> Cependant, si le home est crypté (je compte le faire d'ici peu), le garder dans un autre endroit que l'eee devient inutile. Le voleur ne pourra pas lire son contenu.
complètement faux.
Hackers read encrypted hard drives
Written by W. Curtis Preston (http://www.backupcentral.com)
Sunday, 24 February 2008
If you're encrypting the data on your hard drive using OS-level software encryption (e.g. Windows EFS, Vista BitBlocker, MacOS FileVault, Linux DM-Crypt, or TrueCrypt ), then a research study at Princeton University, partially funded by the Department of Homeland Security, has figured out how to read that data without your password. Well, that's just great.
Let me see if I can summarize the essential elements of the story:
* In order for OS-level encryption to work, the unencrypted keys must be held in RAM
* This includes when your system is powered on after a suspend or hibernation sequence. As soon as you see the Windows/Mac/Linux login prompt, the unencrypted key is now in RAM.
* Data stays in RAM after it's powered off, from seconds to minutes
* Here's the exploit:
1. Black hat steals laptop & powers it on
2. Laptop comes up to login prompt
3. Black hat plugs in USB device with special hack/boot software
4. Optionally the black hat sprays an upside-down can of compressed air on your RAM chip to freeze it. This causes the RAM chip's residual image to last much longer after power off, as in 10 minutes or longer.
5. Black hat unplugs system (with battery out), then immediately plugs it back in
6. This time the special boot/hack software copies the residual image in RAM to a file on the USB stick/drive
7. Now they've got all day to scour the RAM image to find the unencrypted key. Of course they don't need that long.
8. Once the find the key, they can use it to access all the encrypted data on the drive -- even without your password
And there you have it. With a little bit of know-how (which they don't divulge any more than I have), and a can of compressed air if you want to take your time (good thing those are hard to find), you can render OS-level encryption completely worthless. They've demonstrated the exploit against Windows EFS, Vista BitBlocker, MacOS FileVault, Linux DM-Crypt, and TrueCrypt -- and they broke every one of them. They believe that pretty much all versions of OS-level encryption will be vulnerable to this attack.
What are you to do? It sucks that you have to do this, but the answer is simple. If you are using OS-level encryption, the following two steps would work.
* Don't suspend, hibernate, or leave your system powered on when you leave it
* When you do power it off, wait a few minutes for the residual image in RAM to fade before you leave it unattended
They did mention in the report that some systems require you to enter a hard-drive level password before it will read the OS image and wake up from being suspend, and that systems so configured were also not vulnerable to this attack. But if when your system wakes up from hibernation/suspension, it comes right to a Windows/MacOS/Linux login screen, you are SOL.
Read the whole study here. Watch their YouTube video of a sample attack here. There's something about watching how easily they do it that's just downright eerie. If you're curious what a frozen RAM chip looks like, here you go.
Moi je préfererais surtout voir le log de progression. Savoir exactement ou j'en suis et pas qu'on use d'un artifice pour me faire patienter et me faire croire que ça avance vite.
Les propositions de Chris Harrison ne visent qu'à tromper l'utilisateur pour lui faire croire que ce qui est long est plus court qu'il n'y parait. J'appelle ça faire l'autruche. Dans ce cas la pendant qu'on y est, pourquoi pas envoyer des popups pour nous dire que tout va bien on est en sécurité quand une faille non patchée est découverte. C'est vrai quoi faudrait surtout pas stresser l'utilisateur avec la peur d'être hacké.
Par exemple là je tente l'installation de latex ..... c'est pas gagné. Le script d'install de texlive me rend la main sans rien me dire :(
Je serai tenté de dire que le problème ne vient pas d'aix, mais de texlive dont les scripts ne sont pas testés ou ne comportent pas les vérifications nécessaires (shell, path, version des applis utilisés, etc...).
Pour ça y'a plein de projets libres qui ne sont testés que sous linux et qui sont des plaies à installer sur d'autres environnements comme (open)solaris par exemple. Tout ça parce que les devs font des scripts d'install qui utilisent des options n'existant que dans les versions gnu de certains outils.
d'une manière ou d'une autre tu as copié l'iso sur la machine AIX, donc de la même manières tu aurais pu copier son contenu. Après le nfs n'était qu'un exemple. Tu peux faire du tar/detar over ssh ou autre si ça te chantes :)
ouais enfin on peut connaitre D&D comme moi et ne pas avoir retenu le nom de son auteur. Faudrait pas non plus tomber dans l'adulation quasi religieuse. D&D n'est qu'un jeu.
D'ailleurs, je pense que si Toyota vend si bien sa Yaris, c'est parce qu'ils se sont vantés que c'était une vraie voiture «française» : les deux générations ont été conçues et fabriquées en France.
La Yaris se vend bien dans tous les pays. Et ce n'est pas parce que c'est une voiture « française » (ça ferait plutôt fuir, à l'étranger). C'est plutôt parce que c'est une Toyota, marque qui a le vent en poupe grâce à une réputation de fiabilité (et avec la prius, d'avant garde à défaut de réelle souci écologique).
yellowdog fournit aussi kde et gnome je crois même si E17 reste le choix par défaut.
Pour la question du payant/non payant, je crois que les YDL sont payantes lors de leur sortie et disponible en téléchargement gratuit après un petit délais. La dernière version semble dispo en téléchargement depuis quelques jours justement...
Le truc c'est que celui qui gère un site de ce genre choisira plus facilement flash (parce que préinstallé, toussa) à une utilisation de vlc qui forcerait ses utilisateurs à installer un logiciel au préalable.
Toute est dans la question. Yellowdog est - il me semble - une distrib basée sur fedora et dont la vocation première est/était de tourner sur des machines PPC....
je ne parle pas de ton pc mais des sites web dont il est question. Que tu aies flash ou pas sur ton propre pc, tu ne peux nier que flash s'est imposé sur les sites web diffusant du contenu multimedia (que ce soit bon/immuable ou non).
Je ne suis pas d'accord. Les raisons pour lesquels flash c'est imposé dans la diffusion de vidéo/audio sur le net, c'est qu'il rend plus difficile la récupération de ces fichiers sur le disque, et qu'il contraint l'utilisateur à aller sur le site internet du serveur qui diffuse le fichier pour le consulter.
Je ne sais pas pour toi, mais moi ça ne me paraît pas de "bonnes" raisons.
non ce n'est pas ça la raison. Rien n'empêche les gens de télécharger les vidéos/sons de ces sites. D'ailleurs certains sites comme google vidéo proposent nativement le téléchargement sans avoir à passer par un plugin/site/logiciel externe.
Si flash s'est imposé, c'est à cause du cauchemard des codecs/logiciels. Avant on avait des sites qui utilisaient Windows Media Player, d'autre Quicktime, et d'autres Real Player et d'autres mettaient en ligne de simples avi avec des codecs très variés, du mpeg 1 au divx. Et les utilisateurs devaient régulièrement mettre à jour ces 3 logiciels, ainsi que d'éventuels codecs pour pouvoir être sûrs de toute visualiser correctement. Flash s'est imposé en standardisant le tout. Pas de logiciel en plus à installer (flash étant fourni avec windows et mac), et une update relativement facile (si le site utilise une version supérieure à celle installée, le lien pour installer la dernière version flash est fournie automatiquement). ça a permis aux gens de se sortir de la prise de tête des codecs.
C'est clair. Ces fonds d'écrans sont vraiment beau pour quelqu'un qui porte une salopette jaune, des chaussettes bleues, des chaussures vertes et un nez rouge. Bref quelqu'un qui sait très bien marier les couleurs.
Pour le coup ils ont réussi à faire plus moches que le fond d'écran par défaut de Windows Vista. C'est fort.
Parce qu'on a pas le droit de s'inscrire dans une banque qui n'a pas de filiale en France sans habiter dans un pays qui a une filiale?
Au temps pour moi je ne suis pas au courant (je n'habite plus en France).
Pour la question du salaire, je ne vois pas en quoi ce serait impossible de verser directement sur un compte étranger. Tu cite l'IBAN, c'est justement fait pour ça. Et mon opérateur mobile m'envoie des factures. Bref le problème n'est pas du tout technique.
Pourquoi parler d'un "new userland memory allocator" si cela a toujours tourné en userland ?
Moi j'avais interprété cela comme voulant dire que l'ancien n'était pas en mémoire utilisateur.
La question n'est pas Pourquoi parler d'un "new userland memory allocator" mais Pourquoi j'ai interprété cette phrase n'importe comment.
Cette phrase veut dire ce qu'elle veut dire et rien de plus. Il y'a un nouvel (un de plus) allocateur de mémoire qui tourne en espace utilisateur.
j'avoue être intéressé par le concept des bulles qui peuvent être animées. En revanche je préfère les bd (je ne me rappelle plus de celles que j'avais vues) dont les bulles ne s'animent que si on passe le curseur dessus...
Car la avec une anim continue dans une bulle, ça gêne la lecture des autres.
ben en fait j'ai encodé en ogg par habitude, je m'en suis rappelé trop tard qu'il ne les lisait pas. Du coup j'ai mis les ogg sur mon ipaq qui trainait heureusement sur mon bureau aussi :-]
Désolé pour cette fausse joie. J'ai pourtant cherché un lecteur ogg en java pour mon motorola sans succès...
[^] # Re: Sécurité de données
Posté par Psychofox (Mastodon) . En réponse au journal EEEPC : vous faites quoi avec le votre ?. Évalué à 2.
complètement faux.
Hackers read encrypted hard drives
Written by W. Curtis Preston (http://www.backupcentral.com)
Sunday, 24 February 2008
If you're encrypting the data on your hard drive using OS-level software encryption (e.g. Windows EFS, Vista BitBlocker, MacOS FileVault, Linux DM-Crypt, or TrueCrypt ), then a research study at Princeton University, partially funded by the Department of Homeland Security, has figured out how to read that data without your password. Well, that's just great.
Let me see if I can summarize the essential elements of the story:
* In order for OS-level encryption to work, the unencrypted keys must be held in RAM
* This includes when your system is powered on after a suspend or hibernation sequence. As soon as you see the Windows/Mac/Linux login prompt, the unencrypted key is now in RAM.
* Data stays in RAM after it's powered off, from seconds to minutes
* Here's the exploit:
1. Black hat steals laptop & powers it on
2. Laptop comes up to login prompt
3. Black hat plugs in USB device with special hack/boot software
4. Optionally the black hat sprays an upside-down can of compressed air on your RAM chip to freeze it. This causes the RAM chip's residual image to last much longer after power off, as in 10 minutes or longer.
5. Black hat unplugs system (with battery out), then immediately plugs it back in
6. This time the special boot/hack software copies the residual image in RAM to a file on the USB stick/drive
7. Now they've got all day to scour the RAM image to find the unencrypted key. Of course they don't need that long.
8. Once the find the key, they can use it to access all the encrypted data on the drive -- even without your password
And there you have it. With a little bit of know-how (which they don't divulge any more than I have), and a can of compressed air if you want to take your time (good thing those are hard to find), you can render OS-level encryption completely worthless. They've demonstrated the exploit against Windows EFS, Vista BitBlocker, MacOS FileVault, Linux DM-Crypt, and TrueCrypt -- and they broke every one of them. They believe that pretty much all versions of OS-level encryption will be vulnerable to this attack.
What are you to do? It sucks that you have to do this, but the answer is simple. If you are using OS-level encryption, the following two steps would work.
* Don't suspend, hibernate, or leave your system powered on when you leave it
* When you do power it off, wait a few minutes for the residual image in RAM to fade before you leave it unattended
They did mention in the report that some systems require you to enter a hard-drive level password before it will read the OS image and wake up from being suspend, and that systems so configured were also not vulnerable to this attack. But if when your system wakes up from hibernation/suspension, it comes right to a Windows/MacOS/Linux login screen, you are SOL.
Read the whole study here. Watch their YouTube video of a sample attack here. There's something about watching how easily they do it that's just downright eerie. If you're curious what a frozen RAM chip looks like, here you go.
le lien vers l'étude en question :
http://citp.princeton.edu/memory/
# logs
Posté par Psychofox (Mastodon) . En réponse au journal Une étude de fond des barres de progression. Évalué à 10.
Les propositions de Chris Harrison ne visent qu'à tromper l'utilisateur pour lui faire croire que ce qui est long est plus court qu'il n'y parait. J'appelle ça faire l'autruche. Dans ce cas la pendant qu'on y est, pourquoi pas envoyer des popups pour nous dire que tout va bien on est en sécurité quand une faille non patchée est découverte. C'est vrai quoi faudrait surtout pas stresser l'utilisateur avec la peur d'être hacké.
Bref ---> /dev/null
(les progress bar, ça sert à rien en plus)
[^] # Re: Ubuntu über aller
Posté par Psychofox (Mastodon) . En réponse à la dépêche Shuttle adopte Foresight Linux. Évalué à 7.
Ubuntu utilise/gère ses propres dépôts et pas ceux de Debian. Mint dépend directement de ubuntu, pour les mises à jours de sécu par exemple.
[^] # Re: Ubuntu über aller
Posté par Psychofox (Mastodon) . En réponse à la dépêche Shuttle adopte Foresight Linux. Évalué à 7.
[^] # Re: faut pas chipoter
Posté par Psychofox (Mastodon) . En réponse au journal AIX - Mais quel avenir ?. Évalué à 9.
Je serai tenté de dire que le problème ne vient pas d'aix, mais de texlive dont les scripts ne sont pas testés ou ne comportent pas les vérifications nécessaires (shell, path, version des applis utilisés, etc...).
Pour ça y'a plein de projets libres qui ne sont testés que sous linux et qui sont des plaies à installer sur d'autres environnements comme (open)solaris par exemple. Tout ça parce que les devs font des scripts d'install qui utilisent des options n'existant que dans les versions gnu de certains outils.
[^] # Re: mouais...
Posté par Psychofox (Mastodon) . En réponse au journal AIX - Mais quel avenir ?. Évalué à 6.
# mouais...
Posté par Psychofox (Mastodon) . En réponse au journal AIX - Mais quel avenir ?. Évalué à 2.
T'aurais très bien pu copier le contenu de ta station au serveur, faire un montage nfs sur ta machine ou autre...
Franchement c'est mega low priority comme fonctionnalité.
[^] # Re: vieux con
Posté par Psychofox (Mastodon) . En réponse à la dépêche Gary Gygax est décédé. Évalué à 8.
[^] # Re: Low cost... ou adaptation aux usages ?
Posté par Psychofox (Mastodon) . En réponse au journal Logan et Asus EEE: le triomphe du low cost. Évalué à 3.
La Yaris se vend bien dans tous les pays. Et ce n'est pas parce que c'est une voiture « française » (ça ferait plutôt fuir, à l'étranger). C'est plutôt parce que c'est une Toyota, marque qui a le vent en poupe grâce à une réputation de fiabilité (et avec la prius, d'avant garde à défaut de réelle souci écologique).
[^] # Re: question bête : pourquoi ne pas essayer yellowdog ?
Posté par Psychofox (Mastodon) . En réponse au journal La fedora 8 est pas mal.. Évalué à 2.
Pour la question du payant/non payant, je crois que les YDL sont payantes lors de leur sortie et disponible en téléchargement gratuit après un petit délais. La dernière version semble dispo en téléchargement depuis quelques jours justement...
[^] # Re: Salut l'artiste.
Posté par Psychofox (Mastodon) . En réponse au journal Jet critique loupé. Évalué à 3.
[^] # Re: Re:
Posté par Psychofox (Mastodon) . En réponse à la dépêche Ubuntu Mobile bientôt de sortie !. Évalué à 2.
Le truc c'est que celui qui gère un site de ce genre choisira plus facilement flash (parce que préinstallé, toussa) à une utilisation de vlc qui forcerait ses utilisateurs à installer un logiciel au préalable.
[^] # Re: Re:
Posté par Psychofox (Mastodon) . En réponse à la dépêche Ubuntu Mobile bientôt de sortie !. Évalué à 2.
# question bête : pourquoi ne pas essayer yellowdog ?
Posté par Psychofox (Mastodon) . En réponse au journal La fedora 8 est pas mal.. Évalué à 3.
http://www.terrasoftsolutions.com/products/ydl/
[^] # Re: Re:
Posté par Psychofox (Mastodon) . En réponse à la dépêche Ubuntu Mobile bientôt de sortie !. Évalué à 5.
[^] # Re: Re:
Posté par Psychofox (Mastodon) . En réponse à la dépêche Ubuntu Mobile bientôt de sortie !. Évalué à 7.
Je ne sais pas pour toi, mais moi ça ne me paraît pas de "bonnes" raisons.
non ce n'est pas ça la raison. Rien n'empêche les gens de télécharger les vidéos/sons de ces sites. D'ailleurs certains sites comme google vidéo proposent nativement le téléchargement sans avoir à passer par un plugin/site/logiciel externe.
Si flash s'est imposé, c'est à cause du cauchemard des codecs/logiciels. Avant on avait des sites qui utilisaient Windows Media Player, d'autre Quicktime, et d'autres Real Player et d'autres mettaient en ligne de simples avi avec des codecs très variés, du mpeg 1 au divx. Et les utilisateurs devaient régulièrement mettre à jour ces 3 logiciels, ainsi que d'éventuels codecs pour pouvoir être sûrs de toute visualiser correctement. Flash s'est imposé en standardisant le tout. Pas de logiciel en plus à installer (flash étant fourni avec windows et mac), et une update relativement facile (si le site utilise une version supérieure à celle installée, le lien pour installer la dernière version flash est fournie automatiquement). ça a permis aux gens de se sortir de la prise de tête des codecs.
[^] # Re: Les fonds d'écran de la 2008.1
Posté par Psychofox (Mastodon) . En réponse au journal On Road vers la 2008.1. Évalué à 0.
C'est clair. Ces fonds d'écrans sont vraiment beau pour quelqu'un qui porte une salopette jaune, des chaussettes bleues, des chaussures vertes et un nez rouge. Bref quelqu'un qui sait très bien marier les couleurs.
Pour le coup ils ont réussi à faire plus moches que le fond d'écran par défaut de Windows Vista. C'est fort.
[^] # Re: limitation
Posté par Psychofox (Mastodon) . En réponse au journal [HS] Banques. Évalué à 2.
[^] # Re: limitation
Posté par Psychofox (Mastodon) . En réponse au journal [HS] Banques. Évalué à 4.
[^] # Re: limitation
Posté par Psychofox (Mastodon) . En réponse au journal [HS] Banques. Évalué à 2.
Au temps pour moi je ne suis pas au courant (je n'habite plus en France).
Pour la question du salaire, je ne vois pas en quoi ce serait impossible de verser directement sur un compte étranger. Tu cite l'IBAN, c'est justement fait pour ça. Et mon opérateur mobile m'envoie des factures. Bref le problème n'est pas du tout technique.
# limitation
Posté par Psychofox (Mastodon) . En réponse au journal [HS] Banques. Évalué à 2.
[^] # Re: Pas pu attendre vendredi....
Posté par Psychofox (Mastodon) . En réponse à la dépêche Sortie de FreeBSD 7.0 et 6.3. Évalué à -1.
Moi j'avais interprété cela comme voulant dire que l'ancien n'était pas en mémoire utilisateur.
La question n'est pas Pourquoi parler d'un "new userland memory allocator" mais Pourquoi j'ai interprété cette phrase n'importe comment.
Cette phrase veut dire ce qu'elle veut dire et rien de plus. Il y'a un nouvel (un de plus) allocateur de mémoire qui tourne en espace utilisateur.
[^] # Re: Super...
Posté par Psychofox (Mastodon) . En réponse au journal Orneryboy is back. Évalué à 3.
Mais bon sans flash, on ne peut pas leur enlever ça...
[^] # Re: Heuu
Posté par Psychofox (Mastodon) . En réponse au journal Orneryboy is back. Évalué à 3.
Car la avec une anim continue dans une bulle, ça gêne la lecture des autres.
[^] # Re: Petite info
Posté par Psychofox (Mastodon) . En réponse au journal La qualitaÿ de la musique grand public.. Évalué à 1.
Désolé pour cette fausse joie. J'ai pourtant cherché un lecteur ogg en java pour mon motorola sans succès...