a cracké a force d'arguments (mais avec la promesse du mainteneur que l'on ne l'y reprendrait plus).
l' AP (access point) n'est qu'un boitier avec la meme carte pcmcia que dans les clients (tous les modeles d'AP actuels utilisent une carte pcmcia en interne avec un adaptateur PCI et une antenne externe).
Du coup si vous avec l'ADSL/Le cable, je suis sur que vous avez deja un PC qui sert de firewall.
Pour vous, pas besoin d'acheter un AP suplementaire, il suffit d'equiper votre firewall iptables d'un carte adaptateur pci/pcmcia et vos portables de cartes pcmcia.
NB:200$ l'AP c'est tres peu cher, la solution tout dans le firewall coute grosso modo 1000FF de connectique (adpatateur+carte pcmcia). Faut voir le plus interessant ...
Malheureusement aujourd'hui il n'y a pas de WLAN bien sécurisé.
Les clefs WEP sont une farce, et creer des tunnels IPSEC entre chaque client peut répondre au probleme partiellement: il faut bloquer tout ce qui est en dehors du tunnel sur chaque client donc faire tourner un firewall sur chaque client ... ca decentralise la gestion de la securite du reseau.
Bref indiquez moi une bonne solution si vous en connaissez. Pour le moment j'en connais pas, donc je fais au mieux:
-tout passe par l'access point
-validation par clef WEP et adresse MAC
-tunnel IPSec entre client et access point.
-filtrage du reste sur chaque client.
Si si, on le sait, mais on le savait aussi avant que ce soit officiel.
toi t'es vraiment trop fort. Tu aurais du ecrire au procureur et aux RG pour les aider dans leurs enquetes, hein ?
Que les maires aient été cons ne change rien aux responsabilités des dirigeants de l'usine.
non. mais ca change l'etendue des dégats.
ya pas que les maires qui sont limités a mon avis. Quand tu achete un terrain la moitié du prix normal, faut peu etre te poser des questions ...
zone innondable ? pres d'une usine ? d'une ligne a haute tension ? d'un transformateur ... il y a forcement une raison.
C'est vrai que l'Etat (qui prétend agir pour l'intéret général) aurait du, là comme à Toulouse, exproprier les usines.
c'est facile ca. l'Etat aurait du reflechir avant de donner son feu vert pour la construction de l'usine a cet endroit. Pour la déménager, il aurait fallu que l'Etat paye le déménagement (donc les contribuables).
Enfin il faut considérer un autre phénomène: Quand on construit une usine dans une zone a peu près vierge, on crée de l'emploi, beaucoup d'emploi. Les employés cherchent a habiter pres de leur boulot, on crée donc un village, voire une petite ville... du coup la zone n'est plus vierge.
Les amendes sont dissuasives pour toutes les entreprises, il suffit de bien calculer le montant de l'amende. si l'amende = 2x cout de la prevention, les entreprises ne reflechiront pas longtemps.
Tu me pretes des propos que je n'ai pas tenu.
J'ai ecrit qu'on ne connaissais pas vraiment la cause et c'est toujours vrai.
Les 2 enquetes menées en parallele sont arrivées toutes les deux a des conclusions "partagées". Aucune enquete n'a apporté de DEMONSTRATION d'une PREUVE. Celle des RG écartait meme plus l'accident que l'autre.
Enfin la conclusion d ces enquetes a été DECIDEE par le procureur. Comme on le sait tous, un procureur ne se trompe jamais, hein ?
Donc, je ne dis pas que c'est un attentat (c'est toi qui en parle), je dit que l'on ne sait pas d source sure ce qu'il s'est reellement passé.
l'usine avait surement des problemes de maintenance, mais on ne sait pas si ces problemes on pris part dans l'explosion.
pour AZF, l'attentat c'est bien pratique puisque ca les dédouane. On peut donc penser que AZF excerce des pressions pour conclure dans ce sens.
pour l'Etat c'est bien pratique de conclure a un accident, ca evite la panique qui aurait suivi en France. Curieursement, le procureur de la république parvient a conclure la ou les 2 enquetes restent floues.
Maintenant tu penses ce que tu veux du probleme.
Moi je pense juste qu'aujourd'hui on ne sait pas de source sure ce qui est arrivé.
<aparté>
Tiens, pour une fois frecilia je suis plutot de ton avis !
</aparté>
par contre, dans tes Notes, je voudrais causer du <1>:
l'optimiseur Oracle (comme ses concurrents) a ses préferences. Du coup un type habitué a Oracle sait écrire les requetes dans le "bon ordre" pour que Oracle soit performant. C'est de moins en moins vrai (surtout depuis la v8) mais avant je te promet que changer l'ordre d'une clause pouvait avoir des répercussions assez fantastiques.
et puis du <2>: l'index a un cout lors des ecritures. Avoir des index sur plusieurs colonnes de plusieurs tables c'est cher, surtout si c'est pour optimiser une requete qui ne sert qu'une seule fois et encore pour un batch (j'exagere). C'est le probleme de toute optimisation: est-elle necessaire ?
enfin a propos du "drop column", ca me parait assez bidouille ton truc. Normalement on prevoit le schema de la base avant de la créer. Ensuite on developpe sur un serveur de ... developpement. Quand je m'y interessais, on avait des scritps pour re-creéer la base avec des données bidon que l'on pouvait relancer a volonté puisque pas en prod (je faisais des bench de requetes en oracle 8.0.5). Bref le "drop column" ca doit etre bien bas dans la liste des developpements necessaires sur postgresql, ce qu'il faut améliorer c'est plutot l'import/export et la réplication en live
(a mon avis mais je le partage avec vous :-))
Dans les slides, je n'ai pas trouvé de réponse suffisante au probleme créé par la disparition d'un noeud du cercle.
Il y est dit a propos des messages que lors de la deconnection le noeud qui porte le message le passe a un autre...
<troll>
mais si c'est un noeud windows et qu'il plante AVANT de pouvoir faire quoi que ce soit ?
</troll>
sans troll, si le modem ADSL se vautre, que devient le message ? la partie de hash hébergée sur le noeud ??
sinon je trouve le concept interessant. y a un debut de reponse au probleme de la recherche d'info dans un systeme decentralisé. soit il n'y a pas tout dans les slides, soit il reste du boulot pour fiabiliser le biniou.
par contre pour gagner du public c'est un peu difficile, il commence a y en avoir pas mal de systemes d'echange de fichiers ... le marché est saturé ??
En fait moi je trouve que c'est tres tres bien.
J'ai installé pas mal de linux en entreprise et toujours des redhat parce ca rassure le decideur (ibm, support, ...).
bref, si il y a une version "entreprise" payante, je pourrai plus facilement les convaincre de payer. Parce que meme si j'y arrive, en general faut se battre pour faire comprendre a un acheteur qu'il faudrait qu'il paye "pour aider le libre", meme si c'est pas cher. (le support qui existe ca les rassure pour dire oui a linux, mais comme on s'en passe on le paye pas ....)
maintenant => produit different spécial entreprises ==> par ici la monnaie pour encourager RedHat (et donc payer des types qui ameliorent Linux globalement).
Je trouve que tu abuses un peu avec tes propositions de sanctions contre les dirigeants des entreprises.
Qui va se risquer a entreprendre si on rajoute autant de contraintes ? Regarde les maires qui portent la responsabilité des accidents sur les terrains de sport de leur ville. Résultat: je te promet que de plus en plus de personnes réflechissent bien avant de se présenter a des elections municipales (il faut dire que le salaire est sans rapport avec les emmerdes).
Bref AZF, curieusement on ne sait toujours pas si c'est un accident. Comment peux tu mettre ca sur le dos des responsables de l'usine ?? Attendons de savoir ce qu'il s'est passé. Moi je crois que si c'était un accident on le saurait depuis longtemps. Enfin pour continuer sur AZF, l'usine etait la bien avant les habitations. C'est plutot a ceux qui donnent les permis de construire qu'il faudrait faire un proces ...
Au sud de Lyon, les usines chimiques etaient la avant le TGV et l'autoroute A7. Aujourd'hui si il y a un probleme, les dégats seront monstrueux mais c'est l'Etat qui a décidé de passer outre les x centaines de metres de terrain interdit au public autour des usines pour faire passer l'A7.
Bref comme d'hab rien est simple.
Je pense qu'il vaut mieux utiliser l'organisme de controle de la sécurité qui existe déjà (organisme d'etat) et d'assortir tout manquement a des amendes dissuasive pour que les entreprises prennent plus a coeur la sécurité. D'ailleur on pourrait le faire AUSSI pour Internet: des white hat payés par l'Etat qui mettraient des amendes a tout ceux qui ont des serveurs mal configurés ...
y a du boulot et ca va permettre de baisser les impots ca !!
les versions impaires dites "instables" sont meme carrement des versions de developpement. Le dernier numero est incremente parfois plusieurs fois dans la meme journee et des modifications profondes du noyau sont acceptées. Il n'est pas impossible par exemple que certains systemes de fichiers ne fonctionnent plus pendant plusieurs release de version "impaire" du noyau sans que cela ne gene personne: c'est réservé aux développeurs.
La premiere version (2.5.0) vient directement de la branche 2.4 donc assez stable mais rien a gagner autant utiliser le dernier 2.4.x
Puis les modifications les plus profondes sont faites dès le départ. les premières versions d'un noyau impair sont donc TRES INSTABLES. Quand toutes les modifications "dangereuses" ont été faites, il reste a fiabiliser, puis le dernier 2.5.x deviendra un 2.6.0 (donc les derniers 2.5.X seront utilisables pour les plus avantureux, tous les fs fonctionnent, etc).
En ce moment on est pile poil dans la période ou le 2.5.x est ULTRA INSTABLE. Ce ne serait meme pas étonnant que certaines release ne compilent pas.
<troll>
ca c'est meme vu sur des release dites stables alors vous pensez bien ..
</troll>
C'est un peu tard mais j'explique quand meme des fois que tu repasse par cette news ...
"to fold" en anglais c'est le verbe plier.
les editeurs qui supportent le folding permettent de cacher des parties du texte, comme si on pliait la page. Par exemple en C on peut avoir:
int main (void) {
int bidule;
char * toto;
printf("bidule ...\n");
...
...
return 0;
}
si on applique le folding a cette fonction on ne voit plus que la ligne
int main (void) {
le reste est caché.
le folding peut etre fait en fonction du texte lui meme (selon l'indentation, les {}, ...) ou avec des balises placées exprès: {{{
Du coup c'est tres pratique, en ouvrant un source on peut avoir une vision globale de l'architecture et n'ouvrir que les fonctions qui nous interessent.
bref c'est exactement ce que faisait le type au dessus qui découpait ses sources TeX en plusieurs fichiers pour le structurer mais en gardant tout en un seul morceau. vim le supporte depuis la version 6, emacs depuis plus longtemps.
Je crois que j'ai découvert cette idée la première fois sur l'editeur de texte inclu avec les NexT Cube a l'époque ... une très bonne idée ce folding !!
au 2 tiers du 2 ieme tome on ne sait pas quelle distrib le hero utilise. Il y a une mention sur Finux dans le premier tome et c'est tout pour le moment. On sait qu'il dual boot avec FILO mais qu'il ne choisi jamais windows quasiement.
Quand ils utilisent le phraking de van eck (tempest), il est surpris de voir l'ecran NT d'un autre s'afficher dans une fenetre X11 sous FINUX...
En gros, 2 fois un paragraphe qui parle de FINUX sur 2 tomes, c'est pas le sujet principal, c'est meme moins long que l'experience homosexuelle de Turing.
j'aime moins FW-1 a cause de son interface clicodrome qui empeche de faire ce que l'on veut, du format des logs pas standard, ...
enfin bon tout cela ca se discute, c'est vrai que j'aurai du citer les 2.
Ce qui est top avec les pix (je trouve) c'est la gestion des 2 pix completement identique a la gestion d'un seul (autopropagation des modifs, des tables, ...en fait on gere un pix et l'autre on ne se connecte JAMAIS dessus, il déduis qu'il est le backup au sens de connection du cable spécial et hop il s'autoconfigure) et tout cela directement en ligne de commande en ssh sans s'en rendre compte. Le fait que les sauvegardes des regles soit le fichier de commandes tapées pour les installer c'est chouette aussi pour installer d'autres pix quasiement a l'identique (quelques modifs avec vi et hop on réinstalle ailleurs). De plus le pix dans son boitier rack 1U c'est beaucoup plus propre que FW-1 sur un PC industriel, surtout utilisé par dessus windows ... (dans un boitier nokia encore ca se discute de nouveau mais franchement un PC ca comporte beaucoup de pièces d'usure [disque dur ...] que ne possede pas le pix -> plus fiable).
enfin tout ca c'est une histoire de gout.
moi j'aimerai bien mettre des kernels linux pour faire firewall de partout :-))
Je suis a la fin du 2ieme tome.
J'ai acheté les 3 tomes suites a des commentaires sur linuxfr, et je dois dire que je suis pressé de rentrer le soir pour poursuivre ...
Le premier tome n'est plus disponible qu'en livre de poche, dommage. Les 2 autres existent encore en édition en dur.
J'ai eu du mal a entrer dans l'histoire a cause des 2 threads concurrents (passé/present), mais une fois le truc bien en place ce roman est purement génial !!
Dire que le roman parle essentiellement de chiffrement, c'est un peu biaisé je trouve. Le roman parle essentiellement des technologies qui nous intéressent (sur linuxfr), mais il y a bel et bien un scénario, des héros, et des détails croustillants tant au niveau de la cryptographie que de la 2nd guerre mondiale.
Reste a savoir ce que va devenir la crypte ?
quel est le lien entre les waterhouse ?
qui est root@biduletrucchose ?
arg vivement ce soir !
PS: ne révélez pas trop de l'histoire dans vos commentaires pour laisser de l'intéret aux autres :-)
Génial, ils vont bosser sur l'export des connections en cours du firewall.
On pourra synchoniser 2 firewall redondant et basculer de l'un a l'autre sans perdre l'etat des connections en cours ... comme sur les pix (cisco).
Bref après cela, plus AUCUNE raison de ne pas utiliser linux comme firewall, sauf la frilosité des décideurs :-)
# Verifions mieux BIS ;-)
Posté par PLuG . En réponse à la dépêche Le bug de Zlib touche aussi des produits Microsoft. Évalué à 10.
le bug dans la zlib est un double free. Ce genre de bug peu avoir des effets completement differents selon l'implementation de malloc/free dans le système.
Linux est completement vulnerable, le double free peu mener a un bel exploit, mais windows utilise une implementation de gestion mémoire assez différente (pour notre plus grand bonheur vu les perfs :-).
Il se pourrait bien que free() chez eux s'appercoive que la zone est déjà dé-allouée et ne fasse rien par exemple. Pour le moment l'article Cnet dit qu'ils verifient si c'est un probleme chez eux. D'après ce que j'ai lu sur bugtrack, il a des chances que sous windows ce genre de bug soit juste un bug de plus et pas un trou de sécurité ...
Que ceux qui ont des preuves avancent, que les autres attendent d'en savoir plus, mais de grace restons calmes avant de devenir ridicules.
[^] # Re: Parade
Posté par PLuG . En réponse à la dépêche TEMPEST, version optique. Évalué à 10.
chez moi cette frequence est independant de celle du cpu.
mais j'ai peut-etre pas le meme écran que toi :-)
[^] # Re: C est moche ce que tu dis en mode aigri ;))
Posté par PLuG . En réponse à la dépêche Les raisons du déclin de Netscape. Évalué à 10.
hummm ... que veut dire s'afficher normalement ??
moi je trouve pas forcement normal d'interpreter les erreurs et de les corriger a la volée. C'est une interpretation de la norme pas forcement standard. Comme d'habitude, on corrige le probleme avec une rustine au lieu de l'attaquer a la source (la page pas standard). Et comme d'habitude, ca a des consequences ailleurs: ca pousse les auteurs HTML a travailler comme des gorets :-)
En fait la norme n'est pas complete. Elle devrait inclure le message d'insulte a produire obligatoirement si la page est pourrie.
[^] # Re: Use the source, Luke !
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 1.
Ma remarque n'etait pas motivée par le bug en question uniquement (en fait le bug porte sur un masque qui a "oublie" de fixer l'IP destination).
Il faudrait ameliorer les modules conntrack pour decortiquer les protocoles qui passent dans le port ouvert. Si j'autorise le DCC irc, y a pas de raison de laisser passer du SSL natif (bon ok, avec une machine complice a l'exterieur, tout est toujours possible, par exemple encapsuler le SSL dans des faux fichiers qui passent en vrai DCC).
Bref la securite c'est pas simple quand les utilisateurs veulent avoir accès a tout un tas de protocoles.
Si j'avais du temps, je me pencherai bien sur la validation des protocoles. Il faudrait pouvoir dire: j'ai autorisé le port 80, si c'est autre chose que de l'HTTP couic on ferme.
d'ailleur cela devrait etre en userland a brancher sur le module iptables qui demande la validation a un process userland ....
faut murir le projet :-)
[^] # Re: Précisions sur la faille
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 10.
On peux se servir de cette faille pour "s'échapper" d'un firewall.
Par exemple imaginons que je veuille faire du napster. sympa mais personne ne peux se connecter sur ma machine parceque ce p...n d'admin qui fait le malin avec son linux a mis un firewall debian fait a la main.
comme il a laissé le module conntrack_irc, je vais fabriquer un paquet irc spécial qui va demander au firewall de laisser entrer le port qui va bien pour toutes les machines internes et toute la boite pourra faire partie du reseau napster ...
meme chose avec le port 80, 25, 21 ... voir 23 tien, pourquoi je laisserai pas mon poste carrement ouvert a l'exterieur en telnet ??
d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse faire tout ce qu'il veut en passant par mon proxy. NA.
Bon de toutes manieres, laisser irc sur un firewall avec un vrai LAN derriere ... c'est le résultat de politiques comme "notre interface reflechit pour vous, pas besoin d'etre admin pour ca", en clair ca ne devrait pas exister sous linux d'ailleur cette faille n'a pas fait de bruit...
[^] # Re: Merci pour l info;) En résumé
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 2.
faudrait se tenir plus au courant :-))
-1 ca fait pas avancer le schmilblick
[^] # Re: Forward...
Posté par PLuG . En réponse à la dépêche Oracle Pet Store vs. .NET Pet Store. Évalué à 10.
les bench ne sont valables que dans les memes conditions que celles de leur réalisation.
en clair, ce que disent les bench est faux chez toi.
pour les db, en changeant de requettes, de bases, de hardware, de reseau .... tu donnes l'avantage a l'un ou a l'autre.
donc a moins d'utiliser les memes requetes sur les memes données et avec le meme materiel sur le meme reseau, ce résultat est simplement "indicatif" et non reproductible chez toi.
maintenant, une difference de x18 ou x22, ca merite quand meme explication ... il y a forcement un loup soit dans la méthode soit un bug dans .Net qu'oracle c'est dépeché de mettre a profit :-)
(quand on voit le bench réalisé par MS, on se dit qu'il faut vraiment pas prendre les resultats de bench au pied de la lettre).
[^] # Re: Au sujet du wireless...
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 4.
Tout ce que j'ai lu comme systeme 802.11b sur 15km se basait sur des antennes directionnelle. Cela signifie qu'il faudrait "viser" très précisement le bus. quasiement impossible si il n'est pas garé exactement a la meme place tous les jours, ou si l'antenne a l'interieur du bus n'est pas fixée non plus.
Bref je ne pense pas que ce soit la bonne solution.
[^] # Re: AP
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 8.
sinon, mon firewall est planqué dans un placard (dans la salle de bain - je sais c'est pas le meilleur endroit mais apres 2 ans je pense que ca va tenir !!). Je l'ai bricolé pour qu'il fasse moins de bruit:
-pas besoin d'un athlon a 1Ghz )=> un pentium sans ventilo sur le cpu suffit.
-j'ai remplacé le ventilo de l'alim d'origine par un ventilo avec roulements pris sur un vieux PC serveur. Ce ventilo fait du bruit quand il tourne normalement, mais une fois branché en 5V au lieu de 12V, il ne fait plus de bruit du tout et son diametre propulse quand meme pas mal d'air.
pour le switch qui fait du bruit, j'ai décidé que les ventilo ne servaient a rien dans un switch et je les ai tout simplement débranché ... il y a 18mois. apparement j'avais raison.
A la limite, le plus simple ce serait de prendre un vieux portable pentium pour faire un firewall.
peu de bruit, peu de place, port pcmcia deja inclu pour le 802.11 ... a voir
[^] # Re: plus d'info
Posté par PLuG . En réponse à la dépêche La crise des patchs du noyau. Évalué à 10.
Pourtant de mon cote je me suis laisse seduire par la publicite de ESR sur cml2. Ca a l'air bien son truc, sur le papier tout du moins, je ne l'ai pas testé.
Je pense qu'il faudra bien l'integrer un jour ...
ce serai dommage de jeter ce travail si il est pas mal fait. Il devra surement le scinder en petits patchs ou alors Linus va finalement accepter (sur le 2.5 c'est quand meme pas trop risque surtout que c'est le debut du 2.5).
Il y avait le meme probleme pour les patchs pcmcia, ou meme usb il me semble. soit ils ont ete integre petit a petit (scindés donc), soit Linus a cracké a force d'arguments (mais avec la promesse du mainteneur que l'on ne l'y reprendrait plus).
qui vivra verra...
# AP
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 4.
Du coup si vous avec l'ADSL/Le cable, je suis sur que vous avez deja un PC qui sert de firewall.
Pour vous, pas besoin d'acheter un AP suplementaire, il suffit d'equiper votre firewall iptables d'un carte adaptateur pci/pcmcia et vos portables de cartes pcmcia.
NB:200$ l'AP c'est tres peu cher, la solution tout dans le firewall coute grosso modo 1000FF de connectique (adpatateur+carte pcmcia). Faut voir le plus interessant ...
[^] # Re: Attention, danger
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 10.
Les clefs WEP sont une farce, et creer des tunnels IPSEC entre chaque client peut répondre au probleme partiellement: il faut bloquer tout ce qui est en dehors du tunnel sur chaque client donc faire tourner un firewall sur chaque client ... ca decentralise la gestion de la securite du reseau.
Bref indiquez moi une bonne solution si vous en connaissez. Pour le moment j'en connais pas, donc je fais au mieux:
-tout passe par l'access point
-validation par clef WEP et adresse MAC
-tunnel IPSec entre client et access point.
-filtrage du reste sur chaque client.
[^] # Re: les pissenlits par la racine ;)
Posté par PLuG . En réponse à la dépêche Article sur les positions des partis politiques sur les brevets logiciels. Évalué à 1.
toi t'es vraiment trop fort. Tu aurais du ecrire au procureur et aux RG pour les aider dans leurs enquetes, hein ?
Que les maires aient été cons ne change rien aux responsabilités des dirigeants de l'usine.
non. mais ca change l'etendue des dégats.
ya pas que les maires qui sont limités a mon avis. Quand tu achete un terrain la moitié du prix normal, faut peu etre te poser des questions ...
zone innondable ? pres d'une usine ? d'une ligne a haute tension ? d'un transformateur ... il y a forcement une raison.
C'est vrai que l'Etat (qui prétend agir pour l'intéret général) aurait du, là comme à Toulouse, exproprier les usines.
c'est facile ca. l'Etat aurait du reflechir avant de donner son feu vert pour la construction de l'usine a cet endroit. Pour la déménager, il aurait fallu que l'Etat paye le déménagement (donc les contribuables).
Enfin il faut considérer un autre phénomène: Quand on construit une usine dans une zone a peu près vierge, on crée de l'emploi, beaucoup d'emploi. Les employés cherchent a habiter pres de leur boulot, on crée donc un village, voire une petite ville... du coup la zone n'est plus vierge.
Les amendes sont dissuasives pour toutes les entreprises, il suffit de bien calculer le montant de l'amende. si l'amende = 2x cout de la prevention, les entreprises ne reflechiront pas longtemps.
[^] # Re: les pissenlits par la racine ;)
Posté par PLuG . En réponse à la dépêche Article sur les positions des partis politiques sur les brevets logiciels. Évalué à 1.
J'ai ecrit qu'on ne connaissais pas vraiment la cause et c'est toujours vrai.
Les 2 enquetes menées en parallele sont arrivées toutes les deux a des conclusions "partagées". Aucune enquete n'a apporté de DEMONSTRATION d'une PREUVE. Celle des RG écartait meme plus l'accident que l'autre.
Enfin la conclusion d ces enquetes a été DECIDEE par le procureur. Comme on le sait tous, un procureur ne se trompe jamais, hein ?
Donc, je ne dis pas que c'est un attentat (c'est toi qui en parle), je dit que l'on ne sait pas d source sure ce qu'il s'est reellement passé.
l'usine avait surement des problemes de maintenance, mais on ne sait pas si ces problemes on pris part dans l'explosion.
pour AZF, l'attentat c'est bien pratique puisque ca les dédouane. On peut donc penser que AZF excerce des pressions pour conclure dans ce sens.
pour l'Etat c'est bien pratique de conclure a un accident, ca evite la panique qui aurait suivi en France. Curieursement, le procureur de la république parvient a conclure la ou les 2 enquetes restent floues.
Maintenant tu penses ce que tu veux du probleme.
Moi je pense juste qu'aujourd'hui on ne sait pas de source sure ce qui est arrivé.
[^] # Re: Oracle moins bien que PostgresSQL (suite)
Posté par PLuG . En réponse à la dépêche Red Hat s'éloigne de plus en plus du libre. Évalué à 5.
Tiens, pour une fois frecilia je suis plutot de ton avis !
</aparté>
par contre, dans tes Notes, je voudrais causer du <1>:
l'optimiseur Oracle (comme ses concurrents) a ses préferences. Du coup un type habitué a Oracle sait écrire les requetes dans le "bon ordre" pour que Oracle soit performant. C'est de moins en moins vrai (surtout depuis la v8) mais avant je te promet que changer l'ordre d'une clause pouvait avoir des répercussions assez fantastiques.
et puis du <2>: l'index a un cout lors des ecritures. Avoir des index sur plusieurs colonnes de plusieurs tables c'est cher, surtout si c'est pour optimiser une requete qui ne sert qu'une seule fois et encore pour un batch (j'exagere). C'est le probleme de toute optimisation: est-elle necessaire ?
enfin a propos du "drop column", ca me parait assez bidouille ton truc. Normalement on prevoit le schema de la base avant de la créer. Ensuite on developpe sur un serveur de ... developpement. Quand je m'y interessais, on avait des scritps pour re-creéer la base avec des données bidon que l'on pouvait relancer a volonté puisque pas en prod (je faisais des bench de requetes en oracle 8.0.5). Bref le "drop column" ca doit etre bien bas dans la liste des developpements necessaires sur postgresql, ce qu'il faut améliorer c'est plutot l'import/export et la réplication en live
(a mon avis mais je le partage avec vous :-))
[^] # Re: debian ?
Posté par PLuG . En réponse à la dépêche Nouveau système de filesharing. Évalué à 1.
Il y est dit a propos des messages que lors de la deconnection le noeud qui porte le message le passe a un autre...
<troll>
mais si c'est un noeud windows et qu'il plante AVANT de pouvoir faire quoi que ce soit ?
</troll>
sans troll, si le modem ADSL se vautre, que devient le message ? la partie de hash hébergée sur le noeud ??
sinon je trouve le concept interessant. y a un debut de reponse au probleme de la recherche d'info dans un systeme decentralisé. soit il n'y a pas tout dans les slides, soit il reste du boulot pour fiabiliser le biniou.
par contre pour gagner du public c'est un peu difficile, il commence a y en avoir pas mal de systemes d'echange de fichiers ... le marché est saturé ??
[^] # Re: Modération, modération...
Posté par PLuG . En réponse à la dépêche Red Hat s'éloigne de plus en plus du libre. Évalué à 2.
J'ai installé pas mal de linux en entreprise et toujours des redhat parce ca rassure le decideur (ibm, support, ...).
bref, si il y a une version "entreprise" payante, je pourrai plus facilement les convaincre de payer. Parce que meme si j'y arrive, en general faut se battre pour faire comprendre a un acheteur qu'il faudrait qu'il paye "pour aider le libre", meme si c'est pas cher. (le support qui existe ca les rassure pour dire oui a linux, mais comme on s'en passe on le paye pas ....)
maintenant => produit different spécial entreprises ==> par ici la monnaie pour encourager RedHat (et donc payer des types qui ameliorent Linux globalement).
[^] # Re: les pissenlits par la racine ;)
Posté par PLuG . En réponse à la dépêche Article sur les positions des partis politiques sur les brevets logiciels. Évalué à 2.
Qui va se risquer a entreprendre si on rajoute autant de contraintes ? Regarde les maires qui portent la responsabilité des accidents sur les terrains de sport de leur ville. Résultat: je te promet que de plus en plus de personnes réflechissent bien avant de se présenter a des elections municipales (il faut dire que le salaire est sans rapport avec les emmerdes).
Bref AZF, curieusement on ne sait toujours pas si c'est un accident. Comment peux tu mettre ca sur le dos des responsables de l'usine ?? Attendons de savoir ce qu'il s'est passé. Moi je crois que si c'était un accident on le saurait depuis longtemps. Enfin pour continuer sur AZF, l'usine etait la bien avant les habitations. C'est plutot a ceux qui donnent les permis de construire qu'il faudrait faire un proces ...
Au sud de Lyon, les usines chimiques etaient la avant le TGV et l'autoroute A7. Aujourd'hui si il y a un probleme, les dégats seront monstrueux mais c'est l'Etat qui a décidé de passer outre les x centaines de metres de terrain interdit au public autour des usines pour faire passer l'A7.
Bref comme d'hab rien est simple.
Je pense qu'il vaut mieux utiliser l'organisme de controle de la sécurité qui existe déjà (organisme d'etat) et d'assortir tout manquement a des amendes dissuasive pour que les entreprises prennent plus a coeur la sécurité. D'ailleur on pourrait le faire AUSSI pour Internet: des white hat payés par l'Etat qui mettraient des amendes a tout ceux qui ont des serveurs mal configurés ...
y a du boulot et ca va permettre de baisser les impots ca !!
[^] # Re: kernel 2.5 le bug no limit ;))
Posté par PLuG . En réponse à la dépêche Les patches oubliés. Évalué à 5.
La premiere version (2.5.0) vient directement de la branche 2.4 donc assez stable mais rien a gagner autant utiliser le dernier 2.4.x
Puis les modifications les plus profondes sont faites dès le départ. les premières versions d'un noyau impair sont donc TRES INSTABLES. Quand toutes les modifications "dangereuses" ont été faites, il reste a fiabiliser, puis le dernier 2.5.x deviendra un 2.6.0 (donc les derniers 2.5.X seront utilisables pour les plus avantureux, tous les fs fonctionnent, etc).
En ce moment on est pile poil dans la période ou le 2.5.x est ULTRA INSTABLE. Ce ne serait meme pas étonnant que certaines release ne compilent pas.
<troll>
ca c'est meme vu sur des release dites stables alors vous pensez bien ..
</troll>
[^] # Re: Tex/Latex ... koi donc que le folding mode ?
Posté par PLuG . En réponse à la dépêche Open Office: pourquoi les utilisateurs Linux en ont-ils besoin?. Évalué à 5.
"to fold" en anglais c'est le verbe plier.
les editeurs qui supportent le folding permettent de cacher des parties du texte, comme si on pliait la page. Par exemple en C on peut avoir:
int main (void) {
int bidule;
char * toto;
printf("bidule ...\n");
...
...
return 0;
}
si on applique le folding a cette fonction on ne voit plus que la ligne
int main (void) {
le reste est caché.
le folding peut etre fait en fonction du texte lui meme (selon l'indentation, les {}, ...) ou avec des balises placées exprès: {{{
Du coup c'est tres pratique, en ouvrant un source on peut avoir une vision globale de l'architecture et n'ouvrir que les fonctions qui nous interessent.
bref c'est exactement ce que faisait le type au dessus qui découpait ses sources TeX en plusieurs fichiers pour le structurer mais en gardant tout en un seul morceau. vim le supporte depuis la version 6, emacs depuis plus longtemps.
Je crois que j'ai découvert cette idée la première fois sur l'editeur de texte inclu avec les NexT Cube a l'époque ... une très bonne idée ce folding !!
[^] # Re: Tex/Latex & outil de formatage
Posté par PLuG . En réponse à la dépêche Open Office: pourquoi les utilisateurs Linux en ont-ils besoin?. Évalué à 0.
VI en "folding mode" bien sur !
[^] # Re: GPG/PGP
Posté par PLuG . En réponse à la dépêche Le cryptonomicon. Évalué à 4.
Quand ils utilisent le phraking de van eck (tempest), il est surpris de voir l'ecran NT d'un autre s'afficher dans une fenetre X11 sous FINUX...
En gros, 2 fois un paragraphe qui parle de FINUX sur 2 tomes, c'est pas le sujet principal, c'est meme moins long que l'experience homosexuelle de Turing.
[^] # Re: iptables2 !
Posté par PLuG . En réponse à la dépêche Harald Welte, développeur iptables. Évalué à 3.
enfin bon tout cela ca se discute, c'est vrai que j'aurai du citer les 2.
Ce qui est top avec les pix (je trouve) c'est la gestion des 2 pix completement identique a la gestion d'un seul (autopropagation des modifs, des tables, ...en fait on gere un pix et l'autre on ne se connecte JAMAIS dessus, il déduis qu'il est le backup au sens de connection du cable spécial et hop il s'autoconfigure) et tout cela directement en ligne de commande en ssh sans s'en rendre compte. Le fait que les sauvegardes des regles soit le fichier de commandes tapées pour les installer c'est chouette aussi pour installer d'autres pix quasiement a l'identique (quelques modifs avec vi et hop on réinstalle ailleurs). De plus le pix dans son boitier rack 1U c'est beaucoup plus propre que FW-1 sur un PC industriel, surtout utilisé par dessus windows ... (dans un boitier nokia encore ca se discute de nouveau mais franchement un PC ca comporte beaucoup de pièces d'usure [disque dur ...] que ne possede pas le pix -> plus fiable).
enfin tout ca c'est une histoire de gout.
moi j'aimerai bien mettre des kernels linux pour faire firewall de partout :-))
# merci linuxfr
Posté par PLuG . En réponse à la dépêche Le cryptonomicon. Évalué à 10.
J'ai acheté les 3 tomes suites a des commentaires sur linuxfr, et je dois dire que je suis pressé de rentrer le soir pour poursuivre ...
Le premier tome n'est plus disponible qu'en livre de poche, dommage. Les 2 autres existent encore en édition en dur.
J'ai eu du mal a entrer dans l'histoire a cause des 2 threads concurrents (passé/present), mais une fois le truc bien en place ce roman est purement génial !!
Dire que le roman parle essentiellement de chiffrement, c'est un peu biaisé je trouve. Le roman parle essentiellement des technologies qui nous intéressent (sur linuxfr), mais il y a bel et bien un scénario, des héros, et des détails croustillants tant au niveau de la cryptographie que de la 2nd guerre mondiale.
Reste a savoir ce que va devenir la crypte ?
quel est le lien entre les waterhouse ?
qui est root@biduletrucchose ?
arg vivement ce soir !
PS: ne révélez pas trop de l'histoire dans vos commentaires pour laisser de l'intéret aux autres :-)
# iptables2 !
Posté par PLuG . En réponse à la dépêche Harald Welte, développeur iptables. Évalué à 10.
On pourra synchoniser 2 firewall redondant et basculer de l'un a l'autre sans perdre l'etat des connections en cours ... comme sur les pix (cisco).
Bref après cela, plus AUCUNE raison de ne pas utiliser linux comme firewall, sauf la frilosité des décideurs :-)